NAT オーバーロードと Cisco Secure VPN Client を使用する IPSec Router-to-Router の設定

ダウンロード オプション

  • PDF     (227.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (94.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (110.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2007 年 5 月 1 日
Document ID:14132

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

この設定例では、Light の後方のネットワークから House の後方のネットワーク(192.168.100.x ネットワークから 192.168.200.x ネットワーク)へのトラフィックが暗号化されます。 ネットワーク アドレス変換(NAT)オーバーロードも行われます。ワイルドカード、事前共有キー、モード設定を使用した Light への暗号化 VPN Client 接続が許可されています。インターネットへのトラフィックは変換されますが、暗号化されません。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco IOS® ソフトウェア リリース 12.2.7 および 12.2.8T

  • Cisco Secure VPN Client 1.1(IRE クライアントの [Help] > [About] メニューでは 2.1.12 と表示されます)

  • Cisco 3600 ルータ

    注:この種のVPNシナリオでCisco 2600シリーズルータを使用する場合は、ルータにクリプトIPsec VPN IOSイメージをインストールする必要があります。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク セットアップを使用します。

ios_D-a.gif

設定

このドキュメントでは次の設定を使用します。

Light の設定 
 Current configuration : 2047 bytes
 !
 version 12.2
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname Light
 !
 boot system flash:c3660-ik9o3s-mz.122-8T
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 ip ssh time-out 120
 ip ssh authentication-retries 3
 !

!--- IPsec Internet Security Association and !--- Key Management Protocol (ISAKMP) policy.

 crypto isakmp policy 5
  hash md5
  authentication pre-share

!--- ISAKMP key for static LAN-to-LAN tunnel !--- without extended authenticaton (xauth).

 crypto isakmp key cisco123 address 10.64.10.45 no-xauth

!--- ISAKMP key for the dynamic VPN Client.

 crypto isakmp key 123cisco address 0.0.0.0 0.0.0.0

!--- Assign the IP address to the VPN Client.

 crypto isakmp client configuration address-pool local test-pool
 !
 !
 ! 
 crypto ipsec transform-set testset esp-des esp-md5-hmac 
 !
 crypto dynamic-map test-dynamic 10
  set transform-set testset 
 !
 !

!--- VPN Client mode configuration negotiation, !--- such as IP address assignment and xauth.

 crypto map test client configuration address initiate
 crypto map test client configuration address respond

!--- Static crypto map for the LAN-to-LAN tunnel.

 crypto map test 5 ipsec-isakmp   
  set peer 10.64.10.45
  set transform-set testset 

!--- Include the private network-to-private network traffic !--- in the encryption process.

  match address 115

!--- Dynamic crypto map for the VPN Client.

 crypto map test 10 ipsec-isakmp dynamic test-dynamic 
 !


 call rsvp-sync
 !
 !
 !         
 !
 !
 fax interface-type modem
 mta receive maximum-recipients 0
 !
 controller E1 2/0
 !
 !
 !
 interface FastEthernet0/0
  ip address 10.64.10.44 255.255.255.224
  ip nat outside
  duplex auto
  speed auto
  crypto map test
 !
 interface FastEthernet0/1
  ip address 192.168.100.1 255.255.255.0
  ip nat inside
  duplex auto
  speed auto
 !
 interface BRI4/0
  no ip address
  shutdown
 !
 interface BRI4/1
  no ip address
  shutdown
 !
 interface BRI4/2
  no ip address
  shutdown
 !
 interface BRI4/3
  no ip address
  shutdown
 !
 
!--- Define the IP address pool for the VPN Client.

 ip local pool test-pool 192.168.1.1 192.168.1.254

!--- Exclude the private network and VPN Client !--- traffic from the NAT process.

 ip nat inside source route-map nonat interface FastEthernet0/0 overload 
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.64.10.33
 ip http server
 ip pim bidir-enable
 !

!--- Exclude the private network and VPN Client !--- traffic from the NAT process.

 access-list 110 deny   ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
 access-list 110 deny   ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
 access-list 110 permit ip 192.168.100.0 0.0.0.255 any

!--- Include the private network-to-private network traffic !--- in the encryption process.

 access-list 115 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
 !

!--- Exclude the private network and VPN Client !--- traffic from the NAT process.

 route-map nonat permit 10
  match ip address 110 
 !
 !
 dial-peer cor custom
 !
 !
 !
 !
 !
 line con 0
 line 97 108
 line aux 0
 line vty 0 4
 !
 end

House の設定 
Current configuration : 1689 bytes
 !
 version 12.2
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname house
 !
 boot system flash:c3660-jk8o3s-mz.122-7.bin
 !
 ip subnet-zero
 !
 !
 no ip domain-lookup
 !
 ip audit notify log
 ip audit po max-events 100
 ip ssh time-out 120
 ip ssh authentication-retries 3
 !

!--- IPsec ISAKMP policy.

 crypto isakmp policy 5
  hash md5 
  authentication pre-share

!--- ISAKMP key for static LAN-to-LAN tunnel without xauth authenticaton.

 crypto isakmp key cisco123 address 10.64.10.44 no-xauth
 !
 !
 crypto ipsec transform-set testset esp-des esp-md5-hmac 
 !

!--- Static crypto map for the LAN-to-LAN tunnel.

 crypto map test 5 ipsec-isakmp   
  set peer 10.64.10.44
  set transform-set testset 

!--- Include the private network-to-private network traffic !--- in the encryption process.

  match address 115 
 !
 call rsvp-sync
 cns event-service server
 !
 !
 !
 !
 !
 fax interface-type modem
 mta receive maximum-recipients 0
 !
 !
 !         
 interface FastEthernet0/0
  ip address 10.64.10.45 255.255.255.224
  ip nat outside
  duplex auto
  speed auto
  crypto map test
 !
 interface FastEthernet0/1
  ip address 192.168.200.1 255.255.255.0
  ip nat inside
  duplex auto
  speed auto
 !
 interface BRI2/0
  no ip address
  shutdown
 !
 interface BRI2/1
  no ip address
  shutdown
 !
 interface BRI2/2
  no ip address
  shutdown
 !
 interface BRI2/3
  no ip address
  shutdown
 !
 interface FastEthernet4/0
  no ip address
  shutdown
  duplex auto
  speed auto
 !
 
!--- Exclude the private network traffic !--- from the dynamic (dynamic association to a pool) NAT process.

 ip nat inside source route-map nonat interface FastEthernet0/0 overload
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.64.10.33
 no ip http server
 ip pim bidir-enable
 !
 
!--- Exclude the private network traffic from the NAT process.

 access-list 110 deny   ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
 access-list 110 permit ip 192.168.200.0 0.0.0.255 any

!--- Include the private network-to-private network traffic !--- in the encryption process.

 access-list 115 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
 
!--- Exclude the private network traffic from the NAT process.

 route-map nonat permit 10
  match ip address 110
 !
 !
 !
 dial-peer cor custom
 !
 !
 !
 !
 !
 line con 0
 line aux 0
 line vty 0 4
  login
 !
 end

VPN Client の設定 
Network Security policy:
       1- TOLIGHT
       My Identity
       Connection security: Secure
       Remote Party Identity and addressing
       ID Type: IP subnet
       192.168.100.0
       255.255.255.0
       Port all Protocol all
       
  Connect using secure tunnel
         ID Type: IP address
         10.64.10.44

       
  Pre-shared Key=123cisco

       
  Authentication (Phase 1)
         Proposal 1
         Authentication method: pre-shared key
         Encryp Alg: DES
         Hash Alg: MD5
         SA life: Unspecified
         Key Group: DH 1

       
  Key exchange (Phase 2)
         Proposal 1
         Encapsulation ESP
         Encrypt Alg: DES
         Hash Alg: MD5
         Encap: tunnel
         SA life: Unspecified
         no AH

       
  2- Other Connections
         Connection security: Non-secure
         Local Network Interface
         Name: Any
         IP Addr: Any
         Port: All

確認

ここでは、設定が正常に機能しているかどうかを確認します。

アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。

  • show crypto ipsec sa:フェーズ 2 セキュリティ アソシエーションを表示します。

  • show crypto isakmp sa:フェーズ 1 SA を表示します。

トラブルシュート

このセクションは、設定のトラブルシューティングを行う際に参照してください。

トラブルシューティングのためのコマンド

アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto ipsec:フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp:フェーズ 1 の ISAKMP ネゴシエーションを表示します。

  • debug crypto engine:暗号化されたトラフィックを表示します。

  • clear crypto isakmp:フェーズ 1 に関連する SA をクリアします。

  • clear crypto isakmp:フェーズ 2 に関連する SA をクリアします。

関連情報

更新履歴

改定 発行日 コメント
1.0
01-May-2007
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています