icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

Cisco 881 ISR用IPSec VPN設定ガイド

この記事では、設定手順とスクリーンショットにおいて、サンプルIPアドレスのみを使用しています。トンネルインターフェイスの設定には、APIPAアドレスではなく、RFC1918のIPアドレスのみを使用する必要があります。

この記事では、Cisco 881 Integrated Services Router (ISR)から、2つのZIA パブリック サービス エッジへの2つのIPSec VPNトンネルを設定する方法を説明します。すなわち、ルーターからあるデータセンターのZIA Public Service Edgeへのプライマリー トンネル、およびルーターから別のデータセンターのZIA Public Service Edgeへのセカンダリー トンネルの設定です。

Cisco ISRアプライアンスから2つのZscaler ZIA Public Service EdgeへのプライマリおよびセカンダリIPSecトンネルを示すネットワーク図。

Zscaler IPSecトンネルは、パブリック送信元IPアドレスごとに400 Mbpsの制限をサポートします。組織が400 Mbpsを超えるトラフィックを転送する場合、Zscalerでは、次のいずれかの構成を使用することをお勧めします。

  • 異なるパブリック送信元IPアドレスを持つ複数のIPSecトンネルを構成します。
  • ネットワーク アドレス変換トラバーサル(NAT-T)を使用して、同じパブリック送信元IPアドレスを持つ複数のIPSec VPNトンネルを設定し、IKEv2を使用して送信元ポートのランダム化を設定します。

たとえば、組織が800Mbpsのトラフィックを転送する場合、2つのプライマリVPNトンネルと2つのバックアップVPNトンネルを構成できます。

組織は通常、あらゆるポート宛てのすべてのトラフィックをZscalerサービスに転送します。あるいは、Zscalerに転送するトラフィックをHTTPとHTTPSトラフィック(ポート80とポート443を宛先とするトラフィック)に制限することができます。いずれにせよ、トンネリングによって内部IPアドレスが可視化され、Zscalerのセキュリティ ポリシーとログに使用できるようになります。

前提条件

IPSec VPNトンネルを設定するために、次の情報があることを確認してください。

ZIA Public Service Edgeの両方のIPアドレスにpingを送信できない場合は、Zscalerサポートにお問い合わせください。

ZIA管理ポータルでのIPSec VPNトンネルの設定

この構成例では、ピアは認証にFQDNと事前共有鍵(PSK)を使用しています。

ZIA管理ポータルでIPSec VPNトンネルを設定するには、次の手順を実行します。

  1. VPN認証情報の追加

VPN認証情報をロケーションにリンクさせ、IKEゲートウェイを作成する際に、FQDNとPSKが必要です。

  1. VPNクレデンシャルをロケーションにリンク

Cisco 881 ISRでのIPSec VPNトンネルの設定

この記事では、Cisco 881 ISRとZIA パブリック サービス エッジ間のIPSec VPNトンネルの設定に関する詳細のみを説明します。Cisco 881 ISRに関するその他の具体的な情報については、Ciscoのドキュメンテーションを参照してください。

このセクションでは、Cisco IOS 15.4(3)M3が稼働するCisco 881 ISRで2つのIPSec VPNトンネルを設定する方法について説明します。両方のトンネルをゲートウェイで設定する必要があります。常に動作可能なトンネルは1つだけです。2つ目のトンネルはバックアップ トンネルとして機能します。この設定では、CLIコマンドを使用します。これらのコマンドの詳細はこちらについては、Ciscoのドキュメンテーションを参照してください。Cisco IOSバージョン15.1.1Tを実行しているCisco 881 ISRが必要です。または後でIKEv2を構成します。

トンネルを構成するには、以下の情報を指定する必要があります。

  • <FQDN> - ZIA管理ポータルで作成したVPN資格情報のFQDN。
  • <事前共有キー> - ZIA管理ポータルで作成したVPN資格情報の事前共有キー。
  • <LANインターフェイス>–ISRのLANインターフェイス。
  • <WANインターフェイス>–ISRのWANインターフェイス。
  • <MTU> - トンネルに最適なMTUです。
  • <プライマリーVPN IPアドレス>および<バックアップVPN IPアドレス> - ZIA パブリック サービス エッジのIPアドレス。
  • <プライマリー グローバルZIA Public Service Edge IPアドレス>および<バックアップ グローバルZIA Public Service Edge IPアドレス> - ZIA パブリック サービス エッジのグローバルIPアドレス。
  • <除外されたサーバーIP> - このIPアドレスまたはIPサブネットへのトラフィックは、VPNトンネル経由でZscalerに送信されません。IPアドレスまたはIPサブネットは、ルーター経由で到達可能な内部サーバー ファーム、またはトンネル経由でルーティングされることから除外する必要がある外部パブリックIPアドレスにすることができます。
  • <Zscalerクラウド> - お客様のZscalerクラウドの名前。

Cisco 881 ISRでIPSec VPNトンネルを設定するには、次のようにします。

Zscalerは、IPSecトンネル ネゴシエーション中の拡張シーケンス番号(ESN)ベースのプロポーザルをサポートしません。

  • IKE_SA_INIT交換でIKEv2 SAをネゴシエートするためにIKEv2プロポーザルを構成する。IKEv2プロポーザルは、IKEネゴシエーションに使用される暗号化アルゴリズム、認証方法、データ完全性アルゴリズム、およびDiffie-Hellmanグループパラメータを定義します。

    以下のコマンドを入力します。

    crypto ikev2 proposal <Proposal Name>
 encryption aes-cbc-256
 integrity sha1
 group 14

    [2. IKEv2ポリシーを設定する]では、この<Proposal Name>が必要です。

    閉じる

  • IKEv2プロポーザルと関連付けるIKEv2ポリシーを構成します。IKEv2ポリシーは、IKEネゴシエーション中に使用されるプロポーザルを定義します。1.IKEv2プロポーザルの構成で作成した<プロポーザル名>が必要です。

    以下のコマンドを入力します。

    crypto ikev2 policy <Policy Name>
 match fvrf any
 proposal <Proposal Name>
    閉じる

  • ピア認証方式がPSKの場合、IKEv2キーリングを構成します。

    以下のコマンドを入力します。

    crypto ikev2 keyring <Key Ring Name>
 peer <Peer 1 Name>
  address <Primary VPN IP Address>
  pre-shared-key <Pre-Shared Key>
 peer <Peer 2 Name>
  address <Backup VPN IP Address>
  pre-shared-key <Pre-Shared Key>

    [4. IKEv2プロファイルを設定する]では、この<Key Ring Name>が必要です。

    閉じる

  • 2つのIKEv2プロファイルを構成し、IKE SAのネゴシエーション不可のパラメータを定義します。3. IKEv2キーリングの構成で作成した<キーリング名>が必要です。

    以下のコマンドを入力します。

    crypto ikev2 profile <IKEv2 Profile 1 Name>
 match identity remote address <Primary VPN IP Address>
 identity local email <FQDN>
 authentication remote pre-share
 authentication local pre-share
 keyring local <Key Ring Name>
 lifetime 86400
 no config-exchange request
crypto ikev2 profile <IKEv2 Profile 2 Name>
 match identity remote address <Backup VPN IP Address>
 identity local email <FQDN>
 authentication remote pre-share
 authentication local pre-share
 keyring local <Key Ring Name>
 lifetime 86400
 no config-exchange request

    [9. IPSecプロファイルを設定する]および[10. トンネル インターフェイスを作成する]では、この<IKEv2 Profile 1 Name><IKEv2 Profile 2 Name>が必要です。

    閉じる

  • 次のコマンドを入力します。

    crypto ikev2 dpd 10 5 periodic
    閉じる

  • 次のコマンドを入力します。

    crypto ikev2 nat keepalive 20
    閉じる

  • IPSecトランスフォームセットは、IKE_AUTH交換の暗号化、認証、IPSecモードパラメータを定義します。

    以下のコマンドを入力します。

    crypto ipsec transform-set <Transform Set Name> esp-aes-gcm-256 esp-sha-hmac
     mode tunnel

    フェーズ2では、Zscalerは、別の暗号化SKUを購入した場合、AES-GCMベースの暗号を使用することをお勧めします。個別のサブスクリプションがない場合は、ZscalerはNULL暗号化を使用することをお勧めします。

    9.IPSecを構成では、<Transform Set Name> が必要です。

    閉じる

  • 暗号化後のIPSecフラグメンテーションを有効にします。

    次のコマンドを入力します。

    crypto ipsec fragmentation after-encryption
    閉じる

  • IKEv2プロファイルと関連付けるために、2つのIPSecプロファイルを構成します。7.IPSecトランスフォームセットの定義で作成した<トランスフォームセットの名前>と、4.IKEv2プロファイルの構成で作成した<IKEv2プロファイル1の名前>および<IKEv2プロファイル2の名前>が必要です。

    以下のコマンドを入力します。

    crypto ipsec profile <IPSec Profile 1 Name>
 set security-association lifetime seconds 28800
 set security-policy limit 1
 set transform-set <Transform Set Name>
 set ikev2-profile <IKEv2 Profile 1 Name>
crypto ipsec profile <IPSec Profile 2 Name>
 set security-association lifetime seconds 28800
 set security-policy limit 1
 set transform-set <Transform Set Name>
 set ikev2-profile <IKEv2 Profile 2 Name>

    [10. トンネル インターフェイスを作成する]では、この<IPSec Profile 1 Name><IPSec Profile 2 Name>が必要です。

    閉じる

  • IPSecプロファイルとIKEv2プロファイルに関連付けられた2つのトンネル インターフェイスを作成します。トンネル インターフェイスにルーティングされるすべてのトラフィックは暗号化され、ZIA Public Service Edgeに送信されます。同様に、ZIA Public Service Edgeからのトラフィックは、インターフェイスで論理的に受信されます。tunnel protectionコマンドを使用してインターフェイスを子SAに関連付けることができます。

    9.IPSecプロファイルの構成で作成した<IPSecプロファイル1の名前><IPSecプロファイル2の名前>および4.IKEv2プロファイルの構成で作成した<IPSecプロファイル1の名前><IPSecプロファイル2の名前>が必要です。

    以下のコマンドを入力します。

    interface <Primary Tunnel Interface>
 ip unnumbered <WAN Interface>
 ip mtu <MTU>
 ip tcp adjust-mss 1360
 tunnel source <WAN Interface>
 tunnel mode ipsec ipv4
 tunnel destination <Primary VPN IP Address>
 tunnel protection ipsec profile <IPSec Profile 1 Name> ikev2-profile <IKEv2 Profile 1 Name>
interface <Backup Tunnel Interface>
 ip unnumbered <WAN Interface>
 ip mtu <MTU>
 ip tcp adjust-mss 1360
 tunnel source <WAN Interface>
 tunnel mode ipsec ipv4
 tunnel destination <Backup VPN IP Address>
 tunnel protection ipsec profile <IPSec Profile 2 Name> ikev2-profile <IKEv2 Profile 2 Name>

    [12. ルート マップを定義する]と[14. VPNモニターのためのIP SLAを設定する]では、この<Primary Tunnel Interface><Backup Tunnel Interface>が必要です。

    閉じる

  • トンネル経由で関連するトラフィックを送信するためのACLを作成します。ほとんどの組織では、すべてのトラフィックをZscalerに転送します。以下のいずれかのコマンドを使用して、ACLを設定できます。

    • すべてのトラフィックをトンネルで送信する場合は、次のように入力します。
    access-list <ACL Number> permit ip any any
    • Webトラフィック(HTTPとHTTPSなど)のみをトンネルで送信する場合は、以下を入力します。
    access-list <ACL Number> permit tcp any any eq 80
access-list <ACL Number> permit tcp any any eq 443
    • Webサーバへのトラフィックをトンネル通過から除外したい場合は、次のように入力します。
    access-list <ACL Number> deny ip any <Exempted Server IP>
access-list <ACL Number> permit tcp any any eq 80 
access-list <ACL Number> permit tcp any any eq 443

    [12. ルート マップを定義する]では、この<ACL Number>が必要です。

    閉じる

  • ACLとトンネル インターフェイスをリンクするルート マップを定義します。11.アクセス制御リスト(ACL)を作成で作成された<ACL番号>、および10.トンネル インターフェイスを作成で作成された<プライマリー トンネル インターフェイス><バックアップ トンネル インターフェイス>が必要です。

    以下のコマンドを入力します。

    route-map <Route Map Name> permit 1
 match ip address <ACL Number>
 set interface <Primary Tunnel Interface> <Backup Tunnel Interface>

    [13. ネットワーク アドレス変換(NAT)を設定する]では、この<Route Map Name>が必要です。

    閉じる

  • WANとLANのインターフェイスにNATを構成します。12.ルートマップの定義で作成した<ルートマップ名>が必要です。

    以下のコマンドを入力します。

    interface <WAN Interface>
 description $ES_WAN$
 ip address 10.96.19.244 255.255.255.0
 ip access-group <ACL Number> in
 ip access-group <ACL Number> out
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
interface <LAN Interface>
 ip address 172.17.0.128 255.255.255.0
 ip access-group <ACL Number> in
 ip access-group <ACL Number> out
 ip nat inside
 ip virtual-reassembly in
 ip policy route-map <Route Map Name>
    閉じる

  • IP SLAモニターは、2つのトンネル間のフェイルオーバーを行うために使用されます。プライマリー トンネルに障害が発生した場合、バックアップ トンネルが自動的に使用されます。VPN監視に使用するIPアドレスが到達可能であることを確認します。

    次のIP SLAはip sla 1およびip sla 2として定義されています。設定では、オプションで追跡オブジェクトとIP SLA操作ID番号に異なる値を定義できます(例:track 3 ip sla 3)。ID番号は、後でIP SLAステータスを追跡するときに、show track <ID>コマンドの出力に表示されます。

    [10. トンネル インターフェイスを作成する]で作成した<Primary Tunnel Interface><Backup Tunnel Interface>が必要です。

    PACファイルを使用してトンネル経由でトラフィックを転送する場合、IP SLA監視用とPACファイル用に異なるグローバルZIA Public Service Edge IPアドレスを使用していることを確認してください。同じグローバルZIA Public Service EdgeのIPアドレスを使用すると、PACファイルはトンネル インターフェイスの状態に関係なく、同じトンネル経由ですべてのパケットを送信します。

    以下のコマンドを入力します。

    config IP SLA
    track 1 ip sla 1 state
     delay down 180 up 180
    track 2 ip sla 2 state
     delay down 180 up 180
    ip route <Primary Global ZIA Public Service Edge IP Address> 255.255.255.255 <Primary Tunnel Interface> permanent
    ip route <Backup Global ZIA Public Service Edge IP Address> 255.255.255.255 <Backup Tunnel Interface> permanent
    ip sla 1
     http raw http://<Primary Global ZIA Public Service Edge IP Address>:80
     http-raw-request
      GET http://gateway.<Zscaler Cloud>.net/vpntest HTTP/1.0\r\n
      User-Agent: Cisco IP SLA\r\n
      end\r\n
      \r\n
      exit
     threshold 300
     timeout 5000
    ip sla schedule 1 life forever start-time now
    ip sla 2
     http raw http://<Backup Global ZIA Public Service Edge IP Address>:80
     http-raw-request
      GET http://gateway.<Zscaler Cloud>.net/vpntest HTTP/1.0\r\n
      User-Agent: Cisco IP SLA\r\n
      end\r\n
      \r\n
      exit
     threshold 300
     timeout 5000
    ip sla schedule 2 life forever start-time now
    ip sla reaction-configuration 1 react rtt threshold-value 300 1 threshold-type consecutive 3
    ip sla reaction-configuration 2 react rtt threshold-value 300 1 threshold-type consecutive 3

    より多くのトンネルに対してVPN監視を設定する場合は、追加のグローバルZIA Public Service EdgeのIPアドレスを参照してください。

    閉じる

トラブルシューティング

ZIA管理ポータルでは、[分析]>[トンネル インサイト]に移動して、データを表示したり、設定済みのIPSec VPNトンネルの正常性とステータスを監視したりできます。詳細は、インサイトについて、およびインサイト ログについてを参照してください。

Ciscoルーターでは、トンネルを設定しながら、次のトラブルシューティングコマンドを使用できます。トラブルシューティング中は、緑色の値をメモしてください。

  • show crypto isakmp saコマンドを使用して、トンネルのフェーズ1のトラブルシューティングを行います。このレスポンスは、IKEが正しく設定された組織のゲートウェイを示しています。ステータス値はACTIVEです。

    <Customer IP>は、ISRのWANインターフェイス上の顧客のパブリックIPアドレスです。

    IPv4 Crypto ISAKMP SA
dst 	                  src                 state              conn-id       status
<Primary VPN Hostname>	  <Customer IP>       QM_IDLE            2012          ACTIVE
<Backup VPN Hostname>     <Customer IP>       AG_INIT_EXCH       2011          ACTIVE

IPv6 Crypto ISAKMP SA
    閉じる

  • show crypto ipsec saコマンドを使用して、トンネルのフェーズ2のトラブルシューティングを行います。このレスポンスは、IKEが正しく構成された組織のゲートウェイを示しています。一部のパケットがプライマリーおよびセカンダリー トンネル用にカプセル化およびカプセル化解除されていること、およびインバウンドおよびアウトバウンドESP SAのステータスがACTIVEであることを確認します。これは、トラフィックがトンネルを通過していることを示しています。

    <企業パブリックIP>は、IPSecトンネルを確立するルーター上のIPアドレスです。

    interface: <Primary Tunnel Interface>	 
	Crypto map tag: Tunnel1-head-0, local addr: <Corporate Public IP> 
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)	   
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)	   
current_peer: <Primary VPN Hostname> port 500
	 PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr.failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: <Corporate Public IP>, remote crypto endpt.: <Primary VPN Hostname>

path mtu <MTU>, ip mtu <MTU>, ip mtu idb FastEthernet4
current outbound spi: 0xBDC1E53(198975059)
PFS (Y/N): N, DH group: none

inbound esp sas:
	spi: 0xDF685FC2(3748159426)
		transform: esp-aes128 esp-md5-hmac ,
		in use settings ={Tunnel, }
		conn id: 1, flow_id: Onboard VPN:1, sibling_flags 80000046, crypto map: 
Tunnel1-head-0
		sa timing: remaining key lifetime (k/sec): (4552507/14113)
		IV size: 8 bytes
		replay detection support: Y
		Status: ACTIVE

	 inbound ah sas:

	 inbound pcp sas:
  
outbound esp sas:
	spi: 0xBDC1E53(198975059)
		transform: esp-null esp-md5-hmac ,
		in use settings ={Tunnel, }
		conn id: 2, flow_id: Onboard VPN:2, sibling_flags 80000046, crypto map: 
Tunnel1-head-0
		sa timing: remaining key lifetime (k/sec): (4552507/14113)
		IV size: 8 bytes
		replay detection support: Y
		Status: ACTIVE

