CHAPTER
66
リモート アクセス IPsec VPN の設定
この章では、リモート アクセス IPsec VPN の設定方法について説明します。次の項目を取り上げます。
• 「リモート アクセス IPsec VPN に関する情報」(P.66-1)
• 「リモート アクセス IPsec VPN のライセンス要件」(P.66-2)
• 「ガイドラインと制限事項」(P.66-2)
• 「リモート アクセス IPsec VPN の設定」(P.66-3)
• 「リモート アクセス IPsec VPN の設定例」(P.66-9)
• 「リモート アクセス IPsec VPN の機能履歴」(P.66-10)
リモート アクセス IPsec VPN に関する情報
リモート アクセス VPN を使用すると、インターネットなどの TCP/IP ネットワーク上のセキュアな接
続を介して、ユーザを中央サイトに接続することができます。Internet Security Association and Key
Management Protocol は IKE とも呼ばれ、リモート PC の IPsec クライアントと適応型セキュリティ ア
プライアンスで、IPsec セキュリティ アソシエーションの構築方法を一致させるためのネゴシエーショ
ン プロトコルです。各 ISAKMP ネゴシエーションは、フェーズ 1 とフェーズ 2 と呼ばれる 2 つの部分
に分かれます。
フェーズ 1 は、以後の ISAKMP ネゴシエーション メッセージを保護する最初のトンネルを作成しま
す。フェーズ 2 は、セキュアな接続を移動するデータを保護するトンネルを作成します。
ISAKMP ネゴシエーションの条件を設定するには、ISAKMP ポリシーを作成します。ここでは、次の
項目について説明します。
• ピアの ID を確認する認証方式。
• データを保護し、プライバシーを守る暗号化方式。
• 送信者を特定し、搬送中にメッセージが変更されていないことを保証する Hashed Message
Authentication Code(HMAC)方式。
• 暗号キーのサイズを設定する Diffie-Hellman グループ。
• 適応型セキュリティ アプライアンスが暗号キーを置き換える前に、この暗号キーを使用する最長
時間の制限。
トランスフォーム セットは、暗号化方式と認証方式を組み合せたものです。特定のデータ フローを保
護する場合、ピアは、ISAKMP との IPsec セキュリティ アソシエーションのネゴシエート中に、特定
のトランスフォーム セットを使用することに同意します。トランスフォーム セットは、両方のピアで
同じである必要があります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
66-1
第 66 章
リモート アクセス IPsec VPN の設定
リモート アクセス IPsec VPN のライセンス要件
トランスフォーム セットにより、関連付けられた暗号マップ エントリで指定されたアクセスリストの
データ フローが保護されます。適応型セキュリティ アプライアンス設定でトランスフォーム セットを
作成して、暗号マップまたはダイナミック暗号マップ エントリでトランスフォーム セットの最大数 11
を指定できます。有効な暗号化方式と認証方式をリストしたテーブルなど、さらに詳細な情報について
は、このマニュアルの第 70 章「LAN-to-LAN IPsec VPN の設定」の「トランスフォーム セットの作
成」を参照してください。
リモート アクセス IPsec VPN のライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
ASA 5505
基本ライセンス:10 セッション(10 の組み合せた IPSec と SSL VPN1)
Security Plus ライセンス:25 セッション(25 の組み合せた IPSec と SSL VPN1)
ASA 5510
基本および Security Plus ライセンス:250 セッション(250 の組み合せた IPSec と SSL VPN1)
ASA 5520
基本および Security Plus ライセンス:750 セッション(750 の組み合せた IPSec と SSL VPN1)
ASA 5540
基本および Security Plus ライセンス:5000 セッション(5000 の組み合せた IPSec と SSL VPN1)
ASA 5550 および
5580
基本および Security Plus ライセンス:5000 セッション(5000 の組み合せた IPSec と SSL VPN1)
1. IPSec セッションと SSL VPN セッションの最大数の合計が、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が
VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、適応型セキュリティ アプライアンスをオー
バーロードして、ネットワークのサイズを適切にすることができます。合計の限界のセッション構成を決定する場合、SSL VPN セッショ
ンの数はライセンスが与えられている SSL VPN セッション セキュリティ アプライアンスの数(デフォルトでは 2)を超えることはできま
せん。
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキスト モードのガイドライン
シングルコンテキスト モードでだけサポートされます。マルチコンテキスト モードをサポートしません。
ファイアウォール モードのガイドライン
ルーテッド ファイアウォール モードまたは透過ファイアウォール モードではサポートされません。
フェールオーバーのガイドライン
IPsec VPN セッションは、Active/Standby フェールオーバー コンフィギュレーションでのみ複製され
ます。Active/Active フェールオーバー コンフィギュレーションはサポートされません。
IPv6 のガイドライン
IPv6 はサポートされません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
66-2
OL-18970-01-J
第 66 章
リモート アクセス IPsec VPN の設定
リモート アクセス IPsec VPN の設定
リモート アクセス IPsec VPN の設定
この項では、リモート アクセス VPN を設定する方法について説明します。次の項目を取り上げます。
• 「インターフェイスの設定」(P.66-3)
• 「ISAKMP ポリシーの設定と外部インターフェイスでの ISAKMP のイネーブル化」(P.66-4)
• 「アドレス プールの設定」(P.66-5)
• 「ユーザの追加」(P.66-5)
• 「トランスフォーム セットの作成」(P.66-6)
• 「トンネル グループの定義」(P.66-6)
• 「ダイナミック暗号マップの作成」(P.66-7)
• 「ダイナミック暗号マップを使用するための暗号マップ エントリの作成」(P.66-8)
• 「セキュリティ アプライアンスのコンフィギュレーションの保存」(P.66-9)
インターフェイスの設定
適応型セキュリティ アプライアンスには、少なくとも 2 つのインターフェイスがあり、これらをここ
では外部と内部と言います。一般に、外部インターフェイスはパブリック インターネットに接続され
ます。一方、内部インターフェイスは、プライベート ネットワークに接続され、一般のアクセスから
保護されます。
最初に、適応型セキュリティ アプライアンスの 2 つのインターフェイスを設定し、イネーブルにしま
す。次に、名前、IP アドレス、およびサブネット マスクを割り当てます。オプションで、セキュリ
ティ レベル、速度、およびセキュリティ アプライアンスでの二重操作を設定します。
インターフェイスを設定するには、例に示すコマンド シンタックスを使用して、次の手順を実行します。
詳細な手順
コマンド
ステップ 1 interface {interface}
例:
hostname(config)# interface ethernet0
hostname(config-if)#
ステップ 1 ip address ip_address [mask] [standby
ip_address]
目的
グローバル コンフィギュレーション モードからインターフェイ
ス コンフィギュレーション モードに入ります。
インターフェイスに IP アドレスとサブネット マスクを設定しま
す。
例:
hostname(config)# interface ethernet0
hostname(config-if)#
hostname(config-if)# ip address
10.10.4.200 255.255.0.0
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
66-3
第 66 章
リモート アクセス IPsec VPN の設定
リモート アクセス IPsec VPN の設定
コマンド
目的
ステップ 2 nameif name
例:
hostname(config-if)# nameif outside
hostname(config-if)#
ステップ 3 shutdown
例:
hostname(config-if)# no shutdown
hostname(config-if)#
インターフェイスの名前(最大 48 文字)を指定します。この名
前は、設定した後での変更はできません。
インターフェイスをイネーブルにします。デフォルトでは、イ
ンターフェイスはディセーブルです。
ISAKMP ポリシーの設定と外部インターフェイスでの ISAKMP のイネー
ブル化
この項では、外部インターフェイスに ISAKMP ポリシーを設定する手順と、ポリシーをイネーブルに
する方法について説明します。
詳細な手順
次の手順を実行し、ガイドとして次の例で示すコマンド シンタックスを使用します。
コマンド
ステップ 1 isakmp policy priority authentication
{crack | pre-share | rsa-sig}
例:
hostname(config)# isakmp policy 1
authentication pre-share
hostname(config)#
目的
IKE ネゴシエーション中に使用する認証方式とパラメータの
セットを指定します。
Priority は、Internet Key Exchange(IKE; インターネット キー
エクスチェンジ)ポリシーを一意に識別し、ポリシーにプライ
オリティを割り当てます。1 ~ 65,534 の整数を使用します。1
が最もプライオリティが高く、65,534 が最もプライオリティが
低くなります。
この例およびその後に続く手順では、プライオリティは 1 に設
定されます。
ステップ 2 isakmp policy priority encryption
{aes | aes-192 | aes-256 | des | 3des}
IKE ポリシー内で使用する暗号化方式を指定します。
例:
hostname(config)# isakmp policy 1
encryption 3des
hostname(config)#
ステップ 3 isakmp policy priority hash {md5 | sha}
例:
hostname(config)# isakmp policy 1 hash
sha
hostname(config)#
ステップ 4 isakmp policy priority group
{1 | 2 | 5 | 7}
例:
hostname(config)# isakmp policy 1 group 2
hostname(config)#
IKE ポリシーのハッシュ アルゴリズム(HMAC バリアントとも
呼ばれます)を指定します。
IKE ポリシーの Diffie-Hellman グループ(IPsec クライアントと
適応型セキュリティ アプライアンスが共有秘密キーを確立でき
る暗号化プロトコル)を指定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
66-4
OL-18970-01-J
第 66 章
リモート アクセス IPsec VPN の設定
リモート アクセス IPsec VPN の設定
コマンド
目的
ステップ 5 isakmp policy priority lifetime {seconds}
例:
hostname(config)# isakmp policy 1
lifetime 43200
hostname(config)#
暗号化キーのライフタイム(各セキュリティ アソシエーション
が有効期限まで存在する秒数)を指定します。
限定されたライフタイムの範囲は、120 ~ 2147483647 秒です。
無制限のライフタイムの場合は、0 秒を使用します。
ステップ 6 isakmp enable interface-name
outside というインターフェイス上の ISAKMP をイネーブルに
例:
hostname(config)# isakmp enable outside
hostname(config)#
ステップ 7 write memory
します。
変更をコンフィギュレーションに保存します。
例:
hostname(config-if)# write memory
Building configuration...
Cryptochecksum: 0f80bf71 1623a231 63f27ccf
8700ca6d
11679 bytes copied in 3.390 secs (3893
bytes/sec)
[OK]
hostname(config-if)#
アドレス プールの設定
適応型セキュリティ アプライアンスでは、ユーザに IP アドレスを割り当てる方式が必要です。この項
では、例としてアドレス プールを使用します。ガイドとして次の例で示すコマンド シンタックスを使
用します。
コマンド
目的
ip local pool poolname
first-address—last-address [mask mask]
IP アドレスの範囲を使用してアドレス プールを作成します。適応型セ
キュリティ アプライアンスは、このアドレス プールのアドレスをクライ
アントに割り当てます。
例:
hostname(config)# ip local pool testpool
192.168.0.10-192.168.0.15
hostname(config)#
アドレス マスクはオプションです。ただし、VPN クライアントに割り当
てられた IP アドレスが非標準のネットワークに属し、デフォルトのマス
クを使用するとデータが誤ってルーティングされる可能性があるときは、
マスク値を指定する必要があります。通常の例では、IP ローカル プール
に、10.10.10.0/255.255.255.0 アドレスが含まれます。これは、デフォル
トでは Class A ネットワークになるからです。これによって、VPN クラ
イアントがさまざまなインターフェイスで 10 のネットワーク内の異なる
サブネットにアクセスする必要がある場合、ルーティングの問題が生じ
る可能性があります。
ユーザの追加
この項では、ユーザ名とパスワードを設定する方法について説明します。ガイドとして次の例で示すコ
マンド シンタックスを使用します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
66-5
第 66 章
リモート アクセス IPsec VPN の設定
リモート アクセス IPsec VPN の設定
コマンド
目的
username name {nopassword | password password
[mschap | encrypted | nt-encrypted]}
[privilege priv_level]
ユーザ、パスワード、および特権レベルを作成します。
例:
hostname(config)# username testuser password 12345678
hostname(config)#
トランスフォーム セットの作成
この項では、トランスフォーム セットを設定する方法について説明します。トランスフォーム セット
は、暗号化方式と認証方式を組み合せたものです。
ガイドとして次の例で示すコマンド シンタックスを使用します。
コマンド
目的
crypto ipsec transform-set
transform-set-name encryption-method
[authentication]
データ整合性を確保するために使用される IPsec 暗号化とハッシュ ア
ルゴリズムを指定するトランスフォーム セットを設定します。
例:
hostname(config)# crypto ipsec transform set
FirstSet esp-3des esp-md5-hmac
hostname(config)#
encryption には、次のいずれかの値を指定します。
• esp-aes:128 ビット キーの AES を使用します。
• esp-aes-192:192 ビット キーの AES を使用します。
• esp-aes-256:256 ビット キーの AES を使用します。
• esp-des:56 ビットの DES-CBC を使用します。
• esp-3des:Triple DES アルゴリズムを使用します。
• esp-null:暗号化を使用しません。
authentication には、次のいずれかの値を指定します。
• esp-md5-hmac:ハッシュ アルゴリズムとして MD5/HMAC-128
を使用します。
• esp-sha-hmac:ハッシュ アルゴリズムとして SHA/HMAC-160 を
使用します。
• esp-none:HMAC 認証を使用しません。
トンネル グループの定義
この項では、トンネル グループを設定する方法について説明します。トンネル グループは、トンネル
グループは、トンネル接続ポリシーを格納したレコードのセットです。AAA サーバを識別するトンネ
ル グループを設定し、接続パラメータを指定し、デフォルトのグループポリシーを定義します。適応
型セキュリティ アプライアンスは、トンネル グループを内部的に保存します。
適応型セキュリティ アプライアンス システムには、2 つのデフォルト トンネル グループがあります。
1 つはデフォルトの IPsec リモートアクセス トンネル グループである DefaultRAGroup で、もう 1 つ
はデフォルトの IPsec LAN-to-LAN トンネル グループである DefaultL2Lgroup です。これらは変更可
能ですが、削除はできません。トンネル ネゴシエーション中に特定のトンネル グループが指定されな
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
66-6
OL-18970-01-J
第 66 章
リモート アクセス IPsec VPN の設定
リモート アクセス IPsec VPN の設定
かった場合、適応型セキュリティ アプライアンスは、これらのグループを使用してリモート アクセス
および LAN-to-LAN トンネル グループのデフォルト トンネル パラメータを設定します。
ガイドとして次の例で示すコマンド シンタックスを使用します。
詳細な手順
ステップ 1
コマンド
目的
tunnel-group name type type
IPsec リモート アクセス トンネル グループ(接続プロファイル
とも呼ばれます)を作成します。
例:
hostname(config)# tunnel-group testgroup
type ipsec-ra
hostname(config)#
ステップ 2 tunnel-group name general-attributes
例:
hostname(config)# tunnel-group testgroup
general-attributes
hostname(config-tunnel-general)#
ステップ 3 address-pool [(interface name)]
トンネル グループ一般アトリビュート モードに入ります。この
モードでは、認証方式を入力できます。
トンネル グループに使用するアドレス プールを指定します。
address_pool1 [...address_pool6]
例:
hostname(config-general)# address-pool
testpool
ステップ 4 tunnel-group name ipsec-attributes
例:
hostname(config)# tunnel-group testgroup
ipsec-attributes
hostname(config-tunnel-ipsec)#
ステップ 5 pre-shared-key key
例:
hostname(config-tunnel-ipsec)#
pre-shared-key 44kkaol59636jnfx
トンネル グループ ipsec アトリビュート モードに入ります。こ
のモードでは、ipsec 固有のアトリビュートを入力できます。
(オプション)事前共有キーを設定します。キーには、1 ~ 128
文字の英数字文字列を指定できます。
適応型セキュリティ アプライアンスとクライアントのキーは同
じである必要があります。事前共有キーのサイズが異なる Cisco
VPN Client が接続しようとすると、ピアの認証に失敗したこと
を示すエラー メッセージがクライアントによってログに記録さ
れます。
ダイナミック暗号マップの作成
この項では、ダイナミック暗号マップを設定する方法について説明します。ダイナミック暗号マップ
は、すべてのパラメータを設定する必要のないポリシー テンプレートを定義します。このようなダイ
ナミック暗号マップにより、適応型セキュリティ アプライアンスは IP アドレスが不明なピアからの接
続を受信することができます。リモート アクセス クライアントは、このカテゴリに入ります。
ダイナミック暗号マップのエントリは、接続のトランスフォーム セットを指定します。また、逆ルー
ティングもイネーブルにします。これにより、適応型セキュリティ アプライアンスは接続されたクラ
イアントのルーティング情報を取得し、それを RIP または OSPF 経由でアドバタイズします。
ガイドとして次の例で示すコマンド シンタックスを使用します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
66-7
第 66 章
リモート アクセス IPsec VPN の設定
リモート アクセス IPsec VPN の設定
詳細な手順
コマンド
ステップ 1 crypto dynamic-map dynamic-map-name
seq-num set transform-set
transform-set-name
目的
ダイナミック暗号マップを作成し、マップのトランスフォーム
セットを指定します。
例:
hostname(config)# crypto dynamic-map dyn1
1 set transform-set FirstSet
hostname(config)#
ステップ 2 crypto dynamic-map dynamic-map-name
dynamic-seq-num set reverse-route
(オプション)この暗号マップ エントリに基づく接続に対して逆
ルート注入をイネーブルにします。
例:
hostname(config)# crypto dynamic-map dyn1
1 set reverse route
hostname(config)#
ダイナミック暗号マップを使用するための暗号マップ エントリの作成
この項では、暗号マップ エントリを作成する方法について説明します。暗号マップを作成すると、適
応型セキュリティ アプライアンスは、ダイナミック暗号マップを使用して IPsec セキュリティ アソシ
エーションのパラメータを設定することができます。
このコマンドに関する次の例では、暗号マップ名は mymap、シーケンス番号は 1、ダイナミック暗号
マップ名は dyn1 です。この名前は、前の項「ダイナミック暗号マップの作成」で作成したものです。
ガイドとして次の例で示すコマンド シンタックスを使用します。
詳細な手順
コマンド
ステップ 1 crypto map map-name seq-num ipsec-isakmp
dynamic dynamic-map-name
目的
ダイナミック暗号マップを使用する暗号マップ エントリを作成
します。
例:
hostname(config)# crypto map mymap 1
ipsec-isakmp dynamic dyn1
hostname(config)#
ステップ 2 crypto map map-name interface
暗号マップを外部インターフェイスに適用します。
interface-name
例:
hostname(config)# crypto map mymap
interface outside
hostname(config)#
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
66-8
OL-18970-01-J
第 66 章
リモート アクセス IPsec VPN の設定
リモート アクセス IPsec VPN の設定例
セキュリティ アプライアンスのコンフィギュレーションの保存
上記の設定タスクを実行したら、この例に示すようにコンフィギュレーションの変更を必ず保存します。
コマンド
目的
write memory
変更をコンフィギュレーションに保存します。
例:
hostname(config-if)# write memory
Building configuration...
Cryptochecksum: 0f80bf71 1623a231 63f27ccf 8700ca6d
11679 bytes copied in 3.390 secs (3893 bytes/sec)
[OK]
hostname(config-if)#
リモート アクセス IPsec VPN の設定例
次の例は、リモート アクセス IPsec VPN を設定する方法を示しています。
hostname(config)# interface ethernet0
hostname(config-if)# ip address 10.10.4.200 255.255.0.0
hostname(config-if)# nameif outside
hostname(config-if)# no shutdown
hostname(config)# isakmp policy 1 authentication pre-share
hostname(config)# isakmp policy 1 encryption 3des
hostname(config)# isakmp policy 1 hash sha
hostname(config)# isakmp policy 1 group 2
hostname(config)# isakmp policy 1 lifetime 43200
hostname(config)# isakmp enable outside
hostname(config)# ip local pool testpool 192.168.0.10-192.168.0.15
hostname(config)# username testuser password 12345678
hostname(config)# crypto ipsec transform set FirstSet esp-3des esp-md5-hmac
hostname(config)# tunnel-group testgroup type ipsec-ra
hostname(config)# tunnel-group testgroup general-attributes
hostname(config-general)# address-pool testpool
hostname(config)# tunnel-group testgroup ipsec-attributes
hostname(config-ipsec)# pre-shared-key 44kkaol59636jnfx
hostname(config)# crypto dynamic-map dyn1 1 set transform-set FirstSet
hostname(config)# crypto dynamic-map dyn1 1 set reverse-route
hostname(config)# crypto map mymap 1 ipsec-isakmp dynamic dyn1
hostname(config)# crypto map mymap interface outside
hostname(config)# write memory
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
66-9
第 66 章
リモート アクセス IPsec VPN の設定
リモート アクセス IPsec VPN の機能履歴
リモート アクセス IPsec VPN の機能履歴
表 66-1 に、この機能のリリース履歴の一覧を示します。
表 66-1
機能 1 の機能履歴
機能名
リリース
機能情報
リモート アクセス VPN
7.0
リモート アクセス VPN を使用すると、インターネットな
どの TCP/IP ネットワーク上のセキュアな接続を介して、
ユーザを中央サイトに接続することができます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
66-10
OL-18970-01-J
© Copyright 2026 Paperzz