FlexConfigポリシーによるFTDサイト間VPNアイドルタイムアウトの無効化

ダウンロード オプション

  • PDF     (1.4 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.2 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.0 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2021 年 10 月 5 日
Document ID:217436

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、非アクティブまたはアイドルタイムアウトによるトンネルのダウンタイムを防ぐために、Cisco Firepower Management Center(FMC)のFlexConfigポリシーを使用してVPNのvpn-idle-timeout属性を変更する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Firepower Threat Defense(FTD)
    • FMC
    • FlexConfigポリシー
    • サイト間VPNトポロジ

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。

    • FMCv - 6.5.0.4(ビルド57)
    • FTDv - 6.4.0.10(ビルド95)

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    インターネットキーエクスチェンジバージョン1(IKEv1)とインターネットキーエクスチェンジバージョン2(IKEv2)のポリシーベース(クリプトマップ)サイト間VPNは、どちらもオンデマンドトンネルです。デフォルトでは、vpn-idle-timeoutと呼ばれる特定の時間内にトンネル上で通信アクティビティがない場合、FTDはVPN接続を終了します。このタイマーは、デフォルトで30分に設定されています。

    設定

    FlexConfigポリシーとFlexConfigオブジェクトの設定

    ステップ1:[Devices] > [FlexConfig] で、新しいFlexConfigポリシー(存在しない場合)を作成し、それをサイト間VPNが設定されているFTDに接続します。

    TZ_vpn_idle_timeout_00

    または

    TZ_vpn_idle_timeout_01

    ステップ2:このポリシー内で、次のようにFlexConfigオブジェクトを作成します。

    [Name]:S2S_Idle_TimeOut
    導入:毎回
    Type:追加

    group-policy .DefaultS2SGroupPolicy属性
    vpn-idle-timeout none

    TZ_vpn_idle_timeout_02

    TZ_vpn_idle_timeout_03

    そして保存します。

    ステップ3:左側のペインで検索し、ボタン>を使用して右側のペインにドラッグします

    TZ_vpn_idle_timeout_04

    TZ_vpn_idle_timeout_05

      変更を保存し、[Deploy]を選択します

    ステップ3.1(オプション)設定の変更を保存した後の中間ステップとして、[Preview Config]を選択して、FlexConfigコマンドを設定の最後にプッシュする準備ができていることを確認します。

    TZ_vpn_idle_timeout_06

    確認

    導入が完了したら、LINA(> system support diagnostic-cli)でこのコマンドを実行して、新しい設定があることを確認できます。

    firepower# show running-config group-policy .DefaultS2SGroupPolicy
    group-policy .DefaultS2SGroupPolicy internal
    group-policy .DefaultS2SGroupPolicy attributes
    vpn-idle-timeout none <<<--------------
    <omitted output>

    注意:この変更は、FTD上のすべてのS2S VPNに影響することに注意してください。これはトンネル単位の設定ではなく、グローバル設定です。

    設定がある場合、アクティブなトンネルをバウンスする必要があります(clear crypto ipsec sa peer <Remote_Peer_IP_Address>)。これにより、トンネルが再確立されたときに変更が有効になります。変更が有効であることを確認するには、次のコマンドを使用します。

    firepower# show vpn-sessiondb detail l2l filter ipaddress 
     
     

    Session Type: LAN-to-LAN Detailed

    Connection : X.X.X.X
    Index : 7 IP Addr : X.X.X.X
    Protocol : IKEv1 IPsec
    Encryption : IKEv1: (1)AES256 IPsec: (1)AES256
    Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1
    Bytes Tx : 400 Bytes Rx : 400
    Login Time : 22:06:56 UTC Tue Jun 15 2021
    Duration : 0h:18m:00s
    Tunnel Zone : 0

    IKEv1 Tunnels: 1
    IPsec Tunnels: 1

    IKEv1:
    Tunnel ID : 7.1
    UDP Src Port : 500 UDP Dst Port : 500
    IKE Neg Mode : Main Auth Mode : preSharedKeys
    Encryption : AES256 Hashing : SHA1
    Rekey Int (T): 86400 Seconds Rekey Left(T): 85319 Seconds
    D/H Group : 5
    Filter Name :

    IPsec:
    Tunnel ID : 7.2
    Local Addr : A.A.A.A/255.255.255.255/0/0
    Remote Addr : B.B.B.B/255.255.255.128/0/0
    Encryption : AES256 Hashing : SHA1
    Encapsulation: Tunnel
    Rekey Int (T): 28800 Seconds Rekey Left(T): 27719 Seconds
    Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4608000 K-Bytes
    Idle Time Out: 0 Minutes Idle TO Left : 0 Minutes <<<<<<<---------------
    Bytes Tx : 400 Bytes Rx : 400
    Pkts Tx : 4 Pkts Rx : 4

    アイドルタイムアウトカウンタは30分ではなく0分に設定する必要があり、VPN上で実行されているアクティビティやトラフィックに関係なく、VPNはアクティブなままである必要があります。

    注:執筆時点では、Flexconfigを使用せずにFMCでこの設定を直接変更する機能を統合する拡張バグが存在します。Cisco Bug ID CSCvr82274 - ENH:vpn-idle-timeoutを設定可能にする

    トラブルシュート

    現在、トラブルシューティングに必要な特定の情報はありません。

    関連情報

    更新履歴

    改定 発行日 コメント
    1.0
    05-Oct-2021
    初版
    TAC Authored

    シスコ エンジニア提供

    • David Rivera Perez
      Cisco TAC Engineer

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています