Cisco Firepower Threat Defense バージョン 6.2 コンフィギュレーション ガイド(Firepower Device Manager 用)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Firepower Threat Defense バージョン 6.2 コンフィギュレーション ガイド(Firepower Device Manager 用)

Chapter Title

サイト間 VPN

検索結果

Updated:
2017年12月8日

章のタイトル: サイト間 VPN

サイト間 VPN

バーチャル プライベート ネットワーク(VPN)は、公共の送信元(インターネット、またはその他のネットワーク)を使用するリモート ピア間に、セキュアなトンネルを確立するネットワーク接続です。VPN ではトンネルを使用して、通常の IP パケット内にデータ パケットをカプセル化し、IP ベースのネットワーク上を転送します。VPN では暗号化を使用することでプライバシーを保証し、認証によってデータ整合性を保証します。

VPN の基本

トンネリングによって、インターネットなどのパブリック TCP/IP ネットワークの使用が可能となり、リモート ユーザとプライベート企業ネットワークとの間でセキュアな接続を作成できます。各セキュアな接続がトンネルと呼ばれます。

IPsec ベースの VPN テクノロジーでは、Internet Security Association and Key Management Protocol(ISAKMP または IKE)と IPsec トンネリングを使用して、トンネルを構築し管理します。ISAKMP と IPsec は、次を実現します。

  • トンネル パラメータのネゴシエート。

  • トンネルの確立。

  • ユーザとデータの認証。

  • セキュリティ キーの管理。

  • データの暗号化と復号。

  • トンネルを経由するデータ転送の管理。

  • トンネル エンドポイントまたはルータとしてのインバウンドおよびアウトバウンドのデータ転送の管理。

VPN 内のデバイスは、双方向トンネル エンドポイントとして機能します。プライベート ネットワークからプレーン パケットを受信し、それらをカプセル化して、トンネルを作成し、それらをトンネルの他端に送信することができます。そこで、カプセル化が解除され、最終宛先へ送信されます。また、パブリック ネットワークからカプセル化されたパケットを受信し、それらをカプセル化解除して、プライベート ネットワーク上の最終宛先に送信することもできます。

サイト間 VPN 接続が確立された後、ローカル ゲートウェイの背後にあるホストは、セキュアな VPN トンネルを介してリモート ゲートウェイの背後にあるホストと接続できます。接続は、2 つのゲートウェイの IP アドレスとホスト名、それらの背後にあるサブネット、および 2 つのゲートウェイが互いを認証するために使用する方式で構成されます。

Firepower Threat Defenseでは、システムは、VPN トラフィックがアクセス コントロール ポリシーを通じて受け渡されるまで、VPN トラフィックを送信しません。着信トンネル パケットは復号されてから、Snort プロセスへ送信されます。発信パケットは、Snort によって処理されてから、暗号化されます。VPN トンネルのエンドポイント ノードごとに保護されたネットワークを特定すると、どのトラフィックにFirepower Threat Defenseデバイスをパス スルーして内部ホストへ到達することが許可されるかが決まります。さらに、システムは、トンネルがダウンしている場合は、トンネル トラフィックをパブリックなソースに送信しません。

インターネット キー エクスチェンジ(IKE)

インターネット キー エクスチェンジ(IKE)は、IPsec ピアを認証し、IPsec 暗号化キーをネゴシエートして配信し、IPsec セキュリティ アソシエーション(SA)を自動的に確立するために使用されるキー管理プロトコルです。

IKE ネゴシエーションは、2 フェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間でセキュリティ アソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できます。フェーズ 2 のネゴシエーションでは、IKE は IPsec などの他のアプリケーションの SA を確立します。どちらのフェーズも、接続をネゴシエートするときにプロポーザルを使用します。

IKE ポリシーは、2 つのピアが、ピア間の IKE ネゴシエーションの安全性を確保するために使用する一連のアルゴリズムです。IKE ネゴシエーションは、各ピアが共通(共有)IKE ポリシーに同意することで始まります。このポリシーは、どのセキュリティ パラメータが後続の IKE ネゴシエーションを保護するかを規定します。 IKE バージョン 1(IKEv1)の場合、IKE ポリシーには単一セットのアルゴリズムとモジュラス グループが含まれます。IKEv1 とは異なり、IKEv2 ポリシーでは、フェーズ 1 ネゴシエーション中にピアがその中から選択できるように、複数のアルゴリズムとモジュラス グループを選択できます。単一の IKE ポリシーを作成できますが、最も必要なオプションにより高い優先順位をつけるために異なるポリシーが必要となる場合もあります。サイト間 VPN の場合は、単一の IKE ポリシーを作成できます。

IKE ポリシーを定義するには、次を指定します。

  • 固有の優先順位(1 ~ 65、543。1 が最高の優先順位)。

  • データを保護し、プライバシーを確保するための IKE ネゴシエーションの暗号化方式。

  • 送信者の ID を保証し、メッセージが伝送中に変更されないように確保するためのハッシュ メッセージ認証コード(HMAC)方式(IKEv2 では整合性アルゴリズムと呼ばれる)。

  • IKEv2 の場合、IKEv2 トンネル暗号化に必要なキーの材料とハッシュ操作を派生させるためのアルゴリズムとして使用される個別の擬似乱関数(PRF)。オプションは、ハッシュ アルゴリズムで使用されているものと同じです。

  • 暗号化キー判別アルゴリズムの強度を決定する Diffie-Hellman グループ。デバイスは、このアルゴリズムを使用して、暗号化キーとハッシュ キーを派生させます。

  • ピアの ID を保証するための認証方式。


    (注)  
    認証には事前共有キーのみが使用されます。

  • デバイスが暗号化キーを交換するまでに使用できる時間制限。

IKE ネゴシエーションが開始すると、ネゴシエーションを開始するピアはリモート ピアに有効なポリシーをすべて送信し、リモート ピアは優先順位順に自身のポリシーとの一致を検索します。ピアが、暗号化、ハッシュ(IKEv2 の場合は整合性と PRF)、認証、Diffie-Hellman 値を保持し、さらに、送信されたポリシーのライフタイム以下である SA ライフタイムを保持している場合に、IKE ポリシー間に一致が存在します。ライフタイムが同じでない場合は、リモート ピアから取得した短い方のライフタイムが適用されます。デフォルトでは、DES を使用するシンプルな IKE ポリシーが唯一有効なポリシーです。より高い優先順位のその他の IKE ポリシーによってより強力な暗号化標準をネゴシエートできますが、DES ポリシーでも正常なネゴシエーションが確保されます。

VPN 接続の安全性を確保する方法

VPN トンネルは通常、インターネットなどのパブリック ネットワークを経由するため、トラフィックを保護するために接続を暗号化する必要があります。IKE ポリシーと IPsec プロポーサルを使用して、暗号化とその他のセキュリティ技術を定義し、適用します。

デバイス ライセンスによって強力な暗号化を適用できる場合は、広範な暗号化とハッシュ アルゴリズム、および Diffie-Hellman グループがあり、その中から選択できます。ただし、一般に、トンネルに適用する暗号化が強力なほど、システム パフォーマンスは低下します。効率を損なうことなく十分な保護を提供するセキュリティとパフォーマンスのバランスを見い出します。

シスコでは、どのオプションを選択するかについての特定のガイダンスは提供できません。比較的大規模な企業またはその他の組織内で運用している場合は、すでに、満たす必要がある標準が定義されている可能性があります。定義されていない場合は、時間を割いてオプションを調べてください。

以降のトピックでは、使用可能なオプションについて説明します。

使用する暗号化アルゴリズムの決定

IKE ポリシーまたは IPsec プロポーザルに対して使用する暗号化アルゴリズムを決定する場合は、VPN 内のデバイスによってサポートされるアルゴリズムに限定されます。

IKEv2 では、複数の暗号化アルゴリズムを設定できます。各設定が、安全性の高い順に順序付けられ、ピアとのネゴシエーションにはこの順序が使用されます。IKEv1 では、1 つのオプションしか選択できません。

IPsec プロポーザルでは、このアルゴリズムは Encapsulating Security Protocol(ESP)によって使用されます。これにより、認証、暗号化、およびアンチリプレイ サービスが実現します。ESP の IP プロトコル タイプは 50 です。IKEv1 IPsec プロポーザルでは、アルゴリズム名の接頭辞が「ESP-」となります。

使用するデバイス ライセンスが強力な暗号化に対応している場合は、以下の暗号化アルゴリズムを選択できます。ライセンスが強力な暗号化に対応していない場合は、DES のみを選択できます。

  • AES-GCM(IKEv2 のみ):Advanced Encryption Standard in Galois/Counter Mode(AES-GCM)は、機密性とデータ発信元認証を可能にするブロック暗号動作モードであり、AES より強力なセキュリティを実現します。AES-GCM では、128、192、および 256 ビットの 3 種類の強度を持つキーを使用できます。長いキーほどセキュリティに優れますが、その分パフォーマンスが低くなります。GCM は AES モードの 1 つであり、NSA Suite B をサポートする必要があります。NSA Suite B は、暗号強度の米国連邦標準規格に適合するために各デバイスがサポートする必要のある、一連の暗号化アルゴリズムです。.

  • AES-GMAC(IKEv2 IPsec プロポーザルのみ):Advanced Encryption Standard Galois Message Authentication Code(AES-GMAC)はブロック暗号動作モードであり、発信元認証のみを実現します。これは、データを暗号化せずにデータ認証を可能にする、AES-GCM の一形態です。AES-GMAC では、128、192、および 256 ビットの 3 種類の強度を持つキーを使用できます。

  • AES:Advanced Encryption Standard(AES)は対称暗号アルゴリズムであり、DES より強力なセキュリティを実現し、3DES より効率的な計算方式です。AES では、128、192、および 256 ビットの 3 種類の強度を持つキーを使用できます。長いキーほどセキュリティに優れますが、その分パフォーマンスが低くなります。

  • 3DES:トリプル DES とも呼ばれ、56 ビットのキーを用い、暗号化を 3 回繰り返します。個々のデータ ブロックをそれぞれ異なるキーで 3 回ずつ処理するため、DES より強力なセキュリティを実現できます。ただし、DES より多くのシステム リソースを消費し、パフォーマンスも低速です。

  • DES:DES(データ暗号化標準)は 56 ビットのキーによる暗号化を行う、対称的な秘密キー ブロック アルゴリズムです。3DES より高速で、消費リソースも少なくて済みますが、安全性は劣ります。強力なデータ機密性が不要であり、システム リソースまたは速度を重視する場合は、DES を選択します。

  • Null:Null 暗号化アルゴリズムは、暗号化を使用しない認証を実現します。一般的には、テスト目的のみで使用します。

使用するハッシュ アルゴリズムの決定

IKE ポリシーでは、ハッシュ アルゴリズムがメッセージ ダイジェストを作成します。これは、メッセージの整合性を保証するために使用されます。IKEv2 では、ハッシュ アルゴリズムは 2 つのオプションに分かれています。1 つは整合性アルゴリズムに使用され、もう 1 つは擬似乱数関数(PRF)に使用されます。

IPsec プロポーザルでは、ハッシュ アルゴリズムは Encapsulating Security Protocol(ESP)による認証に使用されます。IKEv2 IPsec プロポーザルでは、これは整合性のハッシュと呼ばれます。IKEv1 IPsec プロポーザルでは、アルゴリズム名の接頭辞が「ESP-」となり、「-HMAC」(Hash Method Authentication Code)という接尾辞も使用されます。

IKEv2 では、複数のハッシュ アルゴリズムを設定できます。各設定が、安全性の高い順に順序付けられ、ピアとのネゴシエーションにはこの順序が使用されます。IKEv1 では、1 つのオプションしか選択できません。

選択可能なハッシュ アルゴリズムは、次のとおりです。

  • [SHA (Secure Hash Algorithm)]:160 ビットのダイジェストを生成します。SHA には、総当たり攻撃に対して、MD5 よりも高い耐性が備えられています。ただし、SHA は MD5 よりもリソース消費量が大きくなります。最大レベルのセキュリティを必要とする実装には、SHA ハッシュ アルゴリズムを使用してください。

    Standard SHA(SHA1)は 160 ビットのダイジェストを生成します。

    IKEv2 の設定では、以下の SHA-2 オプションを指定して、より高度なセキュリティを実現することができます。NSA Suite B 暗号化仕様を実装するには、次のいずれかを選択します。

    • SHA256:256 ビットのダイジェストを生成するセキュア ハッシュ アルゴリズム SHA 2 を指定します。

    • SHA384:384 ビットのダイジェストを生成するセキュア ハッシュ アルゴリズム SHA 2 を指定します。

    • SHA512:512 ビットのダイジェストを生成するセキュア ハッシュ アルゴリズム SHA 2 を指定します。

  • [MD5 (Message Digest 5)]:128 ビットのダイジェストを生成します。MD5 は処理時間が短いため、全体的なパフォーマンスが SHA より高速ですが、SHA より強度は低いと考えられています。

  • NULL またはなし(NULL、ESP-NONE):(IPsec プロポーザルのみ)NULL ハッシュ アルゴリズム。通常はテスト目的のみに使用されます。しかし、暗号化オプションとしていずれかの AES-GCM/GMAC オプションを選択した場合は、NULL 整合性アルゴリズムを選択する必要があります。NULL 以外のオプションを選択した場合、これらの暗号化標準に対しては、整合性ハッシュは無視されます。

