CHAPTER 62 L2TP over IPsec の設定 この章では、適応型セキュリティ アプライアンスの L2TP over IPsec の設定方法について説明します。 次の項目について説明します。 • 「L2TP over IPsec に関する情報」(P.62-1) • 「L2TP over IPsec のライセンス要件」(P.62-3) • 「ガイドラインと制限事項」(P.62-3) • 「L2TP over IPsec の設定」(P.62-4) • 「L2TP over IPsec の設定例」(P.62-7) • 「L2TP over IPsec の機能履歴」(P.62-8) L2TP over IPsec に関する情報 Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)は、リモート クライアントが パブリック IP ネットワークを使用して、企業のプライベート ネットワーク サーバと安全に通信できる ようにする VPN トンネリング プロトコルです。L2TP は、データのトンネリングに PPP over UDP (ポート 1701)を使用します。 L2TP プロトコルは、クライアント / サーバ モデルを基本にしています。機能は L2TP Network Server (LNS; L2TP ネットワーク サーバ)と L2TP Access Concentrator(LAC; L2TP アクセス コンセント レータ)に分かれています。LNS は、通常、ルータなどのネットワーク ゲートウェイで実行されま す。一方、LAC は、ダイヤルアップの Network Access Server(NAS; ネットワーク アクセス サーバ) や、Microsoft Windows 2000 などの L2TP クライアントが搭載された PC で実行されます。 リモート アクセスのシナリオで、IPsec を使用する L2TP を設定する最大の利点は、リモート ユーザが ゲートウェイや専用回線を使わずにパブリック IP ネットワークを介して VPN にアクセスできることで す。これにより、実質的にどの場所からでも POTS を使用してリモート アクセスが可能になります。 この他に、VPN にアクセスするクライアントは Windows 2000 で Microsoft Dial-Up Networking (DUN; ダイヤルアップ ネットワーク)を使用するだけでよいという利点もあります。Cisco VPN クラ イアント ソフトウェアなど、追加のクライアント ソフトウェアは必要ありません。 L2TP over IPsec を設定するには、まず、IPsec の転送モードを設定して、IPsec で L2TP を使用できる ようにします。次に、L2TP に Virtual Private Dial-up Network(VPDN; バーチャル プライベート ダイ ヤルアップ ネットワーク)グループを設定します。 IPsec を使用する L2TP の設定では、事前共有キーまたは RSA 署名方式を使用する証明書、および (スタティックではなく)ダイナミック暗号マップの使用がサポートされます。ただし、ここで説明す る概要手順では、IKE、および事前共有キーまたは RSA 署名の設定が完了していることを前提にして います。事前共有キー、RSA、およびダイナミック暗号マップの設定手順については、第 73 章「証明 書の設定」を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 62-1 第 62 章 L2TP over IPsec の設定 L2TP over IPsec に関する情報 (注) 適応型セキュリティ アプライアンスで IPsec を使用する L2TP を設定すると、LNS が Windows 2000 L2TP クライアントと相互運用できるようになります。現時点では、シスコや他のベンダーの LAC と の相互運用はサポートされていません。サポートされているのは、IPsec を使用する L2TP だけで、ネ イティブの L2TP そのものは、適応型セキュリティ アプライアンスではサポートされていません。 Windows 2000 クライアントがサポートしている IPsec セキュリティ アソシエーションの最短ライフタ イムは 300 秒です。適応型セキュリティ アプライアンスでライフタイムを 300 秒未満に設定している 場合、Windows 2000 クライアントはこの設定を無視して、300 秒のライフタイムに置き換えます。 IPsec の転送モードとトンネル モード 適応型セキュリティ アプライアンスは、デフォルトで IPsec トンネル モードを使用します。このモー ドでは、元の IP データグラム全体が暗号化され、新しい IP パケットのペイロードになります。この モードでは、ルータなどのネットワーク デバイスが IPsec のプロキシとして動作できます。つまり、 ルータがホストに代わって暗号化を行います。送信元ルータがパケットを暗号化し、IPsec トンネルを 使用して転送します。宛先ルータは元の IP データグラムを復号化し、宛先システムに転送します。ト ンネル モードの大きな利点は、エンド システムを変更しなくても IPsec を利用できるということです。 また、トラフィック分析から保護することもできます。トンネル モードを使用すると、攻撃者にはト ンネルのエンドポイントしかわからず、トンネリングされたパケットの本来の送信元と宛先はわかりま せん(これらがトンネルのエンドポイントと同じ場合でも同様)。 ただし、Windows 2000 の L2TP/IPsec クライアントは、IPsec 転送モードを使用します。このモード では IP ペイロードだけが暗号化され、元の IP ヘッダーは暗号化されません。このモードには、各パ ケットに数バイトしか追加されず、パブリック ネットワーク上のデバイスに、パケットの最終的な送 信元と宛先を認識できるという利点があります。図 62-1 に、IPsec のトンネル モードと転送モードの 違いを示します。 このように、Windows 2000 の L2TP/IPsec クライアントから適応型セキュリティ アプライアンスに接 続するには、crypto ipsec transform-set trans_name mode transport コマンドを使用してトランス フォーム セット用に IPsec 転送モードを設定する必要があります。このコマンドの設定手順について は、を参照してください。 この機能(転送)を設定することにより、IP ヘッダーの情報に基づいて、中間ネットワークで特別な 処理(QoS など)を実行できるようになります。ただし、レイヤ 4 ヘッダーは暗号化されるので、パ ケットの検査が制限されます。転送モードでは、IP ヘッダーがクリア テキストで送信されるため、攻 撃者に何らかのトラフィック分析を許すことになります。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 62-2 OL-18970-01-J 第 62 章 L2TP over IPsec の設定 L2TP over IPsec のライセンス要件 図 62-1 IPsec のトンネル モードと転送モード IP HDR ࠻ࡦࡀ࡞ ࡕ࠼ ࠺࠲ ᥧภൻ IP HDR IP HDR ࠺࠲ 23246 ᣂߒ IP HDR IPSec HDR ࠺࠲ ォㅍࡕ࠼ IP HDR IPSec HDR ࠺࠲ ᥧภൻ L2TP over IPsec のライセンス要件 次の表に、この機能のライセンス要件を示します。 モデル ライセンス要件 ASA 5505 基本ライセンス:10 セッション(10 の組み合せた IPSec と SSL VPN1) Security Plus ライセンス:25 セッション(25 の組み合せた IPSec と SSL VPN1) ASA 5510 基本ライセンスと Security Plus ライセンス:250 セッション(250 の組み合せた IPSec と SSL VPN1) ASA 5520 基本ライセンスと Security Plus ライセンス:750 セッション(750 の組み合せた IPSec と SSL VPN1) ASA 5540 基本ライセンスと Security Plus ライセンス:5000 セッション(5000 の組み合せた IPSec と SSL VPN1) ASA 5550 および 5580 基本ライセンスと Security Plus ライセンス:5000 セッション(5000 の組み合せた IPSec と SSL VPN1) 1. IPSec セッションと SSL VPN セッションの最大数の合計が、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、適応型セキュリティ アプライアンスをオーバーロー ドして、ネットワークのサイズを適切にすることができます。合計の限界のセッション構成を決定する場合、SSL VPN セッションの数はラ イセンスが与えられている SSL VPN セッション セキュリティ アプライアンスの数(デフォルトでは 2)を超えることはできません。 ガイドラインと制限事項 この項では、この機能のガイドラインと制限事項について説明します。 コンテキスト モードのガイドライン シングルコンテキスト モードでサポートされています。マルチコンテキスト モードはサポートされて いません。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 62-3 第 62 章 L2TP over IPsec の設定 L2TP over IPsec の設定 ファイアウォール モードのガイドライン ルーテッド ファイアウォール モードでだけサポートされています。トランスペアレント モードはサ ポートされていません。 フェールオーバーのガイドライン L2TP over IPsec セッションはステートフル フェールオーバーではサポートされていません。 L2TP over IPsec の設定 この項では、適応型セキュリティ アプライアンスが L2TP over IPsec 接続を受け入れるように設定する ための前提条件、制限事項、および詳細なタスクについて説明します。 前提条件 Apple iPhone と MAC OS X の互換性 Apple iPhone または MAC OS X を正常に接続するには、適応型セキュリティ アプライアンスに次の IKE(ISAKMP)ポリシー設定が必要です。 • IKE フェーズ 1:SHA1 ハッシュ方式を使用する 3DES 暗号化 • IPSec フェーズ 2:MD5 または SHA ハッシュ方式を使用する 3DES または AES 暗号化 • PPP 認証:PAP、MS-CHAPv1、または MSCHAPv2(推奨) • 事前共有キー(iPhone の場合に限る) 次の例では、iPhone および OS X の互換性を確保するためのコンフィギュレーション ファイル コマン ドを示します。 tunnel-group DefaultRAGroup general-attributes address-pool pool tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * tunnel-group DefaultRAGroup ppp-attributes no authentication pap authentication chap authentication ms-chap-v1 authentication ms-chap-v2 crypto ipsec transform-set trans esp-3des esp-sha-hmac crypto ipsec transform-set trans mode transport crypto dynamic-map dyno 10 set transform-set set trans crypto map vpn 20 ipsec-isakmp dynamic dyno crypto map vpn interface outside crypto isakmp identity auto crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp nat-traversal 3600 IKE ポリシー設定の詳細については、「IPSec と ISAKMP の設定」を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 62-4 OL-18970-01-J 第 62 章 L2TP over IPsec の設定 L2TP over IPsec の設定 制限事項 • Cisco VPN Client バージョン 3.x または Cisco VPN 3000 Client バージョン 2.5 のいずれかがイン ストールされている場合、適応型セキュリティ アプライアンスは Windows 2000 で L2TP/IPsec ト ンネルを確立しません。この問題に対処するには、Windows 2000 の [Services] パネル([Start] > [Programs] > [Administrative Tools] > [Services] の順にクリック)で、Cisco VPN Client バージョ ン 3.x の Cisco VPN Service、または Cisco VPN 3000 Client バージョン 2.5 の ANetIKE Service を ディセーブルにします。