こんにちは。セキュリティ担当の今村です。

今回はCisco Secure AccessにおけるCatalystを用いたトンネルの構築についてご紹介します。

Meraki MXを用いたトンネルの構築についてはSecurity第89回をご覧ください。

 

以下はトンネルの構築にあたり使用した検証環境の図です。

今回はCisco Secure Accessと2本のIPsecトンネルを張り、冗長構成にします。

また、以下のようにBGPを構成しました。

■トンネルグループの作成

まずトンネルグループを作成します。

CiscoSecure Accessダッシュボードの左メニューから、Connect＞Network Connectionsを開き、

Network Tunnel Groupsタブからトンネルグループの作成画面を開きます。

任意のトンネルグループの名前を入力します。「Region（リージョン）」はAsia Pacific（Tokyo）、

「Device Type（デバイスタイプ）」はISRを選択します。

MerakiMXがトンネルグループに接続するためのトンネルIDとパスフレーズを設定します。

パスフレーズはCatalyst8200の設定時に必要になるので、メモを取っておきます。

トンネルグループのIPアドレス範囲を設定します。

今回は「Dynamic Routing（ダイナミックルーティング）」を選択し、拠点側ルータで使用するAS番号を指定します。

プライマリハブとセカンダリハブが作成されます。

それぞれのトンネルグループIDとIPアドレスはCatalyst8200の設定時に必要になるのでメモを取っておきます。

以上でトンネルグループの作成は完了です。

 

■トンネルの構築

次にCatalyst8200でIPsecトンネル構築の設定を行います。

今回は以下のようなコマンドで設定をしましたのでご参照ください。

１．IKEv2 proposalの設定

２．IKEv2 keyringの設定

addressにはプライマリハブとセカンダリハブの作成後に確認したIPアドレス、

pre-shared-keyにはトンネルグループ作成時に設定したパスフレーズを入力します。

 

３．IKEv2 profileの設定

matchidentity remote addressにはプライマリハブとセカンダリハブの作成後に確認した

IPアドレスとサブネット、identitylocal emailにはプライマリハブとセカンダリハブの作成後に確認したメールアドレスを入力します。

 

４．IPsecの設定

５．トンネルインターフェースの設定

tunneldestinationにはそれぞれプライマリハブとセカンダリハブのIPアドレスを入力します。

 

６．ルーティングの設定

７．ACLの設定

以上でCatalyst8200でのトンネル構築は完了です。

 

■構築したトンネルの確認

構築したトンネルを、Connect＞Network Connectionsから、Network Tunnel Groupsタブを開き、確認します。

「Hub Up」と表示されているので、トンネルが構築されたことが確認できました。

 

■動作確認

最後に通信がCisco Secure Accessを通っているか確認を行います。

Catalyst8900にPCを接続し、確認くんで表示されるグローバルIPアドレスが151.186.0.0/16または163.129.128.0/17（Cisco Secure AccessのIPアドレス範囲）であれば、通信がCisco Secure Accessを通っていることを確認できます。

 

見てみると、グローバルIPアドレスが151.186.176.94で、151.186.0.0/16に含まれているため、通信がCisco SecureAccessを通っていることが確認できました。

また今回は冗長構成としてIPsecトンネルを2本構築したため、プライマリハブ側のトンネルをシャットダウンさせてみました。

同じように確認くんで見てみると、グローバルIPアドレスが151.186.176.14で、151.186.0.0/16に含まれているので、

プライマリハブをシャットダウンした場合でも通信が行われ、冗長構成が正常に機能していることが確認できました。

したがって、以上の設定で、Catalyst 8200とCisco Secure Access間でトンネルが正常に構築され、冗長構成も問題なく機能していることが確認できました。

■まとめ

今回は、Cisco Secure AccessにおけるCatalyst8200を用いたトンネルの構築についてご紹介しました。新しい機器を追加することなく、既存の機器を活かしてトンネルを構築できるのは、Cisco Secure Accessの大きなメリットだと感じました。Catalystをお使いの方はぜひ今回の内容を参考にご自身の環境でも設定をお試しください。最後までご覧いただきありがとうございました。

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事

• Security 第90回「Cisco Secure AccessにおけるCatalystを用いたトンネルの構築」
• Collaboration 第160回 「Webex Calling 機能紹介 その８ ~ スケジュール・転送 ~」
• Meraki 第163回「Meraki Access Managerのライセンスについて」
• Meraki 第162回「認証サーバ無しで本格的な認証を実現！Meraki Access Managerのご紹介」
• Security 第89回「Cisco Secure Accessのライセンスについて」
• Collaboration 第159回 「Webex Calling 機能紹介 その7 ~ グループ保留~」

一覧ページ