PIX/ASA 7.x ASDM：リモートアクセスVPNユーザのネットワークアクセスの制限

ダウンロードオプション

PDF (700.3 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (561.8 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (1.1 MB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2007 年 4 月 17 日

Document ID:69308

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

前提条件

要件

使用するコンポーネント

はじめに

このドキュメントでは、Cisco Adaptive Security Device Manager（ASDM）を使用して、PIX セキュリティアプライアンスまたは適応型セキュリティアプライアンス（ASA）の内側にアクセスできる内部ネットワークのリモートアクセス VPN ユーザを制限するための設定例を紹介します。次の場合にユーザにアクセスさせるネットワークのエリアだけにリモートアクセス VPN ユーザを制限できます。

アクセスリストを作成します。
グループポリシーと関連付けます。
それらのグループポリシーをトンネルグループと関連付けます。

VPN コンセントレータで VPN ユーザのアクセスをブロックする方法は、『フィルタおよび RADIUS フィルタの割り当てでブロックするための Cisco VPN 3000 コンセントレータの設定』を参照してください。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

ASDM を使って PIX を設定できること

注：PIXをASDMで設定できるようにするには、『ASDMでのHTTPSアクセスの許可』を参照してください。
問題のない既知のリモートアクセス VPN が少なくとも 1 つ設定されていること

注：設定されていない場合は、『ASDMを使用したリモートVPNサーバとしてのASAの設定例』で、1つの適切なリモートアクセスVPN設定を設定する方法を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

バージョン 7.1(1) が稼働している Cisco Secure PIX 500 シリーズセキュリティアプライアンス

注：PIX 501および506Eセキュリティアプライアンスでは、バージョン7.xはサポートされていません。
Cisco Adaptive Security Device Manager バージョン 5.1(1)

注： ASDMはPIXまたはASA 7.xでのみ使用できます。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

ネットワーク図

このドキュメントでは、次のネットワークセットアップを使用します。

この設定例では、3 つのサブネットで構成された小企業のネットワークを取り上げます。次の図は、トポロジを示しています。3 つのサブネットは、イントラネット、技術部、経理部です。この設定例の目的は、経理部の担当者がイントラネットと経理部サブネットにリモートアクセスできるように許可し、技術部サブネットへのアクセスを防止することです。同様に、エンジニアはイントラネットと技術部サブネットにリモートアクセスできるようにする一方で、経理部サブネットにはアクセスできないように設定します。この設定例の経理部ユーザは「controller1」で、技術部ユーザは「engineer1」です。

表記法

ドキュメント表記の詳細については、『シスコテクニカルティップスの表記法』を参照してください。

ASDM を使用したアクセス設定

ASDM を使用して PIX セキュリティアプライアンスを設定するには、次の手順を実行します。

[Configuration] > [VPN] > [General] > [Group Policy] の順に選択します。
PIX でトンネルグループを設定した際の手順によっては、制限したいユーザが属するトンネルグループのグループポリシーがすでに存在している場合があります。適切なグループポリシーがすでに存在する場合は、[Edit] をクリックします。それ以外の場合は、[Add] をクリックして、[Internal Group Policy] を選択します。
必要に応じて、開いたウィンドウの上部にあるグループポリシー名を入力または変更します。
[General] タブで、[Filter] の横にある [Inherit] ボックスをオフにしたら、[Manage] をクリックします。
[Add ACL] をクリックして、表示された [ACL Manager] ウィンドウでアクセスリストを新規作成します。
新しいアクセスリストの番号を入力し、[OK] をクリックします。
左側で新しい ACL を選択したら、[Add ACE] をクリックしてリストに新しいアクセスコントロールエントリを作成します。
追加するアクセスコントロールエントリ（ACE）を定義します。

この例では、ACL 10 の最初の ACE で経理部サブネットにアクセスできる IP アドレスを無制限に設定します。

注：デフォルトでは、ASDMはプロトコルとしてTCPのみを選択します。すべての IP からのフルアクセスを許可または拒否するのか選択します。完了したら、[OK] をクリックします。
追加した ACE がリスト内に表示されます。再び [Add ACE] を選択し、アクセスリストに必要なだけ行を追加します。

