ナビゲーション パス

[デバイス（Devices）] > [VPN] > [サイト間（Site To Site）]。その後、[VPN の追加（Add VPN）] > [Firepower Threat Defense デバイス（Firepower Threat Defense Device）]、またはリストされている VPN トポロジを編集します。[エンドポイント（Endpoint）] タブを開きます。

フィールド

Device

展開するエンドポイント ノードを選択します。

• この Firepower Threat Defense で管理する Firepower Management Center デバイス。

• この Firepower Threat Defense で管理する Firepower Management Center ハイ アベイラビリティ コンテナ。

• [エクストラネット（Extranet）] デバイス。この Firepower Management Center の管理対象ではない任意のデバイス（シスコまたはサードパーティ）。

デバイス名（Device Name）

エクストラネット デバイスの場合のみ、このデバイスの名前を入力します。シスコでは、管理対象ではないデバイスとして識別できるような名前を付けることを推奨します。

インターフェイス（Interface）

エンドポイントとして管理対象デバイスを選択した場合は、その管理対象デバイスのインターフェイスを選択します。

[IPアドレス（IP Address）]

• Firepower Management Center の管理対象ではないデバイスを選択した場合は、エンドポイントの IP アドレスを指定します。

• エンドポイントとして管理対象デバイスを選択した場合は、ドロップダウン リストから 1 つの IPv4 アドレスまたは複数の IPv6 アドレスを選択します（これらはすでにこの管理対象デバイスのこのインターフェイスに割り当てられているアドレスです）。

• トポロジ内のすべてのエンドポイントは、同じ IP アドレッシング方式でなければなりません。IPv4 トンネルは IPv6 トラフィックを伝送でき、逆もまた同様です。保護ネットワークでは、トンネルするトラフィックで使用するアドレッシング方式が定義されます。

• 管理対象デバイスがハイ アベイラビリティ コンテナである場合は、インターフェイスのリストから選択します。

この IP はプライベートです（This IP is Private）

エンドポイントが、ネットワーク アドレス変換（NAT）を備えたファイアウォールの背後に配置されている場合は、このチェックボックスをオンにします。

パブリック IP アドレス（Public IP address）

[この IP はプライベートです（This IP is Private）] チェックボックスがオンの場合は、ファイアウォールのパブリック IP アドレスを指定します。エンドポイントがレスポンダの場合は、この値を指定します。

接続タイプ（Connection Type）

許可されるネゴシエーションを、bidirectional、answer-only、または originate-only として指定します。接続タイプのサポートされる組み合わせは次のとおりです。

表 1. 接続タイプのサポートされる組み合わせ

リモート ノード	中央ノード
Originate-Only	Answer-Only
Bi-Directional	Answer-Only
Bi-Directional	Bi-Directional

保護されたネットワーク（Protected Networks）

この VPN エンドポイントによって保護されたネットワークのリストを定義します。追加アイコン（）をクリックして、使用可能なネットワーク オブジェクトから選択するか、ネットワーク オブジェクト インラインに追加します。ネットワーク オブジェクトの作成を参照してください。アクセス コントロール リストがここで選択されたものから生成されます。

• サブネット/IP アドレス（ネットワーク）：VPN エンドポイントは同じ IP アドレスを持つことはできません。また、VPN エンドポイント ペアの保護されたネットワークは重複することはできません。エンドポイントについて保護されたネットワークのリストに 1 つ以上の IPv4 または IPv6 エントリが含まれている場合、他のエンドポイントの保護されたネットワークは、同じタイプ（つまり、IPv4 または IPv6）のエントリを少なくとも 1 つ持っていることが必要です。このようなエントリを持っていない場合、他のエンドポイントの IP アドレスが同じタイプであること、および保護されたネットワーク内でエントリが重複しないことが必要です。（IPv4 については/32 CIDR アドレスを使用し、IPv6 については/128 CIDR アドレス ブロックを使用します）。これらの両方のチェックに失敗すると、エンドポイントのペアは機能しません。

このトポロジに選択した IKE のバージョンの場合は、[IKEv1/IKEv2 設定（IKEv1/IKEv2 Settings）] を指定します。

（注）	このダイアログの設定は、トポロジ全体、すべてのトンネル、すべての管理対象デバイスに適用されます。

ナビゲーション パス

[デバイス（Devices）] > [VPN] > [サイト間（Site To Site）]。その後、[VPN の追加（Add VPN）] > [Firepower Threat Defense デバイス（Firepower Threat Defense Device）]、またはリストされている VPN トポロジを編集します。[IKE] タブを開きます。

フィールド

ポリシー

事前定義済みの IKEv1 または IKEv2 ポリシー オブジェクトを選択するか、または使用する新しいポリシー オブジェクトを作成します。詳細の参照先： Firepower Threat Defense IKE ポリシー

認証タイプ（Authentication Type）

（注）	IKEv1 をサポートする VPN トポロジでは、選択した IKEv1 ポリシー オブジェクトで指定した [認証方式（Authentication Method）] が、IKEv1 の [認証タイプ（Authentication Type）] 設定のデフォルトになります。これらの値は一致する必要があります。一致しないと設定がエラーになります。

• [事前共有自動キー（Pre-shared Automatic Key）]：管理センターが、この VPN に使用される事前共有キーを自動的に定義します。[事前共有キー長（Pre-shared Key Length）] を指定します。キーの文字数は 1 ～ 27 文字です。

• [事前共有手動キー（Pre-shared Manual Key）]：この VPN に使用される事前共有キーを手動で割り当てます。[キー（Key）] を指定して、[キーの確認（Confirm Key）] に再入力して確認します。

• [証明書（Certificate）]：VPN 接続の認証方法として証明書を使用する場合、ピアは PKI インフラストラクチャ内の CA サーバからデジタル証明書を取得し、相互に認証するためにトレードします。

  [証明書（Certificate）] フィールドで、事前設定された PKI 登録オブジェクトを選択します。この登録オブジェクトは、管理対象デバイス上で同じ名前のトラストポイントを生成するために使用されます。トラストポイントは、PKI 登録オブジェクトがそのデバイスに関連付けられている場合に作成されます。

オプションの説明の詳細については、使用する認証方式の決定を参照してください。

（注）	このダイアログの設定は、トポロジ全体、すべてのトンネル、すべての管理対象デバイスに適用されます。

クリプト マップ タイプ（Crypto-Map Type）

クリプト マップには、IPsec Security Association（SA; セキュリティ アソシエーション）を設定するために必要なすべてのコンポーネントが組み合わされています。2 つのピアが SA を確立しようとする場合は、それぞれに少なくとも 1 つの互換クリプト マップ エントリが必要です。クリプト マップ エントリに定義されたプロポーザルは、そのクリプト マップの IPsec ルールによって指定されたデータ フローを保護するための IPsec セキュリティ ネゴシエーションで使用されます。この展開のクリプト マップにスタティックまたはダイナミックを選択します。

• [スタティック（Static）]：スタティック暗号マップは、ポイントツーポイントまたは完全メッシュ VPN トポロジで使用します。

• [ダイナミック（Dynamic）]：実質的に、ダイナミック暗号マップによって、すべてのパラメータが設定されていない暗号マップ エントリが作成されます。設定されていないパラメータは、IPsec ネゴシエーションの結果として、リモート ピアの要件に合うようにあとで動的に設定されます。

  ダイナミック クリプト マップ ポリシーは、ハブアンドスポーク VPN 設定にのみ適用されます。ポイントツーポイントまたはフル メッシュ VPN トポロジでは、スタティック クリプト マップ ポリシーのみを適用できます。2 つのデバイスを使用してハブアンドスポーク トポロジを作成することで、ポイントツーポイント トポロジでダイナミック クリプト マップの使用をエミュレートします。スポークのダイナミック IP アドレスを指定し、このトポロジでダイナミック クリプト マップを有効にします。

IKEv2 モード（IKEv2 Mode）

IPsec IKEv2 の場合のみ、カプセル化モードはトンネルに ESP 暗号化と認証を適用するために指定します。これにより、ESP が適用されるオリジナルの IP パケットの部分が決定されます。

• [トンネル モード（Tunnel mode）]：（デフォルト）カプセル化モードがトンネル モードに設定されます。トンネル モードでは、ESP 暗号化と認証が元の IP パケット全体（IP ヘッダーとデータ）に適用されるため、最終的な送信元アドレスと宛先アドレスが非表示になり、新しい IP パケットでペイロードになります。

  トンネル モードの大きな利点は、エンド システムを変更しなくても IPsec を利用できるということです。このモードでは、ルータなどのネットワーク デバイスが IPsec のプロキシとして動作できます。つまり、ルータがホストに代わって暗号化を行います。送信元ルータがパケットを暗号化し、IPsec トンネルを使用して転送します。宛先ルータは元の IP データグラムを復号化し、宛先システムに転送します。また、トラフィック分析から保護することもできます。トンネル モードを使用すると、攻撃者にはトンネルのエンドポイントしかわからず、トンネリングされたパケットの本来の送信元と宛先はわかりません（これらがトンネルのエンドポイントと同じ場合でも同様）。

• [転送優先（Transport preferred）]：ピアがサポートしていない場合、カプセル化モードは、トンネル モードにフォールバックするオプション付きの転送モードに設定されます。転送モードでは IP ペイロードだけが暗号化され、元の IP ヘッダーはそのまま使用されます。したがって、管理者は、VPN インターフェイスの IP アドレスと一致する保護されたネットワークを選択する必要があります。

  このモードには、各パケットに数バイトしか追加されず、パブリック ネットワーク上のデバイスに、パケットの最終的な送信元と宛先を認識できるという利点があります。転送モードでは、中間ネットワークでの特別な処理（たとえば QoS）を、IP ヘッダーの情報に基づいて実行できるようになります。ただし、レイヤ 4 ヘッダーが暗号化されるため、パケットの検査が制限されます。

• [転送必須（Transport required）]：カプセル化モードは転送モードのみに設定され、トンネル モードにフォールバックすることはできません。転送モードをサポートしていない 1 つのエンドポイントがあるせいで、エンドポイントが転送モードを正常にネゴシエートできない場合、VPN 接続は行われません。

プロポーザル（Proposals）

選択した IKEv1 または IKEv2 メソッドのプロポーザルを指定するには、（）をクリックします。利用可能な [IKEv1 IPsec プロポーザル（IKEv1 IPsec Proposals）] または [IKEv2 IPsec プロポーザル（IKEv2 IPsec Proposals）] オブジェクトから選択するか、または新しいプロポーザルを作成して選択します。詳細については、「IKEv1 IPsec プロポーザル オブジェクトの設定」および「IKEv2 IPsec プロポーザル オブジェクトの設定」を参照してください。

セキュリティ アソシエーション（SA）の強度適用の有効化（Enable Security Association (SA) Strength Enforcement）

このオプションを有効にすると、子 IPsec SA で使用される暗号化アルゴリズムが、親 IKE SA よりも強くなることはありません（キー内のビット数の観点から）。

リバース ルート インジェクションを有効にする（Enable Reverse Route Injection）

リバース ルート インジェクション（RRI）により、スタティック ルートは、リモート トンネル エンドポイントで保護されているネットワークとホストのルーティング プロセスに自動的に挿入されます。

Perfect Forward Secrecy の有効化（Enable Perfect Forward Secrecy）

暗号化された交換ごとに一意のセッション キーを生成および使用するために、Perfect Forward Secrecy（PFS）を使用するかどうかを指定します。固有のセッション キーを使用することで、後続の復号から交換が保護されます。また、交換全体が記録されていて、攻撃者がエンドポイント デバイスで使用されている事前共有キーや秘密キーを入手している場合であっても保護されます。このオプションを選択する場合は、[係数グループ（Modulus Group）] リストで、PFS セッション キーの生成時に使用する Diffie-Hellman キー導出アルゴリズムも選択します。

係数グループ（Modulus Group）

2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。オプションの説明の詳細については、使用する Diffie-Hellman 係数グループの決定を参照してください。

ライフタイム(秒)（Lifetime (seconds)）

セキュリティ アソシエーションが期限切れになる前に存続できる秒数。デフォルトは 28,800 秒です。

ライフタイム（KB）（Lifetime (kbytes)）

特定のセキュリティ アソシエーションが期限切れになる前にそのセキュリティ アソシエーションを使用して IPsec ピア間を通過できるトラフィック量（KB 単位）。デフォルトは 4,608,000 KB です。無制限のデータは許可されていません。

ESPv3 設定（ESPv3 Settings）

着信 ICMP のエラーメッセージを検証（Validate incoming ICMP error messages）

IPsec トンネルを介して受信され、プライベート ネットワーク上の内部ホストが宛先の ICMP エラー メッセージを検証するかどうかを選択します。

「フラグメント禁止」ポリシーを有効にする（Enable 'Do Not Fragment' Policy）

IP ヘッダーに Do-Not-Fragment（DF）ビット セットを持つ大きなパケットを IPsec サブシステムがどのように処理するかを定義します。

ポリシー

• [DF ビッドのコピー（Copy DF bit）]：DF ビットを維持します。

• [DF ビッドのクリア（Clear DF bit）]：DF ビットを無視します。

• [DF ビットの設定（Set DF bit）]：DF ビットを設定して使用します。

トラフィック フロー機密保持（TFC）パケットを有効にする（Enable Traffic Flow Confidentiality (TFC) Packets）

トンネルを通過するトラフィック プロファイルをマスクするダミーの TFC パケットを有効にします。[バースト（Burst）]、[ペイロード サイズ（Payload Size）]、および [タイムアウト（Timeout）] パラメータを使用して、指定した SA で不定期にランダムな長さのパケットを生成します。

ここでは、S2S VPN の展開で指定できる詳細オプションについて説明します。それらの設定は、トポロジ全体、すべてのトンネル、およびすべての管理対象デバイスに適用されます。