購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1414
閲覧回数
0
いいね!
0
コメント

ASA ハードウェアクライアントを使用した EzVPN の設定例

Yoshihiro Hagiwara
Cisco Employee
Cisco Employee

‎2018-06-11 11:40 PM

 

はじめに

本ドキュメントでは、ASA5506 をハードウェアクライアントとして使用した、EzVPN の設定例を記載します。本記事の例ではセンター拠点は ASA5512-X を使用しております。全ての ASA OS バージョンは 9.8.2 を使用しております。 サンプル構成図は以下の通りとなります。本記事の設定では NAT を使用しておりません

  EzVPN-NW1.PNG

 

 

センター拠点の設定例

以下にセンター側拠点の設定例を記載します。(例ではセンター側は ASA5512-X を使用しております。)

### 機器の基本設定 ###

hostname EzVPNServer
domain-name cisco.local

interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.0.0.1 255.255.0.0
no shut

interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 1.158.158.200 255.0.0.0
no shut

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

 

### IKEv1, IPSEC 基本パラメータ設定 ###

crypto ipsec ikev1 transform-set ezvpndynamicxform esp-aes-256 esp-sha-hmac
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map ezvpnoutsidedynamic 5 set ikev1 transform-set ezvpndynamicxform
crypto map ezvpnmap 10 ipsec-isakmp dynamic ezvpnoutsidedynamic
crypto map ezvpnmap interface outside

crypto ikev1 enable outside
crypto ikev1 policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

 

### Group Policy 設定 ###

group-policy easyvpnclientgrouppolicy internal
group-policy easyvpnclientgrouppolicy attributes
dns-server value 10.0.0.254
vpn-tunnel-protocol ikev1
nem enable

 

### ezvpn で使用する user と Group Policy の関連付け設定 ###

username ezvpn password cisco
username ezvpn attributes
vpn-group-policy easyvpnclientgrouppolicy

 

### Tunnel-group 設定 ###

tunnel-group ezvpnclienttunnelpolicy type remote-access
tunnel-group ezvpnclienttunnelpolicy ipsec-attributes
ikev1 pre-shared-key cisco

    

  

拠点 1 の設定例

以下に拠点 1 の設定例を記載します。Outside Interface は例では DHCP で ip address を取得しています。(例では拠点 1 は ASA5506-H を使用しております。)

### 機器の基本設定 ###

hostname EzVPNClientSite1
domain-name cisco.local

interface GigabitEthernet1/1
nameif inside
security-level 100
ip address 10.1.0.1 255.255.0.0
no shut

interface GigabitEthernet1/2
nameif outside
security-level 0
ip address dhcp setroute
no shut

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

 

### EzVPN Client の設定 ###

vpnclient server 1.158.158.200
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup ezvpnclienttunnelpolicy password cisco
vpnclient username ezvpn password cisco
vpnclient enable

 

 

拠点 2 の設定例

以下に拠点 2 の設定例を記載します。Outside Interface は例では DHCP で ip address を取得しています。(例では拠点 2 は ASA5506-H を使用しております。)

### 機器の基本設定 ###

hostname EzVPNClientSite2
domain-name cisco.local

interface GigabitEthernet1/1
nameif inside
security-level 100
ip address 10.2.0.1 255.255.0.0
no shut

interface GigabitEthernet1/2
nameif outside
security-level 0
ip address dhcp setroute
no shut

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

 

### EzVPN Client の設定 ###

vpnclient server 1.158.158.200
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup ezvpnclienttunnelpolicy password cisco
vpnclient username ezvpn password cisco
vpnclient enable

 

  

VPN 接続後の vpn-sessiondb 情報

センター拠点 :

EzVPNServer# show vpn-sessiondb ra-ikev1-ipsec
Session Type: IKEv1 IPsec
Username : ezvpn Index : 18775
Assigned IP : 10.2.0.0 Public IP : 1.100.83.219
Protocol : IKEv1 IPsec
License : Other VPN
Encryption : IKEv1: (1)3DES IPsec: (3)AES256
Hashing : IKEv1: (1)SHA1 IPsec: (3)SHA1
Bytes Tx : 3000 Bytes Rx : 3200
Group Policy : easyvpnclientgrouppolicy
Tunnel Group : ezvpnclienttunnelpolicy
Login Time : 01:40:54 UTC Mon Jun 11 2018
Duration : 0h:49m:34s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a000001049570005b1dd326
Security Grp : none
Username : ezvpn Index : 60347
Assigned IP : 10.1.0.0 Public IP : 1.100.83.220
Protocol : IKEv1 IPsec
License : Other VPN
Encryption : IKEv1: (1)3DES IPsec: (3)AES256
Hashing : IKEv1: (1)SHA1 IPsec: (3)SHA1
Bytes Tx : 500 Bytes Rx : 500
Group Policy : easyvpnclientgrouppolicy
Tunnel Group : ezvpnclienttunnelpolicy
Login Time : 02:16:31 UTC Mon Jun 11 2018
Duration : 0h:13m:57s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a0000010ebbb0005b1ddb7f
Security Grp : none

 

拠点 1 :

EzVPNClientSite1# show vpn-sessiondb ra-ikev1-ipsec
Session Type: IKEv1 IPsec
Index : 29277
Assigned IP : 10.1.0.0 Peer IP : 1.158.158.200
Protocol : IKEv1 IPsec
License : Other VPN
Encryption : IKEv1: (1)3DES IPsec: (3)AES256
Hashing : IKEv1: (1)SHA1 IPsec: (3)SHA1
Bytes Tx : 500 Bytes Rx : 500
Login Time : 02:11:40 UTC Mon Jun 11 2018
Duration : 0h:15m:43s
Inactivity : 0h:00m:00s
Audt Sess ID : 0a0100010725d0005b1dda5c
Security Grp : none

 

拠点 2 :

EzVPNClientSite2# show vpn-sessiondb ra-ikev1-ipsec
Session Type: IKEv1 IPsec
Index : 52349
Assigned IP : 10.2.0.0 Peer IP : 1.158.158.200
Protocol : IKEv1 IPsec
License : Other VPN
Encryption : IKEv1: (1)3DES IPsec: (3)AES256
Hashing : IKEv1: (1)SHA1 IPsec: (3)SHA1
Bytes Tx : 2256100 Bytes Rx : 2256000
Login Time : 01:35:18 UTC Mon Jun 11 2018
Duration : 0h:55m:37s
Inactivity : 0h:00m:00s
Audt Sess ID : 0a0200010cc7d0005b1dd1d6
Security Grp : none

 

 

参考情報

ASA 5505 上での Easy VPN サービス の設定

https://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/ASA5500AdaptiveSecurAppli/CG/001/10088_02_34.html?bid=0900e4b1825296d6

 

Cisco Easy VPN client on the ASA 5506-X, 5506W-X, 5506H-X, and 5508-X

https://www.cisco.com/c/en/us/td/docs/security/asa/asa95/release/notes/asarn95.html

This release supports Cisco Easy VPN on the ASA 5506-X series and for the ASA 5508-X. 

 

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents