Cisco ASA 5550 スタートアップ ガイド

必要な情報

リモート アクセス IPsec VPN 接続を受け入れるための適応型セキュリティ アプライアンスの設定を開始する前に、次の情報を用意してください。

• IP プールに使用する IP アドレスの範囲。これらのアドレスは、接続に成功したときにリモート VPN クライアントに割り当てられます。

• ローカル認証データベースの作成に使用するユーザのリスト（認証に AAA サーバを使用する場合を除く）

• VPN との接続時にリモート クライアントで使用する次のネットワーキング情報

–プライマリおよびセカンダリ DNS サーバの IP アドレス

–プライマリおよびセカンダリ WINS サーバの IP アドレス

–デフォルト ドメイン名

–認証されたリモート クライアントにアクセスできるようにするローカル ホスト、グループ、およびネットワークの IP アドレスのリスト

ASDM の起動

Web ブラウザで ASDM を実行するには、アドレス フィールドに、工場出荷時のデフォルトの IP アドレス https://192.168.1.1/admin/ を入力します。

（注） 「s」を追加して「https」にすることに注意してください。追加しないと、接続が失敗します。HTTPS（HTTP over SSL）は、ブラウザと適応型セキュリティ アプライアンスとの間でセキュアな接続を提供します。

ASDM のメイン ウィンドウが表示されます。

IPSec リモートアクセス VPN 用の ASA 5550 の設定

リモートアクセス VPN の設定プロセスを開始するには、次の手順を実行します。

ステップ 1 ASDM のメイン ウィンドウの Wizards ドロップダウン メニューで、 VPN Wizard を選択します。VPN Wizard の Step 1 画面が表示されます。

ステップ 2 VPN Wizard の Step 1 で、次の手順を実行します。

a. Remote Access VPN オプション ボタンをクリックします。

b. ドロップダウン リストで、着信 VPN トンネルに対してイネーブルにするインターフェイスとして outside を選択します。

c. Next をクリックして続行します。

VPN クライアントの種類の選択

VPN Wizard の Step 2 で、次の手順を実行します。

ステップ 1 リモート ユーザをこの適応型セキュリティ アプライアンスに接続できるようにする VPN クライアントの種類を指定します。このシナリオでは、Cisco VPN Client オプション ボタンをクリックします。

他の任意の Cisco Easy VPN Remote 製品も使用できます。

ステップ 2 Next をクリックして続行します。

VPN トンネル グループ名と認証方式の指定

VPN Wizard の Step 3 で、次の手順を実行します。

ステップ 1 次の手順のいずれかを実行して、使用する認証の種類を指定します。

• 認証にスタティックな事前共有キーを使用するには、Pre-Shared Key オプション ボタンをクリックし、事前共有キー（「Cisco」など）を入力します。このキーは、適応型セキュリティ アプライアンス間の IPsec ネゴシエーションで使用されます。

• 認証にデジタル証明書を使用するには、Certificate オプション ボタンをクリックし、ドロップダウン リストで Certificate Signing Algorithm を選択し、次のドロップダウン リストで事前設定されたトラスト ポイント名を選択します。

デジタル証明書を認証に使用するがトラストポイント名をまだ設定していない場合は、他の 2 つのオプションのいずれかを使用して Wizard を続行できます。認証方式の設定は、標準の ASDM 画面を使用して後で変更できます。

• Challenge/Response Authentication (CRACK) オプション ボタンをクリックすると、この方法で認証されます。

ステップ 2 この適応型セキュリティ アプライアンスとの接続で共通の接続パラメータとクライアント アトリビュートを使用するユーザのセットに対して、トンネル グループ名（「Cisco」など）を入力します。

ステップ 3 Next をクリックして続行します。

ユーザ認証方式の指定

ユーザは、ローカル認証データベース、または外部認証、認可、アカウンティング（AAA）サーバ（RADIUS、TACACS+、SDI、NT、Kerberos、および LDAP）で認証できます。

VPN Wizard の Step 4 で、次の手順を実行します。

ステップ 1 適応型セキュリティ アプライアンス にユーザ データベースを作成してユーザを認証する場合は、Authenticate Using the Local User Database オプション ボタンをクリックします。

ステップ 2 外部 AAA サーバ グループでユーザを認証する場合は、次の手順を実行します。

a. Authenticate Using an AAA Server Group オプション ボタンをクリックします。

b. ドロップダウン リストで、事前設定済みのサーバ グループを選択します。または、New をクリックして、新しいサーバ グループを追加します。

ステップ 3 Next をクリックして続行します。

ユーザ アカウントの設定（オプション）

ローカル ユーザ データベースでユーザを認証する場合は、ここで新しいユーザ アカウントを作成できます。ASDM 設定インターフェイスを使用して後でユーザを追加することもできます。

VPN Wizard の Step 5 で、次の手順を実行します。

ステップ 1 新しいユーザを追加するには、ユーザ名とパスワードを入力し、 Add をクリックします。

ステップ 2 新しいユーザの追加が終了したら、 Next をクリックして続行します。

アドレス プールの設定

リモート クライアントがネットワークにアクセスできるようにするには、正常に接続したときにリモート VPN クライアントに割り当てることができる IP アドレスのプールを設定する必要があります。このシナリオでは、IP アドレス 209.165.201.1 ～ 209.166.201.20 を使用するようにプールを設定します。

VPN Wizard の Step 6 で、次の手順を実行します。

ステップ 1 プール名を入力するか、ドロップダウン リストで、事前定義済みのプールを選択します。

または、New をクリックして新しいアドレス プールを作成します。

Add IP Pool ダイアログボックスが表示されます。

ステップ 2 Add IP Pool ダイアログボックスで、次の手順を実行します。

a. アドレスの範囲を指定する Starting IP Address と Ending IP Address を入力します。

b. （オプション）IP アドレスの範囲の Netmask を入力します。

c. OK をクリックして VPN Wizard の Step 6 に戻ります。

ステップ 3 Next をクリックして続行します。

クライアント アトリビュートの設定

ネットワークにアクセスするには、各リモート アクセス クライアントに基本ネットワーク設定情報（使用する DNS サーバおよび WINS サーバ、デフォルト ドメイン名など）が必要です。各リモート クライアントを個別に設定する代わりに、ASDM にクライアント情報を入力できます。適応型セキュリティ アプライアンスは、接続が確立されたときに、この情報をリモート クライアントまたは Easy VPN ハードウェア クライアントにプッシュします。

正しい値を指定したことを確認してください。値が正しくない場合、リモート クライアントは、DNS 名を使用した解決や Windows ネットワーキングの使用ができなくなります。

VPN Wizard の Step 7 で、次の手順を実行します。

ステップ 1 リモート クライアントにプッシュするネットワーク設定情報を入力します。

ステップ 2 Next をクリックして続行します。

IKE ポリシーの設定

IKE は、暗号化方式を含むネゴシエーション プロトコルで、データを保護し、機密性を保証します。また、ピアのアイデンティティも保証する認証方式でもあります。ほとんどの場合、ASDM のデフォルト値で、セキュアな VPN トンネルを確立できます。

VPN Wizard の Step 8 で IKE ポリシーを指定するには、次の手順を実行します。

ステップ 1 IKE セキュリティ アソシエーションで、適応型セキュリティ アプライアンスが使用する暗号化アルゴリズム（DES、3DES、または AES）、認証アルゴリズム（MD5 または SHA）、および Diffie-Hellman グループ（1、2、5、または 7）をクリックします。

ステップ 2 Next をクリックして続行します。

IPSec 暗号化および認証パラメータの設定

VPN Wizard の Step 9 で、次の手順を実行します。

ステップ 1 暗号化アルゴリズム（DES、3DES、または AES）および認証アルゴリズム（MD5 または SHA）をクリックします。

ステップ 2 Next をクリックして続行します。

アドレス変換の例外とスプリット トンネリングの指定

スプリット トンネリングを使用すると、リモートアクセス IPsec クライアントは IPsec トンネルを介して条件付きで暗号化形式のパケットを誘導したり、通常のテキスト形式でネットワーク インターフェイスに誘導します。

適応型セキュリティ アプライアンスは、ネットワーク アドレス変換（NAT）を使用して、内部 IP アドレスが外部に公開されることを防いでいます。認証されたリモート ユーザのアクセスを可能にする必要があるローカル ホストおよびネットワークを特定して、このネットワーク保護の例外を作成できます（このシナリオでは、内部ネットワーク 10.10.10.0 全体をすべてのリモート クライアントに公開します）。

VPN Wizard の Step 10 で、次の手順を実行します。

ステップ 1 認証されたリモート ユーザがアクセスできるようにする内部リソースのリストに含めるホスト、グループ、およびネットワークを指定します。

Selected Hosts/Networks ペインのホスト、グループ、およびネットワークを動的に追加または削除するには、それぞれ、 Add または Delete をクリックします。

（注） 画面の下部の Enable Split Tunneling チェックボックスをオンにして、スプリット トンネリングをイネーブルにします。スプリット トンネリングを使用すると、設定したネットワークの外部のトラフィックを、暗号化された VPN トンネルを使用せずに直接インターネットに送出できるようになります。

ステップ 2 Next をクリックして続行します。

リモートアクセス VPN の設定の確認

VPN Wizard の Step 11 で、ここで作成した VPN トンネルの設定アトリビュートを確認します。表示される設定は、次のようになります。

設定が正しいことを確認したら、 Finish をクリックし、変更を適応型セキュリティ アプライアンスに適用します。

設定の変更をスタートアップ設定に保存して、デバイスを次回に起動したときにこの変更が適用されるようにする場合は、File メニューの Save をクリックします。あるいは、ASDM の終了時に、設定の変更を保存するかどうか確認を求めるメッセージが表示されます。

設定の変更を保存しないと、次回にデバイスを起動したときに、以前の設定が有効になります。