セキュリティ : Cisco VPN 3000 シリーズ コンセントレータ

このドキュメントでは、Cisco VPN 3000 シリーズ コンセントレータについての FAQ に回答しています。

A. このエラー メッセージは、バッファ内にデバッグ イベントや情報が多すぎる場合に表示されます。 これにより少数のイベント メッセージが失われる可能性がある以外、悪影響はありません。 メッセージを防ぐのに必要な最小の数にイベントを減らすようにしてください。

A. 設定をテキスト エディタ（Notepad など）にコピーし、[ipaddrgrouppool #.0] で表示されている該当のグループ情報を手動で編集または削除します。 設定を保存し、VPN コンセントレータにアップロードしてください。 次に例を示します。

!--- Change to 14.1 or any other number that is not in use
!--- any number other than 0).

[ipaddrgrouppool 14.0]
rowstatus=1 
rangename= 
startaddr=172.18.124.1 
endaddr=172.18.124.2

A. このメッセージは、Secure Socket Layer（SSL）証明書が 28 日後に期限切れになることを示します。 この認証は、HTTPS で Web 管理をブラウズする際に使用されます。 認証をデフォルト設定のままにするか、さまざまなオプションを設定してから新しい認証を生成できます。 これをするためにConfiguration > System > Management Protocols > SSLの順に選択して下さい。 Administration > Certificate Managementの順に選択し、認証を更新するために「Generate」をクリックして下さい。

VPN コンセントレータのセキュリティが心配であり、権限のないアクセスを防ぐ必要がある場合、Configuration > Policy Management > Traffic Management > Filters を選択して、パブリック インターフェイスの HTTP または HTTPS を無効にします。 HTTP または HTTPS により、インターネット経由で VPN コンセントレータにアクセスする必要がある場合、Administration > Access Rights > Access Control List を選択して、送信元アドレスに基づいてアクセスを指定できます。 詳細については、ウィンドウの右上にあるヘルプ メニューを使用してください。

A. configをAdministration > Access Rights > Access Settingsの順に選択し、「Config File Encryption=None」を選択し、ユーザおよびパスワードを表示するために保存して下さい。 特定のユーザを検索できます。

A. VPN 3000 コンセントレータは、トンネル デフォルト ゲートウェイを使用して、プライベート ネットワーク（通常は内部ルータ）内部でトンネル ユーザをルーティングします。 VPN コンセントレータは、デフォルト ゲートウェイを使用して、インターネット（通常は外部ルータ）にパケットをルーティングします。

A. 次の図は、ポートとプロトコルのリストです。

サービス	プロトコル番号	送信元ポート	宛先ポート
PPTP 制御接続	6（TCP）	1023	1723
PPTP トンネル カプセル化	47（GRE）	N/A	N/A
ISAKMP/IPSec キー管理	17（UDP）	500	500
IPSec トンネル カプセル化	50（ESP）	N/A	N/A
IPSec NAT 透過性	17（UDP）	10000（デフォルト）	10000（デフォルト）

注： Network Address Translation（NAT; ネットワーク アドレス変換）透過性ポートは、4001 〜 49151 の範囲内にある任意の値に設定できます。 バージョン3.5またはそれ以降では、Configuration > System > Tunneling Protocols > IPsecの順に進むことによって> IPSec over TCP IPSec over TCPを設定できます。 最大 10 個の TCP ポート（1～65535）をコンマで区切って入力できます。 このオプションを設定する場合は、これらのポートが、アクセス コントロール リストを実行しているファイアウォールまたはルータで許可されていることを確認してください。

A. File Management 画面から「config」ファイルを削除し、リブートします。 このファイルを誤って削除した場合、バックアップ コピー「config.bak」が残っています。

A. はい、VPN 3000 コンセントレータ リリース 3.0 以降であれば、管理認証に TACACS+ を使用できます。 TACACS+ の設定が完了したら、ログ アウトする前に必ず認証をテストしてください。 TACACS+ の設定が誤っているとロック アウトされる可能性があります。 そうなると、コンソール ポートからログインして、TACACS+ を無効にして問題を解決する必要があります。

A. バージョン 2.5.1 以降では、PC を VPN コンセントレータのコンソール ポートにストレート型 RS-232 シリアル ケーブルで接続し、PC を次のように設定します。

• 9600 bits per second

• 8 データ ビット

• パリティなし

• 1 ストップ ビット

• ハードウェア フロー制御オン

• VT100 エミュレーション

VPN コンセントレータをリブートします。 診断チェックが完了すると、コンソールに 3 個のドット（...）のみの行が表示されます。 これらのドットが表示されたら、3 秒以内に Ctrl+C キーを押します。 システム パスワードをデフォルトにリセットするためのメニューが表示されます。

A. グループ名とグループ パスワードはハッシュを作成するために使用され、このハッシュはセキュリティ結合を作成するために使用されます。

A. あります。

A. VPN 3000 コンセントレータは、ファイアウォールの手前または背後、ファイアウォールと並列に、あるいはファイアウォールの Demilitarized Zone（DMZ）内に配置できます。 同じ Virtual LAN（VLAN; 仮想 LAN）内にパブリック インターフェイスとプライベート インターフェイスを持つことはお勧めできません。

A. Cisco VPN 3000 コンセントレータでは、プロキシ Address Resolution Protocol（ARP; アドレス解決プロトコル）をディセーブルにできません。

A. (IPsecかPPTPのような)特定のイベントをConfiguration > System > Events > Classesの順に進み、よりよいデバッグを得るために設定できます。 デバッグを有効にするとパフォーマンスが低下するおそれがあるため、デバッグを有効にするのはトラブルシューティングを実施している間のみにしてください。 IPSec のデバッグ時には、IKE、IKEDBG、IPSEC、IPSECDBG、AUTH、および AUTHDBG を有効にします。 証明書を使用している場合は、CERT クラスをリストに追加してください。

A. このシリーズにはステートレス ポート/フィルタリング機能と NAT が備わっていますが、Cisco では企業のファイアウォールには Cisco Secure PIX Firewall などのデバイスを使用することをお勧めします。

A. このシリーズでは、次のルーティングオプションをサポートしています。

• Routing Information Protocol（RIP; ルーティング情報プロトコル）

• RIP2

• Open Shortest Path First（OSPF）

• スタティック ルート

• Virtual Router Redundancy Protocol（VRRP; 仮想ルータ冗長プロトコル）

サポートされている VPN プロトコルには、Point-to-Point Tunneling Protocol（PPTP）、L2TP、L2TP/IPSec、および IPSec などがあります。これらはすべて、VPN 3000 とエンド クライアントとの間に NAT デバイスがある場合とない場合の両方に対応しています。 NAT を介した IPSec は NAT 透過性と呼ばれます。

A. NT ドメイン、RADIUS または RADIUS プロキシ、RSA Security SecurID（SDI）、デジタル証明書、および内部認証をサポートしています。

A. 外部に出て行くユーザに対しては Port Address Translation（PAT; ポート アドレス変換）のみが可能です。 VPN 3000 コンセントレータでは、スタティック NAT は実行できません。

A. 次のリストで、固定 IP アドレスを割り当てる方法について説明します。

• PPTPユーザ

  IP Address Management セクションで、your pool オプションまたは Dynamic Host Configuration Protocol（DHCP; ダイナミック ホスト コンフィギュレーション プロトコル）オプションを選択して、Use Client Address オプションをチェックします。 次に、ユーザと、VPN 3000 コンセントレータにおける IP アドレスを定義します。 このユーザが接続するときは常に、VPN コンセントレータに設定された IP アドレスが付与されます。

• IPSecユーザ

  IP Address Management セクションで、your pool オプションまたは DHCP オプションを選択して、Use Address from Authentication Server オプションをチェックします。 次に、ユーザと、VPN 3000 コンセントレータにおける IP アドレスを定義します。 このユーザが接続するときは常に、VPN コンセントレータに設定された IP アドレスが付与されます。 同じグループまたは他のグループに属する他のユーザはすべて、グローバル プールまたは DHCP から IP アドレスを付与されます。

  Cisco VPN 3000 コンセントレータ ソフトウェア バージョン 3.0 以降には、グループ単位でアドレス プールを設定するオプションがあります。 この機能は、特定のユーザにスタティック IP アドレスを割り当てる場合にも役立ちます。 あるグループにプールを設定した場合、固定 IP を持つユーザにはそのユーザ専用に割り当てられた IP アドレスが付与され、同じグループの他のメンバにはグループ プールから IP アドレスが付与されます。 これが適用されるのは、認証サーバとして VPN コンセントレータを使用する場合のみです。

注： 外部認証サーバを使用している場合は、アドレスを正しく割り当てるためにはその外部サーバを使用する必要があります。

A. 統計情報をMonitoring > Statistics > MIB-II > Ethernetの順に選択し、現在のセッションのための統計情報を削除するためにリセットして下さい。 これでは統計情報が完全にティアダウンされない点に注意してください。 （監視目的のリセットに対して）統計情報を実際にリセットするには、リブートする必要があります。

A. TCP および UDP ポート 123 を許可します。

A. このポートは、実際のshim/Deterministic NDIS Extender（DNE）と PC の TCP/IP スタックの間の VPN Client 通信に使用するものであり、内部開発専用です。 たとえば、ポート 62515 は、VPN Client により VPN Client ログに情報を送信する目的で使用されます。 その他のポートの機能を次に示します。

• 62514：Cisco Systems, Inc. VPN Service から Cisco Systems IPSec ドライバへ

• 62515：Cisco Systems IPSec ドライバから Cisco Systems, Inc. VPN Service へ

• 62516：Cisco Systems, Inc. VPN Service から XAUTH へ

• 62517：XAUTH から Cisco Systems, Inc. VPN Service へ

• 62518：Cisco Systems, Inc. VPN Service から CLI へ

• 62519：CLI から Cisco Systems, Inc. VPN Service へ

• 62520：Cisco Systems, Inc. VPN Service から UI へ

• 62521：UI から Cisco Systems, Inc. VPN Service へ

• 62522：ログ メッセージ

• 62523：Connection Manager から Cisco Systems, Inc. VPN Service へ

• 62524：PPPTool から Cisco Systems, Inc. VPN Service へ

A. WebVPN セッションを確立する間、フローティング ツールバーの削除や、フローティング ツールバーをロードしないようにすることはできません。 この理由は、このウィンドウを閉じる際にセッションがただちに終了し、再度ログインを試みる際にウィンドウが再びロードされるためです。 これは、WebVPN セッションの元々の設計です。 メイン ウィンドウを閉じることができますが、フローティング ウィンドウを閉じることはできません。

A. TFTP を使用する以外の方法で VPN コンセントレータをアップグレードするには、まず最新のソフトウェアをハード ドライブにダウンロードします。 次に、ソフトウェアが配置されたシステムのブラウザで Administration > Software Update の順に進み、ファイルを開く場合と同じ要領で、ハード ドライブにダウンロードしたファイルを探します。 ダウンロードしたファイルが見つかったら、Upload タブを選択します。

A. イメージ名に含まれる「k9」は、元々「3DES」が使用されていた部分（vpn3000-2.5.2.F-3des.bin など）の新しい名称です。 したがって「k9」は、これが 3DES イメージであることを意味します。

A. データ圧縮を有効にすると、ユーザ セッション当たりのメモリ要件と CPU 使用率が増加し、その結果、VPN コンセントレータのスループット全体が低下します。 そのため Cisco では、グループの全メンバがモデムで接続するリモート ユーザである場合に限り、データ圧縮を有効にすることをお勧めします。 グループの中にブロードバンドを通じて接続するメンバがいる場合は、そのグループのデータ圧縮は有効にしないでください。 その代わりにグループを 2 つに分け、1 つをモデム ユーザ、もう 1 つをブロードバンド ユーザにしてください。 モデム ユーザのグループに対してのみデータ圧縮を有効にしてください。

A. ロード バランシングは、Cisco VPN Software Client（リリース 3.0 以降）によって開始されたリモート セッションにおいてのみ効果があります。 他のすべてのクライアント（PPTP、L2TP）と LAN-to-LAN 接続は、ロード バランシングが有効に設定されている VPN コンセントレータに接続できますが、ロード バランシングには参加できません。

A. 次に管理に>管理プロトコル> XMLおよびConfiguration > Systemの順に進んで下さい ファイル管理プログラム選定されたXMLフォーマット。 同じ名前を、または別使用し、パスワードを表示するためにファイルを開いて下さい。

A. VRRP とともにロード バランシングを使用できません。 VRRP コンフィギュレーションでは、アクティブな VPN コンセントレータが故障しない限り、バックアップ デバイスはアイドルのままです。 負荷バランシング設定では、アイドル状態のデバイスがありません。

A. あります。 この概念は「スプリット トンネリング」と呼ばれます。 スプリット トンネリングでは、暗号化されたトンネルを通じて企業リソースに安全にアクセスできると同時に、ISP のリソースを通じてインターネットに直接アクセスできます（Web アクセスのパスから企業ネットワークが除去されます）。 Cisco VPN 3000 コンセントレータ シリーズは、Cisco VPN Client と VPN 3002 Hardware Client の両方に対してスプリット トンネリングをサポートしています。 セキュリティ強化のため、この機能を制御できるのはユーザではなく、VPN コンセントレータの管理者になります。

A. スプリット トンネリングには、VPN トンネル経由で接続されている一方で、インターネットをブラウズするという便利さがあります。 しかし、企業ネットワークに接続された VPN ユーザが攻撃を受けやすい状況にある場合は危険が生じます。 この場合は、各ユーザがパーソナル ファイアウォールを使用することをお勧めします。 特定の VPN Client バージョンのリリース ノートに、パーソナル ファイアウォールとの相互運用性に関する情報が記載されています。

A. 負荷は、アクティブな接続数を、設定された最大の接続数で割ったパーセンテージとして算出されます。 マスターは常に負荷を最小限に抑えようとします。これは、マスターがすべての LAN-to-LAN 管理セッションを維持し、他のすべてのクラスタ メンバの負荷を計算するという追加の（固有の）負荷と、すべてのクライアントのリダイレクトを担っているためです。

新しく設定された機能クラスタでは、接続が確立される前のマスターの負荷はおよそ 1 % です。 そのため、マスターは、バックアップ コンセントレータの負荷がマスターの負荷のパーセンテージよりも大きくなるまで、バックアップ コンセントレータに接続をリダイレクトします。 たとえば、2 台の VPN 3030 コンセントレータが「アイドル」状態にあり、マスターの負荷が 1 % であるとします。 マスターが接続を受け入れる前に、セカンダリに 30 の接続（2 % の負荷）が割り当てられます。

マスターが接続を許可することを確認するために、> General > SessionsをConfiguration > Systemの順に進み、低い数字に急激にバックアップVPNコンセントレータでかかる負荷を増加するために接続の最大数を人工的に下げて下さい。

A. VPN モニタでは、20 台のヘッドエンド デバイスを追跡できます。 ハブアンドスポーク シナリオでは、リモート サイトからの接続はヘッドエンドで監視されます。 情報はハブ ルータ上で追跡できるため、リモート サイトおよびユーザをすべて監視する必要はありません。 これらのヘッドエンド デバイスでは、最大 20,000 人のリモート ユーザまたは 2,500 のリモート サイトをサポートできます。 スポーク サイトに向かうデュアルホーム VPN デバイスは、監視できる最大 20 台のデバイスのうちの 2 台としてカウントされます。

