シナリオ：サイトツーサイト VPN の設定

CHAPTER 4 シナリオ : サイトツーサイト VPN の設定この章ではセキュリティアプライアンスを使用してサイトツーサイト VPN を作成する方法について説明しますセキュリティアプライアンスが提供するサイトツーサイト VPN 機能を使用するとネットワークセキュリティを維持しながら低コストな公衆インターネット接続でビジネスネットワークを世界中のビジネスパートナーおよびリモートオフィスに拡張できます VPN 接続を使用するとあるロケーションから別のロケーションにセキュアな接続 ( トンネル ) でデータを送信できますまず接続の両端が認証され次に 2 つのサイト間で送信されるすべてのデータが自動的に暗号化されます次の項目について説明しますサイトツーサイト VPN ネットワークトポロジの例 (P.4-2) サイトツーサイトのシナリオの実装 (P.4-3) VPN 接続の反対側の設定 (P.4-14) 次の手順 (P.4-15) 4-1

サイトツーサイト VPN ネットワークトポロジの例第 4 章サイトツーサイト VPN ネットワークトポロジの例図 4-1 で 2 つのセキュリティアプライアンス間の VPN トンネルの例を示します図 4-1 サイトツーサイト VPN の設定シナリオのネットワークレイアウト A B 10.10.10.0 1 209.165.200.226 209.165.200.236 2 10.20.20.0 132066 図 4-1 で示すような VPN サイトツーサイト配置の作成では接続のそれぞれの端で 1 つずつ合計 2 つのセキュリティアプライアンスを設定する必要があります 4-2

第 4 章サイトツーサイトのシナリオの実装サイトツーサイトのシナリオの実装この項では図 4-1 で示したリモートアクセスのシナリオのパラメータ例を使用してサイトツーサイト VPN 配置でセキュリティアプライアンスを設定する方法を示します次の項目について取り上げます必要な情報 (P.4-3) サイトツーサイト VPN の設定 (P.4-3) 必要な情報この設定手順を開始する前に次の情報を収集しますリモートセキュリティアプライアンスピアの IP アドレストンネルを使用してリモートサイトのリソースと通信することを許可するローカルホストおよびネットワークの IP アドレストンネルを使用してローカルリソースと通信することを許可するリモートホストおよびネットワークの IP アドレスサイトツーサイト VPN の設定この項では ASDM VPN Wizard を使用してサイトツーサイト VPN の設定をセキュリティアプライアンスに行う方法について説明します次のトピックについて取り上げます ASDM の起動 (P.4-4) ローカルサイトでのセキュリティアプライアンスの設定 (P.4-5) リモート VPN ピアに関する情報の入力 (P.4-7) IKE ポリシーの設定 (P.4-8) IPSec 暗号化および認証パラメータの設定 (P.4-10) ホストおよびネットワークの指定 (P.4-11) VPN アトリビュートの確認とウィザードの完了 (P.4-12) 次の各項では各設定ステップの実行方法について詳しく説明します 4-3

サイトツーサイトのシナリオの実装第 4 章 ASDM の起動 Web ブラウザで ASDM を実行するには次のように工場出荷時のデフォルトの IP アドレスをアドレスフィールドに入力します https://192.168.1.1/admin/ ( 注 ) s を追加して https にすることに注意してください追加しないと接続が失敗します HTTPS(HTTP over SSL) はブラウザとセキュリティアプライアンスとの間でセキュアな接続を提供します ASDM のメインウィンドウが表示されます 4-4

第 4 章サイトツーサイトのシナリオの実装ローカルサイトでのセキュリティアプライアンスの設定 ( 注 ) これ以降最初のサイトのセキュリティアプライアンスをセキュリティアプライアンス 1 と呼びますセキュリティアプライアンス 1 を設定するには次の手順を実行しますステップ 1 ASDM のメインウィンドウの Wizards ドロップダウンメニューで VPN Wizard オプションを選択します最初の VPN Wizard 画面が表示されます VPN Wizard の Step 1 で次の手順を実行します a. Site-to-Site VPN オプションボタンをクリックします ( 注 ) Site-to-Site VPN オプションは 2 つの IPsec セキュリティゲートウェイを接続しますこれにはセキュリティアプライアンス VPN コンセントレータまたはサイトツーサイト IPsec 接続をサポートするその他のデバイスが含まれます b. ドロップダウンリストで現在の VPN トンネルに対してイネーブルにするインターフェイスとして Outside を選択します 4-5

サイトツーサイトのシナリオの実装第 4 章 c. Next をクリックして続行します 4-6

第 4 章サイトツーサイトのシナリオの実装リモート VPN ピアに関する情報の入力 VPN ピアは設定している接続の反対側にあるシステムで通常リモートサイトにあります ( 注 ) これ以降このシナリオではリモート VPN ピアをセキュリティアプライアンス 2 と呼びます VPN Wizard の Step 2 で次の手順を実行しますステップ 1 ステップ 2 ピア IP アドレス ( セキュリティアプライアンス 2 の IP アドレスこのシナリオでは 209.165.200.236) とトンネルグループ名 ( たとえば Cisco ) を入力します次の手順のいずれかを実行して使用する認証の種類を指定します認証にスタティックな事前共有キーを使用するには Pre-Shared Key オプションボタンをクリックし事前共有キー ( たとえば Cisco ) を入力しますこのキーはセキュリティアプライアンス間の IPsec ネゴシエーションに使用されます ( 注 ) リモートサイトでセキュリティアプライアンス 2 を設定するとき VPN ピアはセキュリティアプライアンス 1 になりますここで使用するものと同じ事前共有キー (Cisco) を入力してください Challenge/Response Authentication オプションボタンをクリックしてその認証方式が使用されるようにします認証にデジタル証明書を使用するには Certificate オプションボタンをクリックしドロップダウンリストで Certificate Signing Algorithm を選択します次に事前設定されたトラストポイント名をドロップダウンリストで選択します認証にデジタル証明書を使用する必要があるもののトラストポイント名をまだ設定していない場合は他の 2 つのオプションのいずれかを使用してウィザードを続行してかまいません認証設定は標準の ASDM 画面を使用して後で変更できます 4-7

サイトツーサイトのシナリオの実装第 4 章ステップ 3 Next をクリックして続行します IKE ポリシーの設定 IKE は暗号化方式を含むネゴシエーションプロトコルでデータを保護し機密性を保証しますまたピアのアイデンティティも保証する認証方式でもありますほとんどの場合 ASDM のデフォルト値で 2 つのピア間でセキュアな VPN トンネルを確立できます VPN Wizard の Step 3 で次の手順を実行します 4-8

第 4 章サイトツーサイトのシナリオの実装ステップ 1 IKE セキュリティアソシエーションでセキュリティアプライアンスが使用する暗号化アルゴリズム (DES 3DES または AES) 認証アルゴリズム (MD5 または SHA) および Diffie-Hellman グループ (1 2 または 5) をクリックします ( 注 ) セキュリティアプライアンス 2 を設定するときはセキュリティアプライアンス 1 で選択した各オプションの値を正確に入力する必要があります暗号化の不一致は VPN トンネル障害のよくある原因で設定プロセスを遅らせる原因になりますステップ 2 Next をクリックして続行します 4-9

サイトツーサイトのシナリオの実装第 4 章 IPSec 暗号化および認証パラメータの設定 VPN Wizard の Step 4 で次の手順を実行しますステップ 1 ドロップダウンリストで暗号化アルゴリズム (DES 3DES または AES) および認証アルゴリズム (MD5 または SHA) を選択しますステップ 2 Next をクリックして続行します 4-10

第 4 章サイトツーサイトのシナリオの実装ホストおよびネットワークの指定この IPsec トンネルを使用してリモートサイトピアと通信することを許可するローカルサイトのホストおよびネットワークを指定しますホストおよびネットワークを動的に追加または削除するにはそれぞれ Add または Delete をクリックします現在のシナリオでは Network A(10.10.10.0) からのトラフィックはセキュリティアプライアンス 1 で暗号化され VPN トンネルを使用して送信されますまたこの IPsec トンネルを使用してローカルのホストおよびネットワークにアクセスすることを許可するリモートサイトのホストおよびネットワークも指定しますホストおよびネットワークを動的に追加または削除するにはそれぞれ Add または Delete をクリックしますこのシナリオではセキュリティアプライアンス 1 のリモートネットワークは Network B(10.20.20.0) なのでこのネットワークからの暗号化されたトラフィックはトンネルを使用できます VPN Wizard の Step 5 で次の手順を実行しますステップ 1 ステップ 2 ステップ 3 ステップ 4 Source 領域の Type ドロップダウンリストで IP Address を選択しますローカルの IP アドレスとネットマスクをそれぞれ IP Address フィールドおよび Netmask フィールドに入力します Destination 領域の Type ドロップダウンリストで IP Address を選択しますリモートのホストまたはネットワークの IP アドレスとネットマスクを入力します 4-11

サイトツーサイトのシナリオの実装第 4 章ステップ 5 Next をクリックして続行します VPN アトリビュートの確認とウィザードの完了 VPN Wizard の Step 6 でここで作成した VPN トンネルの設定リストを確認します設定が正しいことを確認したら Finish をクリックし変更をセキュリティアプライアンスに適用します 4-12

第 4 章サイトツーサイトのシナリオの実装ステップ 6 設定変更をスタートアップ設定に保存してデバイスが次回起動するときに変更が適用されるようにするには File メニューで Save をクリックしますこの操作を行わない場合は ASDM を終了するときに設定変更を永続的に保存するように求められます設定変更を保存しないと次回のデバイス起動時に古い設定が有効になりますこれでセキュリティアプライアンス 1 の設定プロセスは終わりです 4-13

VPN 接続の反対側の設定第 4 章 VPN 接続の反対側の設定これでローカルなセキュリティアプライアンスが設定されました次にリモートサイトのセキュリティアプライアンスを設定する必要がありますリモートサイトでは VPN ピアとして機能するように 2 番目のセキュリティアプライアンスを設定しますローカルなセキュリティアプライアンスの設定手順のうち P.4-5 のローカルサイトでのセキュリティアプライアンスの設定から P.4-12 の VPN アトリビュートの確認とウィザードの完了までを使用します ( 注 ) セキュリティアプライアンス 2 を設定するときはセキュリティアプライアンス 1 で選択した各オプションと同じ値を正確に入力する必要があります不一致は VPN トンネル設定エラーのよくある原因です 4-14

第 4 章次の手順次の手順サイトツーサイト VPN 環境にセキュリティアプライアンスを配置するだけの場合はこれで初期設定は終わりですこのほかに次の手順について実行する必要があるかどうかを検討してください作業内容設定の調整およびオプション機能と高度な機能の設定日常のオペレーションの学習参照先 Cisco Security Appliance Command Line Configuration Guide Cisco Security Appliance Command Reference Cisco Security Appliance Logging Configuration and System Log Messages セキュリティアプライアンスは複数のアプリケーション用に設定できます次の項でその他の一般的なアプリケーション用にセキュリティアプライアンスを設定する手順を説明します作業内容 DMZ 内の Web サーバを保護するセキュリティアプライアンスの設定リモートアクセス VPN の設定参照先第 2 章シナリオ :DMZ の設定第 3 章シナリオ :IPsec リモートアクセス VPN の設定 4-15

次の手順第 4 章 4-16