SDM を使用したリモート VPN サーバとしての Cisco ルータの設定例

ダウンロードオプション

PDF (962.9 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (1.1 MB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (1.3 MB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2006 年 9 月 7 日

Document ID:1497078562502137

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

概要

このドキュメントでは、Cisco Security Device Manager（SDM）を使用して Cisco ルータが Easy VPN サーバとして動作するように設定する方法について説明しています。 Cisco SDM では、使いやすい Web ベースの管理インターフェイスを使用して、Cisco VPN Client のための VPN サーバとしてルータを設定できます。 Cisco ルータの設定が完了すると、Cisco VPN Client を使用して検証できます。

前提条件

要件

このドキュメントでは、Cisco ルータが完全に動作しており、Cisco SDM で設定変更できるように設定されていることを想定しています。

注: SDM でルータを設定できるようにするには、『SDM 用の HTTPS アクセスの許可』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

Cisco IOS(R) ソフトウェアリリース 12.3(14T) が稼働する Cisco 3640 ルータ
Security Device Manager バージョン 2.31
Cisco VPN Client バージョン 4.8

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

Home ウィンドウから Configure > VPN > Easy VPN Server の順に選択し、『Launch Easy VPN Server Wizard』をクリックして下さい。
Easy VPN サーバの設定を始めるには、ルータ上で AAA が有効になっている必要があります。 Yes をクリックして設定を継続します。

ウィンドウに「AAA has been successfully enabled on the router」というメッセージが表示されます。 OK をクリックして Easy VPN サーバの設定を開始します。
Next をクリックして Easy VPN Server Wizard を開始します。
クライアント接続の終端となるインターフェイスと、認証タイプを選択します。
Next をクリックして Internet Key Exchange（IKE; インターネットキーエクスチェンジ）ポリシーを設定し、Add ボタンを使用して新しいポリシーを作成します。

トンネルの両側の設定は完全に一致している必要があります。ただし、Cisco VPN Client では適切な設定が自動的に選択されます。そのため、クライアント PC で IKE を設定する必要はありません。
Next をクリックして、デフォルトのトランスフォームセットを選択するか、新しいトランスフォームセットを追加して暗号化と認証のアルゴリズムを指定します。このケースでは、デフォルトのトランスフォームセットを使用しています。
Next をクリックして、グループポリシー検索用の新しい Authentication, Authorization, and Accounting（AAA; 認証、認可、アカウンティング）認可ネットワーク方式リストを作成するか、グループ認可に使用する既存のネットワーク方式リストを選択します。
Easy VPN サーバでユーザ認証を設定します。

ユーザ認証の詳細情報は、RADIUS サーバなどの外部サーバかローカルデータベース、またはその両方に格納できます。 AAA ログイン認証方式リストは、ユーザ認証の詳細情報を検索する順序を決定するために使用されます。
このウィンドウを使用すると、ローカルデータベース上でユーザグループポリシーを追加、編集、複製、または削除できます。
Tunnel Group Name の名前を入力します。認証情報に使用される事前共有キーを入力します。

VPN Client への IP アドレスの割り当てに使用される、新しいプールを作成するか、既存のプールを選択します。
このウィンドウにはユーザが行った操作の概要が表示されます。設定に問題がなければ、[Finish] をクリックします。
SDM は設定をルータに送信し、Running Configuration が更新されます。 [OK] をクリックして完了します。

完了後、必要に応じて設定内の変更を編集および修正できます。

ルータの設定（VPN Server）
Building configuration... Current configuration : 3336 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable password cisco ! aaa new-model ! !--- In order to set AAA authentication at login, use the aaa authentication login* !--- command in global configuration mode* . aaa authentication login default local !--- Here, list name "sdm_vpn_xauth_ml_1" is specified for !--- the authentication of the clients. aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local ! aaa session-id common ! resource policy ! ! ! ip cef ! ! ! ! !--- The RSA certificate generates after the !--- ip http secure-server* command is enabled.* crypto pki trustpoint TP-self-signed-392370502 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-392370502 revocation-check none rsakeypair TP-self-signed-392370502 ! ! crypto pki certificate chain TP-self-signed-392370502 certificate self-signed 01 3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 33393233 37303530 32301E17 0D303530 39323130 30323135 375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3339 32333730 35303230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 ED61BD43 0AD90559 2C7D7DB1 BB3147AA 784F3B46 9E63E63C 5CD61976 6BC46596 DB1AEB44 46644B18 8A890604 489B0447 B4B5C702 98272464 FFFD5511 A4BA79EC 239BCEA2 823F94EE 438B2E0A 5D90E9ED 8158BC8D 04F67C21 AEE1DB6F 046A0EF3 4C8798BE 0A171421 3FD5A690 7C735751 E7C58AA3 FB4CCE4F 5930212D 90EB4A33 02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D 11040A30 08820652 6F757465 72301F06 03551D23 04183016 8014B278 183F02DF 5000A124 124FEF08 8B704656 15CD301D 0603551D 0E041604 14B27818 3F02DF50 00A12412 4FEF088B 70465615 CD300D06 092A8648 86F70D01 01040500 03818100 C12AB266 0E85DAF6 264AC86F 27761351 E31DF628 BE7792B2 991725ED AAB3BABE B1F1C6CA 7E5C0D19 B9793439 E5AECC78 C5ECBE56 871EB4D3 39B60AD1 AB0B97FE 515B4CC6 81BEE802 DC02BD1B A0D10EE9 0FD79D72 B44C0143 6E39C06B D9178590 57D02A8F 750DA100 ABEEB1F1 B02A8B1F B746942B 892D1514 B2CC9D58 A28F08E2 quit ! ! ! ! ! ! ! ! ! ! !--- Creates a user account with all privileges. username sdmsdm privilege 15 password 0 sdmsdm ! ! !--- Creates an isakmp policy 1 with parameters like !--- 3des encryption, pre-share key authentication, and DH group 2. crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration group vpn !--- Defines the pre-shared key as sdmsdm. key sdmsdm pool SDM_POOL_1 netmask 255.255.255.0 ! !--- Defines transform set parameters. crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA reverse-route ! !--- Specifies the crypto map parameters. crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! ! interface Ethernet0/0 no ip address shutdown half-duplex ! interface FastEthernet1/0 ip address 10.77.241.157 255.255.255.192 duplex auto speed auto ! interface Serial2/0 ip address 10.1.1.1 255.255.255.0 no fair-queue !--- Applies the crypto map SDM_CMAP1 to the interface. crypto map SDM_CMAP_1 ! interface Serial2/1 no ip address shutdown ! interface Serial2/2 no ip address shutdown ! interface Serial2/3 no ip address shutdown !--- Creates a local pool named SDM_POOL_1 for issuing IP !--- addresses to clients. ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5 !--- Commands for enabling http and https required to launch SDM. ip http server ip http secure-server ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 password cisco ! ! end

ルータの設定（VPN Server）

Building configuration...

Current configuration : 3336 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
aaa new-model
!

!--- In order to set AAA authentication at login, use the aaa authentication login !--- command in global configuration mode
.
aaa authentication login default local

!--- Here, list name "sdm_vpn_xauth_ml_1" is specified for !--- the authentication of the clients.

aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local 
aaa authorization network sdm_vpn_group_ml_1 local 
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
!
!
!--- The RSA certificate generates after the !--- ip http secure-server command is enabled.

