Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
Easy VPN リモート
Easy VPN リモート
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Easy VPN リモート

Easy VPN リモート接続の作成

Easy VPN リモートの作成のリファレンス

Easy VPN リモートの作成

Easy VPN リモート クライアントの設定

Easy VPN リモート ウィザード:ネットワーク情報

Easy VPN リモート ウィザード:同一アドレッシングの設定

Easy VPN リモート ウィザード:インターフェイスと接続設定

Easy VPN リモート ウィザード:サーバ情報

Easy VPN リモート ウィザード:認証

Easy VPN リモート ウィザード:設定の要約

Easy VPN リモート接続の管理

既存の Easy VPN リモート接続の編集

新しい Easy VPN リモート接続の作成

Easy VPN リモート接続の削除

確立された Easy VPN リモート接続のリセット

Easy VPN サーバへの接続

VPN トンネルへの他のサブネットの接続

Easy VPN リモートの管理のリファレンス

Easy VPN リモートの編集

Easy VPN リモートの追加/編集

Easy VPN リモートの追加/編集:全般設定

ネットワーク拡張オプション

Easy VPN リモートの追加/編集:Easy VPN 設定

Easy VPN リモートの追加/編集:認証情報

Easy VPN リモートの追加/編集:VPN Client フェーズ III 認証

Easy VPN リモートの追加/編集:インターフェイスと接続

Easy VPN リモートの追加/編集:同一アドレッシング

Easy VPN リモート:デバイスの追加

SSH クレデンシャルの入力

XAuth ログイン ウィンドウ

その他の手順

既存の Easy VPN 接続を編集する方法

Easy VPN 接続のバックアップを設定する方法

Easy VPN リモート

ケーブル モデムや xDSL ルータなどを使用したブロードバンド アクセスによって、高速のインターネット接続が実現しますが、多くのアプリケーションでは、高いレベルの認証を実行し 2 つのエンドポイント間でデータを暗号化する安全な VPN 接続も必要となります。しかし、2 つのルータ間で VPN 接続を確立する作業は複雑で、通常は 2 つのルータの VPN パラメータを設定するためにネットワーク管理者の間で面倒な調整を行う必要があります。

Cisco Easy VPN リモート機能は、Cisco Unity クライアント プロトコルを実装することで、ほとんどの VPN パラメータを Cisco IOS Easy VPN サーバで定義できるようにします。これにより、面倒な作業の大部分が解消されます。このサーバには、Cisco Unity クライアント プロトコルをサポートする Cisco VPN 3000 コンセントレータ、Cisco PIX Firewall、Cisco IOS ルータなど専用の VPN デバイスを指定できます。

Cisco Easy VPN サーバを設定した後に、Cisco 800 シリーズ ルータまたは Cisco 2800 シリーズ ルータなどの Easy VPN リモートにおいて、最小限の設定で VPN 接続を作成できます。Easy VPN リモートが VPN トンネル接続を開始すると、Cisco Easy VPN サーバは IPsec ポリシーを Easy VPN リモートにプッシュし、対応する VPN トンネル接続を作成します。

Cisco Easy VPN リモート機能を使用すると、次の詳細を自動的に管理できます。

アドレス、アルゴリズム、ライフタイムなどのトンネル パラメータのネゴシエーション。

設定されているパラメータに応じたトンネルの確立。

NAT またはポート アドレス変換(PAT)および必要な関連アクセス リストの自動作成。

ユーザー名、グループ名、パスワードによるユーザの認証。

暗号化および復号化に使用するセキュリティ キーの管理。

Cisco CP には Easy VPN リモート設定を行うためのウィザードが用意されています。Easy VPN リモート編集画面を使用して、既存の設定を編集することもできます。

この章の内容は、次のとおりです。

Easy VPN リモート接続の作成

Easy VPN リモート接続の管理

その他の手順

Easy VPN リモート接続の作成

Easy VPN リモート ウィザードを使用して、Easy VPN リモート接続を作成します。次の手順に従ってください。


ステップ 1 Cisco CP ツールバーで[設定]をクリックします。

ステップ 2 Cisco CP カテゴリ バーで[VPN]をクリックします。

ステップ 3 [VPN]ツリーで、[Easy VPN リモート]を選択します。

ステップ 4 [Easy VPN リモートの作成]タブで、タスクのリンクをクリックして、表示された推奨タスクを完了します。Cisco CP によってタスクが完了されるか、または設定を行うための必要な設定画面が表示されます。

ステップ 5 [Easy VPN リモート ウィザードを起動]をクリックして、接続の設定を開始します。

ステップ 6 ウィザード画面で設定を行います。[次へ]をクリックして、現在の画面から次の画面に移動します。[戻る]をクリックして、前の画面に戻ります。

ステップ 7 設定が完了すると、要約画面が表示されます。設定を確認します。変更が必要な場合は、[戻る]をクリックして該当画面に戻り、変更を加えてから要約画面に戻ります。

ステップ 8 ルータに設定を送信した後に接続をテストする場合は、[設定後の接続テスト]を選択します。[完了]をクリックすると、接続がテストされ、テスト結果が別のウィンドウに表示されます。

ステップ 9 ルータに設定を送信するには、[完了]をクリックします。


 

使用する画面の詳細については、「Easy VPN リモートの作成のリファレンス」で説明します。

Easy VPN リモートの作成

Cisco CP では、ルータを Easy VPN サーバまたはコンセントレータのクライアントとして設定することができます。ルータは、Easy VPN フェーズ II をサポートする Cisco IOS ソフトウェアのイメージを実行していなければなりません。[Easy VPN リモートの作成]タブで Easy VPN リモート ウィザードを起動できます。

設定を完了するためには、次の情報を用意しておく必要があります。

Easy VPN サーバの IP アドレスまたはホスト名

IPSec グループ名

キー

ローカル ネットワークに Easy VPN リモート クライアントの接続先ネットワークで使用されているアドレスと競合する IP アドレスを持つデバイスがあるかどうか

フィールド リファレンス

表13-1 に、この画面のフィールドの説明を示します。

 

表13-1 [Easy VPN リモートの作成]タブのフィールド

項目
説明

ユース ケース シナリオ

このエリアには、ウィザードで設定可能な接続タイプを示すネットワーク図が表示されます。

推奨タスク

このエリアには、Easy VPN リモートの設定を開始する前に実行する推奨タスクが表示されます。実行するタスクのリンクをクリックします。

ルータの Cisco IOS イメージがバージョン 12.4(9)T 以降の場合は、ルータで DNS が有効になっていなければ、スプリット DNS 設定(サーバからプッシュされた場合)が機能するように、推奨タスク[DNS を有効にする]が表示されます。

Easy VPN リモート ウィザードを起動

[Easy VPN リモート ウィザードを起動]をクリックして、ウィザードを起動します。

Easy VPN リモート クライアントの設定

このウィザードでは、Easy VPN リモート フェーズ II クライアントを設定します。


) ルータが、Easy VPN リモート フェーズ II 以降をサポートする Cisco IOS イメージを実行していない場合は、Easy VPN クライアントの設定はできません。


Easy VPN リモート ウィザード:ネットワーク情報

この画面では、ルータが Easy VPN サーバを介して接続するネットワークの IP アドレスと重複する IP アドレスがローカル ネットワークにあるかどうかを示します。また、それらのネットワークからアクセスする必要があるデバイスがローカル ネットワークにあるかどうかも示します。


) この画面は、ルータ上の Cisco IOS イメージがバージョン 12.4(11)T 以降である場合に表示されます。


フィールド リファレンス

表13-2 に、この画面のフィールドの説明を示します。

 

表13-2 ネットワーク情報のフィールド

項目
説明
クライアント IP アドレッシング

他のクライアントの場所と重複する可能性があるアドレッシング方式がご使用のクライアントの場所にありますか?

[はい]― ローカル ネットワーク上のデバイスが、ルータが Easy VPN サーバを介して接続する他のネットワークのデバイスでも使用されている IP アドレスを使用している場合は、[はい]をクリックします。たとえば、ローカル ネットワーク上のプリンタが、ピア ネットワークのデバイスで使用されている IP アドレスを使用していることがあります。[はい]をクリックすると、[デバイス到着可能性]フィールドが表示されます。

[いいえ]― ローカル ネットワーク上のデバイスが、ルータが Easy VPN サーバを介して接続するネットワークでも使用されている IP アドレスを使用していない場合は、[いいえ]をクリックします。

デバイス到着可能性

サーバ側ネットワークまたは他のクライアントの場所から到達できる必要があるデバイスがご使用のクライアントの場所にありますか?

[はい]― ルータが Easy VPN サーバを介して接続するネットワークからアクセスする必要のあるプリンタなどのデバイスがローカル ネットワークにある場合は、[はい]をクリックします。

[いいえ]― ルータが Easy VPN サーバを介して接続するネットワークからアクセスする必要のあるデバイスがない場合は、[いいえ]をクリックします。

Easy VPN リモート ウィザード:同一アドレッシングの設定

ルータが Easy VPN サーバを介して接続するネットワークからアクセスする必要のあるデバイスの、ローカル IP アドレスとグローバル IP アドレスを入力します。

フィールド リファレンス

表13-3 に、この画面のフィールドの説明を示します。

 

表13-3 同一アドレッシングの設定のフィールド

項目
説明
アクセス可能デバイス

デバイスのローカル IP

他のネットワークからアクセスする必要のあるデバイスと識別されているデバイスの、ローカル IP アドレス。

デバイスのグローバル IP

他のネットワークからアクセスする必要のあるデバイスと識別されているデバイスの、グローバル IP アドレス。各デバイスのグローバル IP アドレスは Easy VPN サーバからルーティング可能でなければならないため、これらのアドレスを Easy VPN サーバの管理者から取得する必要があります。各 IP アドレスは同一サブネット上にある必要があります。また、1 つのアドレスをローカル ネットワーク上のアクセス不能デバイスで使用するために予約しておく必要があります。

追加

デバイスのローカル IP アドレスとグローバル IP アドレスを追加するには、[追加]をクリックします。

編集

デバイスの IP アドレス情報を変更するには、エントリを選択して[編集]をクリックします。

削除

アクセス可能デバイスのエントリを削除するには、エントリを選択して[削除]をクリックします。

アクセス不能デバイス

IP アドレス

このフィールドには、アクセス不可能なデバイスのために予約した IP アドレスを入力します。この IP アドレスは、デバイスのグローバル IP アドレスと同じサブセットにある必要があります。Cisco CP では、他のネットワークからアクセスする必要のないデバイスの IP アドレスをこの IP アドレスに変換する NAT ルールが作成され、この IP アドレスが新しいループバック インターフェイスに割り当てられます。

サブネット マスク

サブネット マスクを 10 進表記で入力します(255.255.255.0 など)。または、サブネット ビットの数値を選択します(24 など)。1 つのフィールドに値を入力すると、他のフィールドの値が更新されます。たとえば、255.255.255.0 と入力すると、サブネット ビット フィールドは自動的に更新されて 24 が表示されます。

警告メッセージ

Cisco CP では、次のいずれかの問題が検出された場合に[次へ]をクリックすると、警告メッセージが表示されます。

デバイスが追加されていない場合。

アクセス不能デバイスに、ルータ インターフェイスですでに使用されている IP アドレスを入力した場合。

アクセス不能デバイスに、アクセス可能デバイスのグローバル IP アドレスとしてすでに使用されている IP アドレスを入力した場合。

デバイスのローカル IP アドレスに、接続先 LAN インターフェイスのサブネット外のアドレスを入力した場合。

Easy VPN リモート ウィザード:インターフェイスと接続設定

このウィンドウでは、Easy VPN 設定で使用されるインターフェイスを指定します。

フィールド リファレンス

表13-4 に、この画面のフィールドの説明を示します。

 

表13-4 インターフェイスと接続設定のフィールド

項目
説明
インターフェイス

このボックスでは、内部および外部インターフェイスを選択します。

チェック ボックス

この Easy VPN 設定に追加する、ローカル ネットワークを提供する内部(LAN)インターフェイスを選択します。次の制限付きで、複数の内部インターフェイスを選択できます。

すでに他の Easy VPN 設定で使用されているインターフェイスを選択した場合は、1 つのインターフェイスを 2 つの Easy VPN 設定に指定できないことが通知されます。

すでに VPN 設定で使用されているインターフェイスを選択した場合は、作成中の Easy VPN 設定とその既存の VPN 設定が共存できないことが通知されます。また、それらのインターフェイスから既存の VPN トンネルを削除して、インターフェイスに Easy VPN 設定を適用するかどうかを尋ねるメッセージが表示されます。

既存のインターフェイスであっても、Easy VPN 設定で使用できないものは、インターフェイスのリストに表示されません。たとえば、ルータに設定されているループバック インターフェイスは、このリストには表示されません。

インターフェイスを内部と外部の両方のインターフェイスとして割り当てることはできません。

Cisco 800 および Cisco 1700 シリーズのルータでサポートされる内部インターフェイスは最大 3 つです。[Easy VPN リモートの編集]ウィンドウで Easy VPN 設定からインターフェイスを削除できます。

インターフェイス リスト

[インターフェイス]リストで、Easy VPN サーバまたはコンセントレータに接続する外部インターフェイスを選択します。


) Cisco 800 ルータでは、インターフェイス E 0 を外部インターフェイスとして使用できません。


接続設定

自動入力

自動設定の場合は、Easy VPN 設定がルータのコンフィギュレーション ファイルに配信されるときに VPN トンネルが自動的に確立されます。ただし、[VPN 接続]ウィンドウでトンネルを手動で制御することはできません。[接続]ボタンまたは[切断]ボタンは、この Easy VPN 接続が選択されているときは無効です。

手動で入力

手動設定の場合は、[Easy VPN リモートの編集]ウィンドウで[接続]ボタンまたは[切断]ボタンをクリックしてトンネルを確立または解除する必要がありますが、[Easy VPN リモートの編集]ウィンドウでトンネルを手動で完全に制御できます。また、ルータでセキュリティ アソシエーション( SA)タイムアウトが設定されている場合は、タイムアウトが発生するたびに、手動で VPN トンネルを再確立する必要があります。SA タイムアウト設定は、[VPN コンポーネント]の下の[ VPN グローバル設定]ウィンドウで変更できます。

ローカル ネットワークからのトラフィック(対象トラフィック)がある場合に入力

トラフィックベース設定の場合は、アウトバウンド ローカル(LAN 側)トラフィックが検出されるたびに VPN トンネルが確立されます。


) トラフィックベースの有効化のオプションが表示されるのは、ルータ上の Cisco IOS イメージでサポートされている場合だけです。


Easy VPN リモート ウィザード:サーバ情報

このウィンドウに入力された情報は、ルータの接続先となる Easy VPN トンネル、Easy VPN サーバまたはコンセントレータ、および VPN 内でトラフィックをルーティングする方法を特定します。

フィールド リファレンス

表13-5 に、この画面のフィールドの説明を示します。

 

表13-5 サーバ情報のフィールド

項目
説明
Easy VPN サーバ

Easy VPN サーバ 1

ルータの接続先のプライマリ Easy VPN サーバまたはコンセントレータの IP アドレスまたはホスト名を入力します。ホスト名を入力する場合は、ネットワーク上に、ホスト名をピア デバイスの正しい IP アドレスに解決できる DNS(ドメイン ネーム システム)サーバが必要です。

Easy VPN サーバ 2

[Easy VPN サーバ 2]フィールドは、ルータの Cisco IOS イメージが Easy VPN リモート フェーズ III をサポートしている場合に表示されます。Cisco IOS イメージが Easy VPN リモート フェーズ III をサポートしていない場合は表示されません。

ルータの接続先のセカンダリ Easy VPN サーバまたはコンセントレータの IP アドレスまたはホスト名を入力します。ホスト名を入力する場合は、ネットワーク上に、ホスト名をピア デバイスの正しい IP アドレスに解決できる DNS サーバが必要です。

同一アドレッシングなしの動作モード

クライアント

ルータの内部ネットワーク上の PC およびその他のデバイスで、プライベート IP アドレスを持つプライベート ネットワークを設定する場合は、[クライアント]を選択します。ネットワーク アドレス変換( NAT)およびポート アドレス変換( PAT)が使用されます。LAN の外部のデバイスは、LAN 上のデバイスに ping を実行したり直接アクセスしたりすることはできません。

ネットワーク拡張

内部インターフェイスに接続されているデバイスに対して、宛先ネットワークからルート指定およびアクセスできる IP アドレスを設定する場合は、[ネットワーク拡張]を選択します。接続の両端にあるデバイスは、1 つの論理ネットワークを形成します。PAT は、自動的に無効になるので、接続の両端の PC およびホストは互いに直接アクセスができます。

この設定を選択する前に、Easy VPN サーバまたはコンセントレータの管理者に確認してください。

[ネットワーク拡張]を選択した場合は、ルータにサーバが割り当てた IP アドレスを要求するチェック ボックスを選択することで、ルータをリモート管理できます。この IP アドレスは、ルータに(ping、Telnet、およびセキュア シェル)接続してリモート管理とトラブルシューティングをする際に使用できます。このモードを Network Extension Plus と呼びます。


) ルータが、Easy VPN リモート フェーズ IV 以降をサポートする Cisco IOS イメージを実行していない場合は、Network Extension Plus の設定はできません。


アドレス空間が重複し、かつアクセスする必要のあるローカル デバイスがある場合の動作モード

[ネットワーク情報]画面の[クライアント IP アドレッシング]セクションで[はい]をクリックし、[デバイス到着可能性]セクションでも[はい]をクリックすると、ルータは自動的にネットワーク拡張モードに設定されます。

ルータをリモート管理するための IP アドレスをサーバから割り当てます。

Easy VPN サーバがルータに IP アドレスを割り当てて、ルータの Easy VPN 動作をリモートで管理できるようにするには、このボックスを選択します。

アドレス空間が重複し、かつアクセスする必要のあるローカル デバイスがない場合の動作モード

[ネットワーク情報]画面の[クライアント IP アドレッシング]セクションで[はい]をクリックし、[デバイス到着可能性]セクションで[いいえ]をクリックした場合、ルータは自動的にクライアント モードに設定されます。Easy VPN サーバはルータに自動的に IP アドレスを割り当てて、ルータの Easy VPN 動作をリモートで管理できるようにします。ローカル ネットワーク上のすべてのデバイスは、企業ネットワーク上の他のデバイスとの通信時に、この IP アドレスを共有します。

Easy VPN リモート ウィザード:認証

このウィンドウでは、Easy VPN リモート トンネルのセキュリティを指定します。

フィールド リファレンス

表13-6 に、この画面のフィールドの説明を示します。

 

表13-6 [認証]画面のフィールド

項目
説明
デバイス認証

認証

[デジタル証明書]または[事前共有キー]を選択します。

デジタル証明書

デジタル証明書を選択する場合は、デジタル証明書をルータで使用するように設定する必要があります。


) [デジタル証明書]オプションが使用できるのは、ルータ上の Cisco IOS イメージでサポートされている場合だけです。


事前共有キー

[認証]フィールドで[事前共有キー]を選択する場合は、ユーザ グループ名と事前共有キーを指定する必要があります。

ユーザ グループ

IPSec グループ名を入力します。このグループ名は、VPN コンセントレータまたはサーバに定義されているグループ名と一致しなければなりません。この情報については、ネットワーク管理者に確認します。

キー

IPSec グループ キーを入力します。このグループ キーは、VPN コンセントレータまたはサーバに定義されているグループ キーと一致しなければなりません。この情報については、ネットワーク管理者に確認します。

キーの再入力

キーが正確であることを確認するため、再入力します。

ユーザ認証

[ユーザ認証(XAuth)]は、ルータの Cisco IOS イメージが Easy VPN リモート フェーズ III をサポートしている場合に表示されます。ユーザ認証が表示されない場合は、ルータのコマンドライン インターフェイスから設定する必要があります。

PC から

ユーザ認証は Web ブラウザで実行されます。このオプションは、使用するルータの Cisco IOS イメージによってサポートされる場合のみ表示されます。

ルータまたは Cisco CP から

ユーザ認証はルータ コンソールまたは Cisco CP から実行されます。

クレデンシャルの保存

Easy VPN サーバは、 XAuth を使用してルータを認証する場合があります。サーバでパスワードの保存オプションが許可されている場合は、Easy VPN トンネルが確立されるたびにユーザ名とパスワードを入力する手間を、このオプションで省くことができます。Easy VPN サーバ管理者から提供されたユーザ名とパスワードを入力し、確認のため、パスワードを再入力します。情報は、ルータのコンフィギュレーション ファイルに保存され、トンネルが確立されるたびに使用されます。


注意 XAuth ユーザ名とパスワードをルータのメモリに保存した場合、ルータ設定にアクセスできる人がだれでもこの情報を取得できることになるので、セキュリティ リスクが生じます。この情報をルータに保存しない場合は、ここで入力しないでください。そうすれば、Easy VPN サーバは、接続が確立されるたびに単純にルータにユーザ名とパスワードを要求します。また、Cisco CP では、Easy VPN サーバがパスワードの保存オプションを許可しているかどうかをそれ自体で判断することができません。したがって、サーバがこのオプションを許可しているかどうかを自分で判断する必要があります。サーバがこのオプションを許可していない場合は、セキュリティ リスクを防ぐために、ここには情報を入力しないでください。

ユーザ名

認証に必要なユーザー名を入力します。

パスワード

認証に必要なパスワードを入力します。

新しいパスワードの再入力

確認のため、パスワードを再入力します。

Easy VPN リモート ウィザード:設定の要約

このウィンドウには、作成した Easy VPN 設定が表示されます。この設定は保存できます。要約は次のように表示されます。

Easy VPN tunnel name:test1
Easy VPN server: 222.28.54.7
Group: myCompany
Key: 1234
Control: Auto
Mode: Client
Outside Interface: BVI222
Inside Interfaces: Dialer0
 

このウィンドウで設定を確認し、必要な場合は、[戻る]ボタンをクリックして任意の項目を変更できます。

[完了]ボタンをクリックすると、ルータの実行コンフィギュレーションに情報が書き込まれます。トンネルが自動モードで機能するように設定されている場合、さらにルータは VPN コンセントレータまたはサーバに接続しようとします。

後で Easy VPN 設定を変更する場合は、[Easy VPN リモートの編集]ウィンドウで変更できます。


) 多くの場合、[完了]をクリックした後、または[Easy VPN リモートの編集]ウィンドウや[VPN 接続]ウィンドウで[接続]をクリックした後に、ルータによって Easy VPN サーバまたはコンセントレータとの通信が確立されます。ただし、デバイスが XAuth を使用するように設定されている場合は、ユーザ名とパスワードはルータで処理されます。この場合は、まずセキュア シェル(SSH)のログイン ID およびパスワードを入力してルータにログオンし、次に Easy VPN サーバまたはコンセントレータの XAuth ログインおよびパスワードを入力する必要があります。この処理は、[完了]をクリックすることにより、設定がルータに配信されるとき、および[Easy VPN リモートの編集]ウィンドウでトンネルを切断後、再接続するときに行う必要があります。XAuth が使用されているかどうかを調べ、必要なユーザ名およびパスワードを確認します。


VPN 接続テスト

設定が終わった VPN 接続のテストを選択した場合、テストの結果は、別のウィンドウに表示されます。

Easy VPN リモート接続の管理

Cisco CP では、Easy VPN リモート接続設定の編集、接続のリセット、接続の削除を行うことができます。Easy VPN リモート接続の作成には、Easy VPN リモートの編集画面を使用できますが、ウィザードを使用することをお勧めします。

ここでは、次のトピックについて説明します。

既存の Easy VPN リモート接続の編集

新しい Easy VPN リモート接続の作成

Easy VPN リモート接続の削除

確立された Easy VPN リモート接続のリセット

Easy VPN サーバへの接続

VPN トンネルへの他のサブネットの接続

Easy VPN リモートの管理のリファレンス

既存の Easy VPN リモート接続の編集

既存の Easy VPN リモート接続を編集するには、次の手順に従ってください。


ステップ 1 Cisco CP の機能バーで、[設定]>[セキュリティ]>[VPN]の順にクリックします。

ステップ 2 [VPN]ツリーで、[Easy VPN リモート]を選択します。

ステップ 3 [Easy VPN リモートの編集]タブをクリックします。

ステップ 4 編集する Easy VPN リモート接続を選択します。

ステップ 5 [編集]をクリックします。

ステップ 6 [Easy VPN リモートの編集]ダイアログ タブの設定を変更します。

ステップ 7 [OK]をクリックして変更をルータに送信し、このダイアログ ボックスを閉じます。


 

新しい Easy VPN リモート接続の作成

Easy VPN リモートの編集画面を使用して、新しい Easy VPN リモート接続を作成できます。

新しい Easy VPN リモート接続を作成するには、次の手順に従ってください。


ステップ 1 Cisco CP の機能バーで、[設定]>[セキュリティ]>[VPN]の順にクリックします。

ステップ 2 [VPN]ツリーで、[Easy VPN リモート]を選択します。

ステップ 3 [Easy VPN リモートの編集]タブをクリックします。

ステップ 4 [追加]をクリックします。

ステップ 5 [Easy VPN リモートの追加]ダイアログ タブで設定を行います。

ステップ 6 [OK]をクリックして変更をルータに送信し、このダイアログ ボックスを閉じます。


 

Easy VPN リモート接続の削除

Easy VPN リモート接続を削除するには、次の手順に従ってください。


ステップ 1 Cisco CP の機能バーで、[設定]>[セキュリティ]>[VPN]の順にクリックします。

ステップ 2 [VPN]ツリーで、[Easy VPN リモート]を選択します。

ステップ 3 [Easy VPN リモートの編集]タブをクリックします。

ステップ 4 削除する Easy VPN リモート接続を選択します。

ステップ 5 [削除]をクリックします。

ステップ 6 表示されたメッセージ画面で[OK]をクリックして、削除を確認します。


 

確立された Easy VPN リモート接続のリセット

確立された Easy VPN リモート接続をリセットするには、次の手順に従ってください。


ステップ 1 Cisco CP の機能バーで、[設定]>[セキュリティ]>[VPN]の順にクリックします。

ステップ 2 [VPN]ツリーで、[Easy VPN リモート]を選択します。

ステップ 3 [Easy VPN リモートの編集]タブをクリックします。

ステップ 4 リセットする Easy VPN リモート接続を選択します。

ステップ 5 [接続のリセット]をクリックします。ステータス ウィンドウでリセットが成功したかどうかが通知されます。


 

Easy VPN サーバへの接続

Easy VPN リモート サーバに接続するには、次の手順に従ってください。


ステップ 1 Cisco CP の機能バーで、[設定]>[セキュリティ]>[VPN]の順にクリックします。

ステップ 2 [VPN]ツリーで、[Easy VPN リモート]を選択します。

ステップ 3 [Easy VPN リモートの編集]タブをクリックします。

ステップ 4 Easy VPN リモート接続を選択します。

ステップ 5 [接続]をクリックして、設定済の Easy VPN サーバへの接続を完了します。


 

VPN トンネルへの他のサブネットの接続

ルータに直接接続されていないサブネットにトンネルの使用を許可するには、次の手順に従ってください。


ステップ 1 [ネットワーク拡張オプション]ウィンドウで、[複数のサブネットの設定]を選択します。

ステップ 2 [サブネットを入力]を選択してサブネットおよびネットワーク マスクをリストに追加するか、[ACL を選択]を選択します。

ステップ 3 サブネットを手動で入力するには、[追加]ボタンをクリックし、サブネットのアドレスとマスクを入力します。ACL が自動的に生成されます。


) ルータに直接接続されているサブネットは入力しないでください。


ステップ 4 既存の ACL を追加するには、その名前を入力するか、ドロップダウン リストから選択します。

ステップ 5 [OK]をクリックして、ダイアログを閉じます。


 

Easy VPN リモートの管理のリファレンス

次のトピックでは、Easy VPN リモートの編集で使用する画面について説明します。

Easy VPN リモートの編集

Easy VPN リモートの追加/編集

Easy VPN リモートの追加/編集:全般設定

ネットワーク拡張オプション

Easy VPN リモートの追加/編集:Easy VPN 設定

Easy VPN リモートの追加/編集:認証情報

Easy VPN リモートの追加/編集:VPN Client フェーズ III 認証

Easy VPN リモートの追加/編集:インターフェイスと接続

Easy VPN リモートの追加/編集:同一アドレッシング

Easy VPN リモート:デバイスの追加

SSH クレデンシャルの入力

XAuth ログイン ウィンドウ

Easy VPN リモートの編集

このウィンドウから Easy VPN 接続を管理します。Easy VPN 接続は、Easy VPN クライアントと Easy VPN サーバまたはコンセントレータ間に設定される、サーバまたはコンセントレータがサポートする他のネットワークとの安全な通信を可能にする接続です。

接続のリストには、設定済みの Easy VPN リモート接続に関する情報が表示されます。

フィールド リファレンス

表13-7 に、この画面のフィールドとボタンの説明を示します。

 

表13-7 Easy VPN リモートの編集のフィールド

項目
説明

追加

新しい Easy VPN リモート接続を作成する場合は[追加]をクリックします。

編集

接続設定を変更する場合は、Easy VPN リモート接続を選択して[編集]をクリックします。

削除

接続を削除する場合は、Easy VPN リモート接続を選択して[削除]をクリックします。

接続のリセット

接続をリセットする場合は、Easy VPN リモート接続を選択し、[接続のリセット]をクリックして現在のセキュリティ アソシエーション(SA)をクリアして新しい SA を作成します。

トンネルのテスト

Easy VPN リモート接続を選択し、[トンネルのテスト]をクリックして VPN トンネル経由でデータを送信します。テスト結果を示すメッセージが表示されます。

接続、切断、または
ログイン

このボタンの名前は、選択した Easy VPN リモート接続のステータスによって変化します。

次のすべてが当てはまる場合、[接続]ボタンが表示されます。

この接続で、トンネルの手動制御を使用している

トンネルが停止している

XAuth 応答が、PC ブラウザのセッションから要求されるように設定されて いない

[接続]をクリックして接続を確立します。

次のすべてが当てはまる場合、[切断]ボタンが表示されます。

この接続で、トンネルの手動制御を使用している

トンネルが稼働している

XAuth 応答が、PC ブラウザのセッションから要求されるように設定されて いない

[切断]をクリックして接続を切断します。

次のすべてが当てはまる場合、[ログイン]ボタンが表示されます。

接続先の Easy VPN サーバまたはコンセントレータが XAuth を使用している

XAuth 応答が、Cisco CP またはルータ コンソールから要求されるように設定されている

トンネルが XAuth クレデンシャルを待っている(接続が開始されている)

[ログイン]をクリックして Easy VPN サーバにログインし、接続を確立します。

接続が、自動またはトラフィックベースのトンネル制御に設定されている場合、このボタンは無効になります。

ステータス
 

接続されています。トンネルの手動制御が使用されている場合は、Easy VPN 接続が確立されているときに[切断]ボタンを使用して接続を非アクティブにすることができます。

 

接続は切断されています。トンネルの手動制御が使用されている場合は、Easy VPN 接続が切断されているときに[接続]ボタンを使用して接続をアクティブにすることができます。

 

接続を確立中です。

[Xauth が必要]― Easy VPN サーバまたはコンセントレータから、XAuth ログインとパスワードが要求されます。[ログイン]ボタンを使用して、ログイン ID およびパスワードを入力して、接続を確立します。

[設定が変更されました]― この接続の設定が変更されたので、ルータに配信する必要があります。接続でトンネルの手動制御を使用している場合は、[接続]ボタンを使用して、接続を確立します。

名前

この Easy VPN 接続に付けられている名前です。

モード

[クライアント]または[ネットワーク拡張]のいずれかです。クライアント モードでは、VPN コンセントレータまたはサーバは、ルータからのすべてのトラフィックに 1 つの IP アドレスを割り当てます。LAN の外部のデバイスが LAN 上のデバイスに直接アクセスすることはできません。ネットワーク拡張モードでは、VPN コンセントレータまたはサーバによる IP アドレスの置き換えは行われません。また、VPN 接続の相手側のピアに対して、完全にルーティング可能なネットワークが提示されます。

詳細

リストから Easy VPN リモート接続を選択すると、その接続について、次の各設定項目の値が表示されます。

認証

[デジタル証明書]または[事前共有キー]。[事前共有キー]を選択すると、キーを共有するユーザ グループが表示されます。

外部インターフェイス

Easy VPN サーバまたはコンセントレータに接続するインターフェイスです。

内部インターフェイス

この Easy VPN 接続に含まれる内部インターフェイスです。これらのインターフェイスに接続されているすべてのホストは、VPN に含まれます。

Easy VPN サーバ

Easy VPN サーバまたはコンセントレータの名前または IP アドレスです。ルータの Cisco IOS イメージが Easy VPN リモート フェーズ III をサポートしている場合は、Cisco CP を使って設定している最中に、2 つの Easy VPN サーバまたはコンセントレータを識別できます。

