拠点間IPSec-VPNの設定(Cisco ASA5505 8.4)
- LAN設定
- Interface設定(VLAN1を社内ネットワークとして設定)
interface vlan1
nameif insice
ip address [IP Address] [Netmask]
security-level 100
exit
※security-level: 0 - 100までで設定する。100が最もセキュア
- Internet接続設定
- (PPPoEの場合)PPPoE ID/PW設定(ID:hogehoge@hogehoge.co.jp, PW: hoge)
vpdn group group1 request dialout pppoe
vpdn group group1 localname hogehoge@hogehoge.co.jp
vpdn group group1 ppp authentication chap
vpdn username hogehoge@hogehoge.co.jp password hoge
- Interface設定(VLAN10をInternet側として設定)
interface vlan10
nameif outside
ip address [IPAddress] [Netmask] security-level 0
pppoe client vpdn group1
ip address pppoe setroute
exit
- NAT設定(インターフェースNAT)
8.3からコマンドが変更になっているためバージョンによって設定方法が異なる。
8.4の場合, ネットワークオブジェクトでNATを設定する。
object network LAN
subnet [Network Address] [Netmask]
nat (inside,outside) dynamic interface
- ルーティング設定
route outside 0 0
- アクセス制御設定
省略
- VPN接続設定
- VPNポリシー設定
access-list VPNACL extended permit ip object LAN [Dst address] [Netmask]
- Phase1(IKE SA, データ暗号鍵交換用トンネル確立)設定
'phase 1の暗号/Hashアルゴリズムを指定
'( 暗号化:AES-128, Hash:SHA1, Diffie-Helman group: 2)
crypto ikev1 policy 10
authentication pre-share
encryption aes
hash sha
group 2
'Tunnelグループで対向のIPアドレスと共有鍵を設定
tunnel-group [PeerIPAddress] type ipsec-l2l
tunnel-group [PeerIPAddress] ipsec-attributes
ikev1 pre-shared-key [keystrings]
- Phase2(IPSec SA, データ通信用トンネル確立)設定
'暗号/Hashアルゴリズムを設定( 暗号化:AES-128, Hash:SHA1)
crypto ipsec ikev1 transform-set AES-SHA1 esp-aes esp-sha-hmac
crypto map MAPNAME 10 match address VPNACL
crypto map MAPNAME 10 set peer [PeerIPAddress]
crypto map MAPNAME 10 set ikev1 transform-set AES-SHA1
crypto map MAPNAME interface outside
※[peerIPAddress]では対向機器のIPアドレスを設定
- NAT設定
※作成中
