VPN 3000 シリーズ コンセントレータ管理者用 ASA への移行手順 Version 7.2

情報の収集

VPN ウィザードを起動する前に、VPN トンネルの設定に必要な情報を収集します。設定するトンネル タイプの項を参照してください。

• サイトツーサイト VPN トンネル

• ローカルに保存されたユーザ アカウントを使用したリモート アクセス

• クライアント認証に AAA サーバ グループを使用したリモート アクセス

サイトツーサイト VPN トンネル

VPN ウィザードを使用してサイトツーサイト VPN トンネルを設定する場合は、事前に次の情報を収集する必要があります。

（注） これらの値を記録する場合は、関連付けられている番号をメモしてください。これらの値は、このデータを収集した後で実行する VPN ウィザードに表示されるステップ番号に対応しています。

1. VPN トンネル タイプ

サイトツーサイト VPN トンネル用のインターフェイス（たとえば、「inside」や「outside」）。VPN トンネルを設定する前に、セキュリティ アプライアンスにインターフェイスを設定します。トンネルを設定する場合は、設定する VPN トンネルに関連付けるインターフェイスを選択します。

2. リモート サイト ピア

トンネルのもう一方の終端にあるピア デバイスの IP アドレス。

トンネル グループのオプション名（ピアの IP アドレスのデフォルト）。

認証タイプ（事前共有鍵またはデジタル証明書）。次のいずれかも必要です。

–事前共有鍵の場合は、鍵の名前。

–デジタル証明書の場合は、証明書署名アルゴリズム（RSA または DSA）、およびトラストポイントの名前。

RSA アルゴリズムと DSA アルゴリズムの違いについては、「 鍵ペア 」を参照してください。

トラストポイントは、CA または ID ペアを示します。トラストポイントには、CA の ID、CA 固有のコンフィギュレーション パラメータ、および 1 つの登録済み ID 証明書とのアソシエーションが含まれています。

（注） デジタル証明書認証タイプを選択する場合は、VPN ウィザードを実行する前に、トラストポイントを設定します（「トラストポイントの作成」を参照してください）。

3. トンネルのネゴシエートに使用する IPSec フェーズ 1 Internet Key Exchange Security Association ポリシー。これは、次のもので構成されます。

–IPSec VPN トンネルの暗号化アルゴリズム（両方のデバイスで同じである必要がある）：DES、3DES、AES-128、AES-192、または AES-256。デフォルトは 3DES です。

–IPSec VPN トンネルの認証アルゴリズム（両方のデバイスで同じである必要がある）：MD5 または SHA。デフォルトは SHA です。

Diffie Hellman グループ（両方のデバイスで同じである必要がある）：グループ 1、グループ 2、グループ 5、またはグループ 7。デフォルトはグループ 2 です。

4. VPN トンネルに適用する IPSec フェーズ 2 Encryption and Authentication ポリシー。パラメータとオプションは、次のとおりです。

–IPSec VPN トンネルの暗号化アルゴリズム（両方のデバイスで同じである必要がある）：DES、3DES、AES-128、AES-192、または AES-256。デフォルトは 3DES です。

–IPSec VPN トンネルの認証アルゴリズム（両方のデバイスで同じである必要がある）：MD5 または SHA。デフォルトは SHA です。

5. ローカル ホストとネットワーク：IP 接続のローカル サイトのホストとネットワーク。IP 接続のローカル サイトにおけるホストおよびネットワークを指定するには、次のオプションがあります。

–IP アドレス。このオプションを選択する場合は、次の情報が必要です。

インターフェイス名：ホストの接続先のインターフェイス、たとえば「inside」や「outside」。

IP アドレス：any、特定のローカル ホストのアドレス、またはサブネット。any を選択すると、IP アドレスとサブネット マスクが 0.0.0.0 になります。

サブネット マスク：255.255.255.255 ～ 0.0.0.0 の値。

–ASA コンフィギュレーションにすでに存在するホストの名前。

–保護対象のネットワークまたはホストのリストを含むグループ。このオプションを選択する場合は、次の情報が必要です。

ASA コンフィギュレーションにすでに存在するホストの名前。

ASA コンフィギュレーションにすでに存在するグループの名前。

（注） ホストまたはネットワークのグループ名を設定するには、Configuration > Global Objects > Hosts/Networks に移動します。

6. リモート ホストとネットワーク：IP 接続のリモート サイトのホストとネットワーク。

オプションは、ローカル ホストとネットワークのオプションと同じです。

この項で説明した情報を準備した後、「 VPN ウィザードの実行 」に進みます。

ローカルに保存されたユーザ アカウントを使用したリモート アクセス

リモート アクセス VPN トンネルで ASA コンフィギュレーションにログイン アカウントを保存する必要がある場合は、次の情報を収集します。

（注） これらの値を記録する場合は、関連付けられている番号をメモしてください。これらの番号は、VPN ウィザードに表示されるステップ番号に対応しています。

1. VPN トンネル タイプ

サイトツーサイト VPN トンネル用のインターフェイス（たとえば、「inside」や「outside」）。VPN トンネルを設定する前に、セキュリティ アプライアンスにインターフェイスを設定します。トンネルを設定する場合は、設定する VPN トンネルに関連付けるインターフェイスを選択します。

2. リモートアクセス クライアント

デフォルト設定（Cisco VPN Client リリース 3.x 以上、または他の Easy VPN Remote 製品）を使用して、この ASA へのトンネルでサポートされる VPN クライアントのタイプを指定します。このリリースでは、他のオプションはサポートされていません。

3. VPN トンネル グループ名および認証方式

リモート クライアントと ASA の両方に使用するトンネル グループの名前。このグループ名によって、次のステップで指定する共通の接続設定およびクライアント設定が決まります。

認証タイプ（事前共有鍵またはデジタル証明書）。次のいずれかも必要です。

–事前共有鍵の場合は、鍵の名前。

–デジタル証明書の場合は、証明書署名アルゴリズム（RSA または DSA）、およびトラストポイントの名前。

RSA アルゴリズムと DSA アルゴリズムの違いについては、「 鍵ペア 」を参照してください。

トラストポイントは、CA または ID ペアを示します。トラストポイントには、CA の ID、CA 固有のコンフィギュレーション パラメータ、および 1 つの登録済み ID 証明書とのアソシエーションが含まれています。

（注） デジタル証明書認証タイプを選択する場合は、VPN ウィザードを実行する前に、トラストポイントを設定します（Configuration > Properties > Certificate > Trustpoint）。

4. クライアント認証（次のいずれかのオプションを選択できる）

–ローカル（内部）ユーザ データベースを使用した認証。

このオプションでは、ASA コンフィギュレーションにユーザ アカウントを入力できます。

–AAA サーバ グループを使用した認証。

このオプションでは、クライアント認証を処理するための AAA サーバ グループを選択できます。このオプションを選択した場合は、次の項の同じステップに進みます。

5. ユーザ アカウント

「Authenticate using the local (internal) user database」を選択した場合は、ローカル データベースに挿入するために、各ユーザのログイン名とそれぞれのパスワードをリストします。

6. アドレス プール

ASA コンフィギュレーション内にすでに存在する IP アドレス プールの名前を選択することも、新しい IP アドレス プールを指定することもできます。新しい IP アドレス プールを指定する場合は、新しいプールの名前、関連付けられる IP アドレス範囲、およびサブネット マスク（オプション）が必要です。

7. （オプション）クライアントにプッシュするアトリビュート

VPN クライアントの接続時に、VPN クライアントに次のアトリビュートをプッシュするよう選択できます。

–プライマリおよびセカンダリ DNS サーバの IP アドレス。

–プライマリおよびセカンダリ WINS サーバの IP アドレス。

–デフォルト ドメイン名。

8. トンネルのネゴシエートに使用する IPSec フェーズ 1 Internet Key Exchange Security Association ポリシー。これは、次のもので構成されます。

–IPSec VPN トンネルの暗号化アルゴリズム（両方のデバイスで同じである必要がある）：DES、3DES、AES-128、AES-192、または AES-256。デフォルトは 3DES です。

–IPSec VPN トンネルの認証アルゴリズム（両方のデバイスで同じである必要がある）：MD5 または SHA。デフォルトは SHA です。

Diffie Hellman グループ（両方のデバイスで同じである必要がある）：グループ 1、グループ 2、グループ 5、またはグループ 7。デフォルトはグループ 2 です。

9. VPN トンネルに適用する IPSec フェーズ 2 Encryption and Authentication ポリシー。パラメータとオプションは、次のとおりです。

–IPSec VPN トンネルの暗号化アルゴリズム（両方のデバイスで同じである必要がある）：DES、3DES、AES-128、AES-192、または AES-256。デフォルトは 3DES です。

–IPSec VPN トンネルの認証アルゴリズム（両方のデバイスで同じである必要がある）：MD5 または SHA。デフォルトは SHA です。

10. （オプション）アドレス変換免除およびスプリット トンネリング

VPN の認証済みリモート ユーザに公開される、内部ネットワーク内のホストおよびネットワーク。none を指定してトンネル内の認証済みリモート ユーザに内部ネットワーク全体を公開するか、トンネル内の認証済みリモート ユーザに公開する内部アドレスを指定して、残りのアドレスがネットワーク アドレス変換によって隠蔽されたままになるようにします。IP 接続のローカル サイトにおけるホストおよびネットワークの内部アドレスを指定するには、次のオプションがあります。

–IP アドレス。このオプションを選択する場合は、次の情報が必要です。

インターフェイス名：ホストの接続先のインターフェイス、たとえば「inside」や「outside」。

IP アドレス：any、特定のローカル ホストのアドレス、またはサブネット。any を選択すると、IP アドレスとサブネット マスクが 0.0.0.0 になります。

サブネット マスク：255.255.255.255 ～ 0.0.0.0 の値。

–ASA コンフィギュレーションにすでに存在するホストの名前。

–保護対象のネットワークまたはホストのリストを含むグループ。このオプションを選択する場合は、次の情報が必要です。

ASA コンフィギュレーションにすでに存在するホストの名前。

ASA コンフィギュレーションにすでに存在するグループの名前。

（注） ホストまたはネットワークのグループ名を設定するには、Configuration > Global Objects > Hosts/Networks に移動します。

スプリット トンネリング：イネーブルにして VPN ユーザによるインターネットへの暗号化されていないアクセスを可能にするか、またはディセーブルのままにします。

（注） スプリット トンネリングをイネーブルにすると、上記で指定したホストがスプリット トンネル アクセス リストとしても機能します。

この項で説明した情報を準備した後、「 VPN ウィザードの実行 」に進みます。

クライアント認証に AAA サーバ グループを使用したリモート アクセス

AAA サーバ グループを使用したクライアント認証が必要なリモート アクセス VPN トンネルには、次の情報を収集します。

（注） これらの値を記録する場合は、関連付けられている番号をメモしてください。これらの番号は、VPN ウィザードに表示されるステップ番号に対応しています。

1. VPN トンネル タイプ

サイトツーサイト VPN トンネル用のインターフェイス（たとえば、「inside」や「outside」）。VPN トンネルを設定する前に、セキュリティ アプライアンスにインターフェイスを設定します。トンネルを設定する場合は、設定する VPN トンネルに関連付けるインターフェイスを選択します。

2. リモートアクセス クライアント

デフォルト設定（Cisco VPN Client リリース 3.x 以上、または他の Easy VPN Remote 製品）を使用して、この ASA へのトンネルでサポートされる VPN クライアントのタイプを指定します。このリリースでは、他のオプションはサポートされていません。

3. VPN トンネル グループ名および認証方式

リモート クライアントと ASA の両方に使用するトンネル グループの名前。このグループ名によって、次のステップで指定する共通の接続設定およびクライアント設定が決まります。

認証タイプ（事前共有鍵またはデジタル証明書）。次のいずれかも必要です。

–事前共有鍵の場合は、鍵の名前。

–デジタル証明書の場合は、証明書署名アルゴリズム（RSA または DSA）、およびトラストポイントの名前。

RSA アルゴリズムと DSA アルゴリズムの違いについては、「 鍵ペア 」を参照してください。

トラストポイントは、CA または ID ペアを示します。トラストポイントには、CA の ID、CA 固有のコンフィギュレーション パラメータ、および 1 つの登録済み ID 証明書とのアソシエーションが含まれています。

（注） デジタル証明書認証タイプを選択する場合は、VPN ウィザードを実行する前に、トラストポイントを設定します（Configuration > Properties > Certificate > Trustpoint）。

4. クライアント認証（次のいずれかのオプションを選択できる）

–ローカル（内部）ユーザ データベースを使用した認証。

このオプションでは、ASA コンフィギュレーションにユーザ アカウントを入力できます。このオプションを選択した場合は、前の項のステップ 5 から操作を続けます。

–AAA サーバ グループを使用した認証。

このオプションを選択した場合は、コンフィギュレーションに追加済みの AAA サーバ グループの名前を選択するか、または新しい名前を作成します。 Configuration > Properties > AAA Setup パスでは、AAA サーバのコンフィギュレーションを確認および管理できます。これらの認証オプションを提供する VPN ウィザードの Client Authentication パネルには、AAA サーバ グループの作成に使用できる New ボタンもあります。このオプションを選択した場合は、グループ名の入力、認証プロトコルの選択（RADIUS、TACACS+、SDI、NT、Kerberos のいずれか）、サーバの IP アドレスの指定、インターフェイスの選択（「inside」または「outside」）、およびサーバの秘密鍵の指定を実行できるように準備しておいてください。

5. アドレス プール

ASA コンフィギュレーション内にすでに存在する IP アドレス プールの名前を選択することも、新しい IP アドレス プールを指定することもできます。新しい IP アドレス プールを指定する場合は、新しいプールの名前、関連付けられる IP アドレス範囲、およびサブネット マスク（オプション）が必要です。

6. （オプション）クライアントにプッシュするアトリビュート

VPN クライアントの接続時に、VPN クライアントに次のアトリビュートをプッシュするよう選択できます。

–プライマリおよびセカンダリ DNS サーバの IP アドレス。

–プライマリおよびセカンダリ WINS サーバの IP アドレス。

–デフォルト ドメイン名。

7. トンネルのネゴシエートに使用する IPSec フェーズ 1 Internet Key Exchange Security Association ポリシー。これは、次のもので構成されます。

–IPSec VPN トンネルの暗号化アルゴリズム（両方のデバイスで同じである必要がある）：DES、3DES、AES-128、AES-192、または AES-256。デフォルトは 3DES です。

–IPSec VPN トンネルの認証アルゴリズム（両方のデバイスで同じである必要がある）：MD5 または SHA。デフォルトは SHA です。

Diffie Hellman グループ（両方のデバイスで同じである必要がある）：グループ 1、グループ 2、グループ 5、またはグループ 7。デフォルトはグループ 2 です。

8. VPN トンネルに適用する IPSec フェーズ 2 Encryption and Authentication ポリシー。パラメータとオプションは、次のとおりです。

–IPSec VPN トンネルの暗号化アルゴリズム（両方のデバイスで同じである必要がある）：DES、3DES、AES-128、AES-192、または AES-256。デフォルトは 3DES です。

–IPSec VPN トンネルの認証アルゴリズム（両方のデバイスで同じである必要がある）：MD5 または SHA。デフォルトは SHA です。

9. （オプション）アドレス変換免除およびスプリット トンネリング

VPN の認証済みリモート ユーザに公開される、内部ネットワーク内のホストおよびネットワーク。none を指定してトンネル内の認証済みリモート ユーザに内部ネットワーク全体を公開するか、トンネル内の認証済みリモート ユーザに公開する内部アドレスを指定して、残りのアドレスがネットワーク アドレス変換によって隠蔽されたままになるようにします。IP 接続のローカル サイトにおけるホストおよびネットワークの内部アドレスを指定するには、次のオプションがあります。

–IP アドレス。このオプションを選択する場合は、次の情報が必要です。

インターフェイス名：ホストの接続先のインターフェイス、たとえば「inside」や「outside」。

IP アドレス：any、特定のローカル ホストのアドレス、またはサブネット。any を選択すると、IP アドレスとサブネット マスクが 0.0.0.0 になります。

サブネット マスク：255.255.255.255 ～ 0.0.0.0 の値。

–ASA コンフィギュレーションにすでに存在するホストの名前。

–保護対象のネットワークまたはホストのリストを含むグループ。このオプションを選択する場合は、次の情報が必要です。

ASA コンフィギュレーションにすでに存在するホストの名前。

ASA コンフィギュレーションにすでに存在するグループの名前。

（注） ホストまたはネットワークのグループ名を設定するには、Configuration > Global Objects > Hosts/Networks に移動します。

スプリット トンネリング：イネーブルにして VPN ユーザによるインターネットへの暗号化されていないアクセスを可能にするか、またはディセーブルのままにします。

（注） スプリット トンネリングをイネーブルにすると、上記で指定したホストがスプリット トンネル アクセス リストとしても機能します。

この項で説明した情報を準備した後、「 VPN ウィザードの実行 」に進みます。

VPN ウィザードの実行

VPN ウィザードを実行するには、次の手順を実行します。

ステップ 1 Wizards > VPN Wizard に移動します。

ステップ 2 設定するトンネルのタイプとして、 Site to Site または Remote Access を選択します。

ステップ 3 VPN Tunnel インターフェイスの横にある Inside または Outside を選択します。

ステップ 4 Next をクリックして、VPN ウィザードの指示に従います。詳細については、 Help をクリックしてください。