VPN の IP アドレス

Similar documents
パスワード暗号化の設定

パスワード暗号化の設定

詳細設定

Catalyst 9800 ワイヤレス コントローラ AP 許可 リスト

FQDN を使用した ACL の設定

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

8021.X 認証を使用した Web リダイレクトの設定

MIB サポートの設定

VLAN の設定

L2TP over IPsec の設定

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

VPN ウィザード

適応型セキュリティ アプライ アンスの設定

適応型セキュリティ アプライ アンスの設定

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

VPN 接続の設定

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

Mobile Access IPSec VPN設定ガイド

口やかましい女ソフト VPN Client を RV130 および RV130W の IPSec VPN サーバと接続するのに使用して下さい

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

インターネットVPN_IPoE_IPv6_fqdn

リモート アクセス IPSec VPN

RADIUS を使用した Windows 2008 NPS サーバ(Active Directory)に対する ASA VPN ユーザ認証の設定例

シナリオ:サイトツーサイト VPN の設定

F コマンド

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

連絡先

ログインおよび設定

新しいモビリティの設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

破損した CIMC ファームウェアの復旧

セキュリティ機能の概要

Untitled

シナリオ:DMZ の設定

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

Si-R/Si-R brin シリーズ設定例

自律アクセス ポイントの Lightweight モードへの変換

ios 用 IPSec-VPN 設定手順書 Ver. 1.0 承認確認担当 年 1 0 月 2 2 日株式会社ネットワールド S I 技術本部インフラソリューション技術部

VPN クライアントと AnyConnect クライアントからローカル LAN へのアクセスの設定例

セキュリティ機能の概要

障害およびログの表示

マルチ VRFCE PE-CE リンクのプロビジョ ニング

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 16 日ネットワールド 新規 I

Cisco Hyperlocation

改訂履歴 版番号改訂日改訂者改訂内容 年 3 月 3 日ネットワールド 新規 I

F コマンド

自律アクセス ポイントの Lightweight モードへの変換

パスワード管理

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

IPSEC(Si-RG)

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

conf_example_260V2_inet_snat.pdf

CEM 用の Windows ドメイン コントローラ上の WMI の設定

Mobile Access簡易設定ガイド

索引

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

Microsoft PowerPoint - SSO.pptx[読み取り専用]

自律アクセス ポイントの Lightweight モードへの変換

R80.10_FireWall_Config_Guide_Rev1

SMTP ルーティングの設定

VNX ファイル ストレージの管理

NAT の例と参照

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

p_network-management_old-access_ras_faq_radius2.xlsx

ASA ネットワーク アドレス変換構成のトラブルシューティング

クラウド接続 「Windows Azure」との接続

authentication command bounce-port ignore ~ auth-type

IPIP(Si-RG)

サードパーティ コール制御のセットアップ

ライセンス管理

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

L2TP_IPSec-VPN設定手順書_

JapanCert 専門 IT 認証試験問題集提供者 1 年で無料進級することに提供する

ソフトバンクC&S

設定例: 基本 ISDN 設定

Cisco Security Device Manager サンプル設定ガイド

Cisco DCNM サーバのインストール

RADIUS NAS-IP-Address アトリビュート 設定可能性

改訂履歴 版番号改訂日改訂者改訂内容.0 06 年 3 月 7 日ネットワールド 新規 I

マルチポイント GRE を介したレイヤ 2(L2omGRE)

Microsoft Word - NAP手順書_DHCP_RC1最終.doc

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

サードパーティ コール制御のセットアップ

~Cisco ASA5500~クライアント証明書によるiPhoneでのIPsec認証設定

WeChat 認証ベースのインターネット アクセス

次 はじめに ブラウザーサポート デフォルトのIPアドレスについて

TCP/IP設定のいろは

はじめに 注意事項 本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 商標一覧 RSA RSA ロゴ SecurID については RSA Security Inc. の米国およびその他の国における商標

付録

Managed Firewall NATユースケース

概要

IPIP(Si-RGX)

コンフィギュレーション ファイルのバックアップと復元

電話機のリセットと再起動

ミーティングへの参加

Microsoft Word - ASA認証設定手順(L2TPIPsec for Android)1105.doc

Transcription:

IP アドレス割り当てポリシーの設定, 1 ページ ローカル IP アドレス プールの設定, 3 ページ AAA アドレス指定の設定, 5 ページ DHCP アドレス指定の設定, 6 ページ IP アドレス割り当てポリシーの設定 ASA では リモート アクセス クライアントに IP アドレスを割り当てる際に 次の 1 つ以上の方 式を使用できます 複数のアドレス割り当て方式を設定すると ASA は IP アドレスが見つかるま で各オプションを検索します デフォルトでは すべての方式がイネーブルになっています aaa ユーザ単位で外部認証 認可 アカウンティング サーバからアドレスを取得します IP アドレスが設定された認証サーバを使用している場合は この方式を使用することをお勧め します この方法は IPv4 および IPv6 の割り当てポリシーに使用できます dhcp DHCP サーバから IP アドレスを取得します DHCP を使用する場合は DHCP サーバを 設定する必要があります また DHCP サーバで使用可能な IP アドレスの範囲も定義する必 要があります この方法は IPv4 の割り当てポリシーに使用できます local 内部的に設定されたアドレス プールは 最も設定が簡単なアドレス プール割り当て 方式です ローカルを選択する場合は ip-local-poolコマンドを使用して 使用する IP アド レスの範囲を定義する必要があります この方法は IPv4 および IPv6 の割り当てポリシーに 使用できます [Allow the reuse of an IP address so many minutes after it is released] IP アドレスがアドレス プールに戻された後に IP アドレスを再利用するまでの時間を指定します 遅延時間を 設けることにより IP アドレスがすぐに再割り当てされることによって発生する問題が ファイアウォールで生じないようにできます デフォルトでは ASA は遅延時間を課し ません この設定要素は IPv4 の割り当てポリシーに使用できます CLI ブック 3 Cisco ASA シリーズ リリース 9.4 VPN CLI コンフィギュレーション ガイド 1

IPv4 アドレス割り当ての設定 次のいずれかの方式を使用して IP アドレスをリモートアクセスクライアントに割り当てる方法を指定します IPv4 アドレス割り当ての設定 ASA のアドレス割り当て方式を有効にして IPv4 アドレスを VPN 接続に割り当てるときに使用します IP アドレスを取得する使用可能な方式は AAA サーバ DHCP サーバ またはローカルアドレスプールからの取得です これらの方式はすべてデフォルトでイネーブルになっています vpn-addr-assign {aaa dhcp local [reuse-delay minutes]} たとえば IP アドレスが解放された後に 0 ~ 480 分間の IP アドレスの再使用を設定できます hostname(config)#vpn-addr-assign aaa hostname(config)#vpn-addr-assign local reuse-delay 180 この例では コマンドの no 形式を使用してアドレス割り当て方式を無効にします hostname(config)# no vpn-addr-assign dhcp IPv6 アドレス割り当ての設定 ASA のアドレス割り当て方式を有効にして IPv6 アドレスを VPN 接続に割り当てるときに使用します IP アドレスを取得する使用可能な方式は AAA サーバまたはローカルアドレスプールからの取得です これら両方の方式はデフォルトでイネーブルになっています ipv6-vpn-addr-assign {aaa local} hostname(config)# ipv6-vpn-addr-assign aaa この例では コマンドの no 形式を使用してアドレス割り当て方式を無効にします hostname(config)# no ipv6-vpn-addr-assign local 2

アドレス割り当て方式の表示 アドレス割り当て方式の表示 ASA で設定されているアドレス割り当て方式を表示するには 次のいずれかの方式を使用します IPv4 アドレス割り当ての表示 設定されているアドレス割り当て方式を表示します 設定されているアドレス方式は aaa dhcp または local です show running-config all vpn-addr-assign vpn-addr-assign aaa vpn-addr-assign dhcp vpn-addr-assign local IPv6 アドレス割り当ての表示 設定されているアドレス割り当て方式を表示します 設定されているアドレス方式は aaa または local となります show running-config all ipv6-vpn-addr-assign ipv6-vpn-addr-assign aaa ipv6-vpn-addr-assign local reuse-delay 0 ローカル IP アドレスプールの設定 VPN リモートアクセストンネルに使用する IPv4 アドレスプールを設定するには グローバルコンフィギュレーションモードで ip local pool コマンドを入力します アドレスプールを削除するには このコマンドの no 形式を入力します VPN リモートアクセストンネルに使用する IPv6 アドレスプールを設定するには グローバルコンフィギュレーションモードで ipv6 local pool コマンドを入力します アドレスプールを削除するには このコマンドの no 形式を入力します ASA は 接続用の接続プロファイルまたはトンネルグループに基づいてアドレスプールを使用します プールの指定順序は重要です 接続プロファイルまたはグループポリシーに複数のアドレスプールを設定すると ASA は追加された順でそれらのプールを使用します ローカルでないサブネットのアドレスを割り当てる場合は そのようなネットワーク用のルートの追加が容易になるように サブネットの境界を担当するプールを追加することをお勧めします 3

ローカル IPv4 アドレスプールの設定 ローカル IPv4 アドレスプールの設定 ステップ 1 アドレス割り当て方式として IP アドレスプールを設定します local 引数を指定して vpn-addr-assign コマンドを入力します ステップ 2 hostname(config)# vpn-addr-assign local アドレスプールを設定します このコマンドは プールの名前を指定し IPv4 アドレスとサブネットマスクの範囲を指定します ip local poolpoolname first_address-last_addressmaskmask この例では firstpool という IP アドレスプールを設定します 開始アドレスは 10.20.30.40 終了アドレスは 10.20.30.50 です ネットワークマスクは 255.255.255.0 です hostname(config)# ip local pool firstpool 10.20.30.40-10.20.30.50 mask 255.255.255.0 この例では firstpool という IP アドレスプールを削除します hostname(config)# no ip local pool firstpool ローカル IPv6 アドレスプールの設定 ステップ 1 アドレス割り当て方式として IP アドレスプールを設定します local 引数を指定して vpn-addr-assign コマンドを入力します ステップ 2 hostname(config)# ipv6-vpn-addr-assign local アドレスプールを設定します このコマンドは プールに名前を指定し 開始 IPv6 アドレス ビット単位のプレフィックス長 および範囲内で使用するアドレスの数を特定します ipv6 local pool pool_name starting_address prefix_length number_of_addresses この例では ipv6pool という IP アドレスプールを設定します 開始アドレスは 2001:DB8::1 プレフィックス長は 32 ビット プールで使用するアドレス数は 100 です hostname(config)# ipv6 local pool ipv6pool 2001:DB8::1/32 100 4

AAA アドレス指定の設定 この例では ipv6pool という IP アドレスプールを削除します hostname(config)# no ipv6 local pool ipv6pool AAA アドレス指定の設定 AAA サーバを使用して VPN リモートアクセスクライアントにアドレスを割り当てるには まず AAA サーバまたは AAA サーバグループを設定する必要があります コマンドリファレンスで aaa-server protocol コマンドを参照してください また ユーザは RADIUS 認証用に設定された接続プロファイルと一致している必要があります 次の例は firstgroup という名前のトンネルグループに RAD2 という AAA サーバグループを定義する方法を示しています 例の中に 1 つ余分なが入っていますが これは以前にそのトンネルグループに名前を付け トンネルグループタイプを定義していた場合のためです このが次の例に記載されているのは これらの値を設定しない限り 後続の tunnel-group コマンドにアクセスできないので 注意を促すためです この例で作成されるコンフィギュレーションの概要は 次のとおりです hostname(config)# vpn-addr-assign aaa hostname(config)# tunnel-group firstgroup type ipsec-ra hostname(config)# tunnel-group firstgroup general-attributes hostname(config)# authentication-server-group RAD2 IP アドレッシング用に AAA を設定するには 次のを実行します ステップ 1 ステップ 2 アドレス割り当て方式として AAA を設定するには aaa 引数を指定して vpn-addr-assign コマンドを入力します hostname(config)# vpn-addr-assign aaa hostname(config)# firstgroup というトンネルグループをリモートアクセスまたは LAN-to-LAN トンネルグループとして確立するには type キーワードを指定して tunnel-group コマンドを入力します 次の例では リモートアクセストンネルグループを設定しています hostname(config)# tunnel-group firstgroup type ipsec-ra hostname(config)# ステップ 3 一般属性コンフィギュレーションモードに入り firstgroup というトンネルグループの AAA サーバグループを定義するには general-attributes 引数を指定して tunnel-group コマンドを入力します hostname(config)# tunnel-group firstgroup general-attributes hostname(config-general)# 5

DHCP アドレス指定の設定 ステップ 4 認証に使用する AAA サーバグループを指定するには authentication-server-group コマンドを入力します hostname(config-general)# authentication-server-group RAD2 hostname(config-general)# 次の作業 このコマンドには この例で示すより多くの引数があります 詳細については コマンドリファレンスを参照してください DHCP アドレス指定の設定 DHCP を使用して VPN クライアントのアドレスを割り当てるには まず DHCP サーバ およびその DHCP サーバで使用可能な IP アドレスの範囲を設定する必要があります その後 接続プロファイル単位で DHCP サーバを定義します また オプションとして 該当の接続プロファイルまたはユーザ名に関連付けられたグループポリシー内に DHCP ネットワークスコープも定義できます このスコープは 使用する IP アドレスプールを DHCP サーバに指定するための IP ネットワーク番号または IP アドレスです 次の例では firstgroup という名前の接続プロファイルに IP アドレス 172.33.44.19 の DHCP サーバを定義しています また この例では remotegroup というグループポリシーに対して 192.86.0.0 という DHCP ネットワークスコープも定義しています (remotegroup というグループポリシーは firstgroup という接続プロファイルに関連付けられています ) ネットワークスコープを定義しない場合 DHCP サーバはアドレスプールの設定順にプール内を探して IP アドレスを割り当てます 未割り当てのアドレスが見つかるまで プールが順に検索されます 次のコンフィギュレーションには 本来不要なが含まれています これらは 以前にその接続プロファイルに名前を付け 接続プロファイルタイプをリモートアクセスとして定義していたり グループポリシーに名前を付け 内部または外部として指定していた場合のためです これらのが次の例に記載されているのは これらの値を設定しない限り 後続の tunnel-group コマンドおよび group-policy コマンドにアクセスできないので 注意を促すためです 注意事項と制約事項 IPv4 アドレスを使用して クライアントアドレスを割り当てる DHCP サーバを識別できます DHCP アドレス指定の設定 ステップ 1 アドレス割り当て方式として IP アドレスプールを設定します vpn-addr-assign dhcp 6

DHCP アドレス指定の設定 ステップ 2 ステップ 3 ステップ 4 リモートアクセス接続プロファイルとして firstgroup という名前の接続プロファイルを設定します tunnel-group firstgroup type remote-access DHCP サーバを設定できるように 接続プロファイルの一般属性コンフィギュレーションモードを開始します tunnel-group firstgroup general-attributes IPv4 アドレスで DHCP サーバを定義します IPv6 アドレスで DHCP サーバを定義することはできません 接続プロファイルに複数の DHCP サーバアドレスを指定できます dhcp-server コマンドを入力します このコマンドを使用すると VPN クライアントの IP アドレスの取得を試みるときに 指定された DHCP サーバに追加のオプションを送信するように ASA を設定できます dhcp-server IPv4_address_of_DHCP_server この例では IP アドレス 172.33.44.19 の DHCP サーバを設定しています hostname(config-general)# dhcp-server 172.33.44.19 hostname(config-general)# ステップ 5 ステップ 6 トンネルグループモードを終了します hostname(config-general)# exit hostname(config)# remotegroup という名前の内部グループポリシーを作成します hostname(config)# group-policy remotegroup internal この例では remotegroup グループポリシーのグループポリシー属性コンフィギュレーションモードを開始しています hostname(config)# group-policy remotegroup attributes hostname(config-group-policy)# ステップ 7 ( 任意 ) グループポリシー属性コンフィギュレーションモードを開始し DHCP サーバで使用する IP アドレスのサブネットワークを設定します attributes キーワードを指定して group-policy コマンドを入力します hostname(config)# group-policy remotegroup attributes ステップ 8 ( 任意 ) remotegroup というグループポリシーのユーザにアドレスを割り当てるために DHCP サーバで使用する IP アドレスの範囲を指定するには dhcp-network-scope コマンドを入力します この例では 192.86.0.0 というネットワークスコープを設定しています hostname(config-group-policy)# dhcp-network-scope 192.86.0.0 hostname(config-group-policy)# 7

DHCP アドレス指定の設定 ( 注 ) dhcp-network-scope は DHCP プールのサブセットではなく ルーティング可能な IP アドレスである必要があります DHCP サーバは この IP アドレスが属するサブネットを判別し そのプールからの IP アドレスを割り当てます 任意の IP アドレスを dhcp-network-scope として使用できますが ネットワークにスタティックルートを追加する必要がある場合があります 例 この例で作成されるコンフィギュレーションの概要は 次のとおりです hostname(config)# vpn-addr-assign dhcp hostname(config)# tunnel-group firstgroup type remote-access hostname(config)# tunnel-group firstgroup general-attributes hostname(config-general)# dhcp-server 172.33.44.19 hostname(config-general)# exit hostname(config)# group-policy remotegroup internal hostname(config)# group-policy remotegroup attributes hostname(config-group-policy)# dhcp-network-scope 192.86.0.0 次の作業 詳細については Cisco セキュリティアプライアンスコマンドリファレンス ガイドで dhcp-server コマンドを参照してください 8

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック