|
◆ Cisco EzVPN(Eazy VPN)とは
Cisco EzVPN は、主にリモートアクセスVPNの実装において使われる概念でありCisco独自の用語です。
このEzVPNによって、IPsecVPNに関する設定をセンター側で一元管理できて、実装と管理がしやすく
なります。要は、リモートアクセスVPNをする上でのCiscoコンフィグが簡素化されるということです。
Cisco EzVPNはCisco EzVPNリモートとCisco EzVPNサーバの2種類のコンポーネントで構成されます。
| Cisco EzVPN の2つのコンポーネント |
| Cisco EzVPNサーバ |
ASA、またはCiscoルータ |
| Cisco EzVPNリモート |
ASA、またはCiscoルータ、またはCisco VPN Client が搭載されたPC |
Cisco EzVPNリモートは、VPNトンネル接続が確立した時に、EzVPNサーバからセキュリティポリシーを
受け取ることでリモート側の設定を最小限にすることができます。EzVPNサーバは、VPNトンネルの接続
要求をしてくるEzVPNリモートに対し、あらかじめ設定した最新のセキュリティポリシーを送信できます。
◆ リモートアクセスVPN - EzVPNサーバの設定
Cisco EzVPNサーバ側に、事前に設定しておくべきアトリビュート(パラメータ)は以下の項目です。
@ ポリシールックアップの設定
A VPNクライアントの認証用ユーザ名 ・ パスワードの設定
B IKEポリシー (IKE phase 1) の設定
C グループポリシーの設定
D ISAKMPプロファイルの設定
E IPsecポリシー (IKE phase 2) の設定
F IPsecポリシー (dynamic-map) の設定
G IPsecポリシー (crypto map) の設定
H インターフェースへの crypto map の適用設定
先ず、AAAによるポリシールックアップを有効にします。1行目ではAAAを有効にしています。2行目では
VPNクライアントのユーザログイン時のAAA認証と認証方式を指定します。認証リスト名を「VPNAUTHE」
として、ローカルの認証データベースを参照するように定義しています。3行目ではネットワークサービス
利用時のアクセス権限のためのAAA認可と認可方式を指定しています。認可リスト名を「VPNAUTHO」に、
ローカルの認可データベースを参照するように定義しています。ローカルではなくてRadiusとする定義も可。
@ ポリシールックアップの設定例
Cisco(config)# aaa new-model
Cisco(config)# aaa authentication login VPNAUTHE local
Cisco(config)# aaa authorization network VPNAUTHO local
|
次に、VPNクライアントの認証用ユーザ名「例:ciscovpn」とパスワード「例:cisco」の設定を行います。
A VPNクライアントの認証用ユーザ名とパスワードの設定例
| Cisco(config)# username ciscovpn password 0 cisco |
次に、IKEポリシーの設定を行います。ここではリモートピア(EzVPNリモート)とのIKEネゴシエーション
の際に使用されるIKEポリシーを設定します。設定方法や考え方については通常のIPsev-VPNの設定にて
使用する「crypto isakmp policy」と全く同じです。今回は例として、IKEポリシー1の暗号化に「3des」
ハッシュアルゴリズムに「md5」、認証方式に「pre-share」、DHグループに「2」の設定をおこないます。
B IKEポリシー(IKE phase 1)の設定例
Cisco(config)#crypto isakmp policy 1
Cisco(config-isakmp)# encryption 3des
Cisco(config-isakmp)# hash md5
Cisco(config-isakmp)# authentication pre-share
Cisco(config-isakmp)# group 2
|
次に、グループポリシーの設定を行います。ここでは、EzVPNリモートクライアントがダウンロードする
アトリビュートを含むグループポリシーを設定します。以下は「VPNCLIENT」をグループポリシー名とし
定義して2行目以降、事前共有鍵を「cisco」、DNSサーバアドレスを「10.1.1.1」、WINSサーバアドレス
を「10.1.1.2」、ドメイン名「 infraexpert.com 」、付与するIPアドレス「192.168.1.100 〜 150」を
定義したプール名を「ezremote」、「save-password」の設定によりEzVPNクライアント側でのユーザ名
とパスワードをセーブできるようになり、XAUTH中にユーザ名・パスワードが自動的にサーバ側に送信され
認証が行われます。最後に「ip local pool」により、EzVPNリモートクライアント用の付与アドレスを定義。
C グループポリシーの設定例
Cisco(config)#crypto isakmp client configuration group VPNCLIENT
Cisco(config-isakmp-group)# key cisco
Cisco(config-isakmp-group)# dns 10.1.1.1
Cisco(config-isakmp-group)# wins 10.1.1.2
Cisco(config-isakmp-group)# domain infraexpert.com
Cisco(config-isakmp-group)# pool ezremote
Cisco(config-isakmp-group)# save-password
Cisco(config)#ip local pool ezremote 192.168.1.100 192.168.1.150
|
次に、ISAKMPプロファイルの設定を行います。ここでAAA認証とAAA認可の設定のひもづけを行います。
1行目では、ISAKMPプロファイル名を定義しています。2行目ではピアとの間で交換する識別子としての
グループポリシー名を定義しています。交換する識別子がピアと合致した場合、ISAKMPプロファイルが
引き出されます。3行目ではIKE XAUTHの設定を行います。AAA認証リストと同じ名前の必要があります。
4行目ではAAA認可リストとリスト名を一致させます。5行目ではIKEモードコンフィグの設定を行います。
D ISAKMPプロファイルの設定例
Cisco(config)#crypto isakmp profile VPN-PROFILE
Cisco(config-isa-prof)# match identity group VPNCLIENT
Cisco(config-isa-prof)# client authentication list VPNAUTHE
Cisco(config-isa-prof)# isakmp authorization list VPNAUTHO
Cisco(config-isa-prof)# client configuration address respond
|
次に、IPsecポリシーの設定を行います。例えば、セキュリティプロトコルに「ESP」、暗号化に「3DES」
認証に「md5-hmac」のトランスフォームを定義して、トランスフォーム名を「REMO-IPSEC」とします。
IPsecの通信モードは、デフォルトで「トンネルモード」であることから通信モードの設定変更は不要です。
E IPsecポリシー (IKE phase2) の設定例
| Cisco(config)#crypto ipsec transform-set REMO-IPSEC esp-3des esp-md5-hmac |
次に、ダイナミック暗号マップの設定を行います。この機能はリモートアクセスVPNのIPsecだけではなく
LAN to LANのIPsec接続でも使用できます。この機能はピアのアドレスを事前に固定できない構成で使用
されます。このダイナミック暗号マップエントリには、先ほど定義したトランスフォームセット、および
ISAKMPプロファイルのひもづけを行います。ここではダイナミック暗号マップ名は「REMO」としています。
F IPsecポリシー (dynamic-map) の設定例
Cisco(config)#crypto dynamic-map REMO 1
Cisco(config-crypto-map)#set transform-set REMO-IPSEC
Cisco(config-crypto-map)#set isakmp-profile VPN-PROFILE
|
次に、暗号マップの設定を行います。暗号マップの名前を例えば「 EZVPN 」と定義して、IPsec SAの
生成のためにIKEを使用するために「 ipsec-isakmp 」キーワードを定義します。さらに今回は、事前に
定義したダイナミック暗号マップを参照するように「dynamic」キーワードを指定して、先ほど定義した
ダイナミック暗号マップを指定します。ダイナミック暗号マップのポリシーテンプレートはIPsecリモート
ピアからのネゴシエーション要求の際に使用されます。そして最後にこの暗号マップをI/Fに適用します。
G IPsecポリシー (crypto map) の設定例
| Cisco(config)#crypto map EZVPN 1 ipsec-isakmp dynamic REMO |
H インターフェースへの crytpo map の適用設定例
Cisco(config)#interface dialer 1
Cisco(config-if)#crypto map EZVPN
|
IKE Phase 1の「MainモードのPre-Shared Key」では認証時に通信相手のIPアドレス情報を使用する必要があります。従って動的に
Global IPを付与されるリモートクライアントでの接続時は、IDにIP情報が必要のないAggressiveモードを使用する必要があります。
Ciscoルータの場合、デフォルトで、IKE MainモードのISAKMP SA及びIKE AggressiveモードのISAKMP SAの両方を処理できます。
|