- 始める前に
- ASA 5550 のスループットの 最大化
- ASA 5550 の取り付け
- ASA 5500、ASA 5510、ASA 5520 および ASA 5540 の設置
- オプションの SSM の取り付け
- ASA 5500、ASA 5510、 ASA 5520、および ASA 5540 プラットフォームでのインター フェイス ケーブルの接続
- 適応型セキュリティ アプライ アンスの設定
- シナリオ:DMZ の設定
- シナリオ: IPSec リモートアク セス VPN の設定
- シナリオ:Cisco AnyConnect VPN Client 用の接続の設定
- シナリオ:SSL VPN クライアン トレス接続
- シナリオ:サイトツーサイト VPN の設定
- AIP SSM の設定
- CSC SSM の設定
- ファイバ用 4GE SSM の設定
- 3DES/AES ライセンスの取得
- 索引
Cisco ASA 5500 シリーズ 適応型セキュリティ アプライアンス スタートアップ ガイド Version 8.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2012年3月1日
章のタイトル: シナリオ:サイトツーサイト VPN の設定
シナリオ:サイトツーサイト VPN の設定
この章では、適応型セキュリティ アプライアンスを使用して、サイトツーサイト VPN を作成する方法について説明します。
適応型セキュリティ アプライアンスが提供するサイトツーサイト VPN 機能を使用すると、ネットワーク セキュリティを維持しながら、低コストな公衆インターネット接続で、ビジネス ネットワークを世界中のビジネス パートナー、およびリモート オフィスに拡張できます。VPN 接続を使用すると、あるロケーションから別のロケーションに、セキュアな接続(トンネル)でデータを送信できます。まず、接続の両端が認証され、次に、2 つのサイト間で送信されるすべてのデータが自動的に暗号化されます。
•
「サイトツーサイト VPN ネットワーク トポロジの例」
• 「次の手順」
サイトツーサイト VPN ネットワーク トポロジの例
図 12-1 で、2 つの適応型セキュリティ アプライアンス間の VPN トンネルの例を示します。
図 12-1 サイトツーサイト VPN の設定シナリオのネットワーク レイアウト
図 12-1 で示すような VPN サイトツーサイト配置の作成では、接続のそれぞれの端で 1 つずつ、合計 2 つの適応型セキュリティ アプライアンスを設定する必要があります。
サイトツーサイトのシナリオの実装
次の項で、図 12-1 で示したリモートアクセスのシナリオのパラメータ例を使用して、サイトツーサイト VPN 配置で適応型セキュリティ アプライアンスを設定する方法を示します。
• 「必要な情報」
必要な情報
• リモート適応型セキュリティ アプライアンス ピアの IP アドレス
サイトツーサイト VPN の設定
この項では、ASDM VPN Wizard を使用して、サイトツーサイト VPN の適応型セキュリティ アプライアンスを設定する方法について説明します。
ASDM の起動
この項では、ASDM Launcher ソフトウェアを使用して ASDM を起動する方法について説明します。ASDM Launcher ソフトウェアをまだインストールしていない場合は、「ASDM Launcher のインストール」を参照してください。
Web ブラウザまたは Java を使用して直接 ASDM にアクセスする場合は、「Web ブラウザを使用した ASDM の起動」を参照してください。
ASDM Launcher ソフトウェアを使用して ASDM を起動するには、次の手順を実行します。
ステップ 1 デスクトップから、Cisco ASDM Launcher ソフトウェアを起動します。
ステップ 2 適応型セキュリティ アプライアンスの IP アドレスまたはホスト名を入力します。
ステップ 3 Username および Password フィールドはブランクのままにします。
(注) デフォルトで、Cisco ASDM Launcher には Username および Password は設定されていません。
ステップ 5 証明書を受け入れるよう要求するセキュリティ警告が表示されたら、 Yes をクリックします。
ASA は更新するソフトウェアがあるかどうかを確認し、ある場合は自動的にダウンロードします。
ローカル サイトでのセキュリティ アプライアンスの設定
(注) このシナリオでは、最初のサイトの適応型セキュリティ アプライアンスをセキュリティ アプライアンス 1 と呼びます。
セキュリティ アプライアンス 1 を設定するには、次の手順を実行します。
ステップ 1 ASDM のメイン ウィンドウの Wizards ドロップダウン メニューで、IPsec VPN Wizard オプションを選択します。最初の VPN Wizard 画面が表示されます。
VPN Wizard の Step 1 で、次の手順を実行します。
a. VPN Tunnel Type 領域で、 Site-to-Site オプション ボタンをクリックします。
(注) Site-to-Site VPN オプションは、2 つの IPSec セキュリティ ゲートウェイを接続します。これには、適応型セキュリティ アプライアンス、VPN コンセントレータ、またはサイトツーサイト IPSec 接続をサポートするその他のデバイスが含まれます。
b. VPN Tunnel Interface ドロップダウン リストで、現在の VPN トンネルに対してイネーブルにするインターフェイスとして outside を選択します。
リモート VPN ピアに関する情報の入力
VPN ピアは、設定している接続の反対側にあるシステムで、通常、リモート サイトにあります。
(注) このシナリオでは、リモート VPN ピアをセキュリティ アプライアンス 2 と呼びます。
VPN Wizard の Step 2 で、次の手順を実行します。
ステップ 1 Peer IP Address(セキュリティ アプライアンス 2 の IP アドレスで、このシナリオでは 209.165.200.236)、および Tunnel Group Name(「Cisco」など)を入力します。
ステップ 2 次の認証方式のいずれかを選択して、使用する認証の種類を指定します。
• 認証にスタティックな事前共有キーを使用するには、Pre-shared key オプション ボタンをクリックし、事前共有キー(「Cisco」など)を入力します。このキーは、適応型セキュリティ アプライアンス間の IPsec ネゴシエーションに使用されます。
(注) 事前共有キー認証を使用する場合、Tunnel Group Name はピアの IP アドレスである必要があります。
• 認証にデジタル証明書を使用するには、Certificate オプション ボタンをクリックし、Certificate Signing Algorithm ドロップダウン リストで証明書署名アルゴリズムを選択し、Trustpoint Name ドロップダウン リストで事前設定されたトラストポイント名を選択します。
認証にデジタル署名を使用する場合でも、トラストポイント名をまだ設定していないときは、他の 2 つのオプションのいずれかを使用して Wizard を続行できます。標準の ASDM 画面を使用して、後で認証設定を変更できます。
• Challenge/response authentication オプション ボタンをクリックして、その認証方式を使用します。
IKE ポリシーの設定
IKE は、暗号化方式を含むネゴシエーション プロトコルで、データを保護し、機密性を保証します。また、ピアのアイデンティティを保証する認証も提供します。ほとんどの場合、ASDM のデフォルト値で、2 つのピア間でセキュアな VPN トンネルを確立できます。
VPN Wizard の Step 3 で、次の手順を実行します。
ステップ 1 IKE セキュリティ アソシエーションで、適応型セキュリティ アプライアンスが使用する暗号化アルゴリズム(DES、3DES、または AES)、認証アルゴリズム(MD5 または SHA)、および Diffie-Hellman グループ(1、2、または 5)をクリックします。
(注) セキュリティ アプライアンス 2 を設定するときは、セキュリティ アプライアンス 1 で選択した各オプションの値を正確に入力する必要があります。暗号化の不一致は、VPN トンネル障害のよくある原因で、設定プロセスを遅らせる原因になります。
IPsec 暗号化および認証パラメータの設定
VPN Wizard の Step 4 で、次の手順を実行します。
ステップ 1 Encryption ドロップダウン リストで暗号化アルゴリズム(DES、3DES、AES)を選択し、Authentication ドロップダウン リストで認証アルゴリズム(MD5、SHA)を選択します。
ホストおよびネットワークの指定
この IPSec トンネルを使用してトンネルの反対側にあるホストおよびネットワークと通信できるローカル サイトのホストおよびネットワークを指定します。 Add または Delete をクリックして、トンネルにアクセスできるホストおよびネットワークを指定します。現在のシナリオでは、Network A(10.10.10.0)からのトラフィックはセキュリティ アプライアンス 1 で暗号化され、VPN トンネルを使用して送信されます。
また、この IPSec トンネルを使用してローカル ホストとネットワークにアクセスできるリモート サイトのホストおよびネットワークを指定します。ホストおよびネットワークを動的に追加または削除するには、それぞれ、 Add または Delete をクリックします。このシナリオでは、セキュリティ アプライアンス 1 のリモート ネットワークは Network B(10.20.20.0)なので、このネットワークからの暗号化されたトラフィックは、トンネルを使用できます。
VPN Wizard の Step 5 で、次の手順を実行します。
ステップ 1 Action 領域で、Protect オプション ボタンまたは Do not Protect オプション ボタンをクリックします。
ステップ 2 保護する、または保護しないローカル ネットワークの IP アドレスを入力するか、または省略符号(...)のボタンをクリックして、ホストおよびネットワークのリストから選択します。
ステップ 3 保護する、または保護しないリモート ネットワークの IP アドレスを入力するか、または省略符号(...)のボタンをクリックして、ホストおよびネットワークのリストから選択します。
VPN アトリビュートの確認とウィザードの完了
VPN Wizard の Step 6 で、ここで作成した VPN トンネルの設定リストを確認します。
設定が正しいことを確認したら、Finish をクリックして、変更を適応型セキュリティ アプライアンスに適用します。
次回のデバイス起動時に変更が適用されるように、設定変更をスタートアップ設定に保存する場合は、File メニューで Save をクリックします。
あるいは、ASDM の終了時に設定変更の保存を要求するプロンプトが表示されます。
VPN 接続の反対側の設定
ローカルな適応型セキュリティ アプライアンスは設定されました。次に、リモート サイトの適応型セキュリティ アプライアンスを設定する必要があります。
リモート サイトでは、VPN ピアとして機能するように、2 番目の適応型セキュリティ アプライアンスを設定します。ローカルな適応型セキュリティ アプライアンスの設定手順のうち、 「ローカル サイトでのセキュリティ アプライアンスの設定」 から 「VPN アトリビュートの確認とウィザードの完了」までを使用します。
(注) セキュリティ アプライアンス 2 を設定する場合、セキュリティ アプライアンス 1 に対して選択した各オプションと同じ値を使用してください。ただし、ローカル ホストおよびネットワークの場合は除きます。値が一致しないと、VPN の設定失敗の一般的原因になります。
次の手順
サイトツーサイト VPN 環境に、適応型セキュリティ アプライアンスを配置するだけの場合は、これで初期設定は終わりです。このほかに、次の手順について、実行する必要があるかどうかを検討してください。
|
|
|
|---|---|
Cisco Security Appliance Command Reference Cisco Security Appliance Logging Configuration and System Log Messages |
適応型セキュリティ アプライアンスは、複数のアプリケーション用に設定できます。次の項で、その他の一般的なアプリケーション用に適応型セキュリティ アプライアンスを設定する手順を説明します。
|
|
|
|---|---|
フィードバック