IBM Cloud Docs
Cisco ASAv ピアへの接続

Cisco ASAv ピアへの接続

IBM Cloud VPN for VPC を使用すると、VPN トンネルを介して VPC をオンプレミス・ネットワークに安全に接続できます。 このトピックでは、Cisco ASAv の VPN ゲートウェイを、VPN for VPC に接続するように構成する方法について説明します。

オンプレミス・ピアへの接続を続行する前に、VPN ゲートウェイの制限 をお読みください。

Cisco ASAv ピアへの IBM のポリシー・ベース VPN の接続

Cisco ASAv は、IBM VPC またはオンプレミスのどちらかのネットワークに複数のサブネットがある場合と、オンプレミスの VPN デバイスに複数のサブネットがある場合に、IKEv2 を使用します。 Cisco ASAv はサブネット・ペアごとに新しいセキュリティー・アソシエーション (SA) を作成するため、IBM VPN ゲートウェイ上の 1 つのサブネット・ペアごとに VPN 接続を 1 つ作成する必要があります。

以下の手順は、Cisco ASAv、Cisco Adaptive Security Appliance Software バージョン 9.10(1) に基づいています。

VPN for VPC で使用するために Cisco ASAv を構成する最初の手順は、以下の前提条件を満たしていることを確認することです。

  • Cisco ASAv がオンラインであり、適切なライセンスで機能している。
  • Cisco ASAv のパスワードが有効になっている。
  • 少なくとも 1 つの機能する内部インターフェースが構成され、検証されている。
  • 少なくとも 1 つの外部インターフェースが機能するように構成され、検証されている。

Cisco ASAv の VPN は、VPN for VPC から接続要求を受け取ると、IKE フェーズ 1 のパラメーターを使用して、セキュア接続を確立し、VPN for VPC を認証します。 その後、セキュリティー・ポリシーで接続が許可されると、Cisco ASAv は、IPsec フェーズ 2 のパラメーターを使用して、トンネルを確立し、IPsec セキュリティー・ポリシーを適用します。 鍵管理サービス、認証サービス、およびセキュリティー・サービスは、IKE プロトコルを使用して動的にネゴシエーションされます。

これらの機能をサポートするために、Cisco ASAv の VPN に対して以下の一般的な構成手順を実行する必要があります。

  • Cisco ASAv のパブリック IP アドレスが ASAv で直接構成されていることを確認してください。 crypto isakmp identity address を使用して、Cisco ASAv がインターフェースのパブリック IP アドレスを自分の ID として使用するようにします。

    このグローバル設定は Cisco デバイス上のすべての接続に適用されます。 そのため、複数の接続を維持する必要がある場合は、代わりに crypto isakmp identity auto を設定して、Cisco デバイスが接続タイプによって ID を自動的に判別するようにします。

  • フェーズ 1 のパラメーターを定義します。これは、Cisco ASAv の VPN が VPN for VPC を認証してセキュア接続を確立するために必要なパラメーターです。

  • フェーズ 2 のパラメーターを定義します。これは、Cisco ASAv の VPN が VPN for VPC への VPN トンネルを作成するために必要なパラメーターです。

ASAv デバイスは、ACL 機能のオブジェクト・グループをサポートします。 この機能は、オブジェクト・グループ・ベースの ACL をサポートするように従来の ACL を拡張します。 VPC サブネットとオンプレミス・サブネットに応じて、以下のオブジェクト・グループを作成できます。

# define network object according to your VPC and on-premises subnet
object-group network on-premise-subnets
 network-object 172.16.0.0 255.255.0.0
object-group network ibm-vpc-zone3-subnets
 network-object 10.241.129.0 255.255.255.0
object-group network ibm-vpc-zone2-subnets
 network-object 10.240.64.0 255.255.255.0

IKE バージョン 2 プロポーザル・オブジェクトを作成します。 IKEv2 プロポーザル・オブジェクトには、リモート・アクセスおよびサイト間 VPN ポリシーを定義する際に IKEv2 プロポーザルを作成するために必要なパラメーターが含まれています。 IKE は、IPsec ベースの通信の管理を容易にする鍵管理プロトコルです。 IPsec ピアの認証、IPsec 暗号鍵のネゴシエーションと配布、IPsec セキュリティー・アソシエーション (SA) の自動確立に使用されます。

このブロックでは、以下のパラメーターが例として設定されています。 会社のセキュリティー・ポリシーに従って他のパラメーターを選択できますが、IBM VPN ゲートウェイと ASAv では必ず同じパラメーターを使用してください。

  • 暗号化アルゴリズム - この例では aes-256 に設定されます。
  • 整合性アルゴリズム - この例では sha256 に設定されます。
  • Diffie-Hellman グループ - IPsec はピア間の初期暗号鍵の生成に Diffie-Hellman アルゴリズムを使用します。 この例では、グループ 19 に設定しています。
  • 疑似乱数関数 (PRF) - IKEv2 では、IKEv2 トンネル暗号化に必要な鍵マテリアルとハッシュ操作を導出するアルゴリズムとして、別の方式を使用する必要があります。 これは疑似乱数関数と呼ばれ、sha256 に設定されます。
  • SA 存続時間 - セキュリティー・アソシエーションの存続時間を 36000 秒に設定します (この時間の経過後に再接続が行われます)。
crypto ikev2 policy 100
encryption aes-256
integrity sha256
group 19
prf sha256
lifetime seconds 36000
crypto ikev2 enable outside

接続の IPsec ポリシーを作成します。 IKEv2 は、複数の暗号化と認証タイプ、および単一ポリシーに対する複数の整合性アルゴリズムをサポートします。 ASAv は、設定を「最もセキュア」から「最もセキュアでない」の順序に並べて、その順序を使用してピアとネゴシエーションします。

# Create IPsec policy, IKEv2 support multiple proposals
crypto ipsec ikev2 ipsec-proposal ibm-vpc-proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-256

グループ・ポリシーとトンネル・グループを作成します。 このステップでは、ピア・アドレスと事前共有鍵を構成します。

# Create VPN default group policy
group-policy ibm_vpn internal
group-policy ibm_vpn attributes
 vpn-tunnel-protocol ikev2

# Create the tunnel-group to configure pre-shared keys, 150.239.170.57 is public IP of IBM policy-based VPN gateway
tunnel-group 150.239.170.57 type ipsec-l2l
tunnel-group 150.239.170.57 general-attributes
 default-group-policy ibm_vpn
tunnel-group 150.239.170.57 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your pre-shared key>
 ikev2 local-authentication pre-shared-key <your pre-shared key>

オンプレミスから VPC へのトラフィックに一致する ACL を作成します。 VPC からオンプレミスへのトラフィックに対して、ASAv は SPI を使用してトラフィック・セレクターを検索します。 両側が一致するトラフィック・セレクターを使用していることを確認してください。

access-list outside_cryptomap_ibm_vpc_zone2 extended permit ip object-group on-premise-subnets object-group ibm-vpc-zone2-subnets

VPN トンネルのさまざまな要素をまとめてプルするための暗号マップを作成し、それを外部インターフェースでアクティブ化します。150.239.170.57 は、IBM ポリシー・ベース VPN ゲートウェイのパブリック IP です。

crypto map ibm_vpc 1 match address outside_cryptomap_ibm_vpc_zone2
crypto map ibm_vpc 1 set peer 150.239.170.57
crypto map ibm_vpc 1 set ikev2 ipsec-proposal ibm-vpc-proposal
crypto map ibm_vpc 1 set pfs group19
crypto map ibm_vpc interface outside

ASAv デバイスに NAT ルールがある場合は、VPN 上のトラフィックを NAT ルールから免除する必要があります。

nat (inside,outside) source static on-premise-subnets on-premise-subnets destination static ibm-vpc-zone2-subnets ibm-vpc-zone2-subnets

ASAv の TCP MSS クランプを構成して、不要なフラグメント化を回避します。

sysopt connection tcpmss 1360

Cisco ASAv ピアへの IBM の静的経路ベース VPN の接続

以下の手順は、Cisco ASAv、Cisco Adaptive Security Appliance Software バージョン 9.10(1) に基づいています。