	 outbound ah sas:

	 outbound pcp sas:

interface: <Backup Tunnel Interface>	 
	Crypto map tag: Tunnel2-head-0, local addr: <Corporate Public IP> 
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)	   
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)	   
current_peer: <Backup VPN Hostname> port 500
	 PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr.failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: <Corporate Public IP>, remote crypto endpt.: <Backup VPN Hostname>

path mtu <MTU>, ip mtu <MTU>, ip mtu idb FastEthernet4
current outbound spi: 0xBDC1E53(198975059)
PFS (Y/N): N, DH group: none

	 inbound esp sas:
	 inbound ah sas:
	 inbound pcp sas:

	 outbound esp sas
	 outbound ah sas:
	 outbound pcp sas:
    閉じる

  • IP SLAのステータスを追跡するには、show track <ID>コマンドを使用します。IP SLA到達可能性ステータスはトンネル監視の結果を示します。Reachability is Downはトンネルの監視が失敗したことを示し、Reachability is Upはトンネルの監視が成功したことを示します。

    Track 1
 IP SLA 1 reachability
 Reachability is Down
	3 changes, last change 00:16:23
 Latest operation return code: Timeout
Track 2
 IP SLA 2 reachability
 Reachability is Up
	2 changes, last change 01:01:27
 Latest operation return code: OK
 Latest RTT (millisecs) 1
    閉じる

  • show ip sla statisticsコマンドを使用して、IP SLA統計情報を表示します。

    IPSLAs Latest Operation Statistics

IPSLA operation id: 2
Number of successes: Unknown
Number of failures: Unknown
Operation time to live: 0


IPSLA operation id: 1
		Latest RTT: NoConnection/Busy/Timeout
Latest operation start time: *02:29:07.511 UTC Mon Nov 10 2014
Latest operation return code: Timeout
Number of successes: 0
Number of failures: 2
Operation time to live: Forever

IPSLA operation id: 2
		Latest RTT: 1 milliseconds
Latest operation start time: *02:29:10.719 UTC Mon Nov 10 2014
Latest operation return code: OK
Number of successes: 2
Number of failures: 0
Operation time to live: Forever
    閉じる

  • show crypto sessionコマンドを使用して、プライマリー トンネルの障害状態をシミュレートし、バックアップ トンネルへのフェールオーバーが発生することを確認します。フェイルオーバーが成功すると、バックアップ トンネルはUP-ACTIVEセッション ステータスになり、プライマリー トンネルはDOWN-NEGOTIATINGセッション ステータスになります。

    Crypto session current status

Interface: <Backup Tunnel Interface>
Session status: UP-ACTIVE
Peer: <Backup VPN Hostname> port 500
 IKEv1 SA: local <Corporate Public IP>/500 remote <Backup VPN Hostname>/500 Active
 IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
		Active SAs: 2, origin: crypto map

Interface: <Primary Tunnel Interface>
Session status: DOWN-NEGOTIATING
Peer: <Primary VPN Hostname> port 500
 IKEv1 SA: local <Corporate Public IP>/500 remote <Primary VPN Hostname>/500 Inactive
 IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
		Active SAs: 0, origin: crypto map
    閉じる
関連記事s
IPSec VPNの紹介IPSec VPNトンネルの設定VPN資格情報についてVPN資格情報の追加CSVファイルからのVPN資格情報のインポートCisco ASA 55xx用IPSec VPN設定ガイドCisco 881 ISR用IPSec VPN設定ガイドJuniper SRX用IPSec VPN設定ガイドJuniper SSG 20用IPSec VPN設定ガイド[FortiGateファイアウォール用のIPSec VPN構成ガイド]Palo Alto Networksファイアウォール用IPSec VPN設定ガイドSonicWall TZ 350用IPSec VPN設定ガイドZIA Public Service Edgeのホスト名とIPアドレスの検索