IOS ゾーン ベースのポリシー ファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例

Similar documents
SDM によるシンクライアント SSL VPN(WebVPN)の IOS 設定例

ip nat outside source list コマンドを使用した設定例

Cisco Security Device Manager サンプル設定ガイド

9.pdf

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

Autonomous アクセス ポイント上の WEP の設定例

Crashinfo ファイルからの情報の取得

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

VRF のデバイスへの設定 Telnet/SSH アクセス

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

X.25 PVC 設定

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

ISDN を経由した PPP コールバックの設定

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

設定例: 基本 ISDN 設定

拡張LANE セットアップ - Dual Phy を使用した SSRP

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

PfRv2 での Learn-List と PfR-Map の設定

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

IME を使用した IPS TCP リセット設定

IPv6 リンクローカル アドレスについて

SRT/RTX/RT設定例集

ASA/PIX: インターネットからのネットワーク トラフィックを許可して Microsoft メディア サーバ(MMS)/ストリーミング ビデオにアクセスする設定例

コンフィギュレーション ファイルのバックアップと復元

シナリオ:DMZ の設定

このマニュアルについて

Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR /

FQDN を使用した ACL の設定

実習 :VLAN 間ルーティングのトラブルシューティング トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 8 ページ

実習 : 拡張 ACL の設定と確認 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ

一般的に使用される IP ACL の設定

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

Web 認証拡張機能簡易ドキュメント

Catalyst 2948G-L3 と Catalyst 2900/3500XL または 2970 シリーズ スイッチ間での ISL トランクの設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

Microsoft Word - ID32.doc

AMWI と VMWI の設定

PowerPoint Presentation

IPSEC-VPN IPsec(Security Architecture for Internet Protocol) IP SA(Security Association, ) SA IKE IKE 1 1 ISAKMP SA( ) IKE 2 2 IPSec SA( 1 ) IPs

Lync Server 2010 Lync Server Topology Builder BIG-IP LTM Topology Builder IP Lync 2010 BIG IP BIG-IP VE Virtual Edition BIG-IP SSL/TLS BIG-IP Edge Web

アライドテレシス ディストリビューションスイッチ x610シリーズで実現するVRF-Lite + Tagging + EPSR for x610

Juniper Networks Corporate PowerPoint Template

DHCP サーバオプションを動的に設定する方法

Cisco Umbrella Branch Cisco Umbrella Branch Cisco ISR Umbrella Branch

AMFマルチテナントソリューション

Managed Firewall NATユースケース

dd_http_redirect.pdf

改訂履歴 版番号改訂日改訂者改訂内容 年 月 25 日ネットワールド 新規 I

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 3 日ネットワールド 新規 I

SCREENOS NAT ScreenOS J-Series(JUNOS9.5 ) NAT ScreenOS J-Series(JUNOS9.5 ) NAT : Destination NAT Zone NAT Pool DIP IF NAT Pool Egress IF Loopback Grou

アライドテレシスコア スイッチ AT-SBx908 シリーズで実現する AMF-SBx908 ソリューション Solution No 主な目的 ネットワークの一元管理 共有化をしたい 既存ネットワークを再構築せずに 簡単に導入したい ネットワーク管理 運用にかかるコストを削減

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

Catalyst 3750 シリーズ スイッチでの ISE トラフィック リダイレクション

アドレス プールの設定

LAT ノードおよびサービス名

Juniper Networks Corporate PowerPoint Template

SRX License

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

RT300i/RT140x/RT105i 取扱説明書

改訂履歴 版番号改訂日改訂者改訂内容 年 3 月 日ネットワールド 新規 I

Security Device Manager: NBAR を使用した Cisco IOS ルータの P2P トラフィックのブロックの設定例

適応型セキュリティ アプライ アンスの設定

Windows GPO のスクリプトと Cisco NAC 相互運用性

適応型セキュリティ アプライ アンスの設定

CGR1xxx の設定 CGM-SRV IOx モジュール

RT300/140/105シリーズ 取扱説明書

設定例集

改訂履歴 版番号改訂日 改訂者 改訂内容 年 月 25 日ネットワールド 新規. 206 年 3 月 日ネットワールド 文書のタイトルを クイックスタートガイド から クイックスタートガイド /PPPoE / 端末型 に変更. はじめに 章のリード文に PPPoE の説明とクイックスター

ICND2-Road to ICND2- 前提知識 ICND 2では CCEN Tレベルの知識がある方 (ICND 1 試験の合格レベル ) を対象とし それ同等 の知識が必要になってきます 研修に参加されるまでに以下の項目を復習しておくことを お勧めします IP アドレスとサブネットマスク ホスト

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

untitled

詳細設定

SRX IDP Full IDP Stateful Inspection 8 Detection mechanisms including Stateful Signatures and Protocol Anomalies Reassemble, normalize, eliminate ambi

発信者番号による ISDN 認証とコールバック

改訂履歴 版番号改訂日改訂者改訂内容.0 06 年 3 月 日ネットワールド 新規 I

コア・スイッチSBx8100 シリーズで実現するスター型冗長コアソリューション

CiscoSecure NT 2.5 以降(RADIUS)を使用して VPN 5000 Client から VPN 5000 コンセントレータへの認証を行う方法

Cisco Start Router 設定マニュアルクイックスタートガイド /PPPoE/LAN 型 Cisco 841M J 2016 年 3 月 11 日 第 1.0 版 株式会社ネットワールド

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

R76/Gaia ブリッジ構成設定ガイド

Nexus 1000V による UCS の MAC アドレスのトレース

外部ルート向け Cisco IOS と NXOS 間の OSPF ルーティング ループ/最適でないルーティングの設定例

RouteMagic Controller RMC-MP200 / MP Version

オペレーティング システムでの traceroute コマンドの使用

リンク バンドル コマンド

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

設定マニュアルクイックスタートガイド / 手動設定 Cisco 84M J 改訂履歴 版番号改訂日改訂者改訂内容.0 06 年 3 月 日ネットワールド 新規 I

リング型IPカメラ監視ソリューション(マルチキャスト編)

Cisco Start Firewall Cisco ASA 5506-X PAT(Port Address Translation) の設定 2016 年 3 月 23 日 第 1.1 版 株式会社ネットワールド

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

AMF Cloud ソリューション

GenieATM 6300-T / 6200-T シリーズ 1. 基本的な機器オペレーションのために 1-1. 機器への接続 機器への接続方法は 以下の 2 通りがあります シリアルポートを使用してログインする LAN 経由で Telnet または SSH を使用して仮想 Interface からロ

AnyConnect: CLI を使用して IOS ルータのヘッドエンドの基本 SSLVPN を設定する

帯域を測ってみよう (適応型QoS/QoS連携/帯域検出機能)

Transcription:

IOS ゾーンベースのポリシーファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例 目次 はじめに前提条件要件使用するコンポーネント表記法設定ネットワーク図 Cisco IOS AnyConnect サーバの設定確認トラブルシューティングトラブルシューティングのためのコマンド関連情報 はじめに Cisco IOS ソフトウェアリリース 12.4(20)T 以降では AnyConnect VPN クライアントの接続に仮想インターフェイス SSLVPN-VIF0 が導入されています ただし この SSLVPN-VIF0 インターフェイスはユーザ設定をサポートしない内部インターフェイスです そのため AnyConnect VPN とゾーンベースポリシーファイアウォールを併用すると問題が生じていました 2 つのインターフェイスがセキュリティゾーンに属している場合 この 2 つのインターフェイス間のみにトラフィックフローが制限されるからです ユーザは SSLVPN-VIF0 インターフェイスをゾーンメンバとして設定できないため 復号化後に Cisco IOS WebVPN ゲートウェイで終了した VPN クライアントのトラフィックを セキュリティゾーンに属している他のインターフェイスに転送することはできません ファイアウォールが次のようなログメッセージをレポートした場合 この現象が発生していると考えられます *Mar 4 16:43:18.251: %FW-6-DROP_PKT: Dropping icmp session 192.168.1.12:0 192.168.10.1:0 due to One of the interfaces not being cfged for zoning with ip ident 0 この問題は その後 新しい Cisco IOS ソフトウェアリリースで解決されました 新しいコードでは ユーザはセキュリティゾーンを仮想テンプレートインターフェイスに割り当てられます この仮想テンプレートインターフェイスは WebVPN コンテキストで参照され セキュリティゾーンを WebVPN と関連付けるために使用されます 前提条件

要件 Cisco IOS の新しい機能を活用するためには Cisco IOS WebVPN ゲートウェイデバイスで Cisco IOS ソフトウェアリリース 12.4(20)T3 Cisco IOS ソフトウェアリリース 12.4(22)T2 または Cisco IOS ソフトウェアリリース 12.4(24)T1 以降が稼働している必要があります 使用するコンポーネント このドキュメントの情報は 次のソフトウェアとハードウェアのバージョンに基づくものです バージョン 15.0(1)M1 の Advanced Security フィーチャセットが稼働する Cisco IOS 3845 シリーズルータ Windows 2.4.1012 用のバージョンの Cisco AnyConnect SSL VPN Client 本書の情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは 初期 ( デフォルト ) 設定の状態から起動しています 稼働中のネットワークで作業を行う場合 コマンドの影響について十分に理解したうえで作業してください 表記法 ドキュメント表記の詳細は シスコテクニカルティップスの表記法 を参照してください 設定 この項では このドキュメントで説明する機能の設定に必要な情報を提供します 注 : このセクションで使用されているコマンドの詳細を調べるには Command Lookup Tool( 登録ユーザ専用 ) を使用してください ネットワーク図 このドキュメントでは 次のネットワーク構成を使用しています Cisco IOS AnyConnect サーバの設定 ここでは ゾーンベースポリシーファイアウォールと連動させるために Cisco IOS AnyConnect サーバで必要となる設定手順の概要を示します 最終的な設定は このドキュメントの後半に提示する 2 種類の代表的な導入シナリオを参照してください 1. 仮想テンプレートインターフェイスを設定し それを AnyConnect 接続から復号化された

