Cisco Configuration Professional 1.0 ルーティングおよびセキュリティ ユーザーズ ガイド
Easy VPN サーバ
Easy VPN サーバ
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Easy VPN サーバ

Easy VPN サーバ接続の作成

Easy VPN サーバの作成のリファレンス

Easy VPN サーバの作成

Easy VPN サーバ ウィザードへようこそ

インターフェイスと認証

グループ許可およびグループ ポリシー検索

ユーザ認証(XAuth)

XAuth のユーザ アカウント

RADIUS サーバの追加

グループ許可:ユーザ グループ ポリシー

全般の情報

DNS/WINS 設定

スプリット トンネリング

クライアント設定

ブラウザ プロキシ設定の選択

ブラウザ プロキシ設定の追加または編集

ユーザ認証(XAuth)

クライアント アップデート

クライアント アップデート エントリの追加または編集

Cisco Tunneling Control Protocol

要約

ブラウザ プロキシ設定

Easy VPN サーバ接続の編集

Easy VPN サーバの編集のリファレンス

Easy VPN サーバの編集

Easy VPN サーバ接続の追加/編集

アクセスの制限

グループ ポリシーの設定

IP プール

IP ローカル プールの追加/編集

IP アドレス範囲の追加

Easy VPN サーバ

Easy VPN サーバ機能は、Cisco VPN Client リリース 3.x 以降のソフトウェア クライアントおよび Cisco VPN ハードウェア クライアントのサーバ サポートを導入します。この機能を使用すると、リモート エンド ユーザが IP セキュリティ(IPSec)を使用して、Cisco IOS Virtual Private Network(VPN)ゲートウェイと通信できます。一元管理された IPSec ポリシーがサーバによってクライアントに「プッシュ」され、エンド ユーザが行う設定を最小限にします。

次のリンク先には、Cisco Easy VPN ソリューションについての全般的な情報、およびその他の詳細情報へのリンクが掲載されています。

http://www.cisco.com/en/US/products/sw/secursw/ps5299/index.html

この章の内容は、次のとおりです。

Easy VPN サーバ接続の作成

Easy VPN サーバ接続の編集

Easy VPN サーバ接続の作成

Cisco CP Easy VPN サーバ ウィザードを使用して、ルータ上で Easy VPN サーバ接続を作成します。

Easy VPN サーバ ウィザードを使用して Easy VPN サーバ接続を設定するには、次の手順に従ってください。


ステップ 1 Cisco CP の機能バーで、[設定]>[セキュリティ]>[VPN]の順にクリックします。

ステップ 2 [VPN]ツリーで、[Easy VPN サーバ]を選択します。

ステップ 3 [Easy VPN サーバの作成]タブで、タスクのリンクをクリックして、表示された推奨タスクをすべて完了します。Cisco CP によってタスクが自動的に完了するか、または設定に必要な設定画面が表示されます。

ステップ 4 [Easy VPN サーバ ウィザードを起動]をクリックして、接続の設定を開始します。

ステップ 5 ウィザード画面で設定を行います。[次へ]をクリックすると、現在の画面から次の画面に移動します。[戻る]をクリックすると前の画面に戻ります。

ステップ 6 設定が完了すると、要約画面が表示されます。設定を確認します。変更が必要な場合は、[戻る]をクリックして該当画面に戻り、変更を加えてから要約画面に戻ります。

ステップ 7 ルータに設定を送信した後に接続をテストする場合は、[設定後の接続テスト]を選択します。[完了]をクリックすると、接続がテストされ、テスト結果が別の画面に表示されます。

ステップ 8 ルータに設定を送信するには、[完了]をクリックします。


 

Easy VPN サーバの作成のリファレンス」で、Easy VPN サーバ接続の作成に使用する設定画面について説明します。

Easy VPN サーバの作成のリファレンス

この章の各トピックでは、設定画面について説明します。

Easy VPN サーバの作成

Easy VPN サーバ ウィザードへようこそ

インターフェイスと認証

グループ許可およびグループ ポリシー検索

ユーザ認証(XAuth)

XAuth のユーザ アカウント

RADIUS サーバの追加

グループ許可:ユーザ グループ ポリシー

全般の情報

DNS/WINS 設定

スプリット トンネリング

クライアント設定

ブラウザ プロキシ設定の選択

ブラウザ プロキシ設定の追加または編集

ユーザ認証(XAuth)

クライアント アップデート

クライアント アップデート エントリの追加または編集

Cisco Tunneling Control Protocol

要約

ブラウザ プロキシ設定

Easy VPN サーバの作成

このウィザードでは、このルータに Easy VPN サーバを設定できます。

フィールド リファレンス

表14-1 に、この画面のフィールドの説明を示します。

 

表14-1 Easy VPN サーバの作成のフィールド

項目
説明

Easy VPN サーバ ウィザードを起動

このボタンをクリックするとウィザードが開始されます。

Easy VPN サーバ ウィザードへようこそ

このウィザードでは、次のタスクを実行して、このルータに Easy VPN サーバを正しく設定できます。

クライアント接続の終端となるインターフェイス、およびサーバと Easy VPN クライアントに使用する認証方式の選択

IKE ポリシーの設定

IPSec トランスフォーム セットの設定

グループ許可およびグループ ポリシー検索方式の設定

ユーザ認証の設定

外部 RADIUS サーバの設定

Easy VPN クライアントに接続するリモート ユーザのポリシーの設定

インターフェイスと認証

このウィンドウでは、Easy VPN サーバを設定するインターフェイスを選択できます。

すでにサイト間 IPSec ポリシーで設定されているインターフェイスを選択した場合、Cisco CP はインターフェイスにすでに IPSec ポリシーが存在することを通知するメッセージを表示し、既存の IPSec ポリシーを使用して Easy VPN サーバを設定します。

選択したインターフェイスが Easy VPN リモート、GREoIPSec、または DMVPN インターフェイスの一部である場合、Cisco CP は、別のインターフェイスを選択するように通知するメッセージを表示します。

フィールド リファレンス

表14-2 に、この画面のフィールドの説明を示します。

 

表14-2 インターフェイスと認証のフィールド

項目
説明

詳細

このボタンをクリックすると、選択したインターフェイスの詳細を取得できます。詳細ウィンドウには、インターフェイスに関連付けられているすべてのアクセス ルール、IPSec ポリシー、NAT ルール、またはインスペクション ルールが表示されます。

インターフェイスが選択されていない場合は、このボタンがグレーで表示されます。

認証

次のいずれかを選択します。

[事前共有キー]をクリックした場合は、一般的なセットアップを行う[グループ ポリシーの追加]ウィンドウを設定するときに、キー値を入力する必要があります。

[デジタル証明書]をクリックした場合は、一般的なセットアップを行う[グループ ポリシーの追加]ウィンドウに事前共有キーのフィールドが表示されません。

[両方]をクリックした場合は、一般的なセットアップを行う[グループ ポリシーの追加]ウィンドウでキー値の入力が必須となりません。

グループ許可およびグループ ポリシー検索

このウィンドウでは、グループ ポリシー検索の新しい AAA 許可ネットワーク方式リストを定義したり、既存のネットワーク方式リストを選択したりできます。

フィールド リファレンス

表14-3 に、この画面のフィールドの説明を示します。

 

表14-3 グループ許可およびポリシー検索のフィールド

項目
説明

ローカルのみ

このオプションでは、ローカル データベースのみの方式リストを作成できます。

ローカル データベースの AAA 方式リストを定義すると、ルータはグループ認証時にローカル データベースを検索します。

RADIUS のみ

このオプションでは、RADIUS データベースの方式リストを作成できます。

RADIUS とローカル

このオプションでは、RADIUS およびローカル データベースの方式リストを作成できます。

RADIUS とローカル データベースの方式リストを定義すると、ルータは、グループ認証時に、まず RADIUS サーバを、次にローカル データベースを検索します。

既存の AAA 方式リストを選択してください

このオプションでは、ルータ上でグループ認証に使用する既存の AAA 方式リストを選択できます。

ユーザ認証(XAuth)

Easy VPN サーバにユーザ認証を設定できます。ユーザ認証の詳細は、RADIUS サーバなどの外部サーバかローカル データベース、またはその両方に保存できます。AAA ログイン認証方式リストは、ユーザ認証の詳細を検索する順序の決定に使用されます。

フィールド リファレンス

表14-4 に、この画面のフィールドの説明を示します。

 

表14-4 ユーザ認証のフィールド

項目
説明

ローカル

ユーザ認証の詳細をローカル データベースに追加するには、[ローカル]をクリックします。

RADIUS

ユーザ認証の詳細を RADIUS サーバ上のデータベースに追加する場合は、[RADIUS]をクリックします。

RADIUS とローカル

ユーザ認証の詳細を RADIUS およびローカル データベースの両方に追加する場合は、[RADIUS とローカル]をクリックします。

既存の AAA 方式リストを選択してください

ルータに設定されているすべての方式リストからリストを選択するには、[既存の AAA 方式リストを選択してください]をクリックします。

選択した方式リストは、拡張認証に使用されます。

ユーザ クレデンシャルの追加

ユーザ アカウントを追加する場合は、[ユーザ クレデンシャルの追加]をクリックします。

要約

[RADIUS]を選択すると、[要約]ボックスが表示されます。このボックスでは、RADIUS およびローカル データベースの使用方法、および Easy VPN リモート ユーザにパスワードの期限切れを通知できることが説明されます。

[パスワードの期限切れをリモート ユーザに通知します。]― このオプションは、デフォルトで選択されています。有効になっている場合は、パスワードの期限が切れたときに Easy VPN サーバからユーザに通知が送られ、新たなパスワードの入力が要求されます。

XAuth のユーザ アカウント

IKE がデバイスを認証した後に認証するユーザのアカウントを追加します。

フィールド リファレンス

表14-5 に、この画面のフィールドの説明を示します。

 

表14-5 XAuth のユーザ アカウントのフィールド

項目
説明

ユーザ アカウント

このボックスには、XAuth が認証するユーザ アカウントがリスト表示されます。アカウント名と権限レベルを表示できます。

追加

編集

これらのボタンを使用して、ユーザ アカウントを追加および編集します。ユーザ アカウントの削除は、[追加タスク]>[ルータ アクセス]の順にクリックすると表示される[ユーザ アカウント/表示]ウィンドウで行います。


) 既存の CLI ビューのユーザ アカウントをこのウィンドウから編集することはできません。ユーザ アカウントを編集する必要がある場合は、[追加タスク]>[ルータ アクセス]>[ユーザ アカウント/CLI ビュー]の順に選択します。


RADIUS サーバの追加

このウィンドウでは、新しい RADIUS サーバの追加、既存の RADIUS サーバに対する編集または ping の実行ができます。

フィールド リファレンス

表14-6 に、この画面のフィールドの説明を示します。

 

表14-6 RADIUS サーバの追加のフィールド

項目
説明

追加

新しい RADIUS サーバを追加します。

編集

既存の RADIUS サーバ設定を編集します。

Ping

既存の RADIUS サーバ、または新しく設定された RADIUS サーバに対して ping を実行します。

グループ許可:ユーザ グループ ポリシー

このウィンドウでは、ローカル データベースのユーザ グループ ポリシーの追加、編集、複製、または削除ができます。

フィールド リファレンス

表14-7 に、この画面のフィールドの説明を示します。

 

表14-7 ユーザ グループ ポリシーのフィールド

項目
説明
グループ ポリシー リスト エリア

選択

この Easy VPN サーバ接続を使用するグループの横にあるこのカラムのチェック ボックスを選択します。

グループ名

このユーザ グループの名前です。

プール

IP アドレス プールの名前です。このグループから接続するユーザには、このプールから IP アドレスが割り当てられます。

DNS

グループのドメイン ネーム システム(DNS)アドレスです。

この DNS アドレスは、このグループに接続するユーザに「プッシュ」されます。

WINS

グループの Windows Internet Naming Service(WINS)アドレスです。

この WINS アドレスは、このグループに接続するユーザに「プッシュ」されます。

ドメイン名

グループのドメイン名です。

このドメイン名は、このグループに接続するユーザに「プッシュ」されます。

スプリット ACL

スプリット トンネリングの目的で保護されるサブネットを示すアクセス コントロール リスト(ACL)です。

アイドル タイマの設定

アイドル タイマ

[アイドル タイマの設定]チェック ボックスを選択し、VPN トンネルが切断されるまでアイドル状態を維持できる最長時間の値を入力します。左のフィールドには時、中央のフィールドには分、右のフィールドには秒を入力します。許可されている最短時間は 1 分です。

アイドル状態の VPN トンネルを切断すると、未使用のリソースが回収されて、Easy VPN サーバが、より効率的に実行されるようになります。

全般の情報

このウィンドウでは、グループ ポリシーの設定、編集、および複製ができます。

フィールド リファレンス

表14-8 に、この画面のフィールドの説明を示します。

 

表14-8 全般の情報のフィールド

項目
説明

このグループの名前を入力してください

表示されているフィールドにグループ名を入力します。そのグループ ポリシーが編集中である場合、このフィールドは無効になっています。グループ ポリシーを複製中である場合は、このフィールドに新しい値を入力する必要があります。

事前共有キー

表示されているフィールドに事前共有キーを入力します。

[現在のキー]フィールドは変更できません。


) グループ認証にデジタル証明書を使用している場合は、事前共有キーを入力する必要はありません。ユーザ認証にもデジタル証明書が使用されます。


プール情報

IP アドレスをクライアントに割り当てるときに使用される IP アドレスのローカル プールを指定します。

[新しいプールの作成]―[IP アドレス範囲]フィールドに、ローカル IP アドレス プールの IP アドレスの範囲を入力します。

[既存のプールから選択]― 既存の IP アドレスのプールから IP アドレスの範囲を選択します。


) 定義済みの IP アドレス プールがない場合、このフィールドは編集できません。


サブネット マスク(オプション)

送信するサブネット マスクと、このグループのクライアントに割り当てられた IP アドレスを入力します。

最大接続許可数

このグループから Easy VPN サーバへのクライアント接続の最大数を指定します。Cisco CP は、グループごとに最大 5,000 の接続をサポートします。

DNS/WINS 設定

このウィンドウでは、ドメイン ネーム サービス(DNS)および Windows Internet Naming Service(WINS)の情報を指定できます。

フィールド リファレンス

表14-9 に、この画面のフィールドの説明を示します。

 

表14-9 DNS/WINS 設定のフィールド

項目
説明

DNS

表示されているフィールドに、プライマリおよびセカンダリ DNS サーバの IP アドレスを入力します。セカンダリ DNS サーバ アドレスの入力はオプションです。

WINS

表示されているフィールドに、プライマリおよびセカンダリ WINS サーバの IP アドレスを入力します。セカンダリ WINS サーバ アドレスの入力はオプションです。

ドメイン名

Easy VPN クライアントにプッシュするドメイン名を指定します。

スプリット トンネリング

このウィンドウでは、追加するユーザ グループのスプリット トンネリングを有効にできます。

スプリット トンネリングとは、中央サイトへの安全なトンネルと、インターネットへのクリア テキスト トンネルを同時に確立できる機能です。たとえば、クライアントから発信されるトラフィックはすべて VPN トンネル経由で宛先サブネットに送信されます。

また、スプリット トンネリングで保護されるサブネットを示す ACL のグループも指定できます。

フィールド リファレンス

表14-10 に、この画面のフィールドの説明を示します。

 

表14-10 スプリット トンネリングのフィールド

項目
説明

スプリット トンネリングの有効化

このボックスでは、スプリット トンネリングで保護されるサブネットおよび ACL を追加できます。

[保護されるサブネットの入力]― パケットが VPN クライアントからトンネルされるサブネットを追加または削除します。

[スプリット トンネリングの ACL の選択]― スプリット トンネリングに使用する ACL を選択します。

スプリット DNS

ネットワークの DNS サーバで解決するインターネットのドメイン名を入力してください。これには、次の制限が課されます。

許可されるエントリは最大 10 件です。

エントリはカンマで区切る必要があります。

エントリのリストでは、どこにもスペースを使用しないでください。

重複するエントリや形式が無効なエントリは受け入れられません。


) この機能が表示されるのは、使用する Cisco サーバの IOS リリースによってサポートされる場合だけです。


クライアント設定

このウィンドウでは、セキュリティ ポリシーの属性を追加で設定できます。たとえば、バックアップ サーバ、ファイアウォールの Are-U-There、ローカル LAN を含むなどの属性を追加または削除できます。


) 次の機能の一部は、使用する Cisco サーバの IOS リリースによってサポートされる場合しか表示されません。


フィールド リファレンス

表14-11 に、この画面のフィールドの説明を示します。

 

表14-11 クライアント設定のフィールド

項目
説明

バックアップ サーバ

Easy VPN サーバのバックアップとして最大 10 のサーバを IP アドレスまたはホスト名で指定できます。このリストを並べ替えて、Easy VPN サーバへのプライマリ接続が失敗した場合にルータが最初に接続するサーバを指定することができます。

[追加]― プライマリ接続が失敗したときにルータが接続する Easy VPN サーバの名前または IP アドレスを指定する場合は、[追加]をクリックします。表示されたウィンドウに、アドレスまたはホスト名を入力します。

[削除]― 指定した IP アドレスまたはホスト名を削除する場合は、[削除]をクリックします。

コンフィギュレーション プッシュ

URL とバージョン番号を使用して、Easy VPN クライアントのコンフィギュレーション ファイルを指定できます。Easy VPN サーバが、その URL とバージョン番号を、その情報を要求する Easy VPN ハードウェア クライアントに送信します。このウィンドウで入力する URL とバージョン番号を要求できるのは、設定しているグループ ポリシーに属する Easy VPN ハードウェア クライアントだけです。

[URL]フィールドには、コンフィギュレーション ファイルの URL を入力します。入力する URL は、適切なプロトコルで始まっている必要があり、ユーザ名とパスワードを入れることができます。次に示すのは、sdm.exe というアップグレード ファイルをダウンロードする場合の URL の例です。

http://username:password@www.cisco.com/go/vpn/sdm.exe

https://username:password@www.cisco.com/go/vpn/sdm.exe

ftp://username:password@www.cisco.com/go/vpn/sdm.exe

tftp://username:password@www.cisco.com/go/vpn/sdm.exe

scp://username:password@www.cisco.com/go/vpn/sdm.exe

rcp://username:password@www.cisco.com/go/vpn/sdm.exe

コンフィギュレーション プッシュ

cns:

xmodem:

ymodem:

null:

flash:sdm.exe

nvram:sdm.exe

usbtoken[0-9]:sdm.exe

USB トークンのポート番号の範囲は 0 ~ 9 です。たとえば、USB ポート 0 に接続する USB トークンの場合、その URL は usbtoken0:sdm.exe となります。

usbflash[0-9]:sdm.exe

USB フラッシュのポート番号の範囲は 0 ~ 9 です。たとえば、USB ポート 0 に接続する USB フラッシュの場合、その URL は usbflash0:sdm.exe となります。

disk[0-1]:sdm.exe

ディスク番号は 0 か 1 です。たとえば、ディスク番号 0 の場合、その URL は disk0:sdm.exe となります。

archive:sdm.exe

tar:sdm.exe

system:sdm.exe

上記の例の username はサイトのユーザ名、 password はサイトのパスワードです。

[バージョン]フィールドには、ファイルのバージョン番号を入力します。バージョン番号は、1 ~ 32,767 の範囲内にする必要があります。

ブラウザ プロキシ

Easy VPN ソフトウェア クライアントのブラウザ プロキシ設定を指定できます。Easy VPN サーバが、そのブラウザ プロキシ設定を、その情報を要求する Easy VPN ソフトウェア クライアントに送信します。このウィンドウで入力するブラウザ プロキシ設定を要求できるのは、設定しているグループ ポリシーに属する Easy VPN ソフトウェア クライアントだけです。

ブラウザ プロキシ設定の保存名を入力して、ドロップダウン メニューから、次のいずれかを選択します。

既存の設定を選択...

既存のブラウザ プロキシ設定が一覧表示されたウィンドウが開きます。

新しい設定を作成して選択...

新しいブラウザ プロキシ設定を作成できるウィンドウが開きます。

なし

グループに割り当てられたブラウザ プロキシ設定がクリアされます。

ファイアウォールの Are-U-There

Black Ice または Zone Alarm のパーソナル ファイアウォールが稼働しているクライアントにのみ VPN 接続を許可することができます。

ローカル LAN を含む

スプリット トンネリングでない接続が、クライアントと同時にローカル サブネットワークにアクセスできるようにすることができます。

Perfect Forward Secrecy(PFS)

使用している IPSec セキュリティ アソシエーションに PFS が必要な場合は、これを有効にします。

ブラウザ プロキシ設定の選択

ドロップダウン リストから、グループに関連付けるブラウザ プロキシ設定を選択します。

フィールド リファレンス

表14-12 に、この画面のフィールドの説明を示します。

 

表14-12 ブラウザ プロキシ設定の選択

項目
説明

プロキシ設定

グループに関連付ける設定を選択します。

ブラウザ プロキシ設定の追加または編集

このウィンドウでは、ブラウザ プロキシ設定の追加または編集ができます。

フィールド リファレンス

表14-13 に、この画面のフィールドの説明を示します。

 

表14-13 ブラウザ プロキシ設定のフィールド

項目
説明

ブラウザ プロキシ設定名

ブラウザ プロキシ設定を追加する場合は名前を入力します。ここで入力した名前が、ブラウザ プロキシ設定を一覧表示するドロップダウン メニューに表示されます。ブラウザ プロキシ設定を編集する場合、この名前フィールドは読み取り専用です。

プロキシ設定

次のいずれかを選択します。

プロキシ サーバを使用しない

このグループのクライアントが VPN トンネルを使用している場合には、プロキシ サーバを使用 させません

設定を自動的に検出する

このグループのクライアントが VPN トンネルを使用している場合には、プロキシ サーバを自動的に検出させます。

プロキシを手動で設定する

このグループのクライアントでは、プロキシ サーバを手動で設定します。このオプションを選択する場合、このヘルプ トピックのプロキシ サーバを手動で設定する手順を実行します。

プロキシ サーバの手動設定

[プロキシを手動で設定する]を選択した場合は、次の手順に従ってプロキシ サーバを手動で設定します。


ステップ 1 [サーバの IP アドレス]フィールドに、プロキシ サーバの IP アドレスを入力します。

ステップ 2 [ポート]フィールドに、プロキシ サーバがプロキシ要求を受信する際に使用するポート番号を入力します。

ステップ 3 プロキシ サーバをクライアントが使用 しない IP アドレスのリストを入力します。

アドレスはカンマで区切って入力し、スペースは入力しないでください。

ステップ 4 ローカル(LAN)アドレスに対して、クライアントがプロキシ サーバを使用しないようにする場合は、[ローカル アドレスのプロキシ サーバをバイパスする]チェック ボックスを選択します。

ステップ 5 [OK]をクリックして、ブラウザ プロキシ設定を保存します。


 

ユーザ認証(XAuth)

ここでは、グループ ロックやパスワードの保存属性などのユーザ認証の属性を追加で設定できます。

フィールド リファレンス

表14-14 に、この画面のフィールドの説明を示します。

 

表14-14 ユーザ認証(XAuth)のフィールド

項目
説明

XAuth バナー

XAuth 要求時にユーザに表示するバナーのテキストを入力してください。


) この機能が表示されるのは、使用する Cisco サーバの IOS リリースによってサポートされる場合だけです。


ユーザあたりの最大許容ログイン数

ユーザが一度に確立できる接続の最大数を指定します。Cisco CP は、ユーザごとの最大ログイン数を 10 までサポートします。

グループ ロック

指定したユーザ グループのみから Easy VPN サーバに接続するようにクライアントを制限できます。

パスワードの保存

拡張認証ユーザ名およびパスワードを Easy VPN クライアントにローカルに保存できます。

クライアント アップデート

このウィンドウでは、クライアントのソフトウェアまたはファームウェアのアップデートに関する通知を設定でき、既存のクライアント アップデート エントリが表示されます。既存のクライアント アップデート エントリを選択して、編集または削除できます。

新規または編集されたクライアント アップデート設定が保存されたら、サーバに接続するクライアントに対して、通知が自動的に送信されます。すでに接続されているクライアントでは、手動通知が必要です。入手可能なアップデートに関する IKE 通知を手動で送信するには、[グループ ポリシー]ウィンドウでグループ ポリシーを選択して[アップデートの送信]ボタンをクリックします。クライアント アップデートの条件を満たしたグループ クライアントに通知が送信されます。


) [クライアント アップデート]ウィンドウが有効なのは、使用する Cisco サーバの IOS リリースによってサポートされる場合だけです。


フィールド リファレンス

表14-15 に、この画面のフィールドの説明を示します。

 

表14-15 クライアント アップデートのフィールド

項目
説明

クライアントのタイプ

リビジョンの対象となるクライアントのタイプが表示されます。

バージョン

どのリビジョンが有効かが表示されます。

URL カラム

リビジョンの場所が表示されます。

追加ボタン

新しいクライアント アップデート エントリを設定する場合にクリックします。

編集ボタン

指定したクライアント アップデート エントリを編集する場合にクリックします。

削除ボタン

指定したクライアント アップデート エントリを削除する場合にクリックします。

クライアント アップデート エントリの追加または編集

このウィンドウでは、新しいクライアント アップデート エントリを設定できます。

フィールド リファレンス

表14-16 に、この画面のフィールドの説明を示します。

 

表14-16 クライアント アップデート エントリの追加または編集のフィールド

項目
説明

クライアントのタイプ

クライアントのタイプを入力するか、ドロップダウン メニューから選択します。クライアントのタイプ名は大文字と小文字を区別します。

ソフトウェア クライアントの場合、クライアントのタイプは通常、 Windows などのオペレーティング システムです。ハードウェア クライアントの場合、クライアントのタイプは通常、 vpn3002 などのモデル番号です。

クライアント アップデート エントリを編集する場合、クライアントのタイプは読み取り専用です。

URL

ソフトウェアまたはファームウェアの最新リビジョンにアクセスする URL を入力します。入力する URL は、適切なプロトコルで始まっている必要があり、ユーザ名とパスワードを入れることができます。

次に示すのは、vpnclient-4-6.exe というアップグレード ファイルをダウンロードする場合の URL の例です。

http://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe

https://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe

ftp://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe

tftp://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe

scp://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe

rcp://username:password@www.cisco.com/go/vpn/vpnclient-4.6.exe

cns:

xmodem:

ymodem:

null:

flash:vpnclient-4.6.exe

nvram:vpnclient-4.6.exe

usbtoken[0-9]:vpnclient-4.6.exe

USB トークンのポート番号の範囲は 0 ~ 9 です。たとえば、USB ポート 0 に接続する USB トークンの場合、その URL は usbtoken0:vpnclient-4.6.exe となります。

usbflash[0-9]:vpnclient-4.6.exe

USB フラッシュのポート番号の範囲は 0 ~ 9 です。たとえば、USB ポート 0 に接続する USB フラッシュの場合、その URL は usbflash0:vpnclient-4.6.exe となります。

disk[0-1]:vpnclient-4.6.exe

ディスク番号は 0 か 1 です。たとえば、ディスク番号 0 の場合、その URL は disk0:vpnclient-4.6.exe となります。

archive:vpnclient-4.6.exe

tar:vpnclient-4.6.exe

system:vpnclient-4.6.exe

上記の例の username はサイトのユーザ名、 password はサイトのパスワードです。

バージョン

最新アップデートのリビジョン番号を入力します。カンマで区切れば複数のリビジョン番号を入力できます(例: 4.3,4.4,4.5 )。スペースは使用しないでください。

Cisco Tunneling Control Protocol

Cisco Tunneling Control Protocol( cTCP)を使用することで、VPN クライアントは標準 ESP プロトコル(ポート 50)または IKE プロトコル( UDP ポート 500)が許可されていない環境で動作できます。さまざまな理由により、ファイアウォールが ESP または IKE トラフィックを許可せず、VPN 通信をブロックすることがあります。cTCP は、ESP または IKE トラフィックを TCP ヘッダーにカプセル化してファイアウォールから見えないようにすることによって、この問題を解決します。

フィールド リファレンス

表14-17 に、この画面のフィールドの説明を示します。

 

表14-17 Cisco Tunneling Control Protocol

項目
説明

cTCP の有効化

Easy VPN サーバでこのプロトコルを有効にするには、[cTCP の有効化]を選択します。

ポート番号の指定

Easy VPN サーバがクライアントからの cTCP 要求をリッスンする必要のあるポート番号を指定します。最大 10 個のポート番号を追加できます。各エントリはカンマを使用して区切ります。たとえば、3 つのポート エントリは次のように指定します。1000,3000,4000

要約

このウィンドウには、作成した Easy VPN サーバ設定が表示されます。この設定は保存できます。このウィンドウで設定を確認し、必要な場合は、[戻る]ボタンをクリックして任意の項目を変更できます。

[完了]ボタンをクリックすると、ルータの実行コンフィギュレーションに情報が書き込まれます。トンネルが自動モードで機能するように設定されている場合、さらにルータは VPN コンセントレータまたはサーバに接続しようとします。

後で Easy VPN サーバ設定を変更する場合は、[Easy VPN サーバの編集]パネルで変更できます。

この設定をルータの実行コンフィギュレーションに保存してウィザードを終了するには、[完了]をクリックします。変更はすぐに有効になります。

 

表14-18 要約のボタン

項目
説明

設定後の VPN 接続テスト

設定した VPN 接続をテストする場合にクリックします。テストの結果は別のウィンドウに表示されます。

ブラウザ プロキシ設定

このウィンドウにはブラウザ プロキシ設定が一覧表示され、それぞれどのように設定されているかが示されます。ブラウザ プロキシ設定の追加、編集または削除ができます。グループ ポリシーの設定を使用して、ブラウザ プロキシ設定をクライアント グループに関連付けます。

フィールド リファレンス

表14-19 に、この画面のフィールドの説明を示します。

 

表14-19 ブラウザ プロキシ設定のフィールド

項目
説明

名前

ブラウザ プロキシ設定の名前です。

設定

次のいずれかが表示されます。

プロキシ サーバを使用しない

VPN トンネル経由で接続するクライアントでは、プロキシ サーバを使用できません。

設定を自動的に検出する

クライアントがプロキシ サーバを自動的に検出しようとします。

プロキシを手動で設定する

設定は手動で設定します。

サーバの詳細

使用されているプロキシ サーバの IP アドレスとポート番号が表示されます。

ローカル アドレスの
バイパス

これが設定されていると、ローカル(LAN)アドレスに対して、クライアントがプロキシ サーバを使用しないようになります。

例外リスト

プロキシ サーバをクライアントが使用 しない IP アドレスのリストです。

追加ボタン

新しいブラウザ プロキシ設定を設定します。

編集ボタン

指定したブラウザ プロキシ設定を編集します。

削除ボタン

指定したブラウザ プロキシ設定を削除します。ブラウザ プロキシ設定は、1 つまたは複数のグループ ポリシーに関連付けられていると、その関連付けを削除してからでないと削除 できません

Easy VPN サーバ接続の編集

Easy VPN サーバ接続を編集するには、次の手順に従ってください。


ステップ 1 Cisco CP の機能バーで、[設定]>[セキュリティ]>[VPN]の順にクリックします。

ステップ 2 [VPN]ツリーで、[Easy VPN サーバ]をクリックします。

ステップ 3 [Easy VPN サーバの編集]をクリックします。

ステップ 4 編集する VPN サーバ接続を選択します。

ステップ 5 [編集]をクリックします。次に、表示されたダイアログで設定を変更します。

ステップ 6 [OK]をクリックしてダイアログを閉じ、変更をルータに送信します。

ステップ 7 [設定の編集]画面で[コマンドをルータに配信する前にプレビューする]を選択した場合は、送信する Cisco IOS CLI コマンドが表示されます。ルータに設定を送信する場合は[配信]を、この設定を破棄する場合は[キャンセル]をクリックします。


 

Easy VPN サーバの編集のリファレンス」で、設定画面を説明します。

Easy VPN サーバの編集のリファレンス

このセクションの各トピックでは、Easy VPN サーバの編集画面について説明します。

Easy VPN サーバの編集

Easy VPN サーバ接続の追加/編集

アクセスの制限

グループ ポリシーの設定

IP プール

IP ローカル プールの追加/編集

IP アドレス範囲の追加

Easy VPN サーバの編集

このウィンドウでは Easy VPN サーバ接続を表示および管理できます。

フィールド リファレンス

表14-20 に、この画面のフィールドの説明を示します。

 

表14-20 Easy VPN サーバの編集のフィールド

項目
説明

追加

新しい Easy VPN サーバを追加する場合は[追加]をクリックします。

編集

既存の Easy VPN サーバ設定を編集する場合は、[編集]をクリックします。

削除

指定した設定を削除する場合は、[削除]をクリックします。

名前

この接続に関連付けられている IPSec ポリシーの名前です。

インターフェイス

この接続で使用されているインターフェイスの名前です。

グループ許可

グループ ポリシー検索に使用する方式リストの名前です。

ユーザ認証カラム

ユーザ認証検索に使用する方式リストの名前です。

モード設定

次のいずれかが表示されます。

開始

ルータは、Easy VPN リモート クライアントとの接続を開始するように設定されています。

応答

ルータは、Easy VPN リモート クライアントからの要求を待って接続を確立するように設定されています。

VPN サーバのテスト ボタン

選択した VPN トンネルをテストする場合にクリックします。テストの結果は別のウィンドウに表示されます。

アクセスの制限ボタン

このボタンをクリックすると、指定した Easy VPN サーバ接続へのグループ アクセスが制限されます。

このボタンが有効になるのは、次の条件が両方とも満たされた場合だけです。

ユーザ認証用にローカル データベースを使用している Easy VPN サーバ接続が複数ある。

設定されているローカル グループ ポリシーが 1 つ以上ある。

Easy VPN サーバ接続の追加/編集

このウィンドウでは、Easy VPN サーバ接続を追加または編集できます。

フィールド リファレンス

表14-21 に、この画面のフィールドの説明を示します。

 

表14-21 Easy VPN サーバ接続のフィールド

項目
説明

インターフェイスの選択

接続の追加中は、使用するインターフェイスをこのリストから選択します。接続を編集中は、このリストは無効になります。

IPSec ポリシーの選択

接続の追加中は、使用する IPSec ポリシーをこのリストから選択します。接続を編集中は、このリストは無効になります。

グループ ポリシー検索の方式リスト

グループ ポリシー検索に使用する方式リストをこのリストから選択します。方式リストは、Cisco CP タスクバーの[追加タスク]をクリックし、次に AAA ノードをクリックする方法で設定します。

ユーザ認証の有効化

ユーザに認証を受けさせる場合は、このチェック ボックスを選択します。

ユーザ認証の方式リスト

ユーザ認証に使用する方式リストをこのリストから選択します。方式リストは、Cisco CP タスクバーの[追加タスク]をクリックし、次に AAA ノードをクリックする方法で設定します。

モード設定

ルータと Easy VPN リモート クライアントとの接続を開始する場合は、[開始]を選択します。

Easy VPN リモート クライアントからの要求を待ってルータの接続を確立する場合は、[応答]を選択します。

アクセスの制限

このウィンドウでは、どのグループ ポリシーが Easy VPN 接続の使用を許可されるか指定できます。

フィールド リファレンス

表14-22 に、この画面のフィールドの説明を示します。

 

表14-22 アクセスの制限のフィールド

項目
説明

アクセスの制限

この Easy VPN 接続に対するアクセス制限を有効にするには、[アクセスの制限]をクリックします。

チェック ボックス

Easy VPN サーバ接続へのグループ アクセスを許可するには、そのチェック ボックスを選択します。Easy VPN サーバ接続へのグループ アクセスを拒否するには、そのチェック ボックスの選択を解除します。

グループ ポリシーの設定

このウィンドウでは、グループ ポリシーの表示、追加および複製と、編集または削除するポリシーの選択ができます。グループ ポリシーは、Easy VPN リモート クライアントのリソースの識別に使用されます。

フィールド リファレンス

表14-23 に、この画面のフィールドの説明を示します。

 

表14-23 グループ ポリシーの設定のフィールド

項目
説明

共有プール

既存のプールを、使用するすべてのグループ ポリシーの共有プールとして指定する場合は、[共有プール]をクリックします。ローカル プールが設定されていない場合、このボタンは無効になります。プールは、[追加タスク]>[ローカル プール]をクリックして設定できます。Easy VPN サーバ接続の設定中に設定することもできます。

追加

編集

複製

削除

これらのボタンを使用して、ルータのグループ ポリシーを管理します。[複製]をクリックすると、グループ ポリシーの編集タブが表示されます。

アップデートの送信

選択したグループのアクティブなクライアントに、ソフトウェアまたはファームウェアのアップデートに関する IKE 通知を送信する場合にクリックします。このボタンが無効の場合、選択したグループには、クライアント アップデートが設定されていません。

選択したグループにクライアント アップデート通知を設定するには、[編集]ボタンをクリックして[クライアント アップデート]タブをクリックします。

グループ名

グループ ポリシーの名前です。

プール

このグループのクライアントで使用される IP アドレス プールです。

DNS

このグループのクライアントで使用される DNS サーバです。

WINS

このグループのクライアントで使用される WINS サーバです。

ドメイン名

このグループのクライアントで使用されるドメイン名です。

ACL

このグループでスプリット トンネリングが指定されている場合、このカラムには、暗号化するトラフィックを定義する ACL の名前が含まれている可能性があります。

詳細ウィンドウ

[詳細]ウィンドウは、選択したグループ ポリシーのフィーチャ セットおよびその値のリストです。フィーチャ セットが表示されるのは、使用する Cisco ルータの IOS リリースによってサポートされる場合だけであり、その設定は選択したグループにしか適用されません。リストに表示されることのあるフィーチャ セットは次のとおりです。

 

[認証]― 事前共有キーが設定されている場合は事前共有キー、設定されていない場合はデジタル証明書が、値に示されます。

 

[最大接続許可数]― 許可される同時接続の最大数を示します。Cisco CP は、グループごとに最大 5,000 の接続をサポートします。

 

[アクセスの制限]― 指定したグループが制限されている外部インターフェイスが表示されます。

 

[バックアップ サーバ]― 設定されているバックアップ サーバの IP アドレスが表示されます。

 

[ファイアウォールの Are-U-There]― Black Ice または Zone Alarm のファイアウォールを実行するデバイスへの接続が制限されます。

[ローカル LAN を含む]― スプリット トンネリングを使用 していない 接続が、クライアントと同時にローカル スタブ ネットワークにアクセスできるようになります。

[PFS](perfect forward secrecy; 完全転送秘密) ― IPSec には PFS が必須です。

[コンフィギュレーション プッシュ]、[URL]、および[バージョン]― サーバは、指定された URL から、指定されたバージョン番号のコンフィギュレーション ファイルをクライアントに送信します。

[グループ ロック]― クライアントは、指定のグループに制限されます。

[パスワードの保存]― Xauth クレデンシャルをクライアントに保存できます。

[最大ログイン数]― 同時に確立できる接続の最大数。Cisco CP は、ユーザごとの最大同時ログイン数を 10 までサポートします。

[XAuth バナー]― XAuth 要求中にクライアントに表示されるテキスト メッセージです。

IP プール

このウィンドウには、ルータに設定されているグループ ポリシーで使用可能な IP アドレス プールがリストされます。作業している Cisco CP のエリアに応じて、[追加]ボタン、[編集]ボタン、および[削除]ボタンを使用することができます。ウィンドウ名は作業している Cisco CP のエリアによって異なります。これらのボタンを使用してルータのローカル IP プールを管理できます。

フィールド リファレンス

表14-24 に、この画面のフィールドの説明を示します。

 

表14-24 IP プールのフィールド

項目
説明

プール名カラム

IP アドレス プールの名前です。

IP アドレス範囲

選択したプールの IP アドレスの範囲です。2.2.2.0 ~ 2.2.2.254 の範囲の 255 個のアドレスを提供します。

キャッシュ サイズ

このプールのキャッシュのサイズです。

グループ名

ローカル プールが CLI を使用したグループ オプションで設定されている場合、グループ名のカラムにはそのグループの名前が表示されます。このカラムは Cisco CP のすべてのエリアで表示されるわけではありません。


) Cisco CP を使用したグループ オプションでローカル プールを設定することはできません。


IP ローカル プールの追加/編集

このウィンドウでは、IP アドレスのローカル プールを作成または編集できます。

フィールド リファレンス

表14-25 に、この画面のフィールドの説明を示します。

 

表14-25 IP ローカル プールの追加/編集のフィールド

項目
説明

プール名

プールを作成している場合はプール名を入力します。プールを編集中は、このフィールドは無効になります。

IP アドレス範囲

このエリアでは、プールの IP アドレス範囲を入力または編集します。プールには、複数の IP アドレスの範囲を含めることができます。[追加]ボタン、[編集]ボタン、および[削除]ボタンを使用して、追加する範囲の作成、範囲の編集、IP アドレスの削除を行います。

キャッシュ サイズ

このフィールドではこのプールのキャッシュ サイズを入力または編集します。

IP アドレス範囲の追加

このウィンドウでは、既存のプールに IP アドレス範囲を追加できます。

フィールド リファレンス

表14-26 に、この画面のフィールドの説明を示します。

 

表14-26 IP アドレス範囲の追加のフィールド

項目
説明

開始 IP アドレス

範囲内の最小の IP アドレスを入力します。たとえば、10.10.10.1 から 10.10.10.254 の範囲を定義している場合、10.10.10.1 を入力します。

終了 IP アドレス

範囲内の最大の IP アドレスを入力します。たとえば、10.10.10.1 から 10.10.10.254 の範囲を定義している場合、10.10.10.254 を入力します。