この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
IPsec NAT 透過性機能では、ネットワーク アドレス変換(NAT)とポート アドレス変換(PAT)の間における多くの既知の非互換性に対処することによって、ネットワーク内の NAT ポイントまたは PAT ポイントを経由して送信される IP セキュリティ(IPsec)のサポートが導入されています。
この機能では、NAT および IPsec 間における多くの非互換性に対して対処が行われていますが、次の問題が依然として残されています。
この非互換性が問題になるのは、IP アドレスを、事前共有キーを検索するための検索キーとして使用する場合だけです。NAT またはリバース NAT によって IP 発信元アドレスまたは宛先アドレスが変更されると、IP アドレスと事前共有キーの間でミスマッチが生じます。
ペイロードの完全性は保護されているので、NAT によって IPsec パケット内の IP アドレスを変換することが不可能です。組み込み IP アドレスを使用するプロトコルには、FTP、インターネット リレー チャット(IRC)、簡易ネットワーク管理プロトコル(SNMP)、Lightweight Directory Access Protocol(LDAP)、H.323、および Session Initiation Protocol(SIP)などがあります。
IPsec パケットの配信パス内に 1 つ以上の NAT または PAT ポイントがない場合、この機能を導入しなければ、標準の IPsec バーチャル プライベート ネットワーク(VPN)トンネルは動作しません。この機能によって NAT が IPsec 認識となり、その結果、リモート アクセス ユーザは、ホーム ゲートウェイへの IPsec トンネルを構築できます。
IPsec NAT 透過性機能では、ユーザ データグラム プロトコル(UDP)ラッパ内に IPsec パケットをカプセル化することによって、NAT または PAT ポイントを通過する IPsec トラフィックのサポートが導入されており、その結果、パケットによる各 NAT デバイス間の通過が可能となっています。次の項では、NAT トラバーサルの詳細を定義します。
インターネット キー エクスチェンジ(IKE)のフェーズ 1 ネゴシエーション中、IKE Quick Mode が開始される前に、NAT サポート、およびネットワーク パス上の NAT イグジスタンスという、2 つのタイプの NAT 検出が実行されます。
NAT サポートを検出するには、リモート ピアとベンダー ID ストリングを交換する必要があります。IKE フェーズ 1 のメイン モード(MM)1 および MM 2 の間、リモート ピアによって、ベンダー ID ストリング ペイロードが、そのピアに送信され、このバージョンでは NAT トラバーサルがサポートされていることが示されます。その後、ネットワーク パス上の NAT イグジスタンスを検出できます。
ネットワーク パス上に NAT が存在しているかどうかを検出すると、2 つのピア間のすべての NAT と、NAT の正確な位置がわかります。NAT デバイスによって、プライベート IP アドレスおよびポートがパブリック値に(またはパブリックからプライベートに)変換されます。パケットがデバイスを通過すると、この変換によって IP アドレスとポートが変更されます。ネットワーク パス上に NAT デバイスが存在しているかどうかを検出するには、ピアによって、各終端からの送信元アドレスと宛先アドレスの両方の IP アドレスおよびポートのハッシュを持つペイロードが送信される必要があります。両端でハッシュが計算され、ハッシュが一致した場合、各ピアによって、両ピア間におけるネットワーク パス上に NAT デバイスが存在しないことが認識されます。ハッシュが一致しない(つまり、誰かがアドレスまたはポートを変換した)場合、各終端では、NAT トラバーサルを実行し、ネットワークを介して IPsec パケットを取得する必要があります。
ハッシュは一連の NAT Discovery(NAT-D)ペイロードとして送信されます。各ペイロードには 1 つのハッシュが格納されます。複数のハッシュが存在する場合、複数の NAT-D が送信されます。ほとんどの環境では、NAT-D ペイロードは 2 つだけです。1 つは送信元 アドレスおよびポート用、もう 1 つは宛先アドレスおよびポート用です。最初に宛先 NA-D ペイロードが送信され、次に送信元 NAT-D ペイロードが送信されます。これは、受信側では、最初にローカル NAT-D ペイロードを処理し、次にリモート NAT-D ペイロードを処理することを予期する必要があることを意味します。メイン モードでは、NAT-D ペイロードは 3 番目および 4 番目のメッセージに格納され、アグレッシブ モード(AM)では、2 番目および 3 番目のメッセージ内に格納されます。
IKE フェーズ 1 による NAT サポート、およびネットワーク パス上の NAT イグジスタンスの検出中に、IKE フェーズ 2 によって両端の各ピアによって NAT トラバーサルが使用されるかどうかが決定されます。QM1 および QM2 におけるクイック モード(QM)セキュリティ アソシエーション(SA)ペイロードは、NAT トラバーサル ネゴシエーション用に使用されます。
NAT デバイスによって IP アドレスおよびポート番号が変更されるので、NAT と IPsec との間に非互換性が発生する可能性があります。そのため、元の送信元アドレスを交換することで、いかなる非互換性も回避できます。
UDP カプセル化によって、IPsec パケットが NAT デバイスを経由できるようにするだけでなく、IPsec、NAT、および PAT 間における多くの非互換性問題に対処できます。解決できる問題は以下のとおりです。