このドキュメントでは、Cisco VPN 3000 シリーズ コンセントレータについての FAQ に回答しています。

A. このエラー メッセージは、バッファ内にデバッグ イベントや情報が多すぎる場合に表示されます。 これにより少数のイベント メッセージが失われる可能性がある以外、悪影響はありません。 メッセージを防ぐのに必要な最小の数にイベントを減らすようにしてください。

A. 設定をテキスト エディタ（Notepad など）にコピーし、[ipaddrgrouppool #.0] で表示されている該当のグループ情報を手動で編集または削除します。 設定を保存し、VPN コンセントレータにアップロードしてください。 次に例を示します。

!--- Change to 14.1 or any other number that is not in use
!--- any number other than 0).

[ipaddrgrouppool 14.0]
rowstatus=1 
rangename= 
startaddr=172.18.124.1 
endaddr=172.18.124.2

A. このメッセージは、Secure Socket Layer（SSL）証明書が 28 日後に期限切れになることを示します。 この認証は、HTTPS で Web 管理をブラウズする際に使用されます。 認証をデフォルト設定のままにするか、さまざまなオプションを設定してから新しい認証を生成できます。 これをするためにConfiguration > System > Management Protocols > SSLの順に選択して下さい。 Administration > Certificate Managementの順に選択し、認証を更新するために「Generate」をクリックして下さい。

VPN コンセントレータのセキュリティが心配であり、権限のないアクセスを防ぐ必要がある場合、Configuration > Policy Management > Traffic Management > Filters を選択して、パブリック インターフェイスの HTTP または HTTPS を無効にします。 HTTP または HTTPS により、インターネット経由で VPN コンセントレータにアクセスする必要がある場合、Administration > Access Rights > Access Control List を選択して、送信元アドレスに基づいてアクセスを指定できます。 詳細については、ウィンドウの右上にあるヘルプ メニューを使用してください。

A. configをAdministration > Access Rights > Access Settingsの順に選択し、「Config File Encryption=None」を選択し、ユーザおよびパスワードを表示するために保存して下さい。 特定のユーザを検索できます。

A. VPN 3000 コンセントレータは、トンネル デフォルト ゲートウェイを使用して、プライベート ネットワーク（通常は内部ルータ）内部でトンネル ユーザをルーティングします。 VPN コンセントレータは、デフォルト ゲートウェイを使用して、インターネット（通常は外部ルータ）にパケットをルーティングします。

A. 次の図は、ポートとプロトコルのリストです。

サービス	プロトコル番号	送信元ポート	宛先ポート
PPTP 制御接続	6（TCP）	1023	1723
PPTP トンネル カプセル化	47（GRE）	N/A	N/A
ISAKMP/IPSec キー管理	17（UDP）	500	500
IPSec トンネル カプセル化	50（ESP）	N/A	N/A
IPSec NAT 透過性	17（UDP）	10000（デフォルト）	10000（デフォルト）

注： Network Address Translation（NAT; ネットワーク アドレス変換）透過性ポートは、4001 〜 49151 の範囲内にある任意の値に設定できます。 バージョン3.5またはそれ以降では、Configuration > System > Tunneling Protocols > IPsecの順に進むことによって> IPSec over TCP IPSec over TCPを設定できます。 最大 10 個の TCP ポート（1～65535）をコンマで区切って入力できます。 このオプションを設定する場合は、これらのポートが、アクセス コントロール リストを実行しているファイアウォールまたはルータで許可されていることを確認してください。

A. File Management 画面から「config」ファイルを削除し、リブートします。 このファイルを誤って削除した場合、バックアップ コピー「config.bak」が残っています。

A. はい、VPN 3000 コンセントレータ リリース 3.0 以降であれば、管理認証に TACACS+ を使用できます。 TACACS+ の設定が完了したら、ログ アウトする前に必ず認証をテストしてください。 TACACS+ の設定が誤っているとロック アウトされる可能性があります。 そうなると、コンソール ポートからログインして、TACACS+ を無効にして問題を解決する必要があります。

A. バージョン 2.5.1 以降では、PC を VPN コンセントレータのコンソール ポートにストレート型 RS-232 シリアル ケーブルで接続し、PC を次のように設定します。

• 9600 bits per second

• 8 データ ビット

• パリティなし

• 1 ストップ ビット

• ハードウェア フロー制御オン

• VT100 エミュレーション

VPN コンセントレータをリブートします。 診断チェックが完了すると、コンソールに 3 個のドット（...）のみの行が表示されます。 これらのドットが表示されたら、3 秒以内に Ctrl+C キーを押します。 システム パスワードをデフォルトにリセットするためのメニューが表示されます。

A. グループ名とグループ パスワードはハッシュを作成するために使用され、このハッシュはセキュリティ結合を作成するために使用されます。

A. あります。

A. VPN 3000 コンセントレータは、ファイアウォールの手前または背後、ファイアウォールと並列に、あるいはファイアウォールの Demilitarized Zone（DMZ）内に配置できます。 同じ Virtual LAN（VLAN; 仮想 LAN）内にパブリック インターフェイスとプライベート インターフェイスを持つことはお勧めできません。

A. Cisco VPN 3000 コンセントレータでは、プロキシ Address Resolution Protocol（ARP; アドレス解決プロトコル）をディセーブルにできません。

A. (IPsecかPPTPのような)特定のイベントをConfiguration > System > Events > Classesの順に進み、よりよいデバッグを得るために設定できます。 デバッグを有効にするとパフォーマンスが低下するおそれがあるため、デバッグを有効にするのはトラブルシューティングを実施している間のみにしてください。 IPSec のデバッグ時には、IKE、IKEDBG、IPSEC、IPSECDBG、AUTH、および AUTHDBG を有効にします。 証明書を使用している場合は、CERT クラスをリストに追加してください。

A. このシリーズにはステートレス ポート/フィルタリング機能と NAT が備わっていますが、Cisco では企業のファイアウォールには Cisco Secure PIX Firewall などのデバイスを使用することをお勧めします。

A. このシリーズでは、次のルーティングオプションをサポートしています。

• Routing Information Protocol（RIP; ルーティング情報プロトコル）

• RIP2

• Open Shortest Path First（OSPF）

• スタティック ルート

• Virtual Router Redundancy Protocol（VRRP; 仮想ルータ冗長プロトコル）

サポートされている VPN プロトコルには、Point-to-Point Tunneling Protocol（PPTP）、L2TP、L2TP/IPSec、および IPSec などがあります。これらはすべて、VPN 3000 とエンド クライアントとの間に NAT デバイスがある場合とない場合の両方に対応しています。 NAT を介した IPSec は NAT 透過性と呼ばれます。

A. NT ドメイン、RADIUS または RADIUS プロキシ、RSA Security SecurID（SDI）、デジタル証明書、および内部認証をサポートしています。

A. 外部に出て行くユーザに対しては Port Address Translation（PAT; ポート アドレス変換）のみが可能です。 VPN 3000 コンセントレータでは、スタティック NAT は実行できません。

A. 次のリストで、固定 IP アドレスを割り当てる方法について説明します。

• PPTPユーザ

  IP Address Management セクションで、your pool オプションまたは Dynamic Host Configuration Protocol（DHCP; ダイナミック ホスト コンフィギュレーション プロトコル）オプションを選択して、Use Client Address オプションをチェックします。 次に、ユーザと、VPN 3000 コンセントレータにおける IP アドレスを定義します。 このユーザが接続するときは常に、VPN コンセントレータに設定された IP アドレスが付与されます。

