Cisco ASA...

Click here to load reader

download Cisco ASA … ’¾…’¼…‛ VPN CLI …″…’³…’•…‣…‮…’¥…’¬…’¼… ’§

of 499

  • date post

    08-Mar-2021
  • Category

    Documents

  • view

    0
  • download

    0

Embed Size (px)

Transcript of Cisco ASA...

  • Cisco ASA シリーズ VPN CLI コンフィギュレーショ ン ガイド ソフトウェア バージョン 9.1 ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5512-X、 ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5580、ASA 5585-X、および ASA サービス モジュール用

    初版:2012 年 11 月 29 日 更新:2013 年 2 月 25 日

    Text Part Number: なし、オンライン専用

  • 【注意】シスコ製品をご使用になる前に、安全上の注意

    (www.cisco.com/jp/go/safety_warning/)をご確認ください。

    本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報

    につきましては、日本語版掲載時点で、英語版にアップデートがあ

    り、リンク先のページが移動 / 変更されている場合がありますこと をご了承ください。

    あくまでも参考和訳となりますので、正式な内容については米国サ

    イトのドキュメントを参照ください。

    また、契約等の記述については、弊社販売パートナー、または、弊

    社担当者にご確認ください。

    このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨事項

    は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用は、すべ

    てユーザ側の責任になります。

    対象製品のソフトウェア ライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。

    The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version of the UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.

    ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコおよび

    これら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証をはじめ

    とする、明示されたまたは黙示された一切の保証の責任を負わないものとします。

    いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、間接

    的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものとします。

    Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R)

    このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワー ク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なも のではなく、偶然の一致によるものです。

    Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド Copyright © 2012-2013 Cisco Systems, Inc. All rights reserved.

    http://www.cisco.com/go/trademarks www.cisco.com/jp/go/safety_warning/

  • C O N T E N T S

    このマニュアルについて xiii

    マニュアルの目的 xiii

    関連資料 xiii

    表記法 xiv

    マニュアルの入手方法およびテクニカル サポート xv

    C H A P T E R 1 IPsec と ISAKMP の設定 1-1 トンネリング、IPsec、および ISAKMP に関する情報 1-1

    IPsec の概要 1-2 ISAKMP および IKE の概要 1-2

    リモート アクセス IPsec VPN のライセンス要件 1-3

    注意事項と制限事項 1-8

    ISAKMP の設定 1-9 IKEv1 および IKEv2 のポリシーの設定 1-9 外部インターフェイスでの IKE のイネーブル化 1-14 IKEv1 アグレッシブ モードのディセーブル化 1-14 IKEv1 および IKEv2 ISAKMP ピアの識別方式の決定 1-14 IPsec over NAT-T のイネーブル化 1-15 IPsec with IKEv1 over TCP のイネーブル化 1-16 リブートの前にアクティブ セッションの終了を待機 1-17 接続解除の前にピアに警告 1-18

    IKEv1 の証明書グループ照合の設定 1-18 証明書グループ照合のルールとポリシーの作成 1-19

    tunnel-group-map default-group コマンドの使用 1-20

    IPsec の設定 1-20 IPsec トンネルの概要 1-20 IKEv1 トランスフォーム セットおよび IKEv2 プロポーザルの概要 1-21 クリプト マップの定義 1-21 公開キー インフラストラクチャ(PKI)キーの管理 1-29 暗号化コアのプールの設定 1-30

    クリプト マップのインターフェイスへの適用 1-31 インターフェイス ACL を使用する 1-31 IPsec SA のライフタイムの変更 1-34 基本的な IPsec コンフィギュレーションの作成 1-34

    iii Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド

  • Contents

    ダイナミック クリプト マップの使用 1-37 サイトツーサイト冗長性の定義 1-40

    IPsec コンフィギュレーションの表示 1-40

    セキュリティ アソシエーションのクリア 1-41

    クリプト マップ コンフィギュレーションのクリア 1-42

    Nokia VPN クライアントのサポート 1-42

    C H A P T E R 2 L2TP over IPsec の設定 2-1 L2TP over IPsec/IKEv1 に関する情報 2-1

    IPsec の転送モードとトンネル モード 2-2

    L2TP over IPsec のライセンス要件 2-3

    L2TP over IPsec を設定するための前提条件 2-8

    注意事項と制限事項 2-9

    L2TP over IPsec の設定 2-10 ASA 8.2.5 を使用する L2TP over IPsec の設定例 2-18 ASA 8.4.1 以降を使用する L2TP over IPsec の設定例 2-19

    L2TP over IPsec の機能履歴 2-20

    C H A P T E R 3 VPN の一般パラメータの設定 3-1 単一のルーテッド モードでの VPN の設定 3-1

    ACL をバイパスするための IPsec の設定 3-1

    インターフェイス内トラフィックの許可(ヘアピニング) 3-2

    インターフェイス内トラフィックにおける NAT の注意事項 3-3

    アクティブな IPsec セッションまたは SSL VPN セッションの最大数の設定 3-4

    許可される IPsec クライアント リビジョン レベル確認のためのクライアント アップデート の使用 3-4

    パブリック IP 接続への NAT 割り当てによる IP アドレスの実装 3-7 VPN NAT ポリシーの表示 3-7

    ロード バランシングの概要 3-8 ロード バランシングとフェールオーバーの比較 3-9 ロード バランシングの実装 3-10 前提条件 3-10

    適格なプラットフォーム 3-10

    適格なクライアント 3-10

    VPN ロードバランシングのアルゴリズム 3-11 VPN ロードバランシング クラスタ コンフィギュレーション 3-11 一部の一般的な混在クラスタのシナリオ 3-12

    ロード バランシングの設定 3-13

    iv Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド

  • Contents

    ロード バランシング用のパブリック インターフェイスとプライベート インターフェイ スの設定 3-13

    ロード バランシング クラスタ属性の設定 3-14 完全修飾ドメイン名を使用したリダイレクションのイネーブル化 3-16

    ロード バランシングについての FAQ 3-17 ロード バランシングの表示 3-18

    VPN セッション制限の設定 3-18

    ID 証明書のネゴシエート時の使用 3-20

    暗号化コアのプールの設定 3-20

    アクティブな VPN セッションの表示 3-21 IP アドレス タイプ別のアクティブな AnyConnect セッションの表示 3-21 IP アドレス タイプ別のアクティブなクライアントレス SSL VPN セッションの表 示 3-22

    IP アドレス タイプ別のアクティブな LAN-to-LAN VPN セッションの表示 3-23

    C H A P T E R 4 接続プロファイル、グループ ポリシー、およびユーザの設定 4-1 接続プロファイル、グループ ポリシー、およびユーザの概要 4-1

    接続プロファイル 4-2

    接続プロファイルの一般接続パラメータ 4-