Home | Skip to Main Content | Skip to Search | Skip to Navigation | Skip to Footer |
Japan [変更] ユーザ登録 |シスコについて |日本のオフィス
Guest

Hierarchical Navigation

End-of-Sale and End-of-Life Products : Cisco VPN 3000 シリーズ コンセントレータ

スプリットトンネリングを使用して Cisco VPN Client 3.5 および Cisco Integrated Client をセキュア非暗号化トラフィックに設定する方法

機械翻訳のご利用について
機械翻訳版 - January 19, 2006
英語版 - January 19, 2006
Document ID: 13366

目次

概要
はじめに
      表記法
      前提条件
      使用するコンポーネント
設定
      VPN 接続のないネットワークダイアグラム
      VPN 接続があるネットワークダイアグラム
      VPN 3000 Concentrator の設定
検証
トラブルシューティング
関連情報

概要

注: 現時点で、Cisco Integrated Client Firewall (CIC)はVPN 3000コンセントレータ(バージョン3.5.xまたはそれ以降)に戻って接続するCisco VPN Client (バージョン3.5.xまたはそれ以降)とだけ互換性があります。 Cisco Secure PIX Firewallは現在この機能をサポートしません。

VPNクライアントがヘッドエンドに戻ってゲートウェイを接続し、許可される分割トンネリングがないときすべてのトラフィックはヘッドエンドにフローする必要があります。 そのような例では、このクライアントはある種のセキュリティ侵犯のためにクライアントが場合があるものをヘッドエンドのセキュリティ態勢のセットが制御するリソースをプライベートネットワークで利用可能なそれら以外要求するとき見るので論理上のでリレー・エージェント使用できます。

割り当てるためにはリモートクライアントは保護されたネットワークのリソースに実際にどんなインターネット・リソースが利用できるか実施していない間、スプリットトンネルを設定できるアクセスします。 スプリットトンネルはVPNクライアントが(VPNのトンネルの外部で)同時に保護されるネットワークVPNのトンネルによってVPNのヘッドエンドによっておよびクリアデータの他のリソースにアクセスするようにします。 潜在的な障害はclear data側の誰かがクライアントのワークステーションを妥協し、VPNで保護されたネットワークから情報を得ればのにそのワークステーションを使用したらこのVPNクライアントがリレー・エージェントである可能性があることです。

リモートクライアントがスプリットトンネルを使用しているとき内部ネットワークの保護を実施するためには、VPNクライアントワークステーションの個人的なCICのファイアウォールを設定できます。 いろいろなベンダーはこの機能を供給できます; この資料の例はVPNクライアントに含まれている統合されたクライアントを使用します。 VPNクライアントのソフトウェアが少なくともバージョン3.5である必要があることに注目して下さい。 VPNクライアントはとのトンネルが稼働している間、CICを受け入れます非VPNトラフィックのアクティビティを実施するためにクライアントに押下げられるべきVPN 3000コンセントレータで(少なくとも3.5.xソフトウェアを実行する)定義されたポリシーを組み込みました。 CICはVPNクライアントと共に自動的にインストールされています; 別々のステップが必要となりません。

はじめに

表記法

文書の表記法の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この資料を使用するとき次のポイントに留意することは重要です。

  • Cisco VPN Client 3.5.xまたはそれ以降を使用して下さい; CIC機能は以前のバージョンで利用できません。

  • VPNクライアントの側面にエンドユーザの設定がありません。 すべてはVPN 3000コンセントレータのヘッドエンドでされます。

  • この資料はユーザおよびグループに設定してもらうと仮定します。 コンフィギュレーションのステップはCICの機能および分割トンネリングの追加にだけ適用されます。

  • ポリシーは押されるべきCisco Pushed Policy (CPP)によってVPNクライアントにトンネルが稼働しているときだけアクティブです。 押されたポリシーは非暗号化トラフィックに適用されます、従って分割トンネリングが有効になるときだけCPPは設定する必要があります。

  • VPNクライアントの統計表示に表示されるファイアウォール・ルールは優位の順でリストされています。

  • 分割トンネリングが仮定された使用中であるので、表示される最初のファイアウォール・ルールはリストされているプライベートネットワークのそれぞれへトラフィックを許可することです。 これらの後で、定義されたポリシーによって押されるルールはリストされています。

  • VPN 3000コンセントレータは自動的にドロップするをすべての受信追加し、ルールのリストの端にすべての送信のパラメータを廃棄します

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco VPN Client 4.0.2 (B)統合CICのファイアウォールと

  • 4.0.1.Cを実行するCisco VPN 3000コンセントレータ

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。 実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

設定

このセクションでは、この文書で説明する機能の設定に必要な情報を提供します。

注: この文書で使用しているコマンドに関する詳細は、IOS Command Lookup ツールを使用してください。

VPN 接続のないネットワークダイアグラム

この文書では、次の図に示すネットワーク設定を使用しています。

/image/gif/paws/13366/vpn35-split-01.gif

VPN 接続があるネットワークダイアグラム

/image/gif/paws/13366/vpn35-split-02.gif

VPN 3000 Concentrator の設定

ポリシーおよびルールの定義

次のステップはVPN 3000コンセントレータを設定するための定義のポリシーおよびルールを記述します。

  1. 非トンネルのトラフィックのためのポリシーを定義して下さい。 CICのファイアウォールが暗号化トラフィックに適用しないことを覚えていて下さい。 この例のVPNクライアントに次のパラメータが含まれているVPNによって接続され、ポリシーがあります。

    • NON CIC

      • VPNで保護されたネットワーク・リソースにアクセスして下さい-これは分割トンネルリストとトラフィックのフローを禁止するVPNグループ、ユーザーID、またはインターフェイスで定義されるフィルタがない限り、デフォルトで許可されます。 デフォルトで、フィルタは定義されません、従ってすべてのトラフィックは保護されたネットワークに通じる必要があります。

    • CIC

      • DNSのクエリー- VPNクライアントに通じるDNSサーバがVPNで保護されたネットワークの一部ではない場合このルールを追加して下さい。 ルールを追加しない場合、クライアントはDNS名によってサイトに達できません; IPアドレスはまだはたらきます。

      • ウェブアクセス- VPNクライアントはHTTP (TCP/80)でVPNで保護されしていないサイトにアクセスできます。

      • 他のすべてを否定して下さい。

  2. ポリシーが定義されれば(上で定義される)、ポリシー仕様を反映するルールを作成する必要があります。 フィルタ規則が双方向である、従って両方のための1つを作成しなければなりません着信および発信コネクションことを覚えていて下さい。 下記に指定されて、値はデフォルト設定に残す必要がありません。

    着信接続(DNSのクエリー)のためのフィルタ規則を作成するためには、VPN 3000コンセントレータのソフトウェアを開き、Configuration > Policy Management > Traffic Management > Rulesに行って下さい。 Add をクリックします。

    vpn35分割03.gif

  3. 下記に表示される値でルールを設定して下さい。

    • Rule Name: DNS受信

    • 処置: 転送

    • Protocol : udp

    /image/gif/paws/13366/vpn35-split-04.gif

    下記に示されているように設定を続けて下さい。

    • 送信元ポート/ポート: DNS (53)

    • 宛先ポート/ポート: レンジ

    • 範囲: 1024年から65535

    値を入力することを終わったと適用しますクリックして下さい。

    /image/gif/paws/13366/vpn35-split-05.gif

  4. アウトバウンド接続(DNSの要求)のためのフィルタ規則を作成するために上記のステップを繰り返して下さい。 このルールを設定するために下記に表示される値を使用して下さい。

    • Rule Name: DNS送信

    • 方向: outbound

    • 処置: 転送

    • Protocol : udp

    • 送信元ポート/ポート: レンジ

    • 範囲: 1024年から65535

    • 宛先ポート/ポート: DNS (53)

    値を入力することを終わったと適用しますクリックして下さい。

注: ステップ1のコンフィギュレーション- 3つはDNSの特性にだけ上で適用します。 WebのHTTP要求はおよび「発信HTTP」「の」発信HTTPとして既に定義されています。 ルール「発信HTTP」はTCPの宛先ポート80 (www)および送信元ポートにすべてのIPパケットを、がマッチ「の」発信HTTP TCPの送信元ポート80が付いているすべてのIPパケットおよび宛先ポートマッチさせます。 ルール/「「の」は着信HTTP TCPの送信元ポートの/80および宛先ポート80/に着信HTTP」IPパケットを、それぞれマッチさせます。 名札は「の」VPNクライアントのの観点から「」方向を(受信および送信)示し。 不確実である場合、ルールを修正するの機能の送信元ポートおよび宛先ポートをチェックするのに使用によって吟味できます。

フィルタの定義

ルールが定義された後、1つの文にルールすべてをグループ化するフィルタを定義して下さい。

  1. VPN 3000コンセントレータのソフトウェアを開き、Configuration > Policy Management > Traffic Management > Filtersに行って下さい。 追加しますフィルタをクリックして下さい。

  2. フィルタに説明的な名前をつけて下さい。 次の例は「client_fw_rule」と指名されるフィルタを使用します。

  3. ドロップするとしてフィルタのデフォルト・アクションを残して下さい。 設計がsource-routingを求める場合、送信元ルーティングボックスをチェックして下さい; フラグメンテーションをディセーブルにするためには、フラグメントのチェックを外して下さい。 終了したら Add をクリックします。