crypto pki trustpoint TP-self-signed-392370502
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-392370502
 revocation-check none
 rsakeypair TP-self-signed-392370502
!
!
crypto pki certificate chain TP-self-signed-392370502
 certificate self-signed 01
  3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 33393233 37303530 32301E17 0D303530 39323130 30323135 
  375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3339 32333730 
  35303230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 
  ED61BD43 0AD90559 2C7D7DB1 BB3147AA 784F3B46 9E63E63C 5CD61976 6BC46596 
  DB1AEB44 46644B18 8A890604 489B0447 B4B5C702 98272464 FFFD5511 A4BA79EC 
  239BCEA2 823F94EE 438B2E0A 5D90E9ED 8158BC8D 04F67C21 AEE1DB6F 046A0EF3 
  4C8798BE 0A171421 3FD5A690 7C735751 E7C58AA3 FB4CCE4F 5930212D 90EB4A33 
  02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D 
  11040A30 08820652 6F757465 72301F06 03551D23 04183016 8014B278 183F02DF 
  5000A124 124FEF08 8B704656 15CD301D 0603551D 0E041604 14B27818 3F02DF50 
  00A12412 4FEF088B 70465615 CD300D06 092A8648 86F70D01 01040500 03818100 
  C12AB266 0E85DAF6 264AC86F 27761351 E31DF628 BE7792B2 991725ED AAB3BABE 
  B1F1C6CA 7E5C0D19 B9793439 E5AECC78 C5ECBE56 871EB4D3 39B60AD1 AB0B97FE 
  515B4CC6 81BEE802 DC02BD1B A0D10EE9 0FD79D72 B44C0143 6E39C06B D9178590 
  57D02A8F 750DA100 ABEEB1F1 B02A8B1F B746942B 892D1514 B2CC9D58 A28F08E2
  quit
!
!
!
!
!
!
!
!
!
!

!--- Creates a user account with all privileges.

username sdmsdm privilege 15 password 0 sdmsdm
!
! 

!--- Creates an isakmp policy 1 with parameters like !--- 3des encryption, pre-share key authentication, and DH group 2.

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2

crypto isakmp client configuration group vpn

!--- Defines the pre-shared key as sdmsdm.

key sdmsdm
 pool SDM_POOL_1
 netmask 255.255.255.0
!

!--- Defines transform set parameters.

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto dynamic-map SDM_DYNMAP_1 1
 set transform-set ESP-3DES-SHA 
 reverse-route
!

!--- Specifies the crypto map parameters.

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 
!
!
!
!
interface Ethernet0/0
 no ip address
 shutdown
 half-duplex
!
interface FastEthernet1/0
 ip address 10.77.241.157 255.255.255.192
 duplex auto
 speed auto
!
interface Serial2/0
 ip address 10.1.1.1 255.255.255.0
 no fair-queue

!--- Applies the crypto map SDM_CMAP1 to the interface.

crypto map SDM_CMAP_1
!
interface Serial2/1
 no ip address
 shutdown
!
interface Serial2/2
 no ip address
 shutdown
!
interface Serial2/3
 no ip address
 shutdown

!--- Creates a local pool named SDM_POOL_1 for issuing IP !--- addresses to clients.

ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5

!--- Commands for enabling http and https required to launch SDM. 

ip http server
ip http secure-server
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
!
!
end

確認

Cisco ルータの設定に成功したことを確認するには、Cisco VPN Client を使用して Cisco ルータに接続してみます。

Connection Entries > New の順に選択します。
新しい接続の詳細情報を入力します。

Host フィールドには、Easy VPN サーバ（Cisco ルータ）のトンネルエンドポイントの IP アドレスまたはホスト名が含まれている必要があります。グループ認証情報はステップ 9.で使用されるそれに終了したら『SAVE』をクリックします対応する必要があります。
新しく作成した接続を選択し、Connect をクリックします。
拡張認証（Xauth）用のユーザ名とパスワードを入力します。この情報は、手順 7 の Xauth のパラメータにより決定されます。
接続が正常に確立されたら、Status メニューから Statistics を選択し、トンネルの詳細情報を確認します。

次のウィンドウには、トラフィックと暗号の情報が表示されています。

次のウィンドウには、スプリットトンネリング情報（設定されている場合）が表示されています。
Cisco VPN Client のログレベルを有効にするために Log > Log Settings の順に選択して下さい。
Cisco VPN Client の Log エントリを表示するために Log > Log Windows の順に選択して下さい。

SDM を使用したリモート VPN サーバとしての Cisco ルータの設定例

ダウンロードオプション

偏向のない言語

翻訳について

目次

概要

前提条件

要件

使用するコンポーネント

表記法

設定

ネットワーク図

設定手順

確認

関連情報

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

SDM を使用したリモート VPN サーバとしての Cisco ルータの設定例

ダウンロード オプション

偏向のない言語

翻訳について

目次

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ダウンロードオプション