この例では、イントラネットサブネットへのアクセスを許可するための ACL 10 を ACE に追加しています。
ACE の追加が完了したら、[OK] をクリックします。
グループポリシーのフィルタとして、前の手順で定義および入力した ACL を選択します。完了したら、[OK] をクリックします。
[Apply] をクリックすると、変更が PIX に送信されます。
[Options] > [Preferences] で設定している場合、PIX へ送信されるコマンドが ASDM に表示されます。[Send] をクリックします。
作成または変更したグループポリシーを適切なトンネルグループに適用します。左側のフレームで [Tunnel Group] をクリックします。
グループポリシーを適用するトンネルグループを選択したら、[Edit] をクリックします。
グループポリシーが自動作成された場合（手順 2 を参照）、設定したばかりのグループポリシーがドロップダウンボックスで選択できるか確認します。グループポリシーが自動作成されなかった場合は、ドロップダウンボックスから選択します。完了したら、[OK] をクリックします。
[Apply] をクリックし、プロンプトが表示されたら [Send] をクリックして、PIX 設定に変更を追加します。

すでにグループポリシーが選択されている場合は、「No changes were made」というメッセージが表示されます。 [OK] をクリックします。
制限を追加したいトンネルグループがある場合は、手順 2 ～ 17 を繰り返します。

この設定例では、エンジニアのアクセス制限を設定する必要があります。手順は同じですが、目立った違いがあるウィンドウをいくつか紹介します。
- 新しい ACL 20
- 技術部のグループポリシーのフィルタとしてアクセスリスト 20 を選択します。
- 技術部のグループポリシーが技術部のトンネルグループに設定されたことを確認します。

CLI を使用したアクセス設定

CLI を使用してセキュリティアプライアンスを設定するには、次の手順を実行します。

注：この出力に示すコマンドの中には、スペースの関係上2行にわたって表記されているものがあります。

ユーザがリモートアクセス VPN で接続する際に適用される、2 つの異なるアクセスコントロールリスト（15 および 20）を作成します。このアクセスリストは設定の最後で呼び出されます。

ASAwCSC-CLI(config)#access-list 15 remark permit IP access from ANY 
source to the payroll subnet (10.8.28.0/24) 

ASAwCSC-CLI(config)#access-list 15 extended permit ip 
any 10.8.28.0 255.255.255.0

ASAwCSC-CLI(config)#access-list 15 remark Permit IP access from ANY 
source to the subnet used by all employees (10.8.27.0)

ASAwCSC-CLI(config)#access-list 15 extended permit ip 
any 10.8.27.0 255.255.255.0

ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
source to the Engineering subnet (192.168.1.0/24)

ASAwCSC-CLI(config)#access-list 20 extended permit ip 
any 192.168.1.0 255.255.255.0

ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
source to the subnet used by all employees (10.8.27.0/24)

ASAwCSC-CLI(config)#access-list 20 extended permit ip 
any 10.8.27.0 255.255.255.0

異なる VPN アドレスプールを 2 つ作成します。1 つは経理部のリモートユーザ用、もう 1 つは技術部のリモートユーザ用です。

ASAwCSC-CLI(config)#ip local pool Payroll-VPN 
172.10.1.100-172.10.1.200 mask 255.255.255.0

ASAwCSC-CLI(config)#ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 
mask 255.255.255.0

経理部のユーザが接続した場合にのみ適用されるポリシーを作成します。

ASAwCSC-CLI(config)#group-policy Payroll internal

ASAwCSC-CLI(config)#group-policy Payroll attributes

ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10

ASAwCSC-CLI(config-group-policy)#vpn-filter value 15


!--- Call the ACL created in step 1 for Payroll.


ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec

ASAwCSC-CLI(config-group-policy)#default-domain value payroll.corp.com

ASAwCSC-CLI(config-group-policy)#address-pools value Payroll-VPN


!--- Call the Payroll address space that you created in step 2.

この手順は、技術部グループ向けであること以外は手順 3 と同じです。

ASAwCSC-CLI(config)#group-policy Engineering internal

ASAwCSC-CLI(config)#group-policy Engineering attributes

ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10

ASAwCSC-CLI(config-group-policy)#vpn-filter value 20


!--- Call the ACL that you created in step 1 for Engineering.


ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec

ASAwCSC-CLI(config-group-policy)#default-domain value Engineer.corp.com

ASAwCSC-CLI(config-group-policy)#address-pools value Engineer-VPN


!--- Call the Engineering address space that you created in step 2.

ローカルユーザを作成し、リソースへのアクセス制限を適用するユーザに対して属性を割り当てます。

ASAwCSC-CLI(config)#username engineer password cisco123

ASAwCSC-CLI(config)#username engineer attributes

ASAwCSC-CLI(config-username)#vpn-group-policy Engineering

ASAwCSC-CLI(config-username)#vpn-filter value 20

ASAwCSC-CLI(config)#username marty password cisco456

ASAwCSC-CLI(config)#username marty attributes

ASAwCSC-CLI(config-username)#vpn-group-policy Payroll

ASAwCSC-CLI(config-username)#vpn-filter value 15

経理部ユーザの接続ポリシーを含むトンネルグループを作成します。

ASAwCSC-CLI(config)#tunnel-group Payroll type ipsec-ra

ASAwCSC-CLI(config)#tunnel-group Payroll general-attributes

ASAwCSC-CLI(config-tunnel-general)#address-pool Payroll-VPN

ASAwCSC-CLI(config-tunnel-general)#default-group-policy Payroll

ASAwCSC-CLI(config)#tunnel-group Payroll ipsec-attributes

 ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key time1234

技術部ユーザの接続ポリシーを含むトンネルグループを作成します。

ASAwCSC-CLI(config)#tunnel-group Engineering type ipsec-ra

ASAwCSC-CLI(config)#tunnel-group Engineering general-attributes

ASAwCSC-CLI(config-tunnel-general)#address-pool Engineer-VPN

ASAwCSC-CLI(config-tunnel-general)#default-group-policy Engineering

ASAwCSC-CLI(config)#tunnel-group Engineering ipsec-attributes

ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key Engine123

設定の入力が完了すると、太字部分のような設定になります。

デバイス名 1
ASA-AIP-CLI(config)#show running-config ASA Version 7.2(2) ! hostname ASAwCSC-ASDM domain-name corp.com enable password 9jNfZuG3TC5tCVH0 encrypted names ! interface Ethernet0/0 nameif Intranet security-level 0 ip address 10.8.27.2 255.255.255.0 ! interface Ethernet0/1 nameif Engineer security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/2 nameif Payroll security-level 100 ip address 10.8.28.0 ! interface Ethernet0/3 no nameif no security-level no ip address ! interface Management0/0 no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name corp.com access-list Inside_nat0_outbound extended permit ip any 172.10.1.0 255.255.255.0 access-list Inside_nat0_outbound extended permit ip any 172.16.2.0 255.255.255.0 access-list 15 remark permit IP access from ANY source to the Payroll subnet (10.8.28.0/24) access-list 15 extended permit ip any 10.8.28.0 255.255.255.0 access-list 15 remark Permit IP access from ANY source to the subnet used by all employees (10.8.27.0) access-list 15 extended permit ip any 10.8.27.0 255.255.255.0 access-list 20 remark Permit IP access from Any source to the Engineering subnet (192.168.1.0/24) access-list 20 extended permit ip any 192.168.1.0 255.255.255.0 access-list 20 remark Permit IP access from Any source to the subnet used by all employees (10.8.27.0/24) access-list 20 extended permit ip any 10.8.27.0 255.255.255.0 pager lines 24 mtu MAN 1500 mtu Outside 1500 mtu Inside 1500 ip local pool Payroll-VPN 172.10.1.100-172.10.1.200 mask 255.255.255.0 ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-522.bin no asdm history enable arp timeout 14400 global (Intranet) 1 interface nat (Inside) 0 access-list Inside_nat0_outbound nat (Inside) 1 192.168.1.0 255.255.255.0 nat (Inside) 1 10.8.27.0 255.255.255.0 nat (Inside) 1 10.8.28.0 255.255.255.0 route Intranet 0.0.0.0 0.0.0.0 10.8.27.2 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute group-policy Payroll internal group-policy Payroll attributes dns-server value 10.8.27.10 vpn-filter value 15 vpn-tunnel-protocol IPSec default-domain value payroll.corp.com address-pools value Payroll-VPN group-policy Engineering internal group-policy Engineering attributes dns-server value 10.8.27.10 vpn-filter value 20 vpn-tunnel-protocol IPSec default-domain value Engineer.corp.com address-pools value Engineer-VPN username engineer password LCaPXI.4Xtvclaca encrypted username engineer attributes vpn-group-policy Engineering vpn-filter value 20 username marty password 6XmYwQOO9tiYnUDN encrypted privilege 0 username marty attributes vpn-group-policy Payroll vpn-filter value 15 no snmp-server location no snmp-server contact crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map Outside_dyn_map 20 set pfs crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map crypto map Outside_map interface Outside crypto isakmp enable Outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 tunnel-group Payroll type ipsec-ra tunnel-group Payroll general-attributes address-pool vpnpool default-group-policy Payroll tunnel-group Payroll ipsec-attributes pre-shared-key * tunnel-group Engineering type ipsec-ra tunnel-group Engineering general-attributes address-pool Engineer-VPN default-group-policy Engineering tunnel-group Engineering ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns migrated_dns_map_1 parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:0e579c85004dcfb4071cb561514a392b : end ASA-AIP-CLI(config)#

デバイス名 1

ASA-AIP-CLI(config)#show running-config 

ASA Version 7.2(2) 
!
hostname ASAwCSC-ASDM
domain-name corp.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0/0
 nameif Intranet
 security-level 0
 ip address 10.8.27.2 255.255.255.0 
!
interface Ethernet0/1
 nameif Engineer
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet0/2
 nameif Payroll
 security-level 100
 ip address 10.8.28.0
!
interface Ethernet0/3
 no nameif    
 no security-level
 no ip address
!
interface Management0/0
 no nameif    
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
access-list Inside_nat0_outbound extended permit ip any 172.10.1.0 255.255.255.0 
access-list Inside_nat0_outbound extended permit ip any 172.16.2.0 255.255.255.0 
access-list 15 remark permit IP access from ANY source to the 
   Payroll subnet (10.8.28.0/24)
access-list 15 extended permit ip any 10.8.28.0 255.255.255.0 
access-list 15 remark Permit IP access from ANY source to the subnet 
   used by all employees (10.8.27.0)
access-list 15 extended permit ip any 10.8.27.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the Engineering 
   subnet (192.168.1.0/24)
access-list 20 extended permit ip any 192.168.1.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the subnet used 
   by all employees (10.8.27.0/24)
access-list 20 extended permit ip any 10.8.27.0 255.255.255.0 
pager lines 24
mtu MAN 1500
mtu Outside 1500
mtu Inside 1500
ip local pool Payroll-VPN 172.10.1.100-172.10.1.200 mask 255.255.255.0
ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (Intranet) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.1.0 255.255.255.0
nat (Inside) 1 10.8.27.0 255.255.255.0
nat (Inside) 1 10.8.28.0 255.255.255.0
route Intranet 0.0.0.0 0.0.0.0 10.8.27.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy Payroll internal
group-policy Payroll attributes
 dns-server value 10.8.27.10
 vpn-filter value 15
 vpn-tunnel-protocol IPSec 
 default-domain value payroll.corp.com
 address-pools value Payroll-VPN
group-policy Engineering internal
group-policy Engineering attributes
 dns-server value 10.8.27.10
 vpn-filter value 20
 vpn-tunnel-protocol IPSec 
 default-domain value Engineer.corp.com
 address-pools value Engineer-VPN
username engineer password LCaPXI.4Xtvclaca encrypted
username engineer attributes
 vpn-group-policy Engineering
 vpn-filter value 20
username marty password 6XmYwQOO9tiYnUDN encrypted privilege 0
username marty attributes
 vpn-group-policy Payroll
 vpn-filter value 15
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map Outside_dyn_map 20 set pfs 
crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
tunnel-group Payroll type ipsec-ra
tunnel-group Payroll general-attributes
 address-pool vpnpool
 default-group-policy Payroll
tunnel-group Payroll ipsec-attributes
 pre-shared-key *
tunnel-group Engineering type ipsec-ra
tunnel-group Engineering general-attributes
 address-pool Engineer-VPN
 default-group-policy Engineering
tunnel-group Engineering ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:0e579c85004dcfb4071cb561514a392b
: end
ASA-AIP-CLI(config)#

確認

ASDM のモニタリング機能を使用して設定を確認します。

[Monitoring] > [VPN] > [VPN Statistics] > [Sessions] の順に選択します。

PIX にはアクティブな VPN セッションが表示されます。気になるセッションを選択して [Details] をクリックします。
[ACL] タブを選択します。

ACL の hitcnts は、クライアントから許可されたネットワークへ流れるトラフィックを表しています。

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

PIX/ASA 7.x ASDM：リモートアクセスVPNユーザのネットワークアクセスの制限

ダウンロードオプション

偏向のない言語

翻訳について

内容

はじめに

前提条件

要件

使用するコンポーネント

関連製品

ネットワーク図

表記法

ASDM を使用したアクセス設定

CLI を使用したアクセス設定

確認

トラブルシュート

関連情報

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

PIX/ASA 7.x ASDM：リモートアクセスVPNユーザのネットワークアクセスの制限

ダウンロード オプション

偏向のない言語

翻訳について

内容

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ダウンロードオプション