    /image/gif/paws/13366/vpn35-split-05a.gif

  4. フィルタへルールを追加することは、" Available "カラムからの適当なルールを選択するために(右で)および追加しますフィルタのカラムの現在のルールにそれらを移動するためにクリックします(左で)。 終了したらされるクリックして下さい。

    「client_fw_rule」と指名されるフィルタのための下記の例は4つの現在のルールを示します。

    • DNS受信

    • 発信HTTP

    • DNS送信

    • 発信HTTP

    vpn35分割06.gif

  5. グループにフィルタを適用するためには、Configuration > User Management > Groupsに行って下さい。 修正したいと思う選択し、修正するのグループをクリックして下さいグループを。

  6. Client FWタブで、必要なファイアウォールの" Firewall Setting "値を選択しCisco Integrated Clientのファイアウォールに" Firewall "値を設定するのにプルダウン・メニューを使用して下さい。

    vpn35分割07.gif

  7. 「ファイアウォールポリシー」のアトリビュートに関しては、Policy Pushed (CPP)を選択し、プルダウン・メニューから<filter_name>を選択して下さい。 下記の例はフィルタ「client_fw_rule」を示します。

    終了したら、適用しましたり、クリックします必要とされる保存をクリックして下さい(ウィンドウの右上で)。

    /image/gif/paws/13366/vpn35-split-08.gif

    ファイアウォールのポリシーは今定義されてしまいました。

分割トンネリングの設定

次のステップは分割トンネリングを設定する方法を説明します。

  1. トンネル伝送されたいと思うネットワークを定義するためには、Configuration > Policy Management > Traffic Management > Network Listsに行って下さい。 追加し、そして定義し、リストの名前をどんなネットワークが含まれているべきであるか指定しますクリックして下さい。

    マスクがワイルドカードのマスクであることに注目して下さい。 10.0.0.0/255.0.0.0ネットワークを保護するため、逆のマスクは(このネットワークリストで必要な) 0.255.255.255です。

    vpn35分割08a.gif

  2. スプリットトンネルとしてネットワークリストを追加するためには、適用されたトンネルがあるグループを修正する必要があります。 Configuration > User Management > Group ><group name>に行って下さい。 修正するのグループをクリックし、Client Configタブを選択して下さい。 分割トンネリングのポリシーの下で、リストのトンネル・ネットワークだけにオプションを選択して下さい。 Split Tunneling Networkリストの下で、先に定義したネットワークリストを選択して下さい; この例では、リストはVPN_Protected_Networkと呼ばれます。

    vpn35分割08b.gif

検証

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示します。

設定が正常だったことを確認するためには、VPNクライアント接続のステータスウィンドウのファイアウォール設定をチェックできます。

VPNクライアント接続のステータスウィンドウを開き、押されたポリシーを表示するためにFirewallタブをクリックして下さい。 ポリシーを最初から最後まで読み、着信接続のためのアウトバウンド接続およびもののための双方向定義1を持つはずであることを覚えていて下さい。 下記の例はDNS (17) VPNクライアントの送信のフローをのランダムの高いポートからソースをたどるポート53のプロトコル示します。

注: Firewallタブがない場合、ファイアウォールのポリシーは正常に設定されませんでした。 うまくいかなかったものが判別するためにいくつかのデバッグを実行する必要があります。

/image/gif/paws/13366/vpn35-split-09.gif

ファイアウォール・ルールのリストの最後の2つの文は「ドロップする」および「着信/発信のパケット」です。

vpn35分割10.gif

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

  • Cisco VPN Client 3.5.xまたはそれ以降を実行したらおよびポリシーがきちんと押されなかったら、設定を確認して下さい(によるステップ6に示すようにおよび7) Client FWタブに次の設定があることの確認。

    • ファイアウォール設定: ファイアウォールはファイアウォール以外(推奨)または何でも必要としませんでした

    • ファイアウォール: Cisco Integrated Clientのファイアウォール

    • ファイアウォールのポリシー: Policy Pushed (CPP)および<filter_name> (実施するべきフィルタの名前)を指されて

  • トンネルがVPNクライアントとローカルLAN間でアクティブなときアクセスするか、またはpingする問題に直面したら、VPNクライアントに行き、接続エントリを選択し、修正するを選択して下さい。 TransportタブをクリックすればチェックはローカルLANのアクセスを許可します。 これはローカルLANのアクセスを許可するためにVPNコンセントレータの端の設定されたグループと一致する必要があります。

関連情報