edit-icon download-icon

Cisco ASA ルーター設定例

最終更新日: Jun 26, 2019

本設定例では、VPC に 作成した VPN Gateway を、お客様拠点に設置した Cisco ASA と IPsec-VPN で接続します。

事前準備

ネットワークや IP アドレスの設計を事前に設計し、接続する VPC に VPN Gateway を購入します。

本設定例では、日本側の VPC (セグメント 192.168.0.0/24) に Cisco ルーターを拠点側 (セグメント 192.168.100.0/24) のルーターとして、VPC と拠点側を接続します。

本設定例について

Alibaba CloudのVPCとの接続を保証するものではありません。

2019年 5 月の仕様に基づいて記載しています。確認しているファームウェアは下記のとおりです。今後、サービス内容の変更や、仕様変更などによって接続できなくなる可能性があります。

本設定例でテスト済みの Cisco ASA ルーターは以下になります。

モデル バージョン
Cisco ASA 5506W Version 9.10(1)

Cisco ASA に関する情報および設定方法については、Cisco テクニカルサポートまでお問い合わせください。

設定手順

ステップ 1:VPN Gateway の設定

  1. 対象 VPC に VPN Gateway とカスタマーゲートウェイを作成します。カスタマーゲートウェイの設定ではお客様拠点 ルーターのグローバル IP アドレスを使って設定します。VPN Gateway 、カスタマーゲートウェイの具体的な設定方法は、「サイト間コネクションの設定」をご参照ください。
  2. IPsec Connections より VPN 接続を作成します。

    • 「名前」任意の識別名を入力します。
    • 「VPN Gateway」上項で作成したVPN Gateway名を選択します。
    • 「カスタマーゲートウェイ」 上項で作成したカスタマーゲートウェイを選択します。
    • 「ローカルネットワーク」 (0.0.0.0/0)を入力します。
    • 「リモートネットワーク」 (0.0.0.0/0)を入力します。
    • 「今すぐ有効化」“はい”を選択します。
    • 「高度な構成」有効にします。
    • 「事前共有鍵」拠点ルーター側と同一の任意の共有鍵を入力します。
    • 「バージョン」 ikev2 を選択します。
    • 「ヘルスチェック」 有効にします。
    • 「宛先 IP」お客様拠点側サブネット内の疎通可能な任意のIPアドレスを入力します。
    • 「送信元 IP」クラウド側サブネットの内で任意のIPアドレスを入力します。
    • 「再試行間隔」任意の間隔を指定します。
    • 「再試行回数」任意の回数を指定します。
    • 「OK」ボタンを押します。
      注意: ヘルスチェックとなります。有効にするとVPN Gatewayが対向のピアにヘルスチェックを送信し、IPsecトンネルの通信断を検出できるようになり、チェックが失敗した場合にはIPsecの再接続を試みます。そのほか項目についても運用方針に沿って指定いただけますが、拠点ルーター側と合わせる必要があります。
  3. ルートの追加をします。
    上記完了後、下記のポップアップが表示されるので、OKボタンを押します。
    vpn1
    下記、VPN-GW のルートテーブル画面へ遷移しますので、宛先ベースルーティングのタブを選択し、ルートエントリの追加を行います。
    vpn2
    ルートエントリの追加は下記の様に行います。
    「宛先 CIDR ブロック」お客様拠点側セグメントを設定します。
    「VPC に公開」“はい”を選択します。
    「OK」ボタンを押します。
    vpn3
    VPN-GW のルートテーブルにてルートエントリの追加が行われ、ステータスが公開済みとなっていることを確認します。
    vpn4

  4. IPsec Connectionsの画面より、VPN 接続が追加されることを確認します。
    vpn5

ステップ 2:Cisco ルーターの設定

Cisco ルーターにアクセスし以下の項目を設定します。

  • IPsec接続設定
    1. !
    2. #ISAKMP(IKEv2)ポリシー設定”#
    3. crypto ikev2 policy <prioriry>
    4. encryption aes
    5. integrity sha
    6. prf sha
    7. group 2
    8. lifetime 86400
    9. !
    10. !
    11. #IKEv2有効化#
    12. crypto ikev2 enable <outside_interface_name>
    13. !
    14. !
    15. #IKEv2プロポーザル設定#
    16. crypto ipsec ikev2 ipsec-proposal <ikev2 プロファイル名>
    17. protocol esp encryption aes
    18. protocol esp integrity sha-1
    19. !
    20. !
    21. #IKEv2プロファイル設定#
    22. crypto ipsec profile <ikev2プロファイル名>
    23. set ikev2 ipsec-proposal <ikev2プロファイル名>
    24. set security-association lifetime seconds 86400
    25. !
    26. !
    27. #Virtual Tunnel IF設定#
    28. interface Tunnel<Number>
    29. nameif <VTI名>
    30. ip address <任意のリンクローカルアドレス(例:169.254.0.1)>
    31. tunnel source interface outside
    32. tunnel destination <VPN-GatewayのグローバルIPアドレス>
    33. tunnel mode ipsec ipv4
    34. tunnel protection ipsec profile <ikev2プロファイル名>
    35. !
    36. !
    37. #トンネルグループポリシー設定#
    38. group-policy <GROUP-Policy名> internal
    39. group-policy <GROUP-Policy名> attributes
    40. vpn-tunnel-protocol ikev2
    41. !
    42. !
    43. #トンネルグループ設定#
    44. tunnel-group <VPN-GatewayのグローバルIPアドレス> type ipsec-l2l
    45. tunnel-group <VPN-GatewayのグローバルIPアドレス> general-attributes
    46. default-group-policy <GROUP-Policy名>
    47. tunnel-group <VPN-GatewayのグローバルIPアドレス> ipsec-attributes
    48. ikev2 remote-authentication pre-shared-key <Alibaba Cloud VPN Gatewayと同一の任意の共有鍵>
    49. ikev2 local-authentication pre-shared-key <Alibaba Cloud VPN Gatewayと同一の任意の共有鍵>
    50. !
    51. !
    52. #経路設定#
    53. Route <VTI名> 192.168.0.0 255.255.255.0 <任意のリンクローカルアドレス(例:169.254.0.2)> 1
    54. !
    注意: ルーティング,ポリシー等の項目についても運用方針に沿ってお客様拠点側機器を設定する必要があります。ステップ1でVPN Gatewayのヘルスチェックを利用する場合は送信元IPからのICMPパケットをお客様拠点側機器で許可する必要があります。

ステップ 3:ステータス確認

Cisco ASA ルーターの設定が完了し、接続が成功すれば、接続ステータスが「成功」、ヘルスチェックステータスが「正常」に変わります。
vpn6

ステップ4:接続のテスト

VPC 内の ECS インスタンスにログインし、拠点内のプライベート IP アドレスに ping を送信して、VPC と拠点側の通信が成功することを確認します。