次に、[Services] パネルで IPSec Policy Agent Service を再起動してから、 PC を再起動します。 • ローカル データベースの場合、適応型セキュリティ アプライアンスは、PPP 認証方式として PAP および Microsoft CHAP のバージョン 1 と 2 だけをサポートします。EAP と CHAP は、プロキシ 認証サーバによって実行されます。そのため、リモート ユーザが authentication eap-proxy また は authentication chap コマンドで設定したトンネル グループに所属している場合、適応型セキュ リティ アプライアンスでローカル データベースを使用するように設定すると、このユーザは接続 できなくなります。 • 適応型セキュリティ アプライアンスの L2TP over IPsec 接続は表 62-1 に示す PPP 認証タイプだけ をサポートします。 表 62-1 AAA サーバ サポートと PPP 認証タイプ AAA サーバ タイプ LOCAL サポートされている PPP 認証タイプ PAP、MSCHAPv1、MSCHAPv2 RADIUS PAP、CHAP、MSCHAPv1、MSCHAPv2、EAP-Proxy TACACS+ LDAP PAP、CHAP、MSCHAPv1 PAP NT PAP Kerberos PAP SDI SDI 詳細な手順 ステップ 1 コマンド 目的 crypto ipsec transform-set transform_name algorithm 特定のアルゴリズムを使用してトランスフォームを作成します。 例: hostname(config)# crypto ipsec transform-set sales_l2tp_transform esp-3des ステップ 2 IPSec にトンネル モードではなく転送モードを使用するように 指示します。 crypto ipsec transform-set trans_name mode transport 例: hostname(config)# crypto ipsec transform-set trans_name mode transport Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 62-5 第 62 章 L2TP over IPsec の設定 L2TP over IPsec の設定 ステップ 3 コマンド 目的 vpn-tunnel-protocol l2tp-ipsec グループポリシーに対する有効な VPN トンネリング プロトコル として L2TP over IPSec を指定します。 例: hostname(config)# group-policy sales_policy attributes hostname(config-group-policy)# vpn-tunnel-protocol l2tp-ipsec ステップ 4 dns value [none | IP_primary [IP_secondary] 例: hostname(config)# group-policy sales_policy attributes hostname(config-group-policy)# dns value 209.165.201.1 209.165.201.2 ステップ 5 wins-server value [none | IP_primary [IP_secondary]] 例: hostname (config-group-policy)# wins-server value 209.165.201.3 209.165.201.4 ステップ 6 tunnel-group name type ipsec-ra (オプション)適応型セキュリティ アプライアンスに DNS サー バ IP アドレスをグループポリシーのクライアントに送信するよ うに指示します。 (オプション)適応型セキュリティ アプライアンスに WINS サー バ IP アドレスをグループポリシーのクライアントに送信するよ うに指示します。 トンネル グループを作成します。 例: hostname(config)# tunnel-group sales_tunnel type ipsec-ra ステップ 7 default-group-policy name グループポリシーの名前をトンネル グループにリンクします。 例: hostname(config)# tunnel-group sales_tunnel general-attributes hostname(config-tunnel-general)# default-group-policy sales_policy ステップ 8 authentication-server-group server_group 例: hostname(config-tunnel-general)# authentication-server-group sales_server ステップ 9 accounting-server-group aaa_server_group 例: hostname(config)# tunnel-group sales_tunnel general-attributes hostname(config-tunnel-general)# accounting-server-group sales_aaa_server ステップ 10 address-pool pool_name 例: hostname(config)# tunnel-group sales general-attributes hostname(config-tunnel-general)# address-pool sales_addresses トンネル グループに対して、L2TP over IPSec 接続を試行する ユーザの認証方式を指定します。 (オプション)トンネル グループに対して、L2TP セッション用 に AAA アカウンティングの開始レコードと終了レコードを生成 します。 (オプション)トンネル グループに対して、クライアントに IP アドレスを割り当てるために使用するローカル アドレス プール を指定します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 62-6 OL-18970-01-J 第 62 章 L2TP over IPsec の設定 L2TP over IPsec の設定例 コマンド 目的 ステップ 11 authentication auth_type トンネル グループに対して PPP 認証プロトコルを指定します。 PPP 認証のタイプとその特性については、表 62-2 を参照してく ださい。 例: hostname(config)# tunnel-group name ppp-attributes hostname(config-ppp)# authentication pap ステップ 12 l2tp tunnel hello seconds hello メッセージの間隔を(秒単位で)設定します。 例: hostname(config)# l2tp tunnel hello 100 ステップ 13 crypto isakmp nat-traversal seconds 例: hostname(config)# crypto isakmp enable hostname(config)# crypto isakmp nat-traversal 1500 (オプション)ESP パケットが 1 つ以上の NAT デバイスを通過 できるように、NAT-Traversal をイネーブルにします。 NAT デバイスの背後に適応型セキュリティ アプライアンスへの L2TP over IPSec 接続を試行する L2TP クライアントが複数ある と予想される場合、NAT-Traversal をイネーブルにする必要があ ります。 グローバルに NAT-Traversal をイネーブルにするには、グロー バル コンフィギュレーション モードで ISAKMP がイネーブル になっていることをチェックし(crypto isakmp enable コマン ドでイネーブルにできます)、次に crypto isakmp nat-traversal コマンドを使用します。 表 62-2 PPP 認証タイプの特性 キーワード 認証タイプ 特性 chap CHAP サーバのチャレンジに対する応答で、クライアントは暗号化され た「チャレンジとパスワード」およびクリアテキストのユーザ名 を返します。このプロトコルは、PAP より安全ですが、データは 暗号化されません。 eap-proxy EAP EAP をイネーブルにします。これによってセキュリティ アプラ イアンスは、PPP 認証プロセスを外部の RADIUS 認証サーバに プロキシします。 ms-chap-v1 ms-chap-v2 Microsoft CHAP、 バージョン 1 CHAP と似ていますが、サーバは、CHAP のようなクリアテキス pap Microsoft CHAP、 バージョン 2 PAP トのパスワードではなく、暗号化されたパスワードだけを保存お よび比較するのでより安全です。このプロトコルはまた、MPPE によるデータの暗号化のためのキーを生成します。 認証中にクリアテキストのユーザ名とパスワードを渡すので、安 全ではありません。 L2TP over IPsec の設定例 次の例は、L2TP over IPsec を設定する方法を示しています。 ip local pool sales_addresses 209.165.202.129-209.165.202.158 aaa-server sales_server protocol radius crypto ipsec transform-set sales_l2tp_transform esp-3des esp-sha-hmac crypto ipsec transform-set sales_l2tp_transform mode transport crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 62-7 第 62 章 L2TP over IPsec の設定 L2TP over IPsec の機能履歴 l2tp tunnel hello 100 group-policy sales_policy internal group-policy sales_policy attributes wins-server value 209.165.201.3 209.165.201.4 dns-server value 209.165.201.1 209.165.201.2 vpn-tunnel-protocol l2tp-ipsec tunnel-group sales_tunnel type remote-access tunnel-group sales_tunnel general-attributes address-pool sales_addresses authentication-server-group none accounting-server-group sales_server default-group-policy sales_policy tunnel-group sales_tunnel ppp-attributes authentication pap L2TP over IPsec の機能履歴 表 62-3 に、この機能のリリース履歴の一覧を示します。 表 62-3 L2TP over IPsec の機能履歴 機能名 リリース 機能情報 L2TP over IPsec 7.2(1) L2TP/IPsec は、単一のプラットフォームで IPsec VPN サービスとファイア ウォール サービスとともに L2TP VPN ソリューションを展開および管理す る機能を提供します。 リモート アクセスのシナリオで、IPsec を使用する L2TP を設定する最大の 利点は、リモート ユーザがゲートウェイや専用回線を使わずにパブリック IP ネットワークを介して VPN にアクセスできることです。これにより、実質 的にどの場所からでも POTS を使用してリモート アクセスが可能になりま す。この他に、VPN にアクセスするクライアントは Windows 2000 で Microsoft Dial-Up Networking(DUN; ダイヤルアップ ネットワーク)を使 用するだけでよいという利点もあります。Cisco VPN クライアント ソフト ウェアなど、追加のクライアント ソフトウェアは必要ありません。 authentication eap-proxy、authentication ms-chap-v1、authentication ms-chap-v2、authentication pap、l2tp tunnel hello、および vpn-tunnel-protocol l2tp-ipsec コマンドが導入または変更されました。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 62-8 OL-18970-01-J
© Copyright 2025 Paperzz