Cisco Security Device Manager サンプル設定ガイド

Similar documents
ます Cisco ISR シリーズにて本構成が実現可能なハードウェア / ソフトウェアの組み合わせは下記にな ります 本社 Cisco Easy VPN サーバ機能およびスモールオフィスの Cisco Easy VPN リモート 機能ともに提供が可能になります プラットホーム T トレイン メイント

Autonomous アクセス ポイント上の WEP の設定例

IOS ゾーン ベースのポリシー ファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例

適応型セキュリティ アプライ アンスの設定

適応型セキュリティ アプライ アンスの設定

SDM によるシンクライアント SSL VPN(WebVPN)の IOS 設定例

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

アライドテレシス ディストリビューションスイッチ x610シリーズで実現するVRF-Lite + Tagging + EPSR for x610

IME を使用した IPS TCP リセット設定

はじめに IRASⅡ(IPsec Remote Access ServiceⅡ) は インターネット暗号化技術により お客様ネットワークにセキュアなリモ-トアクセス環境を提供いたします IRASⅡハードウェアクライアントでは Cisco Systems の IOS ルータ機能を利用します 本マニュア

改訂履歴 版番号改訂日改訂者改訂内容 年 3 月 3 日ネットワールド 新規 I

設定例: 基本 ISDN 設定

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

Mobile Access IPSec VPN設定ガイド

PowerPoint Presentation

シナリオ:サイトツーサイト VPN の設定

IPSEC(Si-RGX)

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 3 日ネットワールド 新規 I

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

VRF のデバイスへの設定 Telnet/SSH アクセス

dovpn-set-v100

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

クラウド接続 「Windows Azure」との接続

口やかましい女ソフト VPN Client を RV130 および RV130W の IPSec VPN サーバと接続するのに使用して下さい

Managed Firewall NATユースケース

FQDN を使用した ACL の設定

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

U コマンド

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

AP-700/AP-4000 eazy setup

実習 :VLAN 間ルーティングのトラブルシューティング トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 8 ページ

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

VPN の IP アドレス

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

xr-set_IPsec_v1.3.0

Microsoft Word - ID32.doc

インターネットVPN_IPoE_IPv6_fqdn

実習 : 拡張 ACL の設定と確認 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ

Mobile Access簡易設定ガイド

GenieATM 6300-T / 6200-T シリーズ 1. 基本的な機器オペレーションのために 1-1. 機器への接続 機器への接続方法は 以下の 2 通りがあります シリアルポートを使用してログインする LAN 経由で Telnet または SSH を使用して仮想 Interface からロ

インターネット お客様環境 回線終端装置 () 61.xxx.yyy.9 (PPPoE) 61.xxx.yyy.10 (Ethernet) 61.xxx.yyy.11 Master 61.xxx.yyy.12 Backup

アライドテレシスコア スイッチ AT-SBx908 シリーズで実現する AMF-SBx908 ソリューション Solution No 主な目的 ネットワークの一元管理 共有化をしたい 既存ネットワークを再構築せずに 簡単に導入したい ネットワーク管理 運用にかかるコストを削減

ISDN を経由した PPP コールバックの設定

AMWI と VMWI の設定

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

R80.10_Distributed_Config_Guide_Rev1

Si-R/Si-R brin シリーズ設定例

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

conf_example_260V2_inet_snat.pdf

IPSEC(Si-RG)

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

ip nat outside source list コマンドを使用した設定例

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

Microsoft Azure AR4050S, AR3050S, AR2050V 接続設定例

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

PowerPoint Presentation

ICND2-Road to ICND2- 前提知識 ICND 2では CCEN Tレベルの知識がある方 (ICND 1 試験の合格レベル ) を対象とし それ同等 の知識が必要になってきます 研修に参加されるまでに以下の項目を復習しておくことを お勧めします IP アドレスとサブネットマスク ホスト

Solution No アライドテレシスコア スイッチ SBx8100 シリーズで実現実現する WAN 型 u-vcf ソリューション 主な目的 複数ロケーションのネットワークを一極集中管理したい ネットワーク管理 / 運用機構の集約によりランニングコストを抑制したい 各ロケーシ

RADIUS設定ガイド

シナリオ:DMZ の設定

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

拡張LANE セットアップ - Dual Phy を使用した SSRP

リモートアクセス型L2TP+IPsec VPN

2. 機能 ( 標準サポートプロトコル ) NTT ドコモの Android スマートフォン / タブレットでは標準で対応している VPN プロトコルがあります 本章では 動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-to-

改訂履歴 版番号改訂日改訂者改訂内容.0 06 年 3 月 7 日ネットワールド 新規 I

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 16 日ネットワールド 新規 I

P コマンド

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

DHCP サーバオプションを動的に設定する方法

実習 :DHCPv4 のトラブルシューティング トポロジ アドレステーブルデバイス インターフェイス IP アドレス サブネットマスク デフォルトゲートウェイ R1 G0/ N/A G0/

8021.X 認証を使用した Web リダイレクトの設定

マルチポイント GRE を介したレイヤ 2(L2omGRE)

FW Migration Guide(ipsec1)

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

自律アクセス ポイントの Lightweight モードへの変換

コア・スイッチSBx8100 シリーズで実現するスター型冗長コアソリューション

2. 機能 ( 標準サポートプロトコル ) SECURITY for Biz 対応スマートフォンでは標準で対応している VPN プロトコルがあります 本章では NTT ドコモで動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-t

AMF Cloud ソリューション

SRX License

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

使用説明書

Cisco1812-J販促ツール 競合比較資料 (作成イメージ)

FW Migration Guide(ipsec2)

R80.10_FireWall_Config_Guide_Rev1

Microsoft Word - (修正)101.BLU-103のVoIP設定方法.docx

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

R76/Gaia ブリッジ構成設定ガイド

IPIP(Si-RGX)

リモートアクセス Smart Device VPN ユーザマニュアル [ マネージドイントラネット Smart Device VPN 利用者さま向け ] 2015 年 10 月 20 日 Version 1.6 bit- drive Version 1.6 リモートアクセス S

9.pdf

AMFマルチテナントソリューション

Transcription:

2006 年 4 月 ( 第 1 版 ) SDM 2.1.2 2005/09 リリース版 Ⅰ 概要 ------------------------------------------------------------ 02 Ⅱ 設定手順 ------------------------------------------------------------ 03

Cisco Easy VPN は 遠隔オフィスとテレワーカーのための仮装プライベートネットワーク (VPN) 構築を簡素化します Cisco VPN ソリューションは すべての Cisco VPN デバイスの VPN 接続を集中管理し VPN 展開における管理を容易にします Cisco Easy VPN は Cisco Easy VPN リモート Cisco Easy VPN サーバという 2 つのコンポーネントから構成されます Cisco Easy VPN リモート機能は Cisco IOS ルータが Cisco Easy VPN サーバから VPNトンネル接続に関するセキュリティポリシーを受けとることにより 離れた場所でのコンフィグレーション要件を最小限にとどめることができます 特に遠く離れたオフィスでは このような費用対効果の高い解決策は IT サポートを効率的に行うために有効です Cisco Easy VPN サーバは サイト間接続またはリモートアクセス VPN ゲートウェイデバイスとして機能します リモートオフィス側 ( スポーク側 ) のルータが Cisco Easy VPN リモートの機能を果たします このサーバクライアント機能は 主要サイトで定義されたセキュリティポリシーをリモート VPN 装置に配信し それぞれの VPN 接続において VPN の接続確立前に最適 最新のポリシーを適用するなど VPN ポリシー管理の簡素化に有効です Cisco Easy VPN サーバとして構成されたルータは Cisco Easy VPNリモートが有効になっているリモートルータからの VPN トンネルを終端することができます Cisco Easy VPN リモートの大きな特徴は 内部 IP アドレス 内部サブネットマスク DNS サーバアドレス WINS サーバアドレス スプリットトンネリングの有無などの VPN パラメータについて リモートデバイスへ配信することです 本社などの中核サイトに保存された構成は エンドユーザポリシーの動的な構成をサポートし エンドユーザとフィールドエンジニアの作業工数を最小限にとどめます これにより 設定ミスとそのために要するさらなるサポートコストを抑えることができます このような特徴から セキュリティポリシーの集中管理を提供する Cisco Easy VPN は 迅速なユーザ対応を必要とする大規模な VPN 展開において有効なソリューションとなります Cisco Easy VPN は VPN トンネルに対する接続パラメータのネゴシエーションを行い IP Security(IPSec) トンネルを確立するための自動管理を提供します 拡張認証 (Xauth) は IPSec 接続を要求するユーザを特定するさらなる認証パターンを追加します スプリットトンネリングは インターネット向けのトラフィックについて リモートルータがそれらのトラフィックを暗号化されたトンネルに送らず直接インターネットへ送信することを可能にする機能です 2

