Easy VPN について
Cisco Ezvpn は、リモート オフィスおよびモバイル ワーカー向けの VPN の設定と導入を大幅に簡素化します。Cisco Easy VPN は、サイト間 VPN とリモート アクセス VPN の両方に対応した柔軟性、拡張性、使いやすさを備えています。Cisco Unity クライアント プロトコルの実装により、管理者は Easy VPN サーバで大部分の VPN パラメータを定義できるので、Easy VPN リモートの設定がシンプルになります。
Cisco ASA with FirePOWER の 5506-X、5506W-X、5506H-X、および 5508-X モデルは、Easy VPN サーバへの VPN トンネルを開始するハードウェア クライアントして Easy VPN リモートをサポートします。Easy VPN サーバとして、別の ASA(任意のモデル)または Cisco IOS ベースのルータを使用できます。ASA は、同時に Easy VPN リモートと Easy VPN サーバの両方として動作することはできません。
(注) |
Cisco ASA 5506-X、5506W-X、5506H-X、および 5508-X モデルは、L2 スイッチングではなく、L3 スイッチングをサポートしています。内部ネットワーク上で複数のホストやデバイスとともに Easy VPN リモートを使用する場合は、外部スイッチを使用します。ASA の内部ネットワーク上に単一のホストしかない場合、スイッチは必要はありません。 |
次のセクションでは、Easy VPN のオプションと設定について説明します。
Easy VPN インターフェイス
システムの起動時に、セキュリティ レベルによって Easy VPN の外部および内部インターフェイスが決定されます。最もセキュリティ レベルが低い物理インターフェイスは、Easy VPN サーバへの外部接続に使用されます。最もセキュリティ レベルが高い物理または仮想インターフェイスは、セキュアなリソースへの内部接続に使用されます。Easy VPN で、同じ最高セキュリティ レベルの複数のインターフェイスがあることが特定されると、Easy VPN が無効になります。
必要に応じて、vpnclient secure interface コマンドを使用して、内部セキュア インターフェイスを物理インターフェイスから仮想インターフェイスに、あるいは仮想インターフェイスから物理インターフェイスに変更することができます。外部インターフェイスを自動的に選択されたデフォルトの物理インターフェイスから変更することはできません。
たとえば、ASA5506 プラットフォームでは、工場出荷時の設定により、BVI が、最高セキュリティ レベル インターフェイスを示す 100 に設定され(メンバー インターフェイスもレベル 100 に設定)、外部インターフェイスのセキュリティ レベルが 0 になっています。Easy VPN はデフォルトでこれらのインターフェイスを選択します。
仮想インターフェイス(ブリッジ型仮想インターフェイスまたは BVI)が起動時に選択されると、または管理者によって内部のセキュアなインターフェイスとして割り当てられると、次の内容が適用されます。
-
すべての BVI メンバー インターフェイスは、自身のセキュリティ レベルに関係なく、内部のセキュアなインターフェイスであるとみなされます。
-
ACL および NAT ルールをすべてのメンバー インターフェイスに追加する必要があります。AAA ルールは BVI インターフェイスのみに追加されます。
Easy VPN の接続
Easy VPN は IPsec IKEv1 トンネルを使用します。Easy VPN リモート ハードウェア クライアントの設定は、Easy VPN サーバ ヘッドエンドの VPN の設定と互換性を保つようにする必要があります。セカンダリ サーバを使用する場合は、それらの設定をプライマリ サーバと同じにする必要があります。
ASA Easy VPN リモートはプライマリ Easy VPN サーバの IP アドレスを設定し、必要に応じて、最大 10 台のセカンダリ(バックアップ)サーバを設定します。これらのサーバを設定するには、グローバル コンフィギュレーション モードで vpnclient server コマンドを使用します。 プライマリ サーバへのトンネルをセットアップできない場合、クライアントは最初のセカンダリ VPN サーバへの接続を試み、次に VPN サーバのリストの上から順に 8 秒間隔で接続を試行します。最初のセカンダリ VPN サーバへのトンネルをセットアップできず、その間にプライマリ サーバがオンライン状態になった場合、クライアントは、引き続き 2 番目のセカンダリ VPN サーバへのトンネルのセットアップを試みます。
デフォルトでは、Easy VPN ハードウェア クライアントとサーバは IPSec をユーザ データグラム プロトコル(UDP)パケット内でカプセル化します。一部の環境(特定のファイアウォール ルールが設定されている環境など)または NAT デバイスや PAT デバイスでは、UDP を使用できません。そのような環境で標準のカプセル化セキュリティ プロトコル(ESP、プロトコル 50)またはインターネット キー エクスチェンジ(IKE、UDP 500)を使用するには、TCP パケット内に IPsec をカプセル化してセキュアなトンネリングをイネーブルにするようにクライアントとサーバを設定します。これを設定するには、vpnclient ipsec-over-tcp コマンドを使用します。 ただし、UDP が許可されている環境では、IPsec over TCP を設定すると不要なオーバーヘッドが発生します。
Easy VPN トンネル グループ
トンネルの確立後、Easy VPN リモートは Easy VPN サーバで設定されたトンネル グループを指定し、これを接続に使用します。Easy VPN サーバは、トンネルの動作を決定する Easy VPN リモート ハードウェア クライアントにグループ ポリシーまたはユーザ属性をプッシュします。特定の属性を変更するには、プライマリまたはセカンダリ Easy VPN サーバとして設定されている ASA でその属性を変更する必要があります。
Easy VPN リモート クライアントは、vpnclient vpngroup コマンドを使用してグループ ポリシーを指定し、その名前と事前共有鍵を設定します。または、vpnclient trustpoint コマンドを使用して、事前設定されているトラストポイントを指定します。
Easy VPN モードの動作
企業ネットワークからトンネル経由で Easy VPN リモートの背後にあるホストにアクセスできるかどうは、モードによって決まります。
-
クライアント モードはポート アドレス変換(PAT)モードとも呼ばれ、Easy VPN リモート プライベート ネットワーク上のすべてのデバイスを、企業ネットワークのデバイスから分離します。Easy VPN リモートは、内部ホストのすべての VPN トラフィックに対してポート アドレス変換(PAT)を実行します。Easy VPN リモートのプライベート側のネットワークとアドレスは非表示になっており、直接アクセスすることはできません。Easy VPN クライアントの内部インターフェイスまたは内部ホストに対して、IP アドレスの管理は必要ありません。
-
ネットワーク拡張モード(NEM)は、内部インターフェイスとすべての内部ホストが、トンネルを介して企業ネットワーク全体にルーティングできるようにします。内部ネットワークのホストは、スタティック IP アドレスで事前設定されたアクセス可能なサブネット(スタティックまたは DHCP を介して)から IP アドレスを取得します。NEM では、PAT は VPN トラフィックに適用されません。このモードでは、内部ネットワークのホストごとの VPN 設定やトンネルは必要ありません。Easy VPN リモートによってすべてのホストにトンネリングが提供されます。
Easy VPN サーバはデフォルトでクライアント モードになります。NEM モードを設定するには、グループ ポリシー コンフィギュレーション モードで nem enable コマンドを使用します。Easy VPN リモートにはデフォルト モードがないため、トンネルを確立する前に、必ず、Easy VPN リモートにいずれかの動作モードを指定する必要があります。PAT または NEM を設定するには、Easy VPN リモートで vpnclient mode コマンドを使用します。
(注) |
NEM モード用に設定された Easy VPN リモート ASA は、自動トンネル起動をサポートしています。自動起動には、トンネルのセットアップに使用するクレデンシャルの設定とストレージが必要です。セキュア ユニット認証がイネーブルの場合は、トンネルの自動開始がディセーブルになります。 複数のインターフェイスが設定されているネットワーク拡張モードの Easy VPN リモートは、最もセキュリティ レベルが高いインターフェイスからのローカルに暗号化されたトラフィックに対してのみトンネルを構築します。 |
Easy VPN ユーザ認証
ASA Easy VPN リモートは、vpnclient username コマンドを使用して、自動ログイン用にユーザ名とパスワードを保存できます。
セキュリティを強化するために、Easy VPN サーバは以下を要求できます。
-
セキュア ユニット認証(SUA):設定されているユーザ名およびパスワードを無視して、ユーザに手動による認証を要求します。デフォルトでは、SUA はディセーブルになっており、secure-unit-authentication enable コマンドを使用して、Easy VPN サーバで SUA をイネーブルにします。
-
個別ユーザ認証(IUA):Easy VPN リモートの背後にいるユーザは、企業 VPN ネットワークへのアクセス権限を得るために、ユーザ認証を受ける必要があります。デフォルトでは、IUA はディセーブルになっており、user-authentication enable コマンドを使用して、Easy VPN サーバで IUA をイネーブルにします。
IUA を使用する場合は、ハードウェア クライアントの背後にある特定のデバイス(Cisco IP Phone やプリンタなど)が個々のユーザ認証をバイパスできるようにする必要があります。これを設定するには、Easy VPN サーバで ip-phone-bypass コマンドを使用して IP Phone Bypass を指定し、Easy VPN リモートで mac-exempt コマンドを使用して MAC アドレス免除を指定します。
さらに、Easy VPN サーバは、クライアントのアクセスを終了させるまでのアイドル タイムアウト時間を設定または削除できます。これを行うには、Easy VPN サーバで user-authentication-idle-timeout コマンドを使用します。
ユーザ名とパスワードが設定されていない場合、SUA がディセーブルになっている場合、または IUA がイネーブルになっている場合、Cisco Easy VPN サーバは HTTP トラフィックを代行受信し、ユーザをログイン ページにリダイレクトします。HTTP リダイレクションが自動で、Easy VPN サーバ上のコンフィギュレーションが必要ない。
リモート 管理
Easy VPN リモート ハードウェア クライアントとして動作する ASA は、さらに IPsec 暗号化されるかどうかにかかわらず、SSH または HTTPS を使用して管理アクセスをサポートします。
デフォルトでは、管理トンネルは、SSH または HTTPS 暗号化で IPsec 暗号化を使用します。IPsec 暗号化レイヤをクリアすると、VPN トンネルの外部に管理アクセスできます。これを行うには、vpnclient management clear コマンドを使用します。トンネル管理をクリアしても、IPsec の暗号化レベルが削除されるだけで、SSH や HTTPS など、その接続に存在する他の暗号化には影響しません。
セキュリティを強化するために、Easy VPN リモートは、IPsec 暗号化および企業側の特定のホストまたはネットワークへの管理アクセスの制限を要求できます。これを行うには、グローバル コンフィギュレーション モードで vpnclient management tunnel コマンドを使用します。
デフォルトのリモート管理操作に戻すには、no vpnclient management を使用します。
(注) |
NAT デバイスが ASA Easy VPN リモートとインターネットの間で動作している場合は、ASA Easy VPN リモート上に管理トンネルを設定しないでください。そのような設定では、vpnclient management clear コマンドを使用して、リモート管理をクリアしてください。 コンフィギュレーションにかかわらず、DHCP 要求(更新メッセージを含む)は IPSec トンネル上を流れません。vpnclient management tunnel を使用しても、DHCP トラフィックは許可されません。 |