複数のサブネットの
サポート

ルータには直接接続されていませんが、トンネルの使用は許可されているサブネットのアドレスです。トンネルの使用が許可されるサブネットは、ACL で定義されます。

トンネルの有効化

値は自動、手動、トラフィックベースのいずれかです。

接続を手動で設定する場合は、[接続]をクリックしてトンネルを確立する必要がありますが、[接続]または[切断]をクリックすれば、いつでもトンネルを開始または停止できます。

接続を自動設定する場合、VPN トンネルは、Easy VPN 設定がルータのコンフィギュレーション ファイルに配信されるときに自動的に確立されます。ただし、この接続では[接続]と[切断]ボタンは無効です。

接続をトラフィックベースで設定する場合、VPN トンネルは、内部トラフィックで外部ルーティングが必要なときに自動的に確立されます。ただし、この接続では[接続]と[切断]ボタンは無効です。

バックアップ接続

設定されたバックアップ Easy VPN リモート接続です。バックアップ接続は、Cisco CP の[インターフェイスと接続]タスクで設定します。

XAuth 応答方式

XAuth が有効である場合、[項目値]カラムには、XAuth クレデンシャルの送信方式について、次のいずれかが表示されます。

Cisco CP またはルータ コンソールから入力する必要がある

参照時に PC ブラウザから入力する必要がある

クレデンシャルはルータに保存されているため、自動的に送信される

同一アドレッシング インターフェイス

同一アドレッシングが設定されている場合は、[項目値]カラムに「設定済」と表示され、さらにインターフェイスの名前、IP アドレス、およびサブネット ビット数が表示されます(例:Loopback1 (20.20.20.1/24))。

スプリット DNS

スプリット DNS が設定されている場合は、[項目値]カラムに「有効」と表示され、さらに次の情報が表示されます。

企業の DNS サーバに送信されるドメイン名

サーバからプッシュされる企業の DNS サーバ

インターネット DNS サーバ

複数の値はカンマで区切られます。

Easy VPN リモートの追加/編集

このウィンドウを使用して、ルータを Easy VPN クライアントとして設定できます。ルータは、ネットワーク上の Easy VPN コンセントレータまたはサーバに接続している必要があります。


) このウィンドウは、ルータの Cisco IOS イメージが Easy VPN クライアント フェーズ II をサポートしている場合に表示されます。


Cisco Easy VPN リモート機能は、Cisco Unity クライアント プロトコルを実装します。これによって、VPN リモート アクセス サーバでほとんどの VPN パラメータが定義されます。このサーバは、VPN 3000 コンセントレータまたは Cisco PIX Firewall などの専用の VPN デバイス、または Cisco Unity クライアント プロトコルをサポートする Cisco IOS ルータです。


) • Easy VPN サーバまたはコンセントレータが XAuth を使用するように設定されている場合は、設定をルータに配信するときやトンネルの切断と再接続を行うときなど、ルータが接続を確立するたびにユーザ名およびパスワードが要求されます。XAuth が使用されているかどうかを調べ、必要なユーザ名およびパスワードを確認します。

ルータがセキュア シェル(SSH)を使用する場合、最初に接続を確立するときに SSH ログインおよびパスワードを入力する必要があります。


 

フィールド リファレンス

表13-8 に、この画面のフィールドの説明を示します。

 

表13-8 Easy VPN リモートの追加/編集のフィールド

項目
説明

名前

Easy VPN リモート設定の名前を入力します。

モード

クライアント

ルータの内部ネットワーク上の PC およびその他のデバイスで、プライベート IP アドレスを持つプライベート ネットワークを設定する場合は、[クライアント]を選択します。ネットワーク アドレス変換( NAT)およびポート アドレス変換( PAT)が使用されます。LAN の外部のデバイスは、LAN 内のデバイスに対して ping を実行したり直接アクセスしたりすることはできません。

ネットワーク拡張

内部インターフェイスに接続されているデバイスに対して、宛先ネットワークからルート指定およびアクセスできる IP アドレスを設定する場合は、[ネットワーク拡張]を選択します。接続の両端にあるデバイスは、1 つの論理ネットワークを形成します。PAT は、自動的に無効になるので、接続の両端の PC およびホストは互いに直接アクセスができます。

トンネル制御

自動

Easy VPN 設定がルータのコンフィギュレーション ファイルに配信されるときに VPN トンネルを自動的に確立する場合は、[自動]を選択します。ただし、[VPN 接続]ウィンドウでトンネルを手動で制御することはできません。[接続]ボタンおよび[切断]ボタンは、この Easy VPN 接続が選択されているときは無効です。

手動

VPN トンネルの確立および切断を制御する場合は、[手動]を選択します。トンネルを確立するには、[Easy VPN リモートの編集]ウィンドウの[接続]ボタンをクリックする必要があります。[接続]ボタンおよび[切断]ボタンは、トンネル制御が手動に設定されている VPN 接続を選択するたびに有効になります。

Easy VPN サーバまたはコンセントレータ

ルータの接続先の VPN コンセントレータまたはサーバの名前または IP アドレスを指定します。コンセントレータまたはサーバの IP アドレスを入力する場合は[IP アドレス]、ホスト名を入力する場合は[ホスト名]を選択します。次に、その下のフィールドで適切な値を指定します。ホスト名を指定する場合は、ホスト名を適切な IP アドレスに解決できる DNS サーバがネットワーク上に必要です。IP アドレスを入力する場合は、標準のドット(.)で区切った 10 進表記で、たとえば 172.16.44.1 のように入力します。

グループ

グループ名

IPSec グループ名を入力します。このグループ名は、VPN コンセントレータまたはサーバに定義されているグループ名と一致しなければなりません。この情報については、ネットワーク管理者に確認します。

グループ キー

IPSec グループのパスワードを入力します。このグループ パスワードは、VPN コンセントレータまたはサーバに定義されているグループ パスワードと一致しなければなりません。この情報については、ネットワーク管理者に確認します。

キーの確認

確認のため、グループ パスワードを再入力します。

インターフェイス

サーバまたはコンセントレータへの外部インターフェイス

Easy VPN サーバまたはコンセントレータに接続しているインターフェイスを選択します。


) Cisco 800 ルータでは、インターフェイス E 0 を外部インターフェイスとして使用できません。


内部インターフェイス

Easy VPN 設定に含める内部インターフェイスを指定します。これらのインターフェイスに接続されているすべてのホストは、VPN に含まれます。Cisco 800 シリーズおよび Cisco 1700 シリーズのルータでサポートされる内部インターフェイスは最大 3 つです。


) インターフェイスを内部と外部の両方のインターフェイスとして割り当てることはできません。


Easy VPN リモートの追加/編集:全般設定

このウィンドウを使用して、ルータを Easy VPN クライアントとして設定できます。ルータは、ネットワーク上の Easy VPN コンセントレータまたはサーバに接続している必要があります。


) このウィンドウは、ルータの Cisco IOS イメージが Easy VPN クライアント フェーズ IV をサポートしている場合に表示されます。


Cisco Easy VPN リモート機能は、Cisco Unity クライアント プロトコルを実装します。これによって、VPN リモート アクセス サーバでほとんどの VPN パラメータが定義されます。このサーバは、VPN 3000 コンセントレータまたは Cisco PIX Firewall などの専用の VPN デバイス、または Cisco Unity クライアント プロトコルをサポートする Cisco IOS ルータです。

フィールド リファレンス

表13-9 に、この画面のフィールドの説明を示します。

 

表13-9 Easy VPN リモートの全般設定のフィールド

項目
説明

名前

Easy VPN リモート設定の名前を入力します。

サーバ

最大 10 の Easy VPN サーバを IP アドレスまたはホスト名で指定できます。このリストを並べ替えて、ルータが最初に接続するサーバを指定することができます。

ルータの接続先の VPN コンセントレータまたはサーバの名前または IP アドレスを指定する場合は、[追加]をクリックします。表示されたウィンドウに、アドレスまたはホスト名を入力します。

指定した IP アドレスまたはホスト名を削除する場合は、[削除]をクリックします。

リスト内で指定したサーバ IP アドレスまたはホスト名を上に移動する場合は、[上へ移動]をクリックします。ルータは、このリストに表示された順に、ルータにアクセスします。

リスト内で指定した IP アドレスまたはホスト名を下に移動する場合は、[下へ移動]をクリックします。

モード

クライアント

ルータの内部ネットワーク上の PC およびその他のデバイスで、プライベート IP アドレスを持つプライベート ネットワークを設定する場合は、[クライアント]モードを選択します。ネットワーク アドレス変換( NAT)およびポート アドレス変換( PAT)が使用されます。LAN の外部のデバイスは、LAN 内のデバイスに対して ping を実行したり直接アクセスしたりすることはできません。