VPN for VPC で使用するために Cisco ASAv を構成する最初の手順は、以下の前提条件を満たしていることを確認することです。

  • Cisco ASAv がオンラインであり、適切なライセンスで機能している。
  • Cisco ASAv のパスワードが有効になっている。
  • 少なくとも 1 つの機能する内部インターフェースが構成され、検証されている。
  • 少なくとも 1 つの外部インターフェースが機能するように構成され、検証されている。

Cisco ASAv の VPN は、VPN for VPC から接続要求を受け取ると、IKE フェーズ 1 のパラメーターを使用して、セキュア接続を確立し、VPN for VPC を認証します。 その後、セキュリティー・ポリシーで接続が許可されると、Cisco ASAv は、IPsec フェーズ 2 のパラメーターを使用して、トンネルを確立し、IPsec セキュリティー・ポリシーを適用します。 鍵管理サービス、認証サービス、およびセキュリティー・サービスは、IKE プロトコルを使用して動的にネゴシエーションされます。

これらの機能をサポートするために、Cisco ASAv の VPN に対して以下の一般的な構成手順を実行する必要があります。

  • Cisco ASAv のパブリック IP アドレスが ASAv で直接構成されていることを確認してください。 crypto isakmp identity address を使用して、Cisco ASAv がインターフェースのパブリック IP アドレスを自分の ID として使用するようにします。

    このグローバル設定は Cisco デバイス上のすべての接続に適用されるため、複数の接続を維持する必要がある場合は、代わりに crypto isakmp identity auto を設定して、Cisco デバイスが接続タイプによって ID を自動的に判別するようにします。

  • フェーズ 1 のパラメーターを定義します。これは、Cisco ASAv の VPN が VPN for VPC を認証してセキュア接続を確立するために必要なパラメーターです。

  • フェーズ 2 のパラメーターを定義します。これは、Cisco ASAv の VPN が VPN for VPC への VPN トンネルを作成するために必要なパラメーターです。

IKE バージョン 2 プロポーザル・オブジェクトを作成します。 IKEv2 プロポーザル・オブジェクトには、リモート・アクセスおよびサイト間 VPN ポリシーを定義する際に IKEv2 プロポーザルを作成するために必要なパラメーターが含まれています。 IKE は、IPsec ベースの通信の管理を容易にする鍵管理プロトコルです。 これは、IPsec ピアの認証、IPsec 暗号鍵のネゴシエーションと配布、および IPsec SA の自動確立に使用されます。

このブロックでは、以下のパラメーターが例として設定されています。 会社のセキュリティー・ポリシーに従って他のパラメーターを選択できますが、IBM VPN ゲートウェイと ASAv では必ず同じパラメーターを使用してください。

  • 暗号化アルゴリズム - この例では aes-256 に設定されます。
  • 整合性アルゴリズム - この例では sha256 に設定されます。
  • Diffie-Hellman グループ - IPsec はピア間の初期暗号鍵の生成に Diffie-Hellman アルゴリズムを使用します。 この例では、グループ 19 に設定しています。
  • 疑似乱数関数 (PRF) - IKEv2 では、IKEv2 トンネル暗号化に必要な鍵マテリアルとハッシュ操作を導出するアルゴリズムとして、別の方式を使用する必要があります。 これは疑似乱数関数と呼ばれ、sha256 に設定されます。
  • SA 存続時間 - セキュリティー・アソシエーションの存続時間を 86400 秒に設定します (この時間の経過後に再接続が行われます)。
crypto ikev2 policy 100
 encryption aes-256
 integrity sha256
 group 19
 prf sha256
 lifetime seconds 86400
crypto ikev2 enable outside

仮想トンネル・インターフェース (VTI) の IPsec プロファイルを作成します。 プロファイルは IPsec プロポーザルを参照し、VTI はプロファイルを参照します。 IBM VPN ゲートウェイと ASAv が同一の IPsec プロポーザルおよび IPsec プロファイル・パラメーターを使用していることを確認してください。

crypto ipsec ikev2 ipsec-proposal ibm-ipsec-proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-256
crypto ipsec profile ibm-ipsec-profile
 set ikev2 ipsec-proposal ibm-ipsec-proposal
 set pfs group19
 set security-association lifetime kilobytes unlimited
 set security-association lifetime seconds 3600
 responder-only

IBM 1 次トンネルにトンネル・グループを作成します。 ピア・アドレス 169.59.210.199 は、IBM 経路ベースの VPN ゲートウェイの小さなパブリック IP であり、事前共有鍵は IBM 経路ベースの VPN ゲートウェイと同じでなければなりません。 小規模パブリック IP について詳しくは、この 重要な通知を参照してください。

tunnel-group 169.59.210.199 type ipsec-l2l
tunnel-group 169.59.210.199 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your-pre-shared-key>
 ikev2 local-authentication pre-shared-key <your-pre-shared-key>

仮想トンネル・インターフェースを作成し、インターフェース上でリンク・ローカル・アドレス (169.254.0.2/30) を構成します。 リンク・ローカル・アドレスを選択し、それが装置上の他のアドレスと重複しないように注意してください。 30 ビット・ネットマスクのサブネットには、2 つの使用可能な IP アドレス (169.254.0.1 および 169.254.0.2) があります。 最初の IP アドレス 169.254.0.1 は IBM VPN ゲートウェイ VTI アドレスとして使用され、2 番目の IP アドレス 169.254.0.2は ASAv VTI アドレスとして使用されます。 ASAv 上に複数の VTI がある場合は、別のリンク・ローカル・サブネット (169.254.0.4/30169.254.0.8/30など) を選択できます。

IBM VPN ゲートウェイで 169.254.0.1 を構成する必要はありません。 これは、ASAv 上の経路を構成したときにのみ参照されます。

interface Tunnel1
 nameif ibm-gateway-primary-tunnel
 no shutdown
 ip address 169.254.0.2 255.255.255.252
 tunnel source interface outside
 tunnel destination 169.59.210.199
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ibm-ipsec-profile
!

ASAv への経路を追加します。 宛先の 10.240.65.0 は IBM VPC サブネットであり、ネクスト・ホップは IBM VPN ゲートウェイの VTI アドレスです。 ルートの距離は 1です。

route ibm-gateway-primary-tunnel 10.240.65.0 255.255.255.0 169.254.0.1 1

IBM 2 次トンネルへのトンネル・グループを作成します。 ピア・アドレス 169.59.210.200 は、IBM 経路ベースの VPN ゲートウェイの大きなパブリック IP であり、事前共有鍵は IBM 経路ベースの VPN ゲートウェイと同じである必要があります。 大規模パブリック IP について詳しくは、この 重要な通知を参照してください。

tunnel-group 169.59.210.200 type ipsec-l2l
tunnel-group 169.59.210.200 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your-pre-shared-key>
 ikev2 local-authentication pre-shared-key <your-pre-shared-key>
!

仮想トンネル・インターフェースを作成し、インターフェース上でリンク・ローカル・アドレス (169.254.0.6/30) を構成します。 リンク・ローカル・アドレスを選択し、それが装置上の他のアドレスと重複しないように注意してください。 30 ビット・ネットマスクのサブネットには、2 つの使用可能な IP アドレス (169.254.0.5 および 169.254.0.6) があります。 最初の IP アドレス 169.254.0.5 は IBM VPN ゲートウェイ VTI アドレスとして使用され、2 番目の IP アドレス 169.254.0.6 は ASAv VTI アドレスとして使用されます。 ASAv 上に複数の VTI がある場合は、別のリンク・ローカル・サブネット (169.254.0.0/30169.254.0.8/30など) を選択できます。

IBM VPN ゲートウェイで 169.254.0.5 を構成する必要はありません。 これは、ASAv 上の経路を構成したときにのみ参照されます。

interface Tunnel2
 nameif ibm-gateway-secondary-tunnel
 no shutdown
 ip address 169.254.0.6 255.255.255.252
 tunnel source interface outside
 tunnel destination 169.59.210.200
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ibm-ipsec-profile
!

ASAv への経路を追加します。 宛先 10.240.65.0 は IBM VPC サブネットであり、ネクスト・ホップは IBM VPN ゲートウェイの 2 次 VTI アドレスです。 ルートの距離は 10です。

route ibm-gateway-secondary-tunnel 10.240.65.0 255.255.255.0 169.254.0.5 10

ASAv の TCP MSS クランプを構成して、不要なフラグメント化を回避します。

sysopt connection tcpmss 1360