PAT によって立法 IP アドレスおよびポートが検出されると、その PAT によって Encapsulating Security Payload(ESP)パケットが廃棄されます。このようなシナリオを防ぐために、UDP カプセル化が使用され、UDP ヘッダーの背後に ESP パケットが隠蔽されます。その結果、PAT によって ESP パケットが UDP パケットとして扱われ、ESP パケットが通常の UDP パケットとして処理されます。
新しい UDP ヘッダー内では、チェックサムの値は必ずゼロに割り当てられます。この値によって、中間デバイスによるパケットのチェックサムを参照したチェックサムの確認が防止され、それにより、NAT によって IP 送信元アドレスおよび宛先アドレスが変更されるので、TCP UDP チェックサム問題が解決されます。
PAT によって、新しい変換用 UDP ヘッダー内のポート アドレスが変更され、元のペイロードは変更されないままとなります。
UDP カプセル化によってどのように IPSec パケットの送信が可能になるのかを確認するには、次の図を参照してください。
IPsec パケットがハードウェア アクセラレータまたはソフトウェア暗号化エンジンによって暗号化されると、UDP ヘッダーおよび非 IKE マーカ(長さは 8 バイト)が、元の IP ヘッダーと ESP ヘッダーの間に挿入されます。合計長フィールド、プロトコル フィールド、およびチェックサム フィールドはこの変更に合せて変更されます。次の 1 番目の図に、トランスポート モードが適用される前後の IPsec パケットを示します。2 番目の図には、トンネル モードが適用される前後の IPsec パケットを示します。
NAT キープアライブは、2 つのピア間の接続中におけるダイナミック NAT マッピングをアライブに保つためにイネーブルにされます。NAT キープアライブは、1 バイトの非暗号化ペイロードを持つ UDP パケットです。現在の Dead Peer Detection(DPD)実装は NAT キープアライブとほぼ同じですが、若干の違いがあります。DPD は、ピアのステータスを検出するために使用されます。一方、NAT キープアライブは、指定された期間(有効範囲は 5 ~ 3600 秒)にパケットが IPsec エンティティによって送信も受信されなかった場合に送信されます。
NAT キープアライブを(crypto isakmp nat keepalive コマンドを使用して)有効化する場合、アイドル値は NAT マッピングの有効期間(20 秒)より小さくなるようにする必要があります。
NAT Traversal は、VPN デバイスによって自動検出される機能です。Cisco IOS XE Release 2.1 を実行するルータに設定するものはありません。両端の VPN デバイスが NAT-T 対応の場合、NAT Traversal が自動検出され、自動ネゴシエーションが行われます。
ご使用のネットワークですでに IPsec 認識 NAT が使用されている(spi マッチング スキーム)ことがわかっている場合、NAT トラバーサルをディセーブルにする必要が生じることがあります。NAT トラバーサルをディセーブルにするには、次のコマンドを使用します。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードなど、高位の権限レベルを有効にします。 パスワードを入力します(要求された場合)。 |
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
no crypto ipsec nat-transparency udp-encapsulation Example: |
NAT トラバーサルをディセーブルにします。 |
ルータを、NAT キープアライブを送信するように設定するには、次のコマンドを使用します。
| Command or Action | Purpose | |||||
|---|---|---|---|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードなど、高位の権限レベルを有効にします。 パスワードを入力します(要求された場合)。 |
||||
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
||||
|
Step 3 |
crypto isakmp nat keepalive seconds Example: |
IPsec ノードによる NAT キープアライブ パケットの送信を可能にします。
|
設定を確認するには、次の任意の手順を実行します。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードなど、高位の権限レベルを有効にします。 パスワードを入力します(要求された場合)。 |
|
Step 2 |
show crypto ipsec sa [map map-name | address | identity ] [detail Example: |
現在の SA によって使用されている設定を表示します。 |
次に、NAT キープアライブを、20 秒毎に送信されるようにイネーブルにする方法の例を示します。
crypto isakmp policy 1
authentication pre-share
crypto isakmp key 1234 address 10.0.0.1
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set t2 esp-des esp-sha-hmac
!
crypto map test2 10 ipsec-isakmp
set peer 10.0.0.1
set transform-set t2
match address 101次の項では、IPsec NAT 透過性機能に関連した関連資料を示します。
|
関連項目 |
マニュアル タイトル |
|---|---|
|
その他の NAT 設定タスク |
|
|
その他の NAT コマンド |
『Cisco IOS IP Addressing Services Command Reference』 |
|
その他の IPsec 設定タスク |
『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「Configuring Security for VPNs with IPsec」モジュール |
|
その他の IPsec コマンド |
『Cisco IOS Security Command Reference』 |
|
IKE に関する情報 |
『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「Configuring Internet Key Exchange for IPsec VPNs」モジュール |
|
IKE デッド ピア検出の追加情報 |
『Cisco IOS XE Security Configuration Guide: Secure Connectivity』の「Easy VPN Server」モジュール |
|
標準 |
タイトル |
|---|---|
|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
-- |
|
MIB |
MIB のリンク |
|---|---|
|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
|
RFC1 |
Title |
|---|---|
|
RFC 2402 |
『IP Authentication Header』 |
|
RFC 2406 |
『IP Encapsulating Security Payload (ESP)』 |
|
説明 |
リンク |
|---|---|
|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
IPsec NAT 透過性 |
Cisco IOS XE Release 2.1 |
IPsec NAT 透過性機能では、ネットワーク アドレス変換(NAT)とポート アドレス変換(PAT)の間における多くの既知の非互換性に対処することによって、ネットワーク内の NAT ポイントまたは PAT ポイントを経由して送信される IP セキュリティ(IPsec)のサポートが導入されています。 次のコマンドが導入または変更されました。crypto isamkp nat keepalive 、 access-list (IP extended) 、 show crypto ipsec sa |
IKE :Internet Key Exchange(インターネット キー エクスチェンジ)。Oakley キー交換や Skeme キー交換をインターネット セキュリティ アソシエーションおよびキー管理プロトコル(ISAKMP)フレームワーク内部に実装したハイブリッド プロトコルです。IKE は、他のプロトコルでも使用できますが、初期実装されるのは IPsec です。IKE は、IPsec ピアを認証し、IPsec キーをネゴシエーションし、IPsec セキュリティ アソシエーション(SA)を実行します。
IPsec :IP Security(IP セキュリティ)。インターネット技術特別調査委員会(IETF)によって開発されたオープン規格のフレームワークです。IPSec は、インターネットなどの保護されていないネットワークを使用して機密情報を送信する場合に、セキュリティを提供します。IPsec はネットワーク層で機能し、Cisco ルータなどの参加している IPsec 装置(ピア)間の IP パケットを保護および認証します。
NAT :Network Address Translation(ネットワークアドレス変換)。企業内で使用されているプライベート IP アドレスを、インターネットなど企業外で使用される、ルーティング可能なパブリック アドレスに変換します。NAT は、アドレスのプライベートからパブリックへの 1 対 1 のマッピングと見なされます。
PAT :Port Address Translation(ポートアドレス変換)。NAT と同様、PAT でもプライベート IP アドレスからルーティング可能なパブリック アドレスへの変換が行われます。NAT とは異なり、PAT では、プライベート アドレスのパブリック アドレスへの多対 1 のマッピングが提供されます。パブリック アドレスの各インスタンスは、一意性を確保するために特定のポート番号と関連付けられます。PAT は、一連のパブリック アドレスを取得するコストが組織にとって高すぎるような環境で使用可能です。
フィードバック