ネットワーク拡張

内部インターフェイスに接続されているデバイスに対して、宛先ネットワークからルート指定およびアクセスできる IP アドレスを設定する場合は、[ネットワーク拡張]を選択します。接続の両端にあるデバイスは、1 つの論理ネットワークを形成します。PAT は、自動的に無効になるので、接続の両端の PC およびホストは互いに直接アクセスができます。

ルータのリモート管理とトラブルシューティングを有効にする。

ルータにサーバが割り当てた IP アドレスを要求するチェック ボックスを選択して、ルータのリモート管理を有効にできます。この IP アドレスは、ルータに(ping、Telnet、およびセキュア シェル)接続してリモート管理とトラブルシューティングをする際に使用できます。このモードを Network Extension Plus と呼びます。

この設定を選択する前に、Easy VPN サーバまたはコンセントレータの管理者に確認してください。

[ネットワーク拡張]を選択すると、次の操作も可能となります。

ルータに直接接続されていないサブネットにトンネルの使用を許可する。

ルータに直接接続されていないサブネットにトンネルの使用を許可するには、[オプション]ボタンをクリックして、ネットワーク拡張オプションを設定します。

ルータのリモート管理とトラブルシューティングを有効にする。

ルータにサーバが割り当てた IP アドレスを要求するチェック ボックスを選択して、ルータのリモート管理を有効にできます。この IP アドレスは、ルータに(ping、Telnet、およびセキュア シェル)接続してリモート管理とトラブルシューティングをする際に使用できます。このモードを Network Extension Plus と呼びます。

ルータをリモート管理するための IP アドレスをサーバから割り当てます。

ルータにサーバが割り当てた IP アドレスを要求する場合は、このチェック ボックスを選択します。この IP アドレスは、ルータに(ping、Telnet、およびセキュア シェル)接続してリモート管理とトラブルシューティングをする際に使用できます。このモードを Network Extension Plus と呼びます。

ネットワーク拡張オプション

ルータに直接接続されていないサブネットにトンネルの使用を許可するには、この画面にサブネットを入力するか、許可するサブネットを定義する ACL を入力します。

フィールド リファレンス

表13-10 に、この画面のフィールドの説明を示します。

 

表13-10 ネットワーク拡張オプションのフィールド

項目
説明

複数のサブネットの設定

[複数のサブネットの設定]を選択すると、この画面の他のフィールドが有効になります。

サブネットを入力。Cisco CP は必要な ACL を作成します。

各サブネットおよびサブネット マスクを手動で入力する場合は、このオプションを選択します。リストにエントリを追加する場合は、[追加]をクリックします。選択したエントリを削除するには、[削除]をクリックします。

ACL を選択

サブネットを定義する ACL を使用する場合は、[ACL を選択]を選択します。ACL の名前または番号がわかっている場合は、フィールドにその名前または番号を入力します。または、フィールドの右にあるボタンをクリックして、既存の ACL を選択するか新しい ACL を作成します。この画面で ACL の関連付けを削除するには、ボタンをクリックして[なし(ルールの関連付けを解除)]を選択します。

Easy VPN リモートの追加/編集:Easy VPN 設定

このウィンドウを使用して、ルータを Easy VPN クライアントとして設定できます。ルータは、ネットワーク上の Easy VPN コンセントレータまたはサーバに接続している必要があります。


) このウィンドウは、ルータの Cisco IOS イメージが Easy VPN クライアント フェーズ III をサポートしている場合に表示されます。


Cisco Easy VPN リモート機能は、Cisco Unity クライアント プロトコルを実装します。これによって、VPN リモート アクセス サーバでほとんどの VPN パラメータが定義されます。このサーバは、VPN 3000 コンセントレータまたは Cisco PIX Firewall などの専用の VPN デバイス、または Cisco Unity クライアント プロトコルをサポートする Cisco IOS ルータです。

フィールド リファレンス

表13-11 に、この画面のフィールドの説明を示します。

 

表13-11 Easy VPN 設定のフィールド

項目
説明

名前

Easy VPN リモート設定の名前を入力します。

モード

クライアント

ルータの内部ネットワーク上の PC およびその他のデバイスで、プライベート IP アドレスを持つプライベート ネットワークを設定する場合は、[クライアント]モードを選択します。ネットワーク アドレス変換( NAT)およびポート アドレス変換( PAT)が使用されます。LAN の外部のデバイスは、LAN 内のデバイスに対して ping を実行したり直接アクセスしたりすることはできません。

ネットワーク拡張

内部インターフェイスに接続されているデバイスに対して、宛先ネットワークからルート指定およびアクセスできる IP アドレスを設定する場合は、[ネットワーク拡張]を選択します。接続の両端にあるデバイスは、1 つの論理ネットワークを形成します。PAT は、自動的に無効になるので、接続の両端の PC およびホストは互いに直接アクセスができます。

この設定を選択する前に、Easy VPN サーバまたはコンセントレータの管理者に確認してください。

トンネル制御

自動

Easy VPN 設定がルータのコンフィギュレーション ファイルに配信されるときに VPN トンネルを自動的に確立する場合は、[自動]を選択します。ただし、[VPN 接続]ウィンドウでトンネルを手動で制御することはできません。[接続]ボタンおよび[切断]ボタンは、この Easy VPN 接続が選択されているときは無効です。

手動

VPN トンネルの確立および切断を制御する場合は、[手動]を選択します。トンネルを確立するには、[Easy VPN リモートの編集]ウィンドウの[接続]ボタンをクリックする必要があります。[接続]ボタンおよび[切断]ボタンは、トンネル制御が手動に設定されている VPN 接続を選択するたびに有効になります。

サーバ

最大 10 の Easy VPN サーバを IP アドレスまたはホスト名で指定できます。このリストを並べ替えて、ルータが最初に接続するサーバを指定することができます。

追加

ルータの接続先の VPN コンセントレータまたはサーバの名前または IP アドレスを指定する場合は、[追加]をクリックします。表示されたウィンドウに、アドレスまたはホスト名を入力します。

削除

選択したサーバの IP アドレスまたはホスト名を削除する場合は、[削除]をクリックします。

上へ移動

リスト内で指定したサーバ IP アドレスまたはホスト名を上に移動する場合は、[上へ移動]をクリックします。ルータは、このリストに表示された順に、ルータにアクセスします。

下へ移動

リスト内で指定した IP アドレスまたはホスト名を下に移動する場合は、[下へ移動]をクリックします。

サーバまたはコンセントレータへの外部インターフェイス

Easy VPN サーバまたはコンセントレータに接続しているインターフェイスを選択します。


) Cisco 800 ルータでは、インターフェイス E 0 を外部インターフェイスとして使用できません。


内部インターフェイス

Easy VPN 設定に含める内部インターフェイスを指定します。これらのインターフェイスに接続されているすべてのホストは、VPN に含まれます。Cisco 800 シリーズおよび Cisco 1700 シリーズのルータでサポートされる内部インターフェイスは最大 3 つです。


) インターフェイスを内部と外部の両方のインターフェイスとして割り当てることはできません。


Easy VPN リモートの追加/編集:認証情報

このウィンドウを使用して、Easy VPN サーバまたはコンセントレータでルータを認証するために必要な情報を入力します。

フィールド リファレンス

表13-12 に、この画面のフィールドの説明を示します。

 

表13-12 認証情報のフィールド

項目
説明
デバイス認証

デジタル証明書

デジタル証明書を選択する場合は、デジタル証明書をルータで使用するように設定する必要があります。


) [デジタル証明書]オプションが使用できるのは、ルータ上の Cisco IOS イメージでサポートされている場合だけです。


事前共有キー

ネットワーク管理者によって割り当てられた IKE キーの値を使用する場合は、事前共有キーを選択します。IPSec グループ名と IKE キー値については、ネットワーク管理者に確認してください。このグループ名は、VPN コンセントレータまたはサーバに定義されているグループ名と一致しなければなりません。

グループ名

ネットワーク管理者から割り当てられた IPSec グループ名をここに入力します。このグループ名は、VPN コンセントレータまたはサーバに定義されているグループ名と一致しなければなりません。このフィールドは、事前共有キーが選択されている場合にのみ表示されます。

現在のキー

現在の IKE キーの値がある場合は、[現在のキー]フィールドにアスタリスク(*)が表示されます。キーが設定されていない場合、このフィールドに <なし> と表示されます。このフィールドは、事前共有キーが選択されている場合にのみ表示されます。

新しいキー

ネットワーク管理者から割り当てられた IKE キーの値をここに入力します。このフィールドは、事前共有キーが選択されている場合にのみ表示されます。

キーの再入力

確認のため、新しいキーを再入力します。[新しいキー]と[キーの再入力]の値が一致しない場合は、キー値の再入力が求められます。このフィールドは、事前共有キーが選択されている場合にのみ表示されます。

ユーザ認証

Easy VPN サーバまたはコンセントレータが XAuth を使用するように設定されている場合は、設定をルータに配信するときやトンネルの切断と再接続を行うときなど、ルータが接続を確立するたびにユーザ名およびパスワードが要求されます。XAuth が使用されているかどうかを調べ、必要なユーザ名およびパスワードを入手します。

PC から

Web ブラウザ ウィンドウにクレデンシャルを入力する場合は、[PC から]を選択します。


) このオプションは、使用するルータの Cisco IOS イメージによってサポートされる場合のみ表示されます。


このルータから

ルータのコマンド ライン インターフェイスまたは Cisco CP からクレデンシャルを入力する場合は、[このルータから]を選択します。

クレデンシャルの保存

サーバでパスワードの保存が許可されている場合は、Easy VPN トンネルが確立されるたびにユーザ名とパスワードを入力する手間を省くことができます。情報は、ルータのコンフィギュレーション ファイルに保存され、トンネルが確立されるたびに使用されます。

ユーザー名とパスワードをルータのコンフィギュレーション ファイルに保存する場合は、[クレデンシャルの保存]を選択します。


注意 XAuth ユーザ名とパスワードをルータのメモリに保存した場合、ルータ設定にアクセスできる人がだれでもこの情報を取得できることになるので、セキュリティ リスクが生じます。この情報をルータに保存しない場合は、ここで入力しないでください。そうすれば、Easy VPN サーバは、接続が確立されるたびに単純にルータにユーザ名とパスワードを要求します。また、Cisco CP では、サーバがパスワードの保存を許可しているかどうかをそれ自体で判断することができません。したがって、サーバがこのオプションを許可しているかどうかを自分で判断する必要があります。サーバがパスワードの保存を許可していない場合は、セキュリティ リスクを防ぐために、ここには情報を入力しないでください。

ユーザ名

サーバ管理者から割り当てられたユーザー名をここに入力します。

現在のパスワード

設定されたパスワードがある場合は、[現在のパスワード]フィールドにアスタリスク(*)が表示されます。パスワードが設定されていない場合、このフィールドに <なし> と表示されます。

新しいパスワード

サーバ管理者から割り当てられた新しいパスワードをここに入力します。

新しいパスワードの再入力

確認のため、新しいパスワードを再入力します。[新しいパスワード]と[新しいパスワードの再入力]の値が一致しない場合は、パスワードの再入力が求められます。

Easy VPN リモートの追加/編集:VPN Client フェーズ III 認証

このウィンドウは、ルータの Cisco IOS イメージが Easy VPN クライアント フェーズ III をサポートしている場合に表示されます。イメージが EasyVPN クライアント フェーズ II をサポートしている場合は、異なるウィンドウが表示されます。

このウィンドウを使用して、Easy VPN サーバまたはコンセントレータでルータを認証するために必要な情報を入力します。

フィールド リファレンス

表13-13 に、この画面のフィールドの説明を示します。

 

表13-13 認証情報のフィールド

項目
説明
デバイス認証

グループ名

ネットワーク管理者から割り当てられた IPSec グループ名をここに入力します。このグループ名は、VPN コンセントレータまたはサーバに定義されているグループ名と一致しなければなりません。

現在のキー

現在の IKE キーの値がある場合は、[現在のキー]フィールドにアスタリスク(*)が表示されます。キーが設定されていない場合、このフィールドに <なし> と表示されます。

新しいキー

ネットワーク管理者から割り当てられた IKE キーの値をここに入力します。

キーの再入力

確認のため、新しいキーを再入力します。[新しいキー]と[キーの再入力]の値が一致しない場合は、キー値の再入力が求められます。

ユーザ認証

Easy VPN サーバまたはコンセントレータが XAuth を使用するように設定されている場合は、設定をルータに配信するときやトンネルの切断と再接続を行うときなど、ルータが接続を確立するたびにユーザ名およびパスワードが要求されます。XAuth が使用されているかどうかを調べ、必要なユーザ名およびパスワードを入手します。

PC から

Web ブラウザ ウィンドウにクレデンシャルを入力する場合は、[PC から]を選択します。


) このオプションは、使用するルータの Cisco IOS イメージによってサポートされる場合のみ表示されます。


このルータから

ルータのコマンド ライン インターフェイスまたは Cisco CP からクレデンシャルを入力する場合は、[このルータから]を選択します。

クレデンシャルの保存

サーバでパスワードの保存が許可されている場合は、Easy VPN トンネルが確立されるたびにユーザ名とパスワードを入力する手間を省くことができます。情報は、ルータのコンフィギュレーション ファイルに保存され、トンネルが確立されるたびに使用されます。

ユーザー名とパスワードをルータのコンフィギュレーション ファイルに保存する場合は、[クレデンシャルの保存]を選択します。


注意 XAuth ユーザ名とパスワードをルータのメモリに保存した場合、ルータ設定にアクセスできる人がだれでもこの情報を取得できることになるので、セキュリティ リスクが生じます。この情報をルータに保存しない場合は、ここで入力しないでください。そうすれば、Easy VPN サーバは、接続が確立されるたびに単純にルータにユーザ名とパスワードを要求します。また、Cisco CP では、サーバがパスワードの保存を許可しているかどうかをそれ自体で判断することができません。したがって、サーバがこのオプションを許可しているかどうかを自分で判断する必要があります。サーバがパスワードの保存を許可していない場合は、セキュリティ リスクを防ぐために、ここには情報を入力しないでください。

ユーザ名

サーバ管理者から割り当てられたユーザー名をここに入力します。

現在のパスワード

設定されたパスワードがある場合は、[現在のパスワード]フィールドにアスタリスク(*)が表示されます。パスワードが設定されていない場合、このフィールドに <なし> と表示されます。

新しいパスワード

サーバ管理者から割り当てられた新しいパスワードをここに入力します。

新しいパスワードの再入力

確認のため、新しいパスワードを再入力します。[新しいパスワード]と[新しいパスワードの再入力]の値が一致しない場合は、パスワードの再入力が求められます。

Easy VPN リモートの追加/編集:インターフェイスと接続

この画面では、内部インターフェイスと外部インターフェイスを特定し、VPN トンネルの起動方法を指定します。

フィールド リファレンス

表13-14 に、この画面のフィールドの説明を示します。

 

表13-14 インターフェイスと接続設定のフィールド

項目
説明
インターフェイス

チェック ボックス

この Easy VPN 設定に追加する、ローカル ネットワークを提供する内部(LAN)インターフェイスを選択します。次の制限付きで、複数の内部インターフェイスを選択できます。

すでに他の Easy VPN 設定で使用されているインターフェイスを選択した場合は、1 つのインターフェイスを 2 つの Easy VPN 設定に指定できないことが通知されます。

すでに VPN 設定で使用されているインターフェイスを選択した場合は、作成中の Easy VPN 設定とその既存の VPN 設定が共存できないことが通知されます。また、それらのインターフェイスから既存の VPN トンネルを削除して、インターフェイスに Easy VPN 設定を適用するかどうかを尋ねるメッセージが表示されます。

既存のインターフェイスであっても、Easy VPN 設定で使用できないものは、インターフェイスのリストに表示されません。たとえば、ルータに設定されているループバック インターフェイスは、このリストには表示されません。

インターフェイスを内部と外部の両方のインターフェイスとして割り当てることはできません。

Cisco 800 および Cisco 1700 シリーズのルータでサポートされる内部インターフェイスは最大 3 つです。[Easy VPN リモートの編集]ウィンドウで Easy VPN 設定からインターフェイスを削除できます。

インターフェイス リスト

[インターフェイス]リストで、Easy VPN サーバまたはコンセントレータに接続する外部インターフェイスを選択します。


) Cisco 800 ルータでは、インターフェイス E 0 を外部インターフェイスとして使用できません。


仮想トンネル インターフェイス

このオプションは、この接続に仮想トンネル インターフェイス( VTI)を使用する場合に選択します。リスト内の VTI が他の VPN 接続で使用されている場合は、[追加]をクリックして新しい VTI を作成します。