• IPSecユーザ

  IP Address Management セクションで、your pool オプションまたは DHCP オプションを選択して、Use Address from Authentication Server オプションをチェックします。 次に、ユーザと、VPN 3000 コンセントレータにおける IP アドレスを定義します。 このユーザが接続するときは常に、VPN コンセントレータに設定された IP アドレスが付与されます。 同じグループまたは他のグループに属する他のユーザはすべて、グローバル プールまたは DHCP から IP アドレスを付与されます。

  Cisco VPN 3000 コンセントレータ ソフトウェア バージョン 3.0 以降には、グループ単位でアドレス プールを設定するオプションがあります。 この機能は、特定のユーザにスタティック IP アドレスを割り当てる場合にも役立ちます。 あるグループにプールを設定した場合、固定 IP を持つユーザにはそのユーザ専用に割り当てられた IP アドレスが付与され、同じグループの他のメンバにはグループ プールから IP アドレスが付与されます。 これが適用されるのは、認証サーバとして VPN コンセントレータを使用する場合のみです。

注： 外部認証サーバを使用している場合は、アドレスを正しく割り当てるためにはその外部サーバを使用する必要があります。

A. 統計情報をMonitoring > Statistics > MIB-II > Ethernetの順に選択し、現在のセッションのための統計情報を削除するためにリセットして下さい。 これでは統計情報が完全にティアダウンされない点に注意してください。 （監視目的のリセットに対して）統計情報を実際にリセットするには、リブートする必要があります。

A. TCP および UDP ポート 123 を許可します。

A. このポートは、実際のshim/Deterministic NDIS Extender（DNE）と PC の TCP/IP スタックの間の VPN Client 通信に使用するものであり、内部開発専用です。 たとえば、ポート 62515 は、VPN Client により VPN Client ログに情報を送信する目的で使用されます。 その他のポートの機能を次に示します。

• 62514：Cisco Systems, Inc. VPN Service から Cisco Systems IPSec ドライバへ

• 62515：Cisco Systems IPSec ドライバから Cisco Systems, Inc. VPN Service へ

• 62516：Cisco Systems, Inc. VPN Service から XAUTH へ

• 62517：XAUTH から Cisco Systems, Inc. VPN Service へ

• 62518：Cisco Systems, Inc. VPN Service から CLI へ

• 62519：CLI から Cisco Systems, Inc. VPN Service へ

• 62520：Cisco Systems, Inc. VPN Service から UI へ

• 62521：UI から Cisco Systems, Inc. VPN Service へ

• 62522：ログ メッセージ

• 62523：Connection Manager から Cisco Systems, Inc. VPN Service へ

• 62524：PPPTool から Cisco Systems, Inc. VPN Service へ

A. WebVPN セッションを確立する間、フローティング ツールバーの削除や、フローティング ツールバーをロードしないようにすることはできません。 この理由は、このウィンドウを閉じる際にセッションがただちに終了し、再度ログインを試みる際にウィンドウが再びロードされるためです。 これは、WebVPN セッションの元々の設計です。 メイン ウィンドウを閉じることができますが、フローティング ウィンドウを閉じることはできません。

A. TFTP を使用する以外の方法で VPN コンセントレータをアップグレードするには、まず最新のソフトウェアをハード ドライブにダウンロードします。 次に、ソフトウェアが配置されたシステムのブラウザで Administration > Software Update の順に進み、ファイルを開く場合と同じ要領で、ハード ドライブにダウンロードしたファイルを探します。 ダウンロードしたファイルが見つかったら、Upload タブを選択します。

A. イメージ名に含まれる「k9」は、元々「3DES」が使用されていた部分（vpn3000-2.5.2.F-3des.bin など）の新しい名称です。 したがって「k9」は、これが 3DES イメージであることを意味します。

A. データ圧縮を有効にすると、ユーザ セッション当たりのメモリ要件と CPU 使用率が増加し、その結果、VPN コンセントレータのスループット全体が低下します。 そのため Cisco では、グループの全メンバがモデムで接続するリモート ユーザである場合に限り、データ圧縮を有効にすることをお勧めします。 グループの中にブロードバンドを通じて接続するメンバがいる場合は、そのグループのデータ圧縮は有効にしないでください。 その代わりにグループを 2 つに分け、1 つをモデム ユーザ、もう 1 つをブロードバンド ユーザにしてください。 モデム ユーザのグループに対してのみデータ圧縮を有効にしてください。