本設定ガイドでは以下の前提条件の下 LAN to LAN での IPSec VPN 構成を想定しています (1) 固定 IP アドレスを持つ Cisco Easy VPN サーバ (2) 固定または動的 IP を持つ Cisco Easy VPN リモート (3) Cisco Easy VPN リモートは Cisco Easy VPN サーバへ送信するトラフィックのみ暗号化 (4) リモート拠点 ( 営業所 ) からのインターネット向けトラフィックは暗号化を行わず 直接送信される (5) リモート拠点からのトラフィックはアドレス変換 (NAT/PAT) が行われる (6) ユーザレベルの認証は VPN アクセスの拡張認証によって行われる 本社 営業所.30.109 サーバ R1.30.5 30.30.30.0/24.49.104 インターネッ PC R2 66.1.1.109 66.1.1.104 IPsec.49.11 172.28.49.0/24 図 1: ネットワーク構成イメージ このサンプル構成では Cisco Easy VPN リモートをクライアントモードで使用します クライアントモードでは Cisco Easy VPN リモートの背後にある LAN 全体は Cisco Easy VPN サーバによって提供される IP アドレスによってアドレ ス変換 (NAT) されます Cisco Easy VPN サーバ上でスプリットトンネリングが構成されている場合 このポリシーは Cisco Easy VPN リモート へ自動的に適用されます スプリットトンネリングは インターネット向けのトラフィックについてリモートルータが暗号化 されたトンネルを通ることなく直接送信することを可能にしています 本例において 事前共有キーはルータを認証するのに使用され 拡張認証 (Xauth) は IPSec 接続を要求するユーザ を特定するための追加レベルの認証を提供します リモートルータは Internet Key Exchange(IKE) セキュリティアソシ エーションが確立された後に ユーザ名 / パスワード チャレンジ認証を待ち受けます また本構成に使用する機器は LAN および WAN インターフェイスが設定されており SDM が利用できる状態にあ るものとしています 3

1.Cisco Easy VPN リモートの作成 VPN タスクの構成モードで Easy VPN リモート を選び [Eazy VPN リモートの作成 ] を選択します 画面中の Easy VPN リモートを作成する を選択して 選択したタスクを実行する をクリックし Easy VPN リモート設定ウィザードを起動します ( 図 2) 図 2:Easy VPN リモートの作成 Easy VPN リモートウィザード画面が表示 ( 図 3) されます 次へ をクリックして処理を進めます 図 3:Easy VPN リモートウィザード 4

Easy VPN リモートの接続情報 ( 図 4) を以下のように構成し 次へ をクリックします Easy VPN トンネル名 :ToHQ Easy VPN サーバ Easy VPN サーバ 1: 66.1.1.109 グループ :EZVPNgroup キー :cisco123 ( 画面上では暗号化されます ) 図 4: 接続情報 Easy VPN リモートにおける接続の特徴 ( 図 5) を以下のように構成し 次へ をクリックします モード :Client 制御 :Auto 図 5: 接続の特徴 5

ユーザ認証 (Xauth) 設定 ( 図 6) を以下のように構成し 次へ をクリックします 画面上の ルータ上に Xauth ユーザ名とパスワードを保存する をチェックユーザ名 :sdmuser1 パスワード :cisco123 図 6: ユーザ認証 (Xauth) ISP などに接続している外部インターフェイス及び内部インターフェイスを以下のように指定し ( 図 7) 次へ を クリックします 外部インターフェイス :Fas tethernet 1 内部インターフェイス :Fast Ethetnet 0 図 7: インターフェス設定 6

Easy VPN リモートの設定内容を確認し 完了 をクリックします ( 図 8) 図 8:Easy VPN リモート設定確認画面 Easy VPN サーバとの通信を可能にするために デフォルトルートを追加します SDM のルーティングタスクで スタティックルーティングの 追加 をクリックします ( 図 9) 図 9: スタティックルーティングの追加 7

IP スタティックルートの追加画面で このルートをデフォルトルートにする をチェックし 転送 ( ネクストホップ ) は インターフェイス をチェックして 外側インターフェイスである Fast Ethetnet 1 を選択します ( 図 10) 図 10: デフォルトルート設定 ルーティングタスク画面に設定したデフォルトルートが正しく反映されていることを確認します ( 図 11) 図 11: デフォルトルートの確認 8

2. 接続確認 Easy VPN の接続確認を行うため [VPN] タスクの [Easy VPN リモート ] の [Easy VPN リモートの編集 ] タブ から トンネルのテスト をクリックし VPN トラブルシューティングを起動します ( 図 12) 図 12:Easy VPN リモートの編集 VPN トラブルシューティング画面の 開始 をクリックし 接続テストを開始します ( 図 13~ 図 16) 図 13:VPN 接続テスト (1) 9

図 14:VPN 接続テスト (2) 図 15:VPN 接続テスト (3) 図 16:VPN 接続テスト (4) 10

3.VPN ステータスの確認 VPN ステータスの確認は 監視モードの VPN タスクを参照します Easy VPN リモートのステータスを確認するに は [IPSec トンネル ] タブ ( 図 17) と [IKE SA] タブ ( 図 18) を参照します 図 17:VPN ステータス /IPSec トンネル 図 18:VPN ステータス /IKE SA 11

参考 : コマンドラインでの Easy VPN クライアント構成設定例 以下の CLI コマンドは これまで SDM で行ってきたものと同じ内容の構成を行う場合のコマンドになります The Cisco Easy VPN Remote Configuration crypto isakmp enable crypto ipsec client ezvpn ToHQ Cisco Easy VPN リモートの作成 : 接続名 ToHQ connect auto mode client NAT/PAT を使用する VPN クライアントの指定 group EZVPNgroup key cisco123 Cisco Eazy VPN サーバに定義されたグループ EZVPNgroup と事前共有鍵 cisco123 の設定 peer 66.1.1.109 # Cisco Easy VPN サーバアドレス username sdmuser1 password cisco123 # Easy VPN サーバでパスワード保存機能が有効になっている場合 Xauth のユーザ名 / パスワードを保存する interface FastEthernet0/0 crypto ipsec client ezvpn tohq inside interface FastEthernet0/1 crypto ipsec client ezvpn tohq outside # NAT/PAT 変換用の外部インターフェイス指定 Cisco SDM Easy VPN ウィザードを利用することによって ユーザは簡単かつ迅速に クライアント / サーバ IPSec VPN 設定に関する最小限の知識で Easy VPN リモート設定を生成することができます 12

1812J SDM config service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Router boot-start-marker boot-end-marker no logging buffered aaa new-model aaa authentication login default local aaa authorization exec default local aaa session-id common resource policy mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef no ip dhcp use vrf connected ip name-server 30.30.30.5 13

no ip ips deny-action ips-interface username cisco privilege 15 password 0 cisco crypto ipsec client ezvpn ToHQ connect auto group EZVPNgroup key cisco123 mode client peer 66.1.1.109 username sdmuser1 password cisco123 xauth userid mode local interface Loopback0 ip address 10.10.10.101 255.255.255.255 interface BRI0 no ip address shutdown interface FastEthernet0 ip address 172.28.49.104 255.255.255.0 duplex auto speed auto crypto ipsec client ezvpn ToHQ inside 14

interface FastEthernet1 description $ETH-LAN$ ip address 66.1.1.104 255.255.255.0 duplex auto speed auto crypto ipsec client ezvpn ToHQ interface FastEthernet2 interface FastEthernet3 interface FastEthernet4 interface FastEthernet5 interface FastEthernet6 interface FastEthernet7 interface FastEthernet8 interface FastEthernet9 interface Vlan1 no ip address ip classless ip route 0.0.0.0 0.0.0.0 FastEthernet1 ip http server ip http authentication local no ip http secure-server 15

control-plane line con 0 line aux 0 line vty 0 4 no scheduler allocate end 16

本技術資料に記載されている仕様および製品に関する情報は 予告なしに変更されることがあります ( 最新情報については CCO のドキュメントをご確認ください また シスコ担当までお問い合わせください ) 本技術資料に関して その正確性又は完全性について一切の責任を負わないこととします Cisco Security Device Manger サンプル設定ガイド 発行 発行 2006 年 4 月第 1 版 シスコシステムズ株式会社

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック