Cisco ASA 5500 シリーズ 適応型セキュリティ アプライアンス スタートアップ ガイド

必要な情報

この設定手順を開始する前に、次の情報を収集します。

• リモート適応型セキュリティ アプライアンス ピアの IP アドレス

• トンネルを使用してリモート サイトのリソースと通信できるローカル ホストおよびネットワークの IP アドレス

• トンネルを使用してローカル リソースと通信できるリモート ホストおよびネットワークの IP アドレス

サイトツーサイト VPN の設定

この項では、ASDM VPN Wizard を使用して、サイトツーサイト VPN の適応型セキュリティ アプライアンスを設定する方法について説明します。

この項では、次のトピックについて取り上げます。

• 「ASDM の起動」

• 「ローカル サイトでのセキュリティ アプライアンスの設定」

• 「リモート VPN ピアに関する情報の入力」

• 「IKE ポリシーの設定」

• 「IPSec 暗号化および認証パラメータの設定」

• 「ホストおよびネットワークの指定」

• 「VPN アトリビュートの確認とウィザードの完了」

次の各項で、それぞれの設定手順を実行する方法について詳しく説明します。

ASDM の起動

ASDM を Web ブラウザで実行するには、アドレス フィールドに、工場出荷時のデフォルト IP アドレス https://192.168.1.1/admin/ を入力します。

（注） 「s」を追加して「https」にすることに注意してください。追加しないと、接続が失敗します。HTTPS（HTTP over SSL）は、ブラウザと適応型セキュリティ アプライアンスとの間でセキュアな接続を提供します。

ASDM のメイン ウィンドウが表示されます。

ローカル サイトでのセキュリティ アプライアンスの設定

（注） 以後、最初のサイトの適応型セキュリティ アプライアンスをセキュリティ アプライアンス 1 と呼びます。

セキュリティ アプライアンス 1 を設定するには、次の手順を実行します。

ステップ 1 ASDM のメイン ウィンドウの Wizards ドロップダウン メニューで、 VPN Wizard オプションを選択します。最初の VPN Wizard 画面が表示されます。

VPN Wizard の Step 1 で、次の手順を実行します。

a. Site-to-Site VPN オプション ボタンをクリックします。

（注） Site-to-Site VPN オプションは、2 つの IPSec セキュリティ ゲートウェイを接続します。これには、適応型セキュリティ アプライアンス、VPN コンセントレータ、またはサイトツーサイト IPSec 接続をサポートするその他のデバイスが含まれます。

b. ドロップダウン リストで、現在の VPN トンネルに対してイネーブルにするインターフェイスとして Outside を選択します。

c. Next をクリックして続行します。

リモート VPN ピアに関する情報の入力

VPN ピアは、設定している接続の反対側にあるシステムで、通常、リモート サイトにあります。

（注） このシナリオでは、以後、リモート VPN ピアをセキュリティ アプライアンス 2 と呼びます。

VPN Wizard の Step 2 で、次の手順を実行します。

ステップ 1 ピア IP アドレス（セキュリティ アプライアンス 2 の IP アドレスで、このシナリオでは 209.165.200.236）およびトンネル グループ名（「Cisco」など）を入力します。

ステップ 2 次の手順のいずれかを実行して、使用する認証の種類を指定します。

• 認証にスタティックな事前共有キーを使用するには、Pre-Shared key オプション ボタンをクリックし、事前共有キー（「Cisco」など）を入力します。このキーは、適応型セキュリティ アプライアンス間の IPsec ネゴシエーションに使用されます。

（注） リモート サイトでセキュリティ アプライアンス 2 を設定するとき、VPN ピアはセキュリティ アプライアンス 1 になります。ここで使用するものと同じ事前共有キー（Cisco）を入力してください。

• Challenge/response authentication オプション ボタンをクリックして、その認証方式を使用します。

• 認証にデジタル証明書を使用するには、Certificate オプション ボタンをクリックし、ドロップダウン リストで Certificate Signing Algorithm を選択し、次のドロップダウン リストで事前設定されたトラストポイント名を選択します。

認証にデジタル署名を使用する場合でも、トラストポイント名をまだ設定していないときは、他の 2 つのオプションのいずれかを使用して Wizard を続行できます。標準の ASDM 画面を使用して、後で認証設定を変更できます。

ステップ 3 Next をクリックして続行します。

IKE ポリシーの設定

IKE は、暗号化方式を含むネゴシエーション プロトコルで、データを保護し、機密性を保証します。また、ピアのアイデンティティも保証する認証方式でもあります。ほとんどの場合、ASDM のデフォルト値で、2 つのピア間でセキュアな VPN トンネルを確立できます。

VPN Wizard の Step 3 で、次の手順を実行します。

ステップ 1 IKE セキュリティ アソシエーションで、適応型セキュリティ アプライアンスが使用する暗号化アルゴリズム（DES、3DES、または AES）、認証アルゴリズム（MD5 または SHA）、および Diffie-Hellman グループ（1、2、または 5）をクリックします。

（注） セキュリティ アプライアンス 2 を設定するときは、セキュリティ アプライアンス 1 で選択した各オプションの値を正確に入力する必要があります。暗号化の不一致は、VPN トンネル障害のよくある原因で、設定プロセスを遅らせる原因になります。

ステップ 2 Next をクリックして続行します。

IPSec 暗号化および認証パラメータの設定

VPN Wizard の Step 4 で、次の手順を実行します。

ステップ 1 ドロップダウン リストで、暗号化アルゴリズム（DES、3DES、または AES）および認証アルゴリズム（MD5 または SHA）を選択します。

ステップ 2 Next をクリックして続行します。

ホストおよびネットワークの指定

この IPSec トンネルを使用してリモートサイト ピアと通信できるローカル サイトのホストおよびネットワークを指定します。ホストおよびネットワークを動的に追加または削除するには、それぞれ、 Add または Delete をクリックします。現在のシナリオでは、Network A（10.10.10.0）からのトラフィックはセキュリティ アプライアンス 1 で暗号化され、VPN トンネルを使用して送信されます。

また、この IPSec トンネルを使用してローカル ホストとネットワークにアクセスできるリモート サイトのホストおよびネットワークを指定します。ホストおよびネットワークを動的に追加または削除するには、それぞれ、 Add または Delete をクリックします。このシナリオでは、セキュリティ アプライアンス 1 のリモート ネットワークは Network B（10.20.20.0）なので、このネットワークからの暗号化されたトラフィックは、トンネルを使用できます。

VPN Wizard の Step 5 で、次の手順を実行します。

ステップ 1 Source 領域の Type ドロップダウン リストで、IP アドレスを選択します。

ステップ 2 IP Address フィールドと Netmask フィールドに、ローカル IP アドレスとネットマスクを入力します。

ステップ 3 Destination 領域の Type ドロップダウン リストで、IP アドレスを選択します。

ステップ 4 リモート ホストまたはリモート ネットワークの IP アドレスとネットマスクを入力します。

ステップ 5 Next をクリックして続行します。

VPN アトリビュートの確認とウィザードの完了

VPN Wizard の Step 6 で、ここで作成した VPN トンネルの設定リストを確認します。設定が正しいことを確認したら、Finish をクリックして、変更を適応型セキュリティ アプライアンスに適用します。

次回のデバイス起動時に変更が適用されるように、設定変更をスタートアップ設定に保存する場合は、File メニューで Save をクリックします。

あるいは、ASDM の終了時に設定変更の保存を要求するプロンプトが表示されます。

設定変更を保存しない場合は、次回のデバイス起動時に以前の設定が有効になります。

これで、セキュリテイ アプライアンス 1 の設定プロセスは終わりです。