使用する Diffie-Hellman 係数グループの決定

以下の Diffie-Hellman キー導出アルゴリズムを使用して、IPsec セキュリティ アソシエーション(SA)キーを生成できます。各グループは、それぞれ係数のサイズが異なります。係数のサイズが大きいほど、セキュリティは高まりますが、より多くの処理時間が必要となります。両方のピアが、一致する係数グループを使用する必要があります。

AES 暗号化を選択する場合、AES に必要となる大きなキー サイズをサポートするには、Diffie-Hellman(DH)グループ 5 以上を使用する必要があります。IKEv1 ポリシーでは、グループ 1、2、および 5 のみが許可されます。

NSA Suite B 暗号化仕様を実装するには、IKEv2 を使用し、楕円曲線 Diffie-Hellman(ECDH)オプション 19、20、または 21 のいずれか 1 つを選択します。2048 ビットの係数を使用する楕円曲線オプションおよびグループは、Logjam などの攻撃にさらされる可能性は低くなります。

IKEv2 では、複数のグループを設定できます。各設定が、安全性の高い順に順序付けられ、ピアとのネゴシエーションにはこの順序が使用されます。IKEv1 では、1 つのオプションしか選択できません。

  • 1:Diffie-Hellman グループ 1(768 ビット係数)

  • 2:Diffie-Hellman グループ 2(1024 ビット係数)

  • 5:Diffie-Hellman グループ 5(1536 ビット係数)128 ビット キーに対して最適な保護強度とみなされます。

  • 14:Diffie-Hellman グループ 14(2048 ビット係数)。192 ビット キーに対して最適な保護強度とみなされます。

  • 19:Diffie-Hellman グループ 19(256 ビット楕円曲線)

  • 20:Diffie-Hellman グループ 20(384 ビット楕円曲線)

  • 21:Diffie-Hellman グループ 21(521 ビット楕円曲線)

  • 24:Diffie-Hellman グループ 24(2048 ビット係数および 256 ビット素数位数サブグループ)

VPN トポロジ

Firepower Device Manager を使用して設定できるのは、ポイントツーポイント VPN 接続のみです。すべての接続はポイントツーポイントですが、デバイスが参加する各トンネルを定義することで、より大規模なハブアンドスポーク VPN、またはメッシュ VPN にリンクできます。

次の図は、一般的なポイントツーポイントの VPN トポロジを示しています。ポイントツーポイントの VPN トポロジでは、2 つのエンドポイントが相互に直接通信します。2 つのエンドポイントをピア デバイスとして設定し、いずれかのデバイスでセキュアな接続を開始することができます。

サイト間 VPN の管理

バーチャル プライベート ネットワーク(VPN)は、インターネットや他のネットワークなどのパブリック ソースを使用してリモート ピア間でセキュアなトンネルを確立するネットワーク接続です。VPN は、トンネルを使用して、IP ベースのネットワークを介して転送するために通常の IP パケット内にデータ パケットをカプセル化します。VPN では、プライバシーを確保するために暗号化が使用され、データの整合性を確保するために認証が使用されます。

ピア デバイスへの VPN 接続を作成できます。すべての接続はポイントツーポイントですが、すべての関連接続を設定することにより、デバイスをより大きなハブアンドスポーク VPN または メッシュ VPN にリンクさせることができます。


(注)  

VPN 接続は、暗号化を使用してネットワークのプライバシーを保護します。使用できる暗号化アルゴリズムは、基本ライセンスが強力な暗号化を許可するかどうかによって異なります。これは、Cisco Smart License Manager に登録するときにデバイス上でエクスポート制御機能を許可するオプションを選択したかどうかによって制御されます。評価ライセンスを使用している場合またはエクスポート制御機能を有効にしていない場合は、強力な暗号化を使用できません。

手順
    ステップ 1   デバイスをクリックし、[サイト間 VPN(Site-to-Site VPN)] グループの [設定の表示(View Configuration)] をクリックします。

    これにより [サイト間 VPN(Site-to-Site VPN)] ページが開き、設定済みのすべての接続が示されます。

    ステップ 2   次のいずれかを実行します。

    • 新しいサイト間 VPN 接続を作成するには、[+]ボタンをクリックします。サイト間 VPN 接続の設定を参照してください。

      まだ接続がない場合は、[サイト間接続の作成(Create Site-to-Site Connection)] ボタンをクリックすることもできます。

    • 既存の接続を編集するには、その接続の編集アイコン()をクリックします。サイト間 VPN 接続の設定を参照してください。

    • 接続設定の概要をクリップボードにコピーするには、その接続のコピー アイコン()をクリックします。この情報をドキュメントに貼り付けて、リモート デバイスの管理者に送信し、接続の他方の端を設定するために役立てることができます。

    • 不要になった接続を削除するには、その接続の削除アイコン()をクリックします。

    サイト間 VPN 接続の設定

    リモート デバイス オーナーの協力と許可があることを前提に、デバイスを別のデバイスにリンクするためのポイントツーポイント VPN 接続を作成できます。すべての接続がポイントツーポイントですが、デバイスが参加する各トンネルを定義することで、より大規模なハブアンドスポーク VPN またはメッシュ VPN へリンクできます。


    (注)  

    ローカル ネットワークとリモート ネットワークの組み合わせごとに単一の VPN 接続を作成できます。ただし、リモート ネットワークが各接続プロファイル内で一意の場合は、ローカル ネットワークに対応する複数の接続を作成できます。

    手順
      ステップ 1   デバイスをクリックし、[サイト間 VPN(Site-to-Site VPN)] グループで [設定の表示(View Configuration)] をクリックします。
      ステップ 2   次のいずれかを実行します。

      • 新しいサイト間 VPN 接続を作成するには、[+]ボタンをクリックします。

        まだ接続が存在しない場合は、[サイト間接続の作成(Create Site-to-Site Connection)]ボタンをクリックすることもできます。

      • 既存の接続を編集するには、接続の編集アイコン()をクリックします。

      不要になった接続を削除するには、接続の削除アイコン()をクリックします。

      ステップ 3   ポイントツーポイント VPN 接続のエンドポイントを定義します。

      • 接続プロファイル名(Connection Profile Name):この接続の名前。スペースなしで最大 64 文字です。たとえば、MainOffice と入力します。名前として IP アドレスを使用することはできません。

      • ローカル サイト(Local Site):これらのオプションはローカル エンドポイントを定義します。

        • ローカル VPN アクセス インターフェイス(Local VPN Access Interface):リモート ピアが接続できるインターフェイスを選択します。これは、通常、外部インターフェイスです。インターフェイスをブリッジ グループのメンバーにすることはできません。

        • ローカル ネットワーク(Local Network):[+] をクリックして、VPN 接続に参加する必要があるローカル ネットワークを特定するネットワーク オブジェクトを選択します。これらのネットワーク上のユーザは、接続を介してリモート ネットワークに到達できます。

        (注)     

        これらのネットワークでは IPv4 または IPv6 アドレスを使用できますが、接続の各側でアドレス タイプを一致させる必要があります。たとえば、ローカル IPv4 ネットワークの VPN 接続には、少なくとも 1 つのリモート IPv4 ネットワークが必要です。単一の接続の両側で、IPv4 と IPv6 を組み合わせることができます。エンドポイントの保護されたネットワークをオーバーラップさせることはできません。

      • リモート サイト(Remote Site):これらのオプションはリモート エンドポイントを定義します。

        • リモート IP アドレス(Remote IP Address):VPN 接続をホストするリモート VPN ピアのインターフェイスの IP アドレスを入力します。

        • リモート ネットワーク(Remote Network):[+] をクリックし、VPN 接続に参加する必要があるリモート ネットワークを特定するネットワーク オブジェクトを選択しますこれらのネットワーク上のユーザは、接続を介してローカル ネットワークに到達できます。

      ステップ 4   [Next]をクリックします。
      ステップ 5   VPN のプライバシー設定を定義します。
      (注)     

      ライセンスによって、選択可能な暗号化プロトコルが決まります。最も基本的なオプション以外にもあらゆるオプションを選択するには、強力な暗号化、つまり十分なエクスポート制御を行うために適したライセンスが必要です。

      • IKE バージョン 2(IKE Version 2)、IKE バージョン 1(IKE Version 1):インターネット キー エクスチェンジ(IKE)のネゴシエーション時に使用する IKE バージョンを選択します。必要に応じて、いずれかまたは両方のオプションを選択します。デバイスが別のピアとの接続のネゴシエーションを試行する場合は、許可されたバージョンか、他のピアが受け入れるバージョンのどちらも使用できます。両方のバージョンを許可すると、最初に選択したバージョンとのネゴシエーションが正常に行われなかった場合に、デバイスは他のバージョンに自動的にフォールバックします。IKEv2 が設定されている場合は、常に最初に試行されます。ネゴシエーションで使用するには、両方のピアが IKEv2 をサポートする必要があります。

      • IKE ポリシー(IKE Policy):インターネット キー エクスチェンジ(IKE)は、IPsec ピアを認証し、IPsec 暗号化キーをネゴシエートして配信し、IPsec セキュリティ アソシエーション(SA)を自動的に確立するために使用されるキー管理プロトコルです。これはグローバル ポリシーです。有効にしたオブジェクトは、すべての VPN に適用されます。IKE バージョンごとに現在グローバルで有効なポリシーを調べたり、新しいポリシーの有効化や作成を行ったりするには、[編集(Edit)]をクリックします。詳細については、グローバル IKE ポリシーの設定を参照してください。

      • IPsec プロポーザル(IPsec Proposal):IPsec プロポーザルは、IPsec トンネル内のトラフィックを保護するセキュリティ プロトコルとアルゴリズムの組み合わせを定義します。[編集(Edit)]をクリックし、各 IKE バージョンのプロポーザルを選択します。許可するプロポーザルをすべて選択します。エクスポート コンプライアンスに基づいて異なるシステム デフォルトを選択するだけの場合は、[デフォルトに設定(Set Default)]をクリックします。システムは、ピアと合意が得られるまで、最強なプロポーザルから最弱なプロポーザルまで順次ネゴシエートします。詳細については、IPsec プロポーザルの設定を参照してください。

      • (IKEv2)ローカル事前共有キー(Local Preshared Key)、リモート ピア事前共有キー(Remote Peer Preshared Key):このデバイスと VPN 接続のリモート デバイスで定義されたキーです。IKEv2 では、これらのキーは異なります。キーには、1 ~ 127 文字の英数字を指定できます。

      • (IKEv1)事前共有キー(Preshared Key):ローカル デバイスとリモート デバイスの両方で定義されているキーです。キーには、1 ~ 127 文字の英数字を指定できます。

      • NAT 免除(NAT Exempt):ローカル VPN アクセス インターフェイスの NAT ポリシーから VPN トラフィックを除外するかどうかを指定します。ローカル ネットワークに NAT ルールを適用しない場合は、ローカル ネットワークをホストするインターフェイスを選択します。このオプションは、ローカル ネットワークが(ブリッジ グループのメンバーではなく)単一のルーテッド インターフェイスの背後に存在している場合にのみ動作します。ローカル ネットワークが複数のルーテッド インターフェイスの背後に存在する場合は、NAT 免除ルールを手動で作成する必要があります。必要なルールを手動で作成する方法の詳細については、NAT からのサイト間 VPN トラフィックの除外を参照してください。

      • Perfect Forward Secrecy 用の Diffie-Helman グループ(Diffie-Helman Group for Perfect Forward Secrecy):暗号化された交換ごとに一意のセッション キーを生成および使用するために、Perfect Forward Secrecy(PFS)を使用するかどうかを指定します。一意のセッション キーを使用することによって、以降の復号から交換が保護されます。このことは、交換全体が記録され、攻撃者がエンドポイント デバイスで使用される事前共有キーまたは秘密キーを入手している場合であっても該当します。Perfect Forward Secrecy を有効にするには、[モジュール グループ(Modulus Group)] リストで、PFS セッション キーの生成時に使用する Diffie-Hellman キー派生アルゴリズムを選択します。IKEv1 と IKEv2 の両方を有効にすると、オプションが IKEv1 でサポートされているオプションに限定されます。オプションの説明については、使用する Diffie-Hellman 係数グループの決定を参照してください。

      ステップ 6   [Next]をクリックします。
      ステップ 7   サマリを確認し、[完了(Finish)]をクリックします。

      サマリ情報はクリップボードにコピーされます。ドキュメントに情報を貼り付け、それを使用してリモート ピアの設定に役立てたり、ピアの設定担当者にそれを送信したりすることができます。

      グローバル IKE ポリシーの設定

      Internet Key Exchange(IKE; インターネット キー エクスチェンジ)は、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association(SA; セキュリティ アソシエーション)の自動的な確立に使用されるキー管理プロトコルです。

      IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティ アソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーションでは、IKE によって IPsec などの他のアプリケーション用の SA が確立されます。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。IKE プロポーザルは、2 つのピア間のネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通(共有)IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータを示します。

      IKE ポリシー オブジェクトはこれらのネゴシエーションに対して IKE プロポーザルを定義します。有効にするオブジェクトは、ピアが VPN 接続をネゴシエートするときに使用するものであり、接続ごとに異なる IKE ポリシーを指定することはできません。各オブジェクトの相対的な優先順位は、これらの中でどのポリシーを最初に試すかを決定します。数が小さいほど、優先順位が高くなります。ネゴシエーションで両方のピアがサポートできるポリシーを見つけられなければ、接続は確立されません。

      IKE グローバル ポリシーを定義するには、各 IKE バージョンを有効にするオブジェクトを選択します。事前定義されたオブジェクトが要件を満たさない場合、セキュリティ ポリシーを適用する新しいポリシーを作成します。

      次に、オブジェクト ページでグローバル ポリシーを設定する方法について説明します。VPN 接続を編集しているときに IKE ポリシー設定の [編集(Edit)]をクリックすることで、ポリシーの有効化、無効化および作成が行えます。

      手順
        ステップ 1   [オブジェクト(Objects)]を選択し、次に目次から [IKE ポリシー(IKE Policies)] を選択します。

        IKEv1 と IKEv2 のポリシーが別のリストに表示されます。

        ステップ 2   各 IKE バージョンで許可する IKE ポリシーを有効にします。
        1. オブジェクト テーブル上部の [IKEv1]または [IKEv2] を選択すると、そのバージョンのポリシーが表示されます。
        2. 適切なオブジェクトを有効にし、要件を満たしていないオブジェクトを無効にするには、[状態(State)]トグルをクリックします。

          セキュリティ要件の一部が既存のオブジェクトに反映されていない場合、要件に合う新しい要件を定義します。詳細については、次のトピックを参照してください。

        3. 相対的な優先順位が要件を満たすことを確認します。

          ポリシーの優先順位を変更する必要がある場合は、それを編集します。ポリシーが事前定義されたシステム ポリシーである場合、優先順位を変更するための独自のバージョンのポリシーを作成する必要があります。

          優先順位は相対的であり、絶対的ではありません。たとえば、優先順位 80 は 160 より優先されます。80 が最も優先順位の高い有効なオブジェクトである場合、これが最初に選択されるポリシーとなります。その後、優先順位が 25 のポリシーを有効にすると、それが最初に選択されるポリシーとなります。

        4. 両方の IKE バージョンを使用する場合、このプロセスを他のバージョンでも繰り返します。

        IKEv1 ポリシーの設定

        インターネット キー エクスチェンジ(IKE)バージョン 1 ポリシー オブジェクトには、VPN 接続を定義するときに IKEv1 ポリシーに必要なパラメータが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティ アソシエーション(SA)の自動確立に使用されます。

        定義済みの複数の IKEv1 ポリシーがあります。自分のニーズに適したポリシーがある場合は、[状態(State)]トグルをクリックして有効にできます。その他のセキュリティ設定の組み合わせを実装する新しいポリシーを作成することもできます。システム定義オブジェクトの編集や削除はできません。

        次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。VPN 接続の IKEv1 設定を編集している間に、オブジェクト リストに表示される [新規 IKE ポリシーの作成(Create New IKE Policy)]リンクをクリックして、IKEv1 ポリシー オブジェクトを作成することもできます。

        手順
          ステップ 1   [オブジェクト(Objects)]を選択し、目次から [IKE ポリシー(IKE Policies)] を選択します。
          ステップ 2   オブジェクト テーブルの上にある [IKEv1]を選択して、IKEv1 ポリシーを表示します。
          ステップ 3   自分の要件を満たすシステム定義ポリシーが存在する場合は、[状態(State)]トグルをクリックして有効にします。

          [状態(State)]トグルを使用して、不要なポリシーを無効にすることもできます。相対的な優先順位に基づき、最初に試されるポリシーが決まります。低い数字の方が優先順位が高くなります。

          ステップ 4   次のいずれかを実行します。

          • オブジェクトを作成するには、[+]ボタンをクリックします。

          • オブジェクトを編集するには、オブジェクトの編集アイコン()をクリックします。

          参照されていないオブジェクトを削除するには、オブジェクトのゴミ箱アイコン()をクリックします。

          ステップ 5   IKEv1 のプロパティを設定します。

          • [優先順位(Priority)]IKE ポリシーの相対的優先順位(1 〜 65,535)。この優先順位によって、共通のセキュリティ アソシエーション(SA)の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最高の優先順位を持つポリシーで選択されているパラメータをサポートしていない場合は、次に低い優先順位で定義されているパラメータの使用が試行されます。値が小さいほど、プライオリティが高くなります。

          • [名前(Name)]オブジェクトの名前(最大 128 文字)。

          • [状態(State)]IKE ポリシーが有効か無効かを示します。状態を変更するにはトグルをクリックします。有効になっているポリシーのみが IKE ネゴシエーション時に使用されます。

          • [認証(Authentication)]:2 つのピア間で使用する認証方式。事前共有キーを選択します。事前共有キーを使用すると、秘密鍵を 2 つのピア間で共有したり、認証フェーズ中に IKE で使用したりできます。ピアに同じ事前共有キーが設定されていない場合は、IKE SA を確立できません。

          • [暗号化(Encryption)]:フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティ アソシエーション(SA)の確立に使用される暗号化アルゴリズム。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。

          • [Diffie-Hellman グループ(Diffie-Hellman Group)]:2 つの IPsec ピア間の共有秘密を互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。オプションの説明については、使用する Diffie-Hellman 係数グループの決定を参照してください。

          • [ハッシュ(Hash)]:メッセージの整合性の確保に使用されるメッセージ ダイジェストを作成するためのハッシュ アルゴリズム。オプションの説明については、使用するハッシュ アルゴリズムの決定を参照してください。

          • [有効期間(Lifetime)]セキュリティ アソシエーション(SA)のライフタイム(秒単位、120 〜 2147483647)。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティ アソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。

          ステップ 6   [OK]をクリックして変更を保存します。

          IKEv2 ポリシーの設定

          インターネット キー エクスチェンジ(IKE)バージョン 2 ポリシー オブジェクトには、VPN 接続を定義するときに IKEv2 ポリシーに必要なパラメータが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティ アソシエーション(SA)の自動確立に使用されます。

          定義済みの複数の IKEv2 ポリシーがあります。自分のニーズに適したポリシーがある場合は、[状態(State)]トグルをクリックして有効にできます。その他のセキュリティ設定の組み合わせを実装する新しいポリシーを作成することもできます。システム定義オブジェクトの編集や削除はできません。

          次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。VPN 接続の IKEv2 設定を編集している間に、オブジェクト リストに表示される [新規 IKE ポリシーの作成(Create New IKE Policy)]リンクをクリックして、IKEv2 ポリシー オブジェクトを作成することもできます。

          手順
            ステップ 1   [オブジェクト(Objects)]を選択し、目次から [IKE ポリシー(IKE Policies)] を選択します。
            ステップ 2   オブジェクト テーブルの上にある [IKEv2]を選択して、IKEv2 ポリシーを表示します。
            ステップ 3   自分の要件を満たすシステム定義ポリシーが存在する場合は、[状態(State)]トグルをクリックして有効にします。

            [状態(State)]トグルを使用して、不要なポリシーを無効にすることもできます。相対的な優先順位に基づき、最初に試されるポリシーが決まります。低い数字の方が優先順位が高くなります。

            ステップ 4   次のいずれかを実行します。

            • オブジェクトを作成するには、[+]ボタンをクリックします。

            • オブジェクトを編集するには、オブジェクトの編集アイコン()をクリックします。

            参照されていないオブジェクトを削除するには、オブジェクトのゴミ箱アイコン()をクリックします。

            ステップ 5   IKEv2 のプロパティを設定します。

            • [優先順位(Priority)]IKE ポリシーの相対的優先順位(1 〜 65,535)。この優先順位によって、共通のセキュリティ アソシエーション(SA)の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最高の優先順位を持つポリシーで選択されているパラメータをサポートしていない場合は、次に低い優先順位で定義されているパラメータの使用が試行されます。値が小さいほど、プライオリティが高くなります。

            • [名前(Name)]オブジェクトの名前(最大 128 文字)。

            • [状態(State)]IKE ポリシーが有効か無効かを示します。状態を変更するにはトグルをクリックします。有効になっているポリシーのみが IKE ネゴシエーション時に使用されます。

            • [暗号化(Encryption)]:フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティ アソシエーション(SA)の確立に使用される暗号化アルゴリズム。許可するすべてのアルゴリズムを選択します。ただし、同じポリシーに混合モード(AES-GCM)オプションと通常モード オプションの両方を含めることはできません(通常モードでは整合性ハッシュを選択する必要がありますが、混合モードでは個別の整合性ハッシュの選択は禁止されています)。システムは、一致が得られるまで、最も強いアルゴリズムから最も弱いアルゴリズムの順にピアとネゴシエートします。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。

            • [Diffie-Hellman グループ(Diffie-Hellman Group)]:2 つの IPsec ピア間の共有秘密を互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。許可するすべてのアルゴリズムを選択します。システムは、一致が得られるまで、最も強いグループから最も弱いグループの順にピアとネゴシエートします。オプションの説明については、使用する Diffie-Hellman 係数グループの決定を参照してください。

            • [整合性ハッシュ(Integrity Hash)]:メッセージの整合性の確保に使用されるメッセージ ダイジェストを作成するためのハッシュ アルゴリズムの整合性部分。許可するすべてのアルゴリズムを選択します。システムは、一致が得られるまで、最も強いアルゴリズムから最も弱いアルゴリズムの順にピアとネゴシエートします。整合性ハッシュは AES-GCM 暗号化オプションでは使用されません。オプションの説明については、使用するハッシュ アルゴリズムの決定を参照してください。

            • [擬似乱数関数(PRF)ハッシュ(Pseudo Random Function (PRF) Hash)]:ハッシュ アルゴリズムの擬似乱数関数(PRF)部分であり、IKEv2 トンネル暗号化に必要なキー材料とハッシュ操作を取得するためのアルゴリズムとして使用されます。IKEv1 では、整合性と PRF アルゴリズムは別ですが、IKEv2 では、これらの要素に異なるアルゴリズムを指定できます。許可するすべてのアルゴリズムを選択します。システムは、一致が得られるまで、最も強いアルゴリズムから最も弱いアルゴリズムの順にピアとネゴシエートします。オプションの説明については、使用するハッシュ アルゴリズムの決定を参照してください。

            • [有効期間(Lifetime)]セキュリティ アソシエーション(SA)のライフタイム(秒単位、120 〜 2147483647)。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティ アソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。

            ステップ 6   [OK]をクリックして変更を保存します。

            IPsec プロポーザルの設定

            IPsec は、VPN を設定するための最も安全な手法の 1 つです。IPsec は IP パケット レベルのデータ暗号化を実現し、各種の標準規格に準拠した堅牢なセキュリティ ソリューションを提供します。IPsec を使用すると、データはトンネルを経由し、パブリック ネットワーク上を送信されます。このトンネルは、2 つのピア間をつなぐ、セキュアで論理的な通信パスです。IPsec トンネル内に入るトラフィックは、トランスフォーム セットと呼ばれるセキュリティ プロトコルおよびアルゴリズムの組み合わせによってセキュリティ保護されます。IPsec のセキュリティ アソシエーション(SA)ネゴシエーションの実施中、各ピアは、2 つのピアの両方に共通のトランスフォーム セットを検索します。

            IKE のバージョン(IKEv1 または IKEv2)ごとに、それぞれ異なる IPsec プロポーザル オブジェクトが使用されます。

            • IKEv1 IPsec プロポーザルを作成する場合は、IPsec が動作するモードを選択し、必要となる暗号化および認証のタイプを定義します。アルゴリズムに対して選択できるのは、1 つのオプションのみです。VPN で複数の組み合わせがサポートされるようにするには、複数の IKEv1 IPsec プロポーザル オブジェクトを作成して選択する必要があります。

            • IKEv2 IPsec プロポーザルを作成する場合は、VPN で許可されるすべての暗号化およびハッシュ アルゴリズムを選択できます。各設定が、安全性の高い順に順序付けられ、一致する設定が見つかるまで、ピアとのネゴシエーションにはこの順序が使用されます。これにより、IKEv1 のように、許可された組み合わせを 1 つずつ送信する必要がなく、許可されたすべての組み合わせを 1 回のプロポーザルで伝送できる場合もあります。

            IKEv1 および IKEv2 IPsec プロポーザルの両方に、Encapsulating Security Protocol(ESP)が使用されます。このプロトコルにより、認証、暗号化、およびアンチリプレイ サービスが実現します。ESP の IP プロトコル タイプは 50 です。


            (注)  

            IPsec トンネルに対しては、暗号化と認証の両方を使用することを推奨します。

            以下の各トピックでは、各 IKE バージョンごとの IPsec プロポーザルの設定方法について説明します。

            IKEv1 の IPsec プロポーザルの設定

            IKEv1 IPsec プロポーザル オブジェクトを使用して、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルとアルゴリズムの組み合わせを定義します。

            定義済みの複数の IKEv1 IPsec プロポーザルがあります。その他のセキュリティ設定の組み合わせを実装する新しいプロポーザルを作成することもできます。システム定義オブジェクトの編集や削除はできません。

            次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。VPN 接続の IKEv1 IPsec 設定を編集している間に、オブジェクト リストに表示される [新規 IPsec プロポーザルの作成(Create New IPsec Proposal)]リンクをクリックして、IKEv1 IPsec プロポーザル オブジェクトを作成することもできます。

            手順
              ステップ 1   [オブジェクト(Objects)]を選択し、目次から [IPsec プロポーザル(IPsec Proposals)] を選択します。
              ステップ 2   オブジェクト テーブルの上にある [IKEv1]を選択して、IKEv1 IPsec プロポーザルを表示します。
              ステップ 3   次のいずれかを実行します。

              • オブジェクトを作成するには、[+]ボタンをクリックします。

              • オブジェクトを編集するには、オブジェクトの編集アイコン()をクリックします。

              参照されていないオブジェクトを削除するには、オブジェクトのゴミ箱アイコン()をクリックします。

              ステップ 4   IKEv1 IPsec プロポーザルのプロパティを設定します。

              • [名前(Name)]オブジェクトの名前(最大 128 文字)。

              • [モード(Mode)]:IPsec トンネルが動作するモード。

                • [トンネル(Tunnel)]モード:IP パケット全体がカプセル化されます。IPSec ヘッダーが、元の IP ヘッダーと新しい IP ヘッダーとの間に追加されます。これがデフォルトです。トンネル モードは、ファイアウォールの背後にあるホストとの間で送受信されるトラフィックをファイアウォールが保護する場合に使用します。トンネル モードは、インターネットなどの非信頼ネットワークを介して接続されている 2 つのファイアウォール(またはその他のセキュリティ ゲートウェイ)間で通常の IPSec が実装される標準の方法です。

                • [トランスポート(Transport)]モード:IP パケットの上位層プロトコルだけがカプセル化されます。IPSec ヘッダーは、IP ヘッダーと上位層プロトコル ヘッダー(TCP など)との間に挿入されます。トランスポート モードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポート モードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。一般的に、トランスポート モードは、レイヤ 2 またはレイヤ 3 のトンネリング プロトコル(GRE、L2TP、DLSW など)を保護する場合にだけ使用されます。

              • [ESP 暗号化(ESP Encryption)]:このプロポーザルのカプセル化セキュリティ プロトコル(ESP)暗号化アルゴリズム。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。

              • [ESP ハッシュ(ESP Hash)]:認証に使用するハッシュまたは整合性アルゴリズム。オプションの説明については、使用するハッシュ アルゴリズムの決定を参照してください。

              ステップ 5   [OK]をクリックして変更を保存します。

              IKEv2 の IPsec プロポーザルの設定

              IKEv2 IPsec プロポーザル オブジェクトを使用して、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルとアルゴリズムの組み合わせを定義します。

              定義済みの複数の IKEv2 IPsec プロポーザルがあります。その他のセキュリティ設定の組み合わせを実装する新しいプロポーザルを作成することもできます。システム定義オブジェクトの編集や削除はできません。

              次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。VPN 接続の IKEv2 IPsec 設定を編集している間に、オブジェクト リストに表示される [新規 IPsec プロポーザルの作成(Create New IPsec Proposal)]リンクをクリックして、IKEv2 IPsec プロポーザル オブジェクトを作成することもできます。

              手順
                ステップ 1   [オブジェクト(Objects)]を選択し、目次から [IPsec プロポーザル(IPsec Proposals)] を選択します。
                ステップ 2   オブジェクト テーブルの上にある [IKEv2]を選択して、IKEv2 IPsec プロポーザルを表示します。
                ステップ 3   次のいずれかを実行します。

                • オブジェクトを作成するには、[+]ボタンをクリックします。

                • オブジェクトを編集するには、オブジェクトの編集アイコン()をクリックします。

                参照されていないオブジェクトを削除するには、オブジェクトのゴミ箱アイコン()をクリックします。

                ステップ 4   IKEv2 IPsec プロポーザルのプロパティを設定します。

                • [名前(Name)]オブジェクトの名前(最大 128 文字)。

                • [暗号化(Encryption)]:このプロポーザルのカプセル化セキュリティ プロトコル(ESP)暗号化アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、一致が得られるまで、最も強いアルゴリズムから最も弱いアルゴリズムの順にピアとネゴシエートします。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。

                • [整合性ハッシュ(Integrity Hash)]:認証に使用するハッシュまたは整合性アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、一致が得られるまで、最も強いアルゴリズムから最も弱いアルゴリズムの順にピアとネゴシエートします。オプションの説明については、使用するハッシュ アルゴリズムの決定を参照してください。

                  (注)     

                  暗号化アルゴリズムとしていずれかの AES-GCM/GMAC オプションを選択する場合は、ヌル整合性アルゴリズムを選択する必要があります。これらの暗号化基準では、ヌル以外のオプションを選択している場合でも、整合性ハッシュは使用されません。

                ステップ 5   [OK]をクリックして変更を保存します。

                NAT からのサイト間 VPN トラフィックの除外

                インターフェイスでサイト間 VPN 接続が定義されていて、かつそのインターフェイス向けの NAT ルールを指定している場合、NAT ルールから VPN 上のトラフィックを任意で除外できます。この操作は、VPN 接続のリモート エンドが内部アドレスを処理できる場合に行うと便利です。

                VPN 接続を作成するときに、[NAT を除外(NAT Exempt)]オプションを選択すると、ルールが自動的に作成されます。ただし、これはローカルで保護されたネットワークが単一のルーテッド インターフェイス(ブリッジ グループ メンバーではない)を介して接続されている場合のみ動作します。その代わりに、接続内のローカル ネットワークが複数のルーテッド インターフェイス、または 1 つ以上のブリッジ グループ メンバーの背後に存在する場合、NAT 除外ルールを手動で設定する必要があります。

                NAT ルールから VPN トラフィックを除外するには、宛先がリモート ネットワークのときにローカル トラフィックの手動アイデンティティ NAT ルールを作成します。次に、任意の宛先(インターネットなど)のトラフィックに NAT を適用します。ローカル ネットワークに複数のインターフェイスがある場合、各インターフェイスにルールを作成します。次の点も考慮してください。

                • 接続内に複数のローカル ネットワークがある場合、ネットワークを定義するオブジェクトを保持するネットワーク オブジェクト グループを作成します。

                • VPN に IPv4 ネットワークと IPv6 ネットワークの両方を含める場合、それぞれに個別のアイデンティティ NAT ルールを作成します。

                次の例では、ボールダーとサンノゼのオフィスを接続するサイトツーサイト トンネルを示します。インターネットに渡すトラフィックについて(たとえばボールダーの 10.1.1.6 から www.example.com へ)、インターネットへのアクセスのために NAT によって提供されるパブリック IP アドレスが必要です。次の例では、インターフェイス PAT ルールを使用しています。ただし、VPN トンネルを経由するトラフィックについては(たとえば、ボールダーの 10.1.1.6 からサンノゼの 10.2.2.78 へ)、NAT を実行しません。そのため、アイデンティティ NAT ルールを作成して、そのトラフィックを除外する必要があります。アイデンティティ NAT は同じアドレスにアドレスを変換します。

                図 1. サイトツーサイト VPN のためのインターフェイス PAT およびアイデンティティ NAT

                次の例は、Firewall1(ボールダー)の設定を示します。例では、内部インターフェイスがブリッジ グループであると仮定するため、各メンバー インターフェイスにルールを記述する必要があります。ルーティングされた内部インターフェイスが 1 つある場合も複数ある場合も、プロセスは同じです。


                (注)  

                この例では、IPv4 のみと仮定します。VPN に IPv6 ネットワークも含まれる場合、IPv6 にはパラレル ルールを作成します。IPv6 インターフェイス PAT は実装できないため、PAT を使用するには固有の IPv6 アドレスを持つホスト オブジェクトを作成する必要があることに注意してください。

                手順
                  ステップ 1   さまざまなネットワークを定義するには、オブジェクトを作成します。
                  1. [オブジェクト(Objects)]を選択します。
                  2. 目次から [ネットワーク(Network)]を選択し、[+] をクリックします。
                  3. ネットワーク内でボールダーを特定します。

                    ネットワーク オブジェクトに名前を付け(boulder-network など)、[ネットワーク(Network)]を選択して、ネットワーク アドレス 10.1.1.0/24 を入力します。





                  4. [OK]をクリックします。
                  5. [+]をクリックしてサンノゼの内部ネットワークを定義します。

                    ネットワーク オブジェクトに名前を付け(sanjose-network など)、[ネットワーク(Network)]を選択して、ネットワーク アドレス 10.2.2.0/24 を入力します。





                  6. [OK]をクリックします。
                  ステップ 2   Firewall1(ボールダー)上で VPN 経由でサンノゼに向かう場合、ボールダー ネットワークの手動アイデンティティ NAT を設定します。
                  1. [ポリシー(Policies)] > [NAT] を選択します。
                  2. [+]ボタンをクリックします。
                  3. 次のプロパティを設定します。

                    • タイトル(Title)= NAT Exempt 1_2 Boulder San Jose VPN(または別の名前)。

                    • ルールの作成先(Create Rule For)= Manual NAT。

                    • 配置(Placement)= 特定のルールの上(Above a SpecificRule)。[自動 NAT の前に手動 NAT(Manual NAT Before Auto NAT)] セクションの最初のルールを選択します。このルールが、宛先インターフェイスの一般的なインターフェイス PAT ルールの前に来ていることを確認してください。そうでないと、ルールが正しいトラフィックに適用されない場合があります。

                    • タイプ(Type)= Static。

                    • 送信元インターフェイス(Source Interface)= inside1_2。

                    • 宛先インターフェイス(Destination Interface)= outside。

                    • 元の発信元アドレス(Original Source Address)= boulder-network のネットワーク オブジェクト。

                    • 変換済みの発信元アドレス(Translated Source Address)= boulder-network のネットワーク オブジェクト。

                    • 元の宛先アドレス(Original Destination Address)= sanjose-network のネットワーク オブジェクト。

                    • 変換済みの宛先アドレス(Translated Destination Address)= sanjose-network のネットワーク オブジェクト。

                      (注)     

                      宛先アドレスは変換しないため、元の宛先アドレスと変換された宛先アドレスに同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。[ポート(Port)] フィールドはすべて空白のままにします。このルールは、送信元と宛先の両方のアイデンティティ NAT を設定します。





                  4. [詳細(Advanced)]タブで [宛先インターフェイスでプロキシ ARP なし(Do not proxy ARP on Destination interface)] を選択します。
                  5. [OK]をクリックします。
                  6. 他の内部インターフェイスごとに、同等のルールを作成するプロセスを繰り返します。
                  ステップ 3   Firewall1(ボールダー)上でボールダーの内部ネットワークのインターネットに入る場合、手動ダイナミック インターフェイス PAT を設定します。
                  (注)     

                  これらは初期設定時にデフォルトで作成されるため、内部インターフェイスにはすでに IPv4 トラフィックをカバーするダイナミック インターフェイス PAT ルールがある可能性があります。ただし、この設定は説明を完結させるために示しています。この手順を完了する前に、内部インターフェイスとネットワークをカバーするルールがすでに存在していることを確認して、存在している場合はこの手順をスキップしてください。

                  1. [+]ボタンをクリックします。
                  2. 次のプロパティを設定します。

                    • タイトル(Title)= inside1_2 インターフェイス PAT(または任意の別の名前)。

                    • ルールの作成先(Create Rule For)= Manual NAT。

                    • 配置(Placement)= 特定のルールの下(Below a SpecificRule)。[自動 NAT の前に手動 NAT(Manual NAT Before Auto NAT)] セクションで、このインターフェイスのために先に作成したルールを選択します。このルールは任意の宛先アドレスに適用されるため、sanjose-network を宛先として使用するルールはこのルールの前に来る必要があります。そうでなければ、sanjose-network ルールは永遠に一致することがありません。デフォルトでは、新しい手動 NAT ルールは [自動 NAT の前に NAT ルール(NAT Rules Before Auto NAT)] セクションの最後に配置されますが、これでも問題ありません。

                    • タイプ(Type)= Dynamic。

                    • 送信元インターフェイス(Source Interface)= inside1_2。

                    • 宛先インターフェイス(Destination Interface)= outside。

                    • 元の発信元アドレス(Original Source Address)= boulder-network のネットワーク オブジェクト。

                    • 変換済み発信元アドレス(Translated Source Address)= インターフェイス(Interface)。このオプションは、宛先インターフェイスを使用するインターフェイス PAT を設定します。

                    • 元の宛先アドレス(Original Destination Address)= any。

                    • 変換済みの宛先アドレス(Original Destination Address)= any。





                  3. [OK]をクリックします。
                  4. 他の内部インターフェイスごとに、同等のルールを作成するプロセスを繰り返します。
                  ステップ 4   Firewall2(サンノゼ)の管理を行っている場合、そのデバイスに同様のルールを設定できます。

                  • 手動アイデンティティ NAT ルールは、宛先が boulder-network の場合は sanjose-network 向けとなります。Firewall2 の内部および外部ネットワーク向けに新しいインターフェイス オブジェクトを作成します。

                  • 手動ダイナミック インターフェイス PAT ルールは、宛先が any の場合は sanjose-network 向けとなります。

                  サイト間 VPN のモニタリング

                  サイト間 VPN 接続をモニタしてトラブルシュートするには、デバイスの CLI にログインして次のコマンドを使用します。

                  • show ipsec:IPsec の運用データと統計が表示されます。

                  • show ipsec sa:VPN セッション(セキュリティ アソシエーション)が表示されます。これらの統計は clear ipsec sa counters コマンドを使用してリセットできます。

                  • show isakmp:ISAKMP の運用データと統計が表示されます。

                  このドキュメントは役に立ちましたか?

                  Feedbackフィードバック

                  シスコに問い合わせ