トラフィック用のセキュリティゾーン内に割り当てます 2. 前の手順で設定した仮想テンプレートを AnyConnect 設定の WebVPN コンテキストに追加します 3. WebVPN とゾーンベースポリシーファイアウォールの残りの設定を完了させます AnyConnect とゾーンベースポリシーファイアウォールの代表的なシナリオとして ここでは 2 種類のシナリオの最終的なルータ設定をそれぞれ示します 導入シナリオ 1 VPN トラフィックは内部ネットワークと同じセキュリティゾーンに属しています AnyConnect トラフィックは 復号化後に 内部 LAN インターフェイスが属している同じセキュリティゾーンに入ります 注 : アクセス制限のため ルータ自体への http/https トラフィックのみを許可するセルフゾーンも定義されています ルータの設定 Router#show run Building configuration... Current configuration : 5225 bytes Last configuration change at 16:25:30 UTC Thu Mar 4 2010 by cisco version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Router boot-start-marker boot system flash: boot-end-marker aaa new-model aaa authentication login default local aaa authentication login webvpn local aaa session-id common ip cef ip inspect log -pkt no ip domain lookup parameter-map type inspect audit-map audit-trail on tcp idle-time 20 parameter-map type inspect global

crypto pki trustpoint TP-self-signed-2692466680 enrollment selfsigned subject-name cn=ios-self-signed-certificate-2692466680 revocation-check none rsakeypair TP-self-signed-2692466680 crypto pki certificate chain TP-self-signed-2692466680 certificate self-signed 01 <actual certificate deleted here for brevity> quit username cisco password 0 cisco class-map type inspect match-any test match protocol tcp match protocol udp match protocol icmp class-map type inspect match-all router-access match access-group name router-access policy-map type inspect firewall-policy class type inspect test inspect audit-map policy-map type inspect out-to-self-policy class type inspect router-access inspect policy-map type inspect self-to-out-policy class type inspect test inspect zone security inside zone security outside zone-pair security in-out source inside destination outside service-policy type inspect firewall-policy zone-pair security out-self source outside destination self service-policy type inspect out-to-self-policy zone-pair security self-out source self destination outside service-policy type inspect self-to-out-policy interface Loopback0 ip address 172.16.1.1 255.255.255.255 interface GigabitEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip nat inside ip virtual-reassembly zone-member security inside

interface GigabitEthernet0/1 ip address 209.165.200.230 255.255.255.224 ip nat outside ip virtual-reassembly zone-member security outside interface Virtual-Template1 ip unnumbered Loopback0 zone-member security inside ip local pool test 192.168.1.1 192.168.1.100 ip forward-protocol nd ip http server ip http secure-server ip nat inside source list 1 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 209.165.200.225 ip access-list extended router-access permit tcp any host 209.165.200.230 eq www permit tcp any host 209.165.200.230 eq 443 access-list 1 permit 192.168.10.0 0.0.0.255 control-plane line con 0 exec-timeout 0 0 logging synchronous line aux 0 modem InOut transport input all line vty 0 4 transport input all exception data-corruption buffer truncate scheduler allocate 20000 1000 webvpn gateway webvpn_gateway ip address 209.165.200.230 port 443 http-redirect port 80 ssl trustpoint TP-self-signed-2692466680 inservice webvpn install svc flash:/webvpn/svc.pkg sequence 1 webvpn context test secondary-color white title-color #669999 text-color black ssl authenticate verify all policy group policy_1 functions svc-enabled svc address-pool "test" svc keep-client-installed svc split include 192.168.10.0 255.255.255.0 virtual-template 1

default-group-policy policy_1 aaa authentication list webvpn gateway webvpn_gateway inservice end デプロイメントシナリオ 2 VPN トラフィックは内部ネットワークとは異なるセキュリティゾーンに属しています AnyConnect トラフィックは別の VPN ゾーンに属し 内部ゾーンに入ることのできる VPN トラフィックを制御するセキュリティポリシーが設定されています この例では AnyConnect クライアントから内部 LAN ネットワークへの telnet トラフィックと http トラフィックが許可されます ルータの設定 Router#show run Building configuration... Current configuration : 6029 bytes Last configuration change at 20:57:32 UTC Fri Mar 5 2010 by cisco version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Router boot-start-marker boot system flash: boot-end-marker aaa new-model aaa authentication login default local aaa authentication login webvpn local aaa session-id common ip cef ip inspect log -pkt no ip domain lookup multilink bundle-name authenticated parameter-map type inspect global parameter-map type inspect audit-map audit-trail on tcp idle-time 20

crypto pki trustpoint TP-self-signed-2692466680 enrollment selfsigned subject-name cn=ios-self-signed-certificate-2692466680 revocation-check none rsakeypair TP-self-signed-2692466680 crypto pki certificate chain TP-self-signed-2692466680 certificate self-signed 01 <actual certificate deleted for brevity> quit license udi pid CISCO3845-MB sn FOC09483Y8J archive log config hidekeys username cisco password 0 cisco class-map type inspect match-any test match protocol tcp match protocol udp match protocol icmp class-map type inspect match-all router-access match access-group name router-access class-map type inspect match-any http-telnet-ftp match protocol http match protocol telnet match protocol ftp class-map type inspect match-all vpn-to-inside-cmap match class-map http-telnet-ftp match access-group name tunnel-traffic policy-map type inspect firewall-policy class type inspect test inspect audit-map policy-map type inspect out-to-self-policy class type inspect router-access inspect policy-map type inspect self-to-out-policy class type inspect test inspect pass policy-map type inspect vpn-to-in-policy class type inspect vpn-to-inside-cmap inspect zone security inside zone security outside zone security vpn zone-pair security in-out source inside destination outside service-policy type inspect firewall-policy zone-pair security out-self source outside destination

self service-policy type inspect out-to-self-policy zone-pair security self-out source self destination outside service-policy type inspect self-to-out-policy zone-pair security in-vpn source inside destination vpn service-policy type inspect firewall-policy zone-pair security vpn-in source vpn destination inside service-policy type inspect vpn-to-in-policy interface Loopback0 ip address 172.16.1.1 255.255.255.255 interface GigabitEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip nat inside ip virtual-reassembly zone-member security inside interface GigabitEthernet0/1 ip address 209.165.200.230 255.255.255.224 ip nat outside ip virtual-reassembly zone-member security outside interface Virtual-Template1 ip unnumbered Loopback0 zone-member security vpn ip local pool test 192.168.1.1 192.168.1.100 ip forward-protocol nd ip http server ip http secure-server ip nat inside source list 1 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 209.165.200.225 ip access-list extended broadcast permit ip any host 255.255.255.255 ip access-list extended router-access permit tcp any host 209.165.200.230 eq www permit tcp any host 209.165.200.230 eq 443 ip access-list extended tunnel-traffic permit ip any 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.10.0 0.0.0.255 control-plane line con 0 exec-timeout 0 0 logging synchronous line aux 0

modem InOut transport input all line vty 0 4 transport input all exception data-corruption buffer truncate scheduler allocate 20000 1000 webvpn gateway webvpn_gateway ip address 209.165.200.230 port 443 http-redirect port 80 ssl trustpoint TP-self-signed-2692466680 inservice webvpn install svc flash:/webvpn/svc.pkg sequence 1 webvpn context test secondary-color white title-color #669999 text-color black ssl authenticate verify all policy group policy_1 functions svc-enabled svc address-pool "test" svc keep-client-installed svc split include 192.168.10.0 255.255.255.0 virtual-template 1 default-group-policy policy_1 aaa authentication list webvpn gateway webvpn_gateway inservice end 確認 ここでは 設定が正常に動作していることを確認します Output Interpreter Tool(OIT)( 登録ユーザ専用 ) では 特定の show コマンドがサポートされています OIT を使用して show コマンド出力の解析を表示できます いくつかの show コマンドは WebVPN に関連しています これらのコマンドをコマンドラインインターフェイス (CLI) で実行して 統計情報や他の情報を表示できます show コマンドの詳細については WebVPN 設定の確認 を参照してください ゾーンベースポリシーファイアウォールの設定確認に使用するコマンドの詳細については ゾーンベースポリシーファイアウォール設定ガイド を参照してください トラブルシューティング ここでは 設定のトラブルシューティングに役立つ情報について説明します トラブルシューティングのためのコマンド

注 : debug コマンドを使用する前に debug コマンドの重要な情報 を参照してください いくつかの debug コマンドは WebVPN に関連しています これらのコマンドの詳細については WebVPN の Debug コマンドの使用 を参照してください ゾーンベースポリシーファイアウォールの debug コマンドの詳細については それぞれのコマンドを参照してください 関連情報 Cisco IOS ソフトウェア テクニカルサポートとドキュメント Cisco Systems

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック