PIX/ASA 7.X:既存の L2L VPN への新しいトンネルまたはリモート アクセスの追加

ダウンロード オプション

  • PDF     (339.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (178.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (224.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2007 年 3 月 6 日
Document ID:82020

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、新しい VPN トンネルまたはリモート アクセス VPN を既存の L2L VPN 設定に追加するために必要な手順を説明します。初期 IPSec VPN トンネルの作成方法とその他の設定例については、「Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス - 設定例とテクニカルノート」を参照してください。

前提条件

要件

この設定を実行する前に、現在動作している L2L IPSEC VPN トンネルが正しく設定されていることを確認してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • 7.x コードを実行する 2 台の ASA セキュリティ アプライアンス

  • 7.x コードを実行する 1 台の PIX セキュリティ アプライアンス

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク図

このドキュメントでは、次のネットワーク セットアップを使用します。

addnetworkvpn1.gif

この出力は、NY(HUB)セキュリティ アプライアンスで実行中の設定です。この設定では、NY(HQ)と TN 間に設定されている IPSec L2L トンネルがあります。

現在の NY(HQ)ファイアウォール設定 
ASA-NY-HQ#show running-config 

: Saved
:
ASA Version 7.2(2) 
!
hostname ASA-NY-HQ
domain-name corp2.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.11.2 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address 
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp2.com
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 
10.10.10.0 255.255.255.0 
access-list outside_20_cryptomap extended permit ip 172.16.1.0 255.255.255.0 
10.10.10.0 255.255.255.0 


!--- Output is suppressed.


nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.16.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.11.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 192.168.10.10 
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *
telnet timeout 1440
ssh timeout 5
console timeout 0
!             
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!             
service-policy global_policy global
prompt hostname context 
Cryptochecksum:a3aa2afb37dcad447031b7b0c8ea65d3
: end
ASA-NY-HQ#

背景説明

現在、NY(HQ)オフィスと TN オフィス間には既存の L2L トンネルが設定されています。最近 TX に会社の新しいオフィスが設立されました。この新しいオフィスでは、NY と TN のオフィスにあるローカル リソースへの接続が必要です。さらに、従業員が自宅から安全に内部ネットワークにあるリソースにリモートでアクセスできるようにする必要もあります。この例では、新しい VPN トンネルと NY オフィスにあるリモート アクセス VPN サーバを設定します。

この例では、2 つのコマンドを使用して、VPN ネットワーク間での通信を許可し、トンネルまたは暗号化する必要があるトラフィックを識別します。これにより、トラフィックを VPN トンネルに送信しなくてもインターネットにアクセスできるようになります。これら 2 つのオプションを設定するには、split-tunnel コマンドと same-security-traffic コマンドを発行します。

スプリット トンネリングを設定すると、パケットをリモート アクセス IPSec クライアントから暗号化された形式で条件に応じて IPSec トンネル経由で送信したり、ネットワーク インターフェイスにクリア テキスト形式で送信したりできます。スプリット トンネリングをイネーブルにすると、IPSec トンネルのもう一方の宛先に送信されていないパケットを暗号化して、トンネルを介して送信し、復号化して、最終的な宛先にルーティングする必要がありません。このコマンドは、このスプリット トンネリング ポリシーを、指定したネットワークに適用します。デフォルトでは、すべてのトラフィックをトンネルします。スプリット トンネリング ポリシーを設定するには、split-tunnel-policy コマンドをグループ ポリシー コンフィギュレーション モードで発行します。split-tunneling-policy を設定から削除するには、このコマンドの no 形式を発行します。

セキュリティ アプライアンスには、IPSec で保護されたトラフィックを同じインターフェイスで送受信できるようにして、それらのトラフィックを VPN クライアントから他の VPN ユーザに送信できる機能が含まれています。また、ヘアピニングと呼ばれる機能は、VPN ハブ(セキュリティ アプライアンス)を介して接続する VPN スポーク(クライアント)としても機能できます。 別のアプリケーションでこの機能を使用すると、着信 VPN トラフィックを暗号化されていないトラフィックとして、同じインターフェイスからリダイレクトして返すことができます。この機能は、スプリット トンネリングは設定されていないが、VPN へのアクセスと Web のブラウズが必要な VPN クライアントなどに便利です。この機能を設定するには、グローバル コンフィギュレーション モードで same-security-traffic intra-interface コマンドを発行します。

設定への新しい L2L トンネルの追加

次に、この設定のネットワーク図を示します。

addnetworkvpn2.gif

手順ごとの説明

このセクションでは、ハブ(NY ファイアウォール)セキュリティ アプライアンスで実行する必要のある手順を説明します。スポーク クライアント(TX ファイアウォール)を設定する方法の詳細は、『PIX/ASA 7.x:簡単な PIX-to-PIX VPN トンネル設定の例』を参照してください。

次のステップを実行します。

  1. 対象トラフィックを定義するために、クリプト マップで使用される次の 2 つの新しいアクセス リストを作成します。

    • ASA-NY-HQ(config)#access-list outside_30_cryptomap
			 extended permit ip 172.16.1.0 255.255.255.0 
    20.20.20.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list outside_30_cryptomap
			 extended permit ip 10.10.10.0 255.255.255.0 
    20.20.20.0 255.255.255.0

    warning 警告:通信を行うには、トンネルの反対側に、その特定のネットワークに対してこのアクセスコントロールリスト(ACL)エントリの反対側が必要です。

  2. 次のネットワーク間で NAT を免除するには、no nat ステートメントにこれらのエントリを追加します。

    • ASA-NY-HQ(config)#access-list inside_nat0_outbound
			 extended permit ip 172.16.1.0 255.255.255.0 
    20.20.20.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list inside_nat0_outbound
			 extended permit ip 10.10.10.0 255.255.255.0 
    20.20.20.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list inside_nat0_outbound
			 extended permit ip 20.20.20.0 255.255.255.0 
    10.10.10.0 255.255.255.0

    warning 警告:通信を行うには、トンネルの反対側に、その特定のネットワークに対してこのACLエントリの反対側が必要です。

  3. TX VPN ネットワークでホストをイネーブルにして、TN VPN トンネルにアクセスするには、次のコマンドを発行します。 

    • ASA-NY-HQ(config)#same-security-traffic permit
			 intra-interface

    これにより、VPN ピア間で通信できるようになります。

  4. 新しい VPN トンネルのクリプト マップ設定を作成します。すべてのフェーズ 2 設定は同じであるため、最初の VPN 設定と同じトランスフォーム セットを使用します。

    • ASA-NY-HQ(config)#crypto map outside_map 30 match
			 address outside_30_cryptomap
    • ASA-NY-HQ(config)#crypto map outside_map 30 set
			 peer 192.168.12.2
    • ASA-NY-HQ(config)#crypto map outside_map 30 set
			 transform-set
			 ESP-3DES-SHA

  5. このトンネルに指定したトンネル グループを作成して、リモート ホストに接続するために必要な属性を設定します。 

    • ASA-NY-HQ(config)#tunnel-group 192.168.12.2 type
			 ipsec-l2l
    • ASA-NY-HQ(config)#tunnel-group 192.168.12.2
			 ipsec-attributes
      • ASA-NY-HQ(config-tunnel-ipsec)#pre-shared-key
				cisco123

        注:事前共有キーは、トンネルの両側で正確に一致している必要があります。

  6. これで新しいトンネルの設定が完了したため、トンネルを介して対象トラフィックを送信して、トンネルを起動する必要があります。これを行うには、source ping コマンドを発行して、リモート トンネルの内部ネットワークにあるホストに ping を送信します。

    この例では、トンネルのもう一方にある、20.20.20.16 のアドレスが指定されているワークステーションに ping が送信されます。これにより、NY と TX 間のトンネルが起動します。以上で 2 つのトンネルが HQ オフィスに接続されました。トンネルの背後にあるシステムにアクセスできない場合、『一般的な L2L およびリモート アクセス IPSec VPN のトラブルシューティング方法について』で、management-access を使用する別のソリューションを参照してください。

設定例

設定例 1 
ASA-NY-HQ#show running-config 

 : Saved
:
ASA Version 7.2(2) 
!
hostname ASA-NY-HQ
domain-name corp2.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.11.1 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp2.com
same-security-traffic permit intra-interface
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 
255.255.255.0 
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0 
255.255.255.0 
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 
255.255.255.0 
access-list inside_nat0_outbound extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 
255.255.255.0
access-list outside_20_cryptomap extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 
255.255.255.0 
access-list outside_20_cryptomap extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 
255.255.255.0 
access-list outside_30_cryptomap extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0 
255.255.255.0 
access-list outside_30_cryptomap extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 
255.255.255.0
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu man 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.16.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.11.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username sidney password 3xsopMX9gN5Wnf1W encrypted privilege 15
aaa authentication telnet console LOCAL 
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 192.168.10.10 
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 30 match address outside_30_cryptomap
crypto map outside_map 30 set peer 192.168.12.2 
crypto map outside_map 30 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *
tunnel-group 192.168.12.2 type ipsec-l2l
tunnel-group 192.168.12.2 ipsec-attributes
 pre-shared-key *
telnet timeout 1440
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:5a184c8e5e6aa30d4108a55ac0ead3ae
: end
ASA-NY-HQ#

設定へのリモート アクセス VPN の追加

次に、この設定のネットワーク図を示します。

addnetworkvpn3.gif

手順ごとの説明

このセクションでは、リモート アクセス機能を追加して、リモート ユーザがすべてのサイトにアクセスできるようにするために必要な手順を説明します。PIX/ASA 7.x が VPN ユーザからのアクセスをブロックするシナリオの詳細については、『PIX/ASA 7.x ASDM:リモート アクセス VPN ユーザのネットワーク アクセスの制限』を参照してください。

次のステップを実行します。

  1. VPN トンネルを介して接続するクライアントが使用する IP アドレス プールを作成します。また、設定の完了後に VPN にアクセスするための基本ユーザを作成します。

    • ASA-NY-HQ(config)#ip local pool Hill-V-IP
			 10.10.120.10-10.10.120.100 mask 255.255.255.0
    • ASA-NY-HQ(config)#username cisco password
			 cisco111

  2. 特定のトラフィックを NAT から免除します。 

    • ASA-NY-HQ(config)#access-list
			 inside_nat0_outbound extended permit ip 172.16.1.0 
    255.255.255.0 10.10.120.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list
			 inside_nat0_outbound extended permit ip 10.10.120.0 
    255.255.255.0 10.10.10.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list
			 inside_nat0_outbound extended permit ip 10.10.120.0 
    255.255.255.0 20.20.20.0 255.255.255.0

    この例では、VPN トンネル間の NAT 通信が免除されていることに注目してください。

  3. すでに作成されている L2L トンネル間の通信を許可します。 

    • ASA-NY-HQ(config)#access-list
			 outside_20_cryptomap extended permit ip 10.10.120.0 
    255.255.255.0 10.10.10.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list
			 outside_30_cryptomap extended permit ip 10.10.120.0 
    255.255.255.0 20.20.20.0 255.255.255.0

    これにより、リモート アクセス ユーザは指定したトンネルの背後にあるネットワークと通信できるようになります。

    warning 警告:通信を行うには、トンネルの反対側に、その特定のネットワークに対してこのACLエントリの反対側が必要です。

  4. 暗号化して VPN トンネルを介して送信されるトラフィックを設定します。

    • ASA-NY-HQ(config)#access-list
			 Hillvalley_splitunnel standard permit 172.16.1.0 
    255.255.255.0
    • ASA-NY-HQ(config)#access-list
			 Hillvalley_splitunnel standard permit 10.10.10.0 
    255.255.255.0
    • ASA-NY-HQ(config)#access-list
			 Hillvalley_splitunnel standard permit 20.20.20.0 
    255.255.255.0

  5. VPN クライアントの WINS、DNS、IPSec プロトコルなどのローカル認証とポリシー情報を設定します。

    • ASA-NY-HQ(config)#group-policy Hillvalley
			 internal
    • ASA-NY-HQ(config)#group-policy Hillvalley
			 attributes
      • ASA-NY-HQ(config-group-policy)#wins-server
				value 10.10.10.20
      • ASA-NY-HQ(config-group-policy)#dns-server value
				10.10.10.20
      • ASA-NY-HQ(config-group-policy)#vpn-tunnel-protocol
				IPSec

  6. 事前共有キーと IP アドレス プールなどの IPSec と一般属性を設定します。これらは、Hillvalley VPN トンネルで使用されます。

    • ASA-NY-HQ(config)#tunnel-group Hillvalley
			 ipsec-attributes
      • ASA-NY-HQ(config-tunnel-ipsec)#pre-shared-key
				cisco1234
    • ASA-NY-HQ(config)#tunnel-group Hillvalley
			 general-attributes
      • ASA-NY-HQ(config-tunnel-general)#address-pool
				Hill-V-IP
      • ASA-NY-HQ(config-tunnel-general)#default-group-policy
				Hillvalley

  7. ステップ 4 で作成された ACL を使用するスプリット トンネル ポリシーを作成して、暗号化するトラフィックとトンネルを通過するトラフィックを指定します。

    • ASA-NY-HQ(config)#split-tunnel-policy
			 tunnelspecified
    • ASA-NY-HQ(config)#split-tunnel-network-list value
			 Hillvalley_splitunnel

  8. VPN トンネルの作成に必要なクリプト マップ情報を設定します。

    • ASA-NY-HQ(config)#crypto ipsec transform-set
			 Hill-trans esp-3des esp-sha-hmac
    • ASA-NY-HQ(config)#crypto dynamic-map
			 outside_dyn_map 20 set transform-set
			 Hill-trans
    • ASA-NY-HQ(config)#crypto dynamic-map dyn_map 20
			 set reverse-route
    • ASA-NY-HQ(config)#crypto map outside_map 65535
			 ipsec-isakmp dynamic
			 outside_dyn_map

設定例

設定例 2 
ASA-NY-HQ#show running-config 

 : Saved

hostname ASA-NY-HQ
ASA Version 7.2(2) 

enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.11.2 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp2.com
same-security-traffic permit intra-interface


!--- This is required for communication between VPN peers.


access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 
255.255.255.0 
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0 
255.255.255.0 
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 
255.255.255.0 
access-list inside_nat0_outbound extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 
255.255.255.0 
access-list inside_nat0_outbound extended permit ip 10.10.120.0 255.255.255.0 20.20.20.0 
255.255.255.0 
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 10.10.120.0 
255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.120.0 255.255.255.0 10.10.10.0 
255.255.255.0
access-list outside_20_cryptomap extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 
255.255.255.0 
access-list outside_20_cryptomap extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0 
255.255.255.0 
access-list outside_20_cryptomap extended permit ip 10.10.120.0 255.255.255.0 10.10.10.0 
255.255.255.0 
access-list Hillvalley_splitunnel standard permit 172.16.1.0 255.255.255.0 
access-list Hillvalley_splitunnel standard permit 10.10.10.0 255.255.255.0 
access-list Hillvalley_splitunnel standard permit 20.20.20.0 255.255.255.0 
access-list outside_30_cryptomap extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0 
255.255.255.0 
access-list outside_30_cryptomap extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0 
255.255.255.0 
access-list outside_30_cryptomap extended permit ip 10.10.120.0 255.255.255.0 20.20.20.0 
255.255.255.0
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu man 1500
ip local pool Hill-V-IP 10.10.120.10-10.10.120.100 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.16.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.11.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy Hillvalley internal
group-policy Hillvalley attributes
 wins-server value 10.10.10.20
 dns-server value 10.10.10.20
 vpn-tunnel-protocol IPSec 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value Hillvalley_splitunnel
 default-domain value corp.com
username cisco password dZBmhhbNIN5q6rGK encrypted 
aaa authentication telnet console LOCAL 
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec transform-set Hill-trans esp-3des esp-sha-hmac 
crypto dynamic-map outside_dyn_map 20 set transform-set Hill-trans
crypto dynamic-map dyn_map 20 set reverse-route
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 192.168.10.10 
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 30 match address outside_30_cryptomap
crypto map outside_map 30 set peer 192.168.12.1 
crypto map outside_map 30 set transform-set ESP-3DES-SHA

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *
tunnel-group 192.168.12.2 type ipsec-l2l
tunnel-group 192.168.12.2 ipsec-attributes
 pre-shared-key *
tunnel-group Hillvalley type ipsec-ra
tunnel-group Hillvalley general-attributes
 address-pool Hill-V-IP
 default-group-policy Hillvalley
tunnel-group Hillvalley ipsec-attributes
 pre-shared-key *
telnet timeout 1440
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:62dc631d157fb7e91217cb82dc161a48
ASA-NY-HQ#

確認

ここでは、設定が正常に機能しているかどうかを確認します。

アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。

  • ping inside x.x.x.x(トンネルの反対側のホストの IP アドレス):このコマンドを使用すると、内部インターフェイスの送信元アドレスを使用して、トラフィックをトンネルに送信できます。

トラブルシュート

設定のトラブルシューティングに使用できる情報については、次のドキュメントを参照してください。

関連情報

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています