Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)

 

シンタックスの説明

 

デフォルト

このコマンドには、デフォルトの動作も値もありません。

 

コマンド履歴

 

使用上のガイドライン

トラストポイントが SCEP 登録用に設定されている場合、CA 証明書は SCEP 経由でダウンロードされます。トラストポイントが SCEP 登録用に設定されていない場合、セキュリティ アプライアンスは Base-64 形式の CA 証明書を端末に貼り付けるように要求します。

このコマンドの呼び出しは、実行コンフィギュレーションの一部になりません。

例

次の例では、セキュリティ アプライアンスが CA の証明書を要求します。CA は証明書を送信し、セキュリティ アプライアンスは、管理者に CA 証明書のフィンガープリントをチェックして CA 証明書を確認するように要求します。セキュリティ アプライアンスの管理者は、表示されたフィンガープリントの値を既知の正しい値と照合する必要があります。セキュリティ アプライアンスによって表示されたフィンガープリントが正しい値と一致した場合は、その証明書を有効であるとして受け入れる必要があります。

次の例では、トラストポイント tp9 が端末ベース（手動）の登録用に設定されます。この場合、セキュリティ アプライアンスは管理者に CA 証明書を端末に貼り付けるように要求します。証明書のフィンガープリントを表示した後、セキュリティ アプライアンスは、管理者に証明書が保持されることを確認するように要求します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドにデフォルト値はありません。

 

コマンド履歴

例

次の例では、トラストポイント central の CA 証明書チェーン サブモードに入ります。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

sequence-number のデフォルトの動作や値はありません。

map-name のデフォルトの値は、DefaultCertificateMap です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを発行すると、セキュリティ アプライアンスは CA 証明書マップ コンフィギュレーション モードになります。このモードでは、証明書の発行者名およびサブジェクト認定者名（DN）に基づいて規則を設定できます。これらの規則の一般的な形式は次のとおりです。

DN match-criteria match-value

DN は、 subject-name または issuer-name のいずれかです。DN は、ITU-T X.509 標準で定義されています。証明書フィールドのリストについては、関連コマンドを参照してください。

match-criteria は、次の表現または演算子で構成されます。

DN の一致表現では大文字と小文字が区別されません。

例

次の例は、example-map というマップ名とシーケンス番号 1（規則番号 1）で CA 証明書マップ モードに入り、subject-name という通常名（CN）アトリビュートが Pat と一致する必要があることを指定しています。

次の例は、example-map というマップ名とシーケンス番号 1 で CA 証明書マップ モードに入り、subject-name 内のどこかに値 cisco が含まれることを指定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドの呼び出しは、実行コンフィギュレーションの一部になりません。

例

次の例では、central という名前のトラストポイントに基づいて CRL を要求します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

トラストポイントが SCEP 登録用に設定されている場合、セキュリティ アプライアンスはただちに CLI プロンプトを表示し、コンソールへのステータス メッセージを非同期的に表示します。トラストポイントが手動登録用に設定されている場合、セキュリティ アプライアンスは Base-64 符号化 PKCS10 認証要求をコンソールに書き込んでから、CLI プロンプトを表示します。

このコマンドは、参照されるトラストポイントの設定された状態に応じて異なる対話型のプロンプトを生成します。

例

次の例では、SCEP 登録を使用して、トラストポイント tp1 で ID 証明書を登録します。セキュリティ アプライアンスは、トラストポイント コンフィギュレーションで保存されていない情報を要求します。

次のコマンドは、CA 証明書の手動登録を示しています。

hostname(config)# crypto ca enroll tp1

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドにデフォルト値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドの呼び出しは、アクティブなコンフィギュレーションの一部になりません。PKCS12 データは端末に書き込まれます。

例

次の例では、xxyyzz をパスコードとして使用して、トラストポイント central の PKCS12 データをエクスポートします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、トラストポイント Main の証明書を手動でインポートします。

次の例では、PKCS12 データをトラストポイント central に手動でインポートします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

CA を宣言するには、 crypto ca trustpoint コマンドを使用します。このコマンドを発行すると、暗号 CA トラストポイント コンフィギュレーション モードに入ります。

このマニュアルにアルファベット順に記載されている次のコマンドを使用して、トラストポイントの特性を指定できます。

• accept-subordinates ：トラストポイントに関連付けられた CA に従属する CA 証明書が、装置にインストールされていない場合にフェーズ 1 の IKE 交換中に提供されたときに受け入れるかどうかを指定します。

• crl required | optional | nocheck ：CRL コンフィギュレーション オプションを指定します。

• crl configure ：CRL コンフィギュレーション サブモードに入ります（ crl を参照）。

• default enrollment ：すべての登録パラメータをシステム デフォルト値に戻します。このコマンドの呼び出しは、アクティブなコンフィギュレーションの一部になりません。

• email address ：登録中に、指定した電子メール アドレスを証明書のサブジェクト代替名の拡張に含めるかどうかを CA に確認します。

• enrollment retry period ：自動（SCEP）登録のリトライ期間を分単位で指定します。

• enrollment retry count ：自動（SCEP）登録の許可されるリトライの最大回数を指定します。

• enrollment terminal ：このトラストポイントを使用したカット アンド ペースト登録を指定します。

• enrollment url url ：このトラストポイントを使用して登録する自動登録（SCEP）を指定し、登録 URL（ url ）を設定します。

• exit ：サブモードを終了します。

• fqdn fqdn ：登録中に、指定した完全修飾認定者名（FQDN）を証明書のサブジェクト代替名の拡張に含めるかどうかを CA に確認します。

• id-cert-issuer ：このトラストポイントに関連付けられた CA によって発行されるピア証明書をシステムが受け入れるかどうかを指定します。

• ip-addr ip-address ：登録中に、セキュリティ アプライアンスの IP アドレスを証明書に含めるかどうかを CA に確認します。

• keypair name ：公開キーを認証するキー ペアを指定します。

• match certificate map-name override ocsp ：証明書マップを OCSP 上書き規則と照合します。

• ocsp disable-nonce ：ナンス拡張子をディセーブルにします。この拡張子は、失効要求と応答を結び付けて暗号化して、リプレイ アタックを回避するためのものです。

• ocsp url ：この URL の OCSP サーバで、このトラストポイントに関連するすべての証明書の失効ステータスをチェックすることを指定します。

• exit ：サブモードを終了します。

• password string ：登録中に CA に登録されるチャレンジ フレーズを指定します。CA は、通常、このフレーズを使用して、その後の失効要求を認証します。

• revocation check ：失効ステータスをチェックする方法（CRL、OCSP、なし）を指定します。

• serial-number ：登録中に、セキュリティ アプライアンスのシリアル番号を証明書に含めるかどうかを CA に確認します。

• subject-name X.500 name ：登録中に、指定したサブジェクト DN を証明書に含めるかどうかを CA に確認します。

• support-user-cert-validation ：イネーブルにした場合、トラストポイントがリモート証明書を発行した CA に対して認証されていれば、リモート ユーザ証明書を検証するコンフィギュレーション設定はこのトラストポイントから取得できます。このオプションは、サブコマンド crl required | optional | nocheck および CRL サブモードのすべての設定に関連付けられたコンフィギュレーション データに適用されます。

例

次の例では、central という名前のトラストポイントを管理するための CA トラストポイント モードに入ります。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、aclist1 という名前のアクセス リストのアドレスに一致させる crypto dynamic-map コマンドの使用方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルト設定はオフです。

 

コマンド履歴

 

使用上のガイドライン

isakmp nat-traversal コマンドを使用して、NAT-T をグローバルにイネーブルにします。その後、 crypto dynamic-map set nat-t-disable コマンドを使用して、特定の暗号マップ エントリの NAT-T をディセーブルにできます。

例

次のコマンドは、mymap という名前のダイナミック暗号マップの NAT-T をディセーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、mymap という名前のダイナミック マップのピアを IP アドレス 10.0.0.1 に設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

crypto dynamic-map コマンド（ match address 、 set peer 、 set pfs など）については、 crypto map コマンドの項で説明します。ピアがネゴシエーションを開始するときに、ローカル コンフィギュレーションで PFS が指定されている場合、ピアは PFS 交換を実行する必要があります。実行しない場合は、ネゴシエーションに失敗します。ローカル コンフィギュレーションでグループが指定されていない場合、セキュリティ アプライアンスはデフォルトの group2 が指定されているものと見なします。ローカル コンフィギュレーションで PFS が指定されていない場合は、ピアからの PFS のオファーがすべて受け入れられます。

セキュリティ アプライアンスは、Cisco VPN Client と対話するときに PFS 値を使用しません。その代わり、フェーズ 1 でネゴシエートされた値を使用します。

例

次の例では、ダイナミック暗号マップ mymap 10 用の新しいセキュリティ アソシエーションをネゴシエートするときに、必ず PFS を使用することを指定します。指定されたグループはグループ 2 です。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、このコマンドの値はオフになっています。

 

コマンド履歴

例

次のコマンドは、mymap という名前のダイナミック暗号マップの RRI をイネーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ダイナミック暗号マップは、すべてのパラメータが設定されていない暗号マップです。ポリシーのテンプレートとして機能し、未設定のパラメータは、IPSec ネゴシエーションでピアに必要な条件を照合するときに動的にラーニングされます。セキュリティ アプライアンスは、スタティック暗号マップでピアの IP アドレスが特定されていない場合に、ピアでトンネルをネゴシエートさせるために動的マップを使用します。これは、次のようなピアに当てはまります。

• パブリック IP アドレスが動的に割り当てられる。

LAN-to-LAN 接続のピアでも、リモート アクセスするピアでも、DHCP を使用してパブリック IP アドレスを取得します。セキュリティ アプライアンスは、このアドレスをトンネルを開始するときだけ使用します。

• プライベート IP アドレスが動的に割り当てられる。

通常、リモート アクセスのトンネルを要求するピアは、ヘッドエンドによって割り当てられた IP アドレスを持っています。一般に、LAN-to-LAN トンネルには、事前に決定済みのプライベート ネットワークのセットがあり、スタティック マップを設定し、IPSec SA を確立するために使用されます。

管理者がスタティック暗号マップを設定するので、（DHCP または別の方法で）動的に割り当てられた IP アドレスがわからない場合や、割り当て方法には関係なく他のクライアントのプライベート IP アドレスがわからない場合があります。通常、VPN クライアントはスタティック IP アドレスを持たないので、IPSec ネゴシエーションを開始するには、ダイナミック暗号マップが必要です。たとえば、ヘッドセットが IKE のネゴシエーション中に Cisco VPN クライアントに IP アドレスを割り当て、クライアントはこのアドレスを IPSec SA のネゴシエーションで使用します。

ダイナミック暗号マップを使うと、IPSec の設定が簡単になります。ピアが常に事前に決定されていないネットワークで使用することをお勧めします。Cisco VPN クライアント（モバイル ユーザなど）や IP アドレスを動的に取得するルータがある場合に、ダイナミック暗号マップを使ってください。

ヒント ダイナミック暗号マップの permit エントリに any キーワードを使うときは注意してください。マルチキャストやブロードキャストのトラフィックが permit エントリの対象となることもあるので、該当するアドレスの範囲について deny エントリをアクセス リストに挿入します。ネットワークとサブネットのブロードキャスト トラフィック、および IPSec で遮られない他のすべてのトラフィックについて deny エントリを挿入するようにしてください。

ダイナミック暗号マップは、接続を開始したリモートのピアと SA をネゴシエートするときだけ機能します。セキュリティ アプライアンスは、ダイナミック暗号マップを使用してリモート ピアと接続を開始することはできません。ダイナミック暗号マップを設定した場合は、発信トラフィックがアクセス リストで許可されていても、対応する SA が存在しないと、セキュリティ アプライアンスがトラフィックをドロップします。

暗号マップ セットには、ダイナミック暗号マップを含めることができます。ただし、ダイナミック暗号マップのセットには、一番低い優先度（優先度の数値が一番大きい）を設定し、セキュリティ アプライアンスがダイナミック暗号マップ以外のマップを先に評価するようにする必要があります。このように設定すると、他の（スタティック）マップのエントリが一致しない場合にだけ、ダイナミック暗号マップのセットを調べます。

スタティック暗号マップ セットと同様、ダイナミック暗号マップ セットにも、同じ
dynamic-map-name を持つすべてのダイナミック暗号マップを含めます。dynamic-seq-num で、セット内のマップを区別します。ダイナミック暗号マップを設定する場合は、暗号アクセス リストに対して IPSec ピアのデータ フローを指示するために許可用の ACL を挿入してください。このように設定しないと、セキュリティ アプライアンスは、ピアが提示するデータ フローの ID をすべて受け入れることになります。

1 つの暗号マップ セットに、スタティックとダイナミックの両方のマップ エントリを含めることができます。

例

「crypto ipsec transform-set（トランスフォーム セットの作成または削除）」の項に、トランスフォーム セットに関するコマンド例を 10 例示しています。次の例では、その同じ 10 例のトランスフォーム セットからなる dynamic0 というダイナミック暗号マップ エントリを作成します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドは、デフォルトではディセーブルになっています。設定を指定せずにこのコマンドをイネーブルにすると、セキュリティ アプライアンスはデフォルトとして copy-df 設定を使用します。

 

コマンド履歴

 

使用上のガイドライン

DF ビットを IPSec トンネル機能と共に使用すると、セキュリティ アプライアンスがカプセル化されたヘッダーから Don't Fragment（DF）ビットを消去、設定、またはコピーできるかどうかが指定できます。IP ヘッダー内の DF ビットにより、装置がパケットをフラグメント化できるかどうかが決定されます。

カプセル化されたヘッダーに DF ビットを指定するようにセキュリティ アプライアンスを設定するには、グローバル コンフィギュレーション モードで crypto ipsec df-bit コマンドを使用します。

トンネル モードの IPSec トラフィックをカプセル化する場合は、DF ビットに clear-df 設定を使用します。この設定を使用すると、装置は使用可能な MTU のサイズよりも大きなパケットを送信できます。また、この設定は、使用可能な MTU のサイズが不明な場合にも適しています。

例

グローバル コンフィギュレーション モードで入力した次の例では、IPSec DF ポリシーを clear-df に設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

この機能はデフォルトでイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

パケットは、暗号化するセキュリティ アプライアンスの発信リンクの MTU のサイズに近い場合、IPSec ヘッダーを付けてカプセル化されると、発信リンクの MTU を超える可能性があります。MTU のサイズを超えると暗号化の後にパケットがフラグメント化され、このため暗号解除装置がプロセス パスで再組み立てされます。IPSec VPN の事前フラグメント化では、暗号解除装置はプロセス パスではなく高性能な CEF パスで動作するため、パフォーマンスが向上します。

IPSec VPN の事前フラグメント化では、暗号化装置は、IPSec SA の一部として設定されたトランスフォーム セットで使用可能な情報から、カプセル化されたパケット サイズを事前に設定します。装置でパケットが出力インターフェイスの MTU を超えることが事前に設定されている場合、装置は暗号化する前にそのパケットをフラグメント化します。これにより、暗号解除前のプロセス レベルの再組み立てが回避され、暗号解除のパフォーマンスおよび全体的な IPsec トラフィックのスループットの向上に役立ちます。

例

グローバル コンフィギュレーション モードで入力した次の例では、IPSec パケットの事前フラグメント化を装置上でグローバルにイネーブルにします。

グローバル コンフィギュレーション モードで入力した次の例では、IPSec パケットの事前フラグメント化をインターフェイス上でディセーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの KB 数は 4,608,000 で、デフォルトの秒数は 28,800 です。

 

コマンド履歴

 

使用上のガイドライン

crypto ipsec security-association lifetime コマンドは、IPSec セキュリティ アソシエーションのネゴシエート時に使用されるグローバル ライフタイム値を変更します。

IPSec セキュリティ アソシエーションでは、共有秘密鍵を使用します。これらの鍵とセキュリティ アソシエーションは、両方同時にタイムアウトします。

個々の暗号マップ エントリでライフタイム値が設定されていない場合は、セキュリティ アソシエーションのネゴシエート中に新しいセキュリティ アソシエーションを要求するとき、セキュリティ アプライアンスは、ピアへの要求の中でグローバル ライフタイム値を指定します。この値を、新しいセキュリティ アソシエーションのライフタイムとして使用します。セキュリティ アプライアンスは、ピアからネゴシエーション要求を受信すると、ピアが指定するライフタイム値またはローカルに設定済みのライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します。

ライフタイムには、期間を指定するものとトラフィック量を指定するものの 2 つがあります。セキュリティ アソシエーションは、いずれかのライフタイムに最初に到達した時点で期限切れになります。

セキュリティ アプライアンスでは、暗号マップ、ダイナミック マップ、および ipsec 設定を動作中に変更できます。これを行う場合は、変更によって影響を受ける接続だけがセキュリティ アプライアンスによって停止させられます。特に、アクセス リスト内のエントリを削除することによって、暗号マップに関連付けられている既存のアクセス リストを変更する場合は、関連する接続だけが停止させられます。アクセス リスト内の他のエントリに基づく接続は、影響を受けません。

グローバル期間ライフタイムを変更するには、 crypto ipsec security-association lifetime seconds コマンドを使用します。期間ライフタイムを使用する場合は、指定した秒数が経過した時点でセキュリティ アソシエーションがタイムアウトします。

グローバル トラフィック量ライフタイムを変更するには、 crypto ipsec security-association lifetime kilobytes コマンドを使用します。トラフィック量ライフタイムを使用する場合は、指定した量のトラフィック（KB 単位）がセキュリティ アソシエーション キーによって保護された時点で、セキュリティ アソシエーションがタイムアウトします。

ライフタイムを短くするほど、攻撃者がキー再現攻撃を成功させることが困難になります。攻撃者にとっては、解析の対象となる、同じキーで暗号化されたデータの量が少なくなるためです。ただし、ライフタイムを短くするほど、新しいセキュリティ アソシエーションの確立にかかる CPU 処理時間が長くなります。

セキュリティ アソシエーション（およびそれに対応するキー）は、指定した秒数または指定したトラフィック量（KB 単位）のうち、どちらかを超えた時点で有効期限が切れます。

例

次の例では、セキュリティ アソシエーションのグローバル期間ライフタイムを指定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

認証設定のデフォルトは、esp-none（認証しない）です。

 

コマンド履歴

 

使用上のガイドライン

トランスフォーム セットを設定したら、そのセットを暗号マップに割り当てます。1 つの暗号マップにトランスフォーム セットを 6 つまで割り当てることができます。ピアが IPSec セッションを確立しようとする際、セキュリティ アプライアンスは、まず各暗号マップのアクセス リストとピアが一致するかどうかを調べます。次に、ピアがネゴシエートするすべてのプロトコル、アルゴリズム、その他の設定を、暗号マップに割り当てられているトランスフォーム セットと照合します。一致する設定が見つかった場合は、セキュリティ アプライアンスは、IPSec セキュリティ アソシエーションの一部としてその設定を、保護されたトラフィックに適用します。ピアがアクセス リストに一致しない場合や、暗号マップに割り当てられているトランスフォーム セット内に完全に一致するセキュリティ設定が見つからない場合、セキュリティ アプライアンスは IPSec セッションを終了します。

暗号化と認証のどちらを先に指定してもかまいません。また、認証を指定せずに暗号化を指定することもできます。作成しているトランスフォーム セットに認証を指定する場合は、暗号化も指定する必要があります。変更しているトランスフォーム セットに認証だけを指定した場合は、現在の暗号化設定がそのまま残ります。

AES 暗号化を指定する場合は、グローバル コンフィギュレーション モードでも isakmp policy priority group 5 コマンドを使用して、AES の大きなサイズのキーを扱えるように Diffie-Hellman group 5 を割り当てることをお勧めします。

ヒント 暗号マップまたはダイナミック暗号マップにトランスフォーム セットを適用し、後でそのマップに割り当てられているトランスフォーム セットを表示する場合は、トランスフォーム セットに設定内容を表す名前を付けておくと便利です。たとえば、次に示す最初の例の 3des-md5 は、トランスフォーム セットで使用する暗号化と認証を示しています。その後に続く値は、トランスフォーム セットに割り当てる実際の暗号化と認証の設定です。

例

次のコマンドは、暗号化と認証をまったく設定しない場合を除く、すべてのオプションを示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトはトンネル モードです。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、トランスフォーム セットに対して IPSec トランスポート モードを指定します。Windows 2000 の L2TP/IPSec クライアントは IPSec トランスポート モードを使用するので、このトランスポート セットでトランスポート モードを選択する必要があります。デフォルトはトンネル モードです。

トンネル モードはトランスフォーム セットに対して自動的にイネーブルになります。セキュリティ アプライアンスは、Windows 2000 の L2TP/IPSec クライアントと通信する場合を除き（トランスポート モードを使用）、トンネル モードを使用します。

例

次の例では、暗号化に Triple DES を使用し、ハッシュ アルゴリズムに MD5/HMAC-128 を使用する transet5 という名前のトランスフォーム セットを設定してから、トランスフォーム セット transet5 に IPSec トランスポート モードを指定します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルト値はイネーブルです。

 

コマンド履歴

例

次の例では、グローバル コンフィギュレーション モードで、アグレッシブ モードの着信接続をディセーブルにします。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルト値はディセーブルです。

 

コマンド履歴

例

次の例では、グローバル コンフィギュレーション モードで、ピアに対する切断通知をイネーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例は、グローバル コンフィギュレーション モードで、内部インターフェイス上で ISAKMP をディセーブルにする方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの ISAKMP ID は、 crypto isakmp identity auto です。

 

コマンド履歴

例

次の例では、グローバル コンフィギュレーション モードで、IPSec ピアと通信するためのインターフェイス上で ISAKMP ネゴシエーションを、接続タイプに応じてイネーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルト値はディセーブルです。

 

コマンド履歴

例

次の例では、グローバル コンフィギュレーション モードで、ポート 45 上で IPSec over TCP をイネーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトで、NAT Traversal（ crypto isakmp nat-traversal ）はディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

Network Address Translation（NAT; ネットワーク アドレス変換）は、Port Address Translation（PAT; ポート アドレス変換）も含め、IPSec も使用している多くのネットワークで使用されていますが、IPSec パケットが NAT デバイスを問題なく通過することを妨げる非互換性が数多くあります。NAT Traversal を使用すると、ESP パケットが 1 つまたは複数の NAT デバイスを通過できるようになります。

セキュリティ アプライアンスは、IETF の「UDP Encapsulation of IPsec Packets」ドラフトのバージョン 2 とバージョン 3（ http://www.ietf.org/html.charters/ipsec-charter.html から入手可能）に記述されているとおり NAT Traversal をサポートしています。NAT Traversal は、ダイナミックとスタティックの両方の暗号マップでサポートされています。

このコマンドは、セキュリティ アプライアンス上で NAT-T をグローバルにイネーブルにします。暗号マップ エントリでディセーブルにするには、 crypto map set nat-t-disable コマンドを使用します。

例

次の例では、グローバル コンフィギュレーション モードで、ISAKMP をイネーブルにし、30 秒間隔で NAT Traversal をイネーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

crypto isakmp policy コマンドを使用すると、暗号 isakmp ポリシー モードに入って、認証、暗号化、グループ、ハッシュ、およびライフタイムの設定を行うことができます。

例

次の例は、グローバル コンフィギュレーション モードで、 crypto isakmp policy コマンドを使用する方法を示しています。この例では、優先順位番号 40 の IKE ポリシーで RSA シグニチャの認証方式を使用するように設定します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、グローバル コンフィギュレーション モードで、すべてのアクティブなセッションが終了するまで待機してからリブートするように、セキュリティ アプライアンスに通知します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの係数サイズは 1024 です。

 

コマンド履歴

 

使用上のガイドライン

SSL、SSH、および IPSec 接続をサポートする DSA キー ペアを生成するには、 crypto key generate dsa コマンドを使用します。生成されたキー ペアは、コマンド シンタックスの一部として指定したラベルで識別します。ラベルを指定しない場合、セキュリティ アプライアンスはエラー メッセージを表示します。

（注） DSA キーを生成するとき、遅延が発生する場合があります。Cisco PIX 515E Firewall では、この遅延が最大数分にわたることがあります。

例

グローバル コンフィギュレーション モードで入力した次の例では、mypubkey というラベルの DSA キー ペアを生成します。

グローバル コンフィギュレーション モードで入力した次の例では、誤って mypubkey というラベルの重複した DSA キー ペアを生成しようとしています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトのキー ペア タイプは general-keys です。デフォルトの係数サイズは 1024 です。

 

コマンド履歴

 

使用上のガイドライン

SSL、SSH、および IPSec 接続をサポートする RSA キー ペアを生成するには、 crypto key generate rsa コマンドを使用します。生成されたキー ペアは、コマンド シンタックスの一部として指定できるラベルで識別します。キー ペアを参照しないトラストポイントは、デフォルトの
<Default-RSA-Key> を使用できます。SSH 接続では常にこのキーが使用されます。SSL は独自の証明書やキーをダイナミックに生成するため、トラストポイントに設定されていない限り、このことは SSL に影響を与えません。

例

グローバル コンフィギュレーション モードで入力した次の例では、mypubkey というラベルの RSA キー ペアを生成します。

グローバル コンフィギュレーション モードで入力した次の例では、誤って mypubkey というラベルの重複した RSA キー ペアを生成しようとしています。

グローバル コンフィギュレーション モードで入力した次の例では、デフォルト ラベルの RSA キー ペアを生成します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

グローバル コンフィギュレーション モードで入力した次の例では、すべての RSA キー ペアを削除します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、暗号マップ セットをアクティブなセキュリティ アプライアンスのインターフェイスに割り当てるために使用します。セキュリティ アプライアンスでは、任意のアクティブ インターフェイスを IPSec の終端にできます。インターフェイスで IPSec サービスを提供するには、そのインターフェイスにまず暗号マップ セットを割り当てる必要があります。

インターフェイスに割り当てることができる暗号マップ セットは 1 つだけです。同じ map-name で seq-num が異なる暗号マップ エントリが複数ある場合、それらのエントリは同じセットの一部であり、そのインターフェイスにすべてが適用されます。セキュリティ アプライアンスは、 seq-num が最も小さい暗号マップ エントリを最初に評価します。

（注） セキュリティ アプライアンスでは、暗号マップ、ダイナミック マップ、および ipsec 設定を動作中に変更できます。これを行う場合は、変更によって影響を受ける接続だけがセキュリティ アプライアンスによって停止させられます。特に、アクセス リスト内のエントリを削除することによって、暗号マップに関連付けられている既存のアクセス リストを変更する場合は、関連する接続だけが停止させられます。アクセス リスト内の他のエントリに基づく接続は、影響を受けません。

（注） すべてのスタティック暗号マップは、アクセス リスト、トランスフォーム セット、および IPsec ピアの 3 つの部分を定義する必要があります。これらの 1 つが欠けている場合、暗号マップは不完全で、セキュリティ アプライアンスは次のエントリに進みます。しかし、暗号マップがアクセス リストでは一致するが、他の 2 つの要件のいずれかまたは両方で一致しない場合、このセキュリティ アプライアンスはトラフィックをドロップします。

すべての暗号マップが完全であることを確認するには、show running-config crypto map コマンドを使用します。不完全な暗号マップを修正するには、暗号マップを削除し、欠けているエントリを追加して再び適用します。

例

グローバル コンフィギュレーション モードで入力した次の例では、mymap という名前の暗号マップ セットを外部インターフェイスに割り当てます。トラフィックは、この外部インターフェイスを通過するとき、セキュリティ アプライアンスによって mymap セット内のすべての暗号マップ エントリと対照され、評価されます。発信トラフィックが mymap 暗号マップ エントリの 1 つのアクセス リストと一致する場合、セキュリティ アプライアンスはその暗号マップ エントリのコンフィギュレーションを使用して、セキュリティ アソシエーションを形成します。

次の例は、必要な最小限の暗号マップ コンフィギュレーションを示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

暗号マップ エントリを作成したら、 crypto map interface コマンドを使用して、ダイナミック暗号マップ セットをインターフェイスに割り当てることができます。

ダイナミック暗号マップを使用することで、保護の対象となるトラフィックのフィルタリングと分類、そのトラフィックに適用するポリシーの定義という 2 つの機能を利用できます。最初の機能はインターフェイス上のトラフィック フローが対象となり、2 番目の機能は（IKE を通じた）そのトラフィックのためのネゴシエーションが対象となります。

IPSec ダイナミック暗号マップは次の 4 つを指定します。

• 保護するトラフィック

• セキュリティ アソシエーションを確立する IPSec ピア

• 保護対象のトラフィックと共に使用するトランスフォーム セット

• キーおよびセキュリティ アソシエーションの使用方法または管理方法

暗号マップ セットは、それぞれ異なるシーケンス番号（seq-num）を持ち、マップ名が共通している暗号マップ エントリの集合です。たとえば、所定のインターフェイスを介して、あるトラフィックには所定のセキュリティを適用してピアに転送し、その他のトラフィックには別の IPSec セキュリティを適用して同じまたは別個のピアに転送するとします。このような構成をセットアップするには、2 つの暗号マップ エントリを作成します。マップ名は同じ名前にし、シーケンス番号をそれぞれ別の番号にします。

シーケンス番号引数として割り当てる番号は、任意に決定しないようにしてください。この番号は、暗号マップ セットに含まれている複数の暗号マップ エントリにランクを付けます。シーケンス番号の小さい暗号マップ エントリが番号の大きいエントリよりも先に評価されます。つまり、番号の小さいマップ エントリは優先順位が高くなります。

（注） 暗号マップをダイナミック暗号マップにリンクする場合は、ダイナミック暗号マップを指定する必要があります。指定すると、crypto dynamic-map コマンドを使用して以前に定義した既存のダイナミック暗号マップに暗号マップがリンクされます。暗号マップ エントリが変換された後に加えた変更は、有効になりません。たとえば、set peer 設定への変更は有効になりません。しかし、セキュリティ アプライアンスは起動中に変更を保存します。ダイナミック暗号マップを暗号マップに変換して戻す場合、変更は有効で、show running-config crypto map コマンドの出力に表示されます。セキュリティ アプライアンスは、リブートされるまでこれらの設定を維持します。

例

グローバル コンフィギュレーション モードで入力した次のコマンドでは、暗号マップ mymap を test という名前のダイナミック暗号マップを参照するように設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、すべてのスタティック暗号マップに対して指定必須となるコマンドです。 crypto dynamic-map コマンドでダイナミック暗号マップを定義する場合は、このコマンドは必須ではありませんが、使用することを強く推奨します。

アクセス リストを定義するには、 access-list コマンドを使用します。

セキュリティ アプライアンスは、アクセ スリストを利用して、IPSec 暗号で保護するトラフィックと保護を必要としないトラフィックを区別します。また、許可 ACE に一致する発信パケットを保護し、許可 ACE に一致する着信パケットが保護されるようにします。

セキュリティ アプライアンスがパケットを deny 文と照合する場合、暗号マップ内の残りのアクセス コントロール エントリ（ACE）に対するパケットの評価を省略し、順番に次の暗号マップ内の ACE に対するパケットの評価を再開します。 ACL のカスケード処理 には、ACL 内の残りの ACE の評価をバイパスする拒否 ACE の使用、および暗号マップ セット内の次の暗号マップに割り当てられた ACL に対するトラフィックの評価の再開が含まれています。各暗号マップを別の IPSec 設定に関連付けることができるため、拒否 ACE を使用して対応する暗号マップの詳細な評価から特別なトラフィックを除外し、特別なトラフィックを別の暗号マップの permit 文と一致させて別のセキュリティを提供または要求できます。

（注） 暗号化用のアクセス リストは、インターフェイスを通過するトラフィックを許可するかどうかを判定しません。このような判定には、access-group コマンドを使用してインターフェイスに直接適用されるアクセス リストが使用されます。

（注） 透過モードでは、宛先アドレスはセキュリティ アプライアンスの IP アドレス、管理アドレスである必要があります。透過モードでは、セキュリティ アプライアンスへのトンネルだけが許可されます。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルト設定は bidirectional です。

 

コマンド履歴

 

使用上のガイドライン

crypto map set connection-type コマンドは、バックアップ Lan-to-Lan 機能の接続タイプを指定します。接続の一方の側で複数のバックアップ ピアを指定することができます。

この機能は、次のプラットフォーム間のみで動作します。

• 2 つの Cisco ASA 5500 シリーズ セキュリティ アプライアンス

• Cisco ASA 5500 シリーズ セキュリティ アプライアンスと Cisco VPN 3000 コンセントレータ

• Cisco ASA 5500 シリーズ セキュリティ アプライアンスと、Cisco PIX セキュリティ アプライアンス ソフトウェア v7.0 以上を実行しているセキュリティ アプライアンス

バックアップ Lan-to-Lan 接続を設定するには、接続の一方の側を originate-only キーワードを使用して originate-only として設定し、複数のバックアップ ピアのある側を answer-only キーワードを使用して answer-only として設定することをお勧めします。originate-only 側では、 crypto map set peer コマンドを使用してピアの優先順位を指定します。originate-only セキュリティ アプライアンスは、リストの最初のピアとネゴシエートしようとします。ピアが応答しない場合、セキュリティ アプライアンスはピアが応答するか、リストにピアがなくなるまで下に向かってリストを検索します。

このように設定した場合、originate-only ピアは専用のトンネルを確立してピアとネゴシエートしようとします。その後は、いずれかのピアが通常の Lan-to-Lan 接続を確立することができ、いずれかの側からのデータがトンネル接続を開始できます。

表9-1 に、サポートされるすべての設定を示します。これら以外の組み合せでは、予測できないルーティング問題が生じることがあります。

例

グローバル コンフィギュレーション モードで入力した次の例では、暗号マップ mymap を設定し、接続タイプを originate-only に設定します。

 

関連コマンド

 

シンタックスの説明