この構成は、上記で説明されている Custom IPSec (カスタム IPSec) の相互接続をすでに作成していることを前提としています。その他の値を送信した場合、必要に応じて構成を調整してください。
これらのステップは、ルータにその他の IPSec サイト間 VPN が構成されていないことを前提としています。
その他の VPN がある場合、この追加のトンネルを収容するために、これらの構成ステップまたは現在のルータの構成を変更する必要がある場合があります。詳しくは、Cisco IOS のドキュメントを参照してください。
config モードで Cisco IOS ルータにログインできることルータの変更に際して、Jamf は、これらの設定を注意深く、そして可能な限り本番前の環境で構成することにより、意図しないサービス中断を避けることを強く推奨します。
- Jamf IKEv2 プロポーザル、ポリシー、プロファイルを構成する。
- トンネル (IKEv2 および IPSec セキュリティアソシエーション) に使用する暗号化を示す IKEv2 プロポーザルを作成します。
crypto ikev2 proposal WanderaIKEv2Proposal encryption aes-cbc-256 integrity sha256 group 14 - Jamf IKEv2ポリシーを構成します。この際に {{WAN IP Address}} を、この接続のために割り当て、Jamf Security Cloud IPSec 相互接続ゲートウェイウィザードで提供した IP アドレスに置き換えます。
crypto ikev2 policy WanderaIKEv2Policy match address local {{WAN IP Address}} proposal WanderaIkev2Proposal - Jamf Security Cloud で生成された事前共有鍵を構成します。{{Your PSK}} を、ウィザードの完了時にコピーまたは提供した共有シークレットに置き換えます。
crypto ikev2 keyring WanderaKeys peer WanderaGW identity fqdn wpa.wandera.com pre-shared-key local {{Your PSK}} pre-shared-key remote {{Your PSK}} - IKEv2 プロファイルを作成します。これは、Jamf からの受信 IPSec 接続に事前共有鍵を関連付けるものです。
必ず、{{Your IKE Domain ID}} を、Jamf Security Cloud で接続を設定した際にカスタマー IKE ドメイン ID に使用した値に置き換えてください。
crypto ikev2 profile WanderaIKEv2Profile match identity remote fqdn wpa.wandera.com identity local fqdn {{Your IKE Domain ID}} authentication remote pre-share authentication local pre-share keyring local WanderaKeys lifetime 28800
- トンネル (IKEv2 および IPSec セキュリティアソシエーション) に使用する暗号化を示す IKEv2 プロポーザルを作成します。
- Jamf IPSec プロファイルとトランスフォームセットを構成する。Note:
Jamf Security Cloud IPSec トンネルで使用される暗号化をサポートするトランスフォームセットが必要です。定義済みの必要なサイファーのセットで定義された既存の暗号セットがある場合は、それを再利用することができます。そうでない場合、以下のステップで新規作成します。
- 暗号セットを作成します。
crypto ipsec transform-set WanderaTS esp-aes esp-sha256-hmac mode tunnel - IKEv2 セキュリティアソシエーション (フェーズ 1) が正常に完了した後に使用する IPSec プロファイルを作成します。
crypto ipsec profile WanderaIPsecProfile set transform-set WanderaTS set pfs group14 set ikev2-profile WanderaIKEv2Profile
- 暗号セットを作成します。
- Jamf Security Cloud ゲートウェイ IP アドレスからのインバウンド接続を許可する Jamf IKEv2 動的暗号マップを作成します。
- 暗号化ドメインのアクセス制御リスト (ACL) を定義し、これにより、トンネルを経由したルーティングを許可するトラフィックのソースおよび宛先 IP アドレスを指定します。
これは、Jamf Security Cloud で定義された Jamf Security Cloud サブネット (Jamf Security Cloud Subnet) およびお客様のサブネット (Customer Subnet(s)) に一致する必要があります。
デフォルトの Jamf Security Cloud 設定では、お客様のサブネットは
0.0.0.0/0に設定され、Jamf Security Cloud が IPSec トンネル経由ですべてのネットワークに到達可能な状態です。 - お客様のサブネットを
0.0.0.0/0に設定した場合、そのままの設定を維持してネットワークへのフルアクセスを許可するか、トンネルがアクセスすべき特定のサブネット (1つまたは複数) に置き換えます。Note:Jamf は、最初の ACL を開いたままにして、接続が正常に確立されたらロックすることをお勧めします。それ以外の場合は、Jamf Security Cloud で定義されたそれぞれのお客様のサブネットに対して、アクセスリスト行を定義する必要があります。
すべての場合において、ACL ルールの後半は、Jamf Security Cloud で指定した Jamf Security Cloud サブネットに一致しなければなりません。
お客様のサブネットに
0.0.0.0/0、Jamf Security Cloud サブネットに192.168.233.0/24を使用した推奨構成に必要な ACL は、以下のコマンドを使用して得ることができます。ip access-list extended WanderaPANets 10 permit ip any 192.168.233.0 0.0.0.255 - 動的暗号マップを作成し、すべてを結び付けます。
crypto dynamic-map WanderaDynamicIKEMap 10 set transform-set WanderaTS set pfs group14 set ikev2-profile WanderaIKEv2Profile match address WanderaPANets reverse-route - この新しく作成された
dynamic-mapとともに使用するために、ルータに動的なcrypto mapの定義を登録します。crypto map WanderaDynamicCryptoMap 5 ipsec-isakmp dynamic WanderaDynamicIKEMap
- 暗号化ドメインのアクセス制御リスト (ACL) を定義し、これにより、トンネルを経由したルーティングを許可するトラフィックのソースおよび宛先 IP アドレスを指定します。
- Jamf IKEv2/IPSec 構成を、このトンネルを使用するように指定された WAN IP アドレスに割り当てられた外部ネットワークインターフェイスと関連付けます。
この例では、
GbE0/0/1が IPSec トンネル IP アドレスが割り当てられた外部 WAN インターフェイスであると想定しています。以下の構成は、必ずご利用の環境に適したインターフェイスとなるように変更してください。interface GigabitEthernet0/0/1 ip address {{WAN IP Address}} {{WAN IP Subnet}} crypto map WanderaDynamicCryptoMap