A. ロード バランシングは、Cisco VPN Software Client（リリース 3.0 以降）によって開始されたリモート セッションにおいてのみ効果があります。 他のすべてのクライアント（PPTP、L2TP）と LAN-to-LAN 接続は、ロード バランシングが有効に設定されている VPN コンセントレータに接続できますが、ロード バランシングには参加できません。

A. 次に管理に>管理プロトコル> XMLおよびConfiguration > Systemの順に進んで下さい ファイル管理プログラム選定されたXMLフォーマット。 同じ名前を、または別使用し、パスワードを表示するためにファイルを開いて下さい。

A. VRRP とともにロード バランシングを使用できません。 VRRP コンフィギュレーションでは、アクティブな VPN コンセントレータが故障しない限り、バックアップ デバイスはアイドルのままです。 負荷バランシング設定では、アイドル状態のデバイスがありません。

A. あります。 この概念は「スプリット トンネリング」と呼ばれます。 スプリット トンネリングでは、暗号化されたトンネルを通じて企業リソースに安全にアクセスできると同時に、ISP のリソースを通じてインターネットに直接アクセスできます（Web アクセスのパスから企業ネットワークが除去されます）。 Cisco VPN 3000 コンセントレータ シリーズは、Cisco VPN Client と VPN 3002 Hardware Client の両方に対してスプリット トンネリングをサポートしています。 セキュリティ強化のため、この機能を制御できるのはユーザではなく、VPN コンセントレータの管理者になります。

A. スプリット トンネリングには、VPN トンネル経由で接続されている一方で、インターネットをブラウズするという便利さがあります。 しかし、企業ネットワークに接続された VPN ユーザが攻撃を受けやすい状況にある場合は危険が生じます。 この場合は、各ユーザがパーソナル ファイアウォールを使用することをお勧めします。 特定の VPN Client バージョンのリリース ノートに、パーソナル ファイアウォールとの相互運用性に関する情報が記載されています。

A. 負荷は、アクティブな接続数を、設定された最大の接続数で割ったパーセンテージとして算出されます。 マスターは常に負荷を最小限に抑えようとします。これは、マスターがすべての LAN-to-LAN 管理セッションを維持し、他のすべてのクラスタ メンバの負荷を計算するという追加の（固有の）負荷と、すべてのクライアントのリダイレクトを担っているためです。

新しく設定された機能クラスタでは、接続が確立される前のマスターの負荷はおよそ 1 % です。 そのため、マスターは、バックアップ コンセントレータの負荷がマスターの負荷のパーセンテージよりも大きくなるまで、バックアップ コンセントレータに接続をリダイレクトします。 たとえば、2 台の VPN 3030 コンセントレータが「アイドル」状態にあり、マスターの負荷が 1 % であるとします。 マスターが接続を受け入れる前に、セカンダリに 30 の接続（2 % の負荷）が割り当てられます。

マスターが接続を許可することを確認するために、> General > SessionsをConfiguration > Systemの順に進み、低い数字に急激にバックアップVPNコンセントレータでかかる負荷を増加するために接続の最大数を人工的に下げて下さい。

A. VPN モニタでは、20 台のヘッドエンド デバイスを追跡できます。 ハブアンドスポーク シナリオでは、リモート サイトからの接続はヘッドエンドで監視されます。 情報はハブ ルータ上で追跡できるため、リモート サイトおよびユーザをすべて監視する必要はありません。 これらのヘッドエンド デバイスでは、最大 20,000 人のリモート ユーザまたは 2,500 のリモート サイトをサポートできます。 スポーク サイトに向かうデュアルホーム VPN デバイスは、監視できる最大 20 台のデバイスのうちの 2 台としてカウントされます。