接続設定

自動

Easy VPN 設定がルータのコンフィギュレーション ファイルに配信されるときに、ルータが VPN トンネルを自動的に確立するように設定する場合は、[自動]を選択します。[接続]ボタンまたは[切断]ボタンを使用してトンネルを手動で制御することはできなくなります。この設定が選択されている場合、これらのボタンは無効になります。

手動

VPN トンネルを手動で起動およびシャットダウンする場合は、[手動]を選択します。手動設定では、[Easy VPN リモートの編集]画面で[接続]または[切断]ボタンをクリックしてトンネルを確立または解除する必要があります。また、ルータでセキュリティ アソシエーション( SA)タイムアウトが設定されている場合は、タイムアウトが発生するたびに、手動で VPN トンネルを再確立する必要があります。SA タイムアウト設定は、[VPN コンポーネント]の下の[ VPN グローバル設定]ウィンドウで変更できます。

対象トラフィック

アウトバウンド ローカル(LAN 側)トラフィックが検出されるたびに VPN トンネルを確立する場合は、[対象トラフィック]を選択します。Easy VPN 接続にこの設定を選択すると、[接続]または[切断]ボタンは無効になります。


) [対象トラフィック]オプションが表示されるのは、ルータ上の Cisco IOS イメージでサポートされている場合だけです。


Easy VPN リモートの追加/編集:同一アドレッシング

この画面では、同一アドレッシングの設定に必要な情報を入力します。同一アドレッシングにより、リモート ネットワークからリモート ネットワーク内のアドレスと重複する IP アドレスを持つローカル デバイスへのアクセスが可能になります。

フィールド リファレンス

 

表13-15 [同一アドレッシング]タブのフィールド

項目
説明

同一アドレッシングを設定する

ローカル ネットワークに、組織のリモート ネットワーク内のアドレスと重複する IP アドレスを持つデバイスがある場合は、[同一アドレッシングを設定する]を選択します。この画面の他のコントロールを有効にするには、このチェック ボックスを選択する必要があります。

ループバック インターフェイス

ループバック インターフェイス

下矢印をクリックして、既存のループバック インターフェイスを選択します。ループバック インターフェイスが設定されていない場合は、[追加]をクリックします。

追加

[追加]をクリックすると、ループバック インターフェイスを設定するダイアログが表示されます。

スプリット トンネリングの有効化

ルータでスプリット トンネリングを使用すると、Easy VPN サーバによって割り当てられたネットワーク アドレスにトラフィックを送信する場合にのみ VPN トンネルを使用し、それ以外のトラフィックはインターネット経由で送信できるようになります。ルータでこの機能を使用するには、[スプリット トンネリングの有効化]をクリックします。

アクセス可能デバイス

デバイスのローカル IP

他のネットワークからアクセスする必要のあるデバイスと識別されているデバイスの、ローカル IP アドレス。

デバイスのグローバル IP

他のネットワークからアクセスする必要のあるデバイスと識別されているデバイスの、グローバル IP アドレス。各デバイスのグローバル IP アドレスは Easy VPN サーバからルーティング可能でなければならないため、これらのアドレスを Easy VPN サーバの管理者から取得する必要があります。各 IP アドレスは同一サブネット上にある必要があります。また、1 つのアドレスをローカル ネットワーク上のアクセス不能デバイスで使用するために予約しておく必要があります。

追加

デバイスのローカル IP アドレスとグローバル IP アドレスを追加するには、[追加]をクリックします。

編集

デバイスの IP アドレス情報を変更するには、エントリを選択して[編集]をクリックします。

削除

アクセス可能デバイスのエントリを削除するには、エントリを選択して[削除]をクリックします。

警告メッセージ

Cisco CP では、次のいずれかの問題が検出された場合に[OK]をクリックすると、警告メッセージが表示されます。

デバイスが追加されていない場合。

アクセス不能デバイスに、ルータ インターフェイスですでに使用されている IP アドレスを入力した場合。

アクセス不能デバイスに、アクセス可能デバイスのグローバル IP アドレスとしてすでに使用されている IP アドレスを入力した場合。

デバイスのローカル IP アドレスに、接続先 LAN インターフェイスのサブネット外のアドレスを入力した場合。

[全般]タブでクライアント モードを選択した場合。同一アドレッシングは、ネットワーク拡張モードでのみ機能します。

[インターフェイスと接続]タブで仮想トンネル インターフェイスを選択しなかった場合。

Easy VPN リモート:デバイスの追加

この画面では、デバイスのローカル IP アドレスおよびグローバル IP アドレス情報を入力します。グローバル IP アドレスは、デバイスを他のネットワークで識別するために使用できる IP アドレスです。

フィールド リファレンス

表13-16 に、この画面のフィールドの説明を示します。

 

表13-16 デバイスの追加のフィールド

項目
説明

ローカル IP アドレス

アクセスする必要のあるデバイスのローカル IP アドレスを入力します。

グローバル IP アドレス

このデバイスに使用するグローバル IP アドレスを入力します。Easy VPN サーバからルーティング可能なアドレスを使用する必要があります。

SSH クレデンシャルの入力

ルータがセキュア シェル(SSH)を使用する場合、最初に接続を確立するときに SSH ログインおよびパスワードを入力する必要があります。このウィンドウを使用して、SSH または Telnet のログイン情報を入力します。

フィールド リファレンス

表13-17 に、この画面のフィールドの説明を示します。

 

表13-17 SSH クレデンシャルの入力のフィールド

項目
説明

ユーザ名

このルータへのログインに使用する SSH または Telnet アカウントのユーザ名を入力します。

パスワード

このルータへのログインに使用する SSH または Telnet アカウントのユーザ名に応じたパスワードを入力します。

XAuth ログイン ウィンドウ

このウィンドウは、Easy VPN サーバが拡張認証を要求するときに表示されます。アカウントのユーザ名、パスワード、またはその他の情報など、必要な情報を入力することによって、チャレンジに応答し、Easy VPN トンネルを確立します。入力する情報が不確かな場合は、VPN 管理者に確認してください。

その他の手順

ここでは、ウィザードで設定できないタスクの手順を示します。

既存の Easy VPN 接続を編集する方法

既存の Easy VPN リモート接続を編集するには、次の手順に従ってください。


ステップ 1 Cisco CP の機能バーで、[設定]>[セキュリティ]>[VPN]の順にクリックします。

ステップ 2 [VPN]ツリーで、[Easy VPN リモート]を選択します。

ステップ 3 [Easy VPN リモートの編集]タブをクリックし、編集する接続を選択します。

ステップ 4 [編集]をクリックします。

[Easy VPN リモートの編集]ウィンドウが表示されます。

ステップ 5 [Easy VPN リモートの編集]ウィンドウで、タブをクリックして変更する値を表示します。

ステップ 6 変更が終わったら、[OK]をクリックします。


 

Easy VPN 接続のバックアップを設定する方法

Easy VPN リモート接続のバックアップを設定するには、バックアップに使用できる ISDN インターフェイス、非同期インターフェイス、またはアナログ モデム インターフェイスがルータに必要です。

ISDN、非同期、アナログ モデムのいずれのインターフェイスも設定されていない場合は、次の手順に従ってください。


ステップ 1 機能バーから[ルータ]>[インターフェイスと接続]の順にクリックします。

ステップ 2 [接続の作成]タブをクリックします。

ステップ 3 リストから、ISDN、非同期、アナログ モデムのいずれかのインターフェイスを選択します。

ステップ 4 [新しい接続の作成]ボタンをクリックし、ウィザードを使用して新しいインターフェイスを設定します。

ステップ 5 該当するウィザードのウィンドウで、新しいインターフェイスを Easy VPN リモート接続のバックアップとして設定します。


 

ISDN、非同期、アナログ モデムのいずれかのインターフェイスが設定されている場合は、次の手順に従ってください。


ステップ 1 機能バーから[ルータ]>[インターフェイスと接続]の順にクリックします。

ステップ 2 [インターフェイス/接続の編集]タブをクリックします。

ステップ 3 設定されたインターフェイスのリストから、ISDN、非同期、アナログ モデムのいずれかのインターフェイスを選択します。

ステップ 4 [編集]ボタンをクリックします。

ステップ 5 [バックアップ]タブをクリックし、Easy VPN リモート接続のバックアップを設定します。

ステップ 6 バックアップの設定が完了したら、[OK]をクリックします。