IOS および PIX 6.3 デバイスのリモート アクセス VPN ポリシーの概要
(注) |
バージョン 4.17 以降、Cisco Security Manager は引き続き IOS および PIX の機能をサポートしていますが、拡張機能はサポートしていません。 |
IOS または PIX 6.3 デバイスでリモート アクセス VPN を設定する場合、設定する VPN のタイプに基づいて、次のポリシーを使用します。PIX 6.3 デバイスでは SSL VPN を設定できないことに注意してください。
-
IPsec および SSL リモート アクセス VPN の両方で使用されるポリシー:
-
グローバル設定:リモートアクセス VPN のすべてのデバイスに適用されるグローバル設定を定義できます。グローバル設定には、Internet Key Exchange(IKE; インターネット キー交換)、IPsec、NAT、フラグメンテーションの定義などがあります。グローバル設定には、通常、ほとんどの状況に適用できるデフォルトが設定されています。そのため、グローバル設定ポリシーの設定はオプションです。デフォルト以外の動作が必要な場合だけ設定してください。詳細については、VPN グローバル設定を参照してください。
-
Public Key Infrastructure:Public Key Infrastructure(PKI)ポリシーを作成して、CA 証明書および RSA キーの登録要求を生成し、キーや証明書を管理できます。Certification Authority(CA; 認証局)サーバは、これらの証明書要求を管理し、IPsec または SSL リモート アクセス VPN に接続するユーザに対して証明書を発行するために使用されます。詳細については、Public Key Infrastructure ポリシーについておよびリモート アクセス VPN での公開キー インフラストラクチャ ポリシーの設定を参照してください。
-
-
リモート アクセス IPsec VPN だけで使用されるポリシー:
-
IKE プロポーザル:インターネット キー エクスチェンジ(IKE)は、ISAKMP とも呼ばれ、2 台のホストで IPsec セキュリティ アソシエーションの構築方法を一致させるためのネゴシエーションプロトコルです。IKE は、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association(SA; セキュリティ アソシエーション)の自動確立に使用されます。IKE プロポーザル ポリシーは、IKE ネゴシエーションのフェーズ 1 の要件を定義するときに使用します。詳細については、IKE プロポーザルの設定を参照してください。
-
IPsec プロポーザル(IOS/PIX 6.x):IPsec プロポーザルは、1 つ以上のクリプトマップのコレクションです。クリプト マップには、IPsec ルール、トランスフォーム セット、リモート ピア、および IPsec SA の定義に必要となる可能性のあるその他のパラメータを含め、IPsec Security Association(SA; セキュリティ アソシエーション)の設定に必要なすべてのコンポーネントが組み合わされています。このポリシーは、IKE フェーズ 2 ネゴシエーションに使用されます。詳細については、リモート アクセス VPN サーバの IPsec プロポーザルの設定(IOS、PIX 6.3 デバイス)を参照してください。
-
高可用性:Hot Standby Routing Protocol(HSRP)を使用して透過的な自動デバイスフェールオーバーを提供する 2 つ以上のハブデバイスで構成された HA グループを作成することで、高可用性(HA)がサポートされます。詳細については、リモートアクセス VPN での高可用性の設定(IOS)を参照してください。
-
ユーザーグループ(IOS/PIX 6.x):ユーザーグループポリシーには、VPN へのユーザーアクセスおよび VPN の使用を決定する属性を指定します。詳細については、ユーザ グループ ポリシーの設定を参照してください。
-
-
リモート アクセス SSL VPN だけで使用されるポリシー:
-
SSL VPN:SSL VPN ポリシーテーブルには、SSL VPN の仮想設定を定義するすべてのコンテキストが一覧表示されます。各コンテキストには、ゲートウェイ、ドメインまたは仮想ホスト名、およびユーザ グループ ポリシーが含まれます。詳細については、SSL VPN ポリシーの設定(IOS)を参照してください。
-