Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド
VPN の IP アドレス
VPN の IP アドレス
発行日;2015/03/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

VPN の IP アドレス

IP アドレスの割り当てポリシーの設定

コマンドラインでの IPv4 アドレス割り当ての設定

コマンドラインでの IPv6 アドレス割り当ての設定

アドレス割り当て方式の表示

コマンドラインからの IPv4 アドレス割り当ての表示

コマンドラインからの IPv6 アドレス割り当ての表示

ローカル IP アドレス プールの設定

CLI を使用したローカル IPv4 アドレス プールの設定

CLI を使用したローカル IPv6 アドレス プールの設定

ASDM のグループ ポリシーに内部アドレス プールを割り当てます

AAA アドレッシングの設定

DHCP アドレッシングの設定

CLI を使用した DHCP アドレッシングの設定

ローカル ユーザへの IP アドレスの割り当て

VPN の IP アドレス

この章では、IP アドレスの割り当て方式について説明します。

インターネットワーク接続は、IP アドレスによって可能になります。IP アドレスは、送信者と受信者の両方に接続用の番号が割り当てられている必要があるという点で、電話番号に似ています。ただし、VPN では、実際には 2 セットのアドレスが存在します。最初のセットは、パブリック ネットワーク上でクライアントとサーバを接続します。この接続が確立されると、2 番目のセットが VPN トンネル経由でクライアントとサーバを接続します。

ASAのアドレス管理では、この IP アドレスの 2 番目のセットを扱います。これらのプライベート IP アドレスは、クライアントをトンネル経由でプライベート ネットワーク上のリソースに接続し、プライベート ネットワークに直接接続されているかのようなクライアント機能を提供します。また、ここでは、クライアントに割り当てられたプライベート IP アドレスのみを扱います。プライベート ネットワーク上のその他のリソースに割り当てられた IP アドレスは、VPN 管理ではなく、ネットワーク管理業務の一部に位置づけられます。したがって、ここで IP アドレスに言及する場合は、クライアントをトンネルのエンドポイントとして機能させる、プライベート ネットワークのアドレッシング方式で取得される IP アドレスを意味します。

この章は、次の項で構成されています。

「IP アドレスの割り当てポリシーの設定」

「ローカル IP アドレス プールの設定」

「AAA アドレッシングの設定」

「DHCP アドレッシングの設定」

IP アドレスの割り当てポリシーの設定

ASAでは、リモート アクセス クライアントに IP アドレスを割り当てる際に、次の 1 つ以上の方式を使用することができます。複数のアドレス割り当て方式を設定すると、ASAは IP アドレスが見つかるまで各オプションを検索します。デフォルトでは、すべての方式がイネーブルになっています。

aaa ユーザ単位で外部認証、認可、アカウンティング サーバからアドレスを取得します。IP アドレスが設定された認証サーバを使用している場合は、この方式を使用することをお勧めします。[Configuration] > [AAA Setup] ペインで AAA サーバを設定できます。この方法は IPv4 および IPv6 の割り当てポリシーに使用できます。

dhcp DHCP サーバから IP アドレスを取得します。DHCP を使用する場合は、DHCP サーバを設定する必要があります。また、DHCP サーバで使用可能な IP アドレスの範囲も定義する必要があります。この方法は IPv4 の割り当てポリシーに使用できます。

local : 内部的に設定されたアドレス プールは、最も設定が簡単なアドレス プール割り当て方式です。ローカルを選択する場合は、 ip-local-pool コマンドを使用して、使用する IP アドレスの範囲を定義する必要があります。この方法は IPv4 および IPv6 の割り当てポリシーに使用できます。

[Allow the reuse of an IP address so many minutes after it is released]:IP アドレスがアドレス プールに戻された後に、IP アドレスを再利用するまでの時間を指定します。遅延時間を設けることにより、IP アドレスがすぐに再割り当てされることによって発生する問題がファイアウォールで生じないようにできます。デフォルトでは、つまり、ASA は遅延時間を課しません。この設定要素は IPv4 の割り当てポリシーに使用できます。

次の方法のいずれかを使用して、IP アドレスをリモート アクセス クライアントに割り当てる方法を指定します。

コマンドラインでの IPv4 アドレス割り当ての設定

コマンドラインでの IPv6 アドレス割り当ての設定

コマンドラインでの IPv4 アドレス割り当ての設定

 

コマンド
目的

vpn-addr-assign {aaa | dhcp | local [reuse-delay minutes ]}

 

hostname(config)# vpn-addr-assign aaa

 

hostname(config)# vpn-addr-assign local reuse-delay 180

 

hostname(config)# no vpn-addr-assign dhcp

ASA のアドレス割り当て方式をイネーブルにして、IPv4 アドレスを VPN 接続に割り当てるときに使用します。IP アドレスを取得する使用可能な方式は、AAA サーバ、DHCP サーバ、またはローカル アドレス プールからの取得です。これらの方式はすべてデフォルトでイネーブルになっています。

ローカル IP アドレス プールの場合、IP アドレスが解放された後に 0 ~ 480 分間の IP アドレスの再使用を設定できます。

アドレス割り当て方式をディセーブルにするには、コマンドの no 形式を使用します。

コマンドラインでの IPv6 アドレス割り当ての設定

 

コマンド
目的

ipv6-vpn-addr-assign {aaa | local}

 

hostname(config)# ipv6-vpn-addr-assign aaa

 

hostname(config)# no ipv6-vpn-addr-assign local

ASA のアドレス割り当て方式をイネーブルにして、IPv6 アドレスを VPN 接続に割り当てるときに使用します。IP アドレスを取得する使用可能な方式は、AAA サーバまたはローカル アドレス プールからの取得です。これら両方の方式はデフォルトでイネーブルになっています。

アドレス割り当て方式をディセーブルにするには、コマンドの no 形式を使用します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

--

--

--

アドレス割り当て方式の表示

ASA で設定されているアドレス割り当て方式を表示するには、次のいずれかの方式を使用します。

コマンドラインからの IPv4 アドレス割り当ての表示

 

コマンド
目的

show running-config all vpn-addr-assign

 

hostname(config)# show running-config all vpn-addr-assign

設定されているアドレス割り当て方式を示します。設定されているアドレス方式は、aaa、dhcp、または local となります。

vpn-addr-assign aaa

vpn-addr-assign dhcp

vpn-addr-assign local

コマンドラインからの IPv6 アドレス割り当ての表示

 

コマンド
目的

show running-config all ipv6-vpn-addr-assign

 

hostname(config)# show running-config all ipv6-vpn-addr-assign

設定されているアドレス割り当て方式を示します。設定されているアドレス方式は、aaa または local となります。

ipv6-vpn-addr-assign aaa

ipv6-vpn-addr-assign local reuse-delay 0

ローカル IP アドレス プールの設定

VPN リモート アクセス トンネルに使用する IPv4 アドレス プールを設定するには、グローバル コンフィギュレーション モードで ip local pool コマンドを入力します。アドレス プールを削除するには、このコマンドの no 形式を入力します。

VPN リモート アクセス トンネルに使用する IPv6 アドレス プールを設定するには、グローバル コンフィギュレーション モードで ipv6 local pool コマンドを入力します。アドレス プールを削除するには、このコマンドの no 形式を入力します。

ASA は、接続の接続プロファイルまたはグループ ポリシーに基づいてアドレス プールを使用します。プールの指定順序は重要です。接続プロファイルまたはグループ ポリシーに複数のアドレス プールを設定する場合、ASA はそれらを ASA に追加した順序で使用します。

ローカルでないサブネットのアドレスを割り当てる場合は、そのようなネットワーク用のルートの追加が容易になるように、サブネットの境界を担当するプールを追加することをお勧めします。

ローカル IP アドレス プールを設定するには、次のいずれかの方法を使用します。

「CLI を使用したローカル IPv4 アドレス プールの設定」

「CLI を使用したローカル IPv6 アドレス プールの設定」

CLI を使用したローカル IPv4 アドレス プールの設定

 

コマンド
目的

ステップ 1

vpn-addr-assign local

 
hostname(config)# vpn-addr-assign local

local 引数を指定して vpn-addr-assign コマンドを入力し、アドレス割り当て方式として IP アドレス プールを設定します。「コマンドラインでの IPv4 アドレス割り当ての設定」も参照してください。

ステップ 2

ip local pool poolname first_address--last_address mask mask

 

hostname(config)# ip local pool firstpool 10.20.30.40-10.20.30.50 mask 255.255.255.0

 

hostname(config)# no ip local pool firstpool

アドレス プールを設定します。このコマンドは、プールの名前を指定し、IPv4 アドレスとサブネット マスクの範囲を指定します。

最初の例では、 firstpool という名前で IP アドレス プールを設定しています。開始アドレスは 10.20.30.40 で、最終アドレスは 10.20.30.50 です。ネットワーク マスクは 255.255.255.0 です。

2 番目の例では、 firstpool という名前の IP アドレス プールを削除しています。

CLI を使用したローカル IPv6 アドレス プールの設定

 

コマンド
目的

ステップ 1

ipv6-vpn-addr-assign local

 
hostname(config)# ipv6-vpn-addr-assign local

local 引数を指定して ipv6-vpn-addr-assign コマンドを入力し、アドレス割り当て方式として IP アドレス プールを設定します。「コマンドラインでの IPv6 アドレス割り当ての設定」も参照してください。

ステップ 2

ipv6 local pool pool_name starting_address prefix_length number_of_addresses

 

hostname(config)# ipv6 local pool ipv6pool 2001:DB8::1/32 100

 

hostname(config)# no ipv6 local pool ipv6pool

アドレス プールを設定します。このコマンドは、プールに名前を指定し、開始 IPv6 アドレス、ビット単位のプレフィックス長、および範囲内で使用するアドレスの数を特定します。

最初の例では、 ipv6pool という名前で IP アドレス プールを設定しています。開始アドレスは 2001:DB8::1 、プレフィックス長は 32 ビット、プールで使用するアドレス数は 100 です。

2 番目の例では、 ipv6pool という名前の IP アドレス プールを削除しています。

ASDM のグループ ポリシーに内部アドレス プールを割り当てます

[Add or Edit Group Policy] ダイアログボックスでは、追加または編集している内部ネットワーク(クライアント)アクセス グループ ポリシーのトンネリング プロトコル、フィルタ、接続設定、およびサーバを指定できます。このダイアログボックスの各フィールドで、[Inherit] チェックボックスを選択すると、対応する設定の値をデフォルト グループ ポリシーから取得できます。[Inherit] は、このダイアログボックスの属性すべてのデフォルト値です。

同じグループ ポリシーで IPv4 と IPv6 両方のアドレス ポリシーを設定できます。同じグループ ポリシーに両方のバージョンの IP アドレスが設定されている場合、IPv4 に設定されたクライアントは IPv4 アドレス、IPv6 に設定されたクライアントは IPv6 アドレスを取得し、IPv4 アドレスと IPv6 アドレス両方に設定されたクライアントは IPv4 アドレスと IPv6 アドレス両方を取得します。


ステップ 1 ASDM を使用して ASA に接続し、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択します。

ステップ 2 新しいグループ ポリシーまたは内部アドレス プールで設定するグループ ポリシーを作成し、[Edit] をクリックします。

[General attributes] ペインは [group policy] ダイアログで、デフォルトで選択されています。

ステップ 3 [Address Pools] フィールドを使用して、このグループ ポリシーの IPv4 アドレス プールを指定します。[Select] をクリックし、IPv4 アドレス プールを追加または編集します。

ステップ 4 [IPv6 Address Pools] フィールドを使用して、このグループ ポリシーに使用する IPv6 アドレス プールを指定します。[Select] をクリックし、IPv6 アドレス プールを追加または編集します。

ステップ 5 [OK] をクリックします。

ステップ 6 [Apply] をクリックします。


 

AAA アドレッシングの設定

AAA サーバを使用して VPN リモート アクセス クライアントにアドレスを割り当てるには、まず AAA サーバまたは AAA サーバ グループを設定する必要があります。コマンド リファレンス で aaa-server protocol コマンドを参照してください。

また、ユーザは RADIUS 認証用に設定された接続プロファイルと一致している必要があります。

次の例は、firstgroup という名前のトンネル グループに、RAD2 という AAA サーバ グループを定義する方法を示しています。例の中に 1 つ余分な手順が入っていますが、これは以前にそのトンネル グループに名前を付け、トンネル グループ タイプを定義していた場合のためです。この手順が次の例に記載されているのは、これらの値を設定しない限り、後続の tunnel-group コマンドにアクセスできないので、注意を促すためです。

この例で作成されるコンフィギュレーションの概要は、次のとおりです。

hostname(config)# vpn-addr-assign aaa
hostname(config)# tunnel-group firstgroup type ipsec-ra
hostname(config)# tunnel-group firstgroup general-attributes
hostname(config-general)# authentication-server-group RAD2
 

IP アドレッシング用に AAA を設定するには、次の手順を実行します。


ステップ 1 アドレス割り当て方式として AAA を設定するには、 aaa 引数を指定して vpn-addr-assign コマンドを入力します。

hostname(config)# vpn-addr-assign aaa
hostname(config)#

 

ステップ 2 firstgroup というトンネル グループをリモート アクセスまたは LAN-to-LAN トンネル グループとして確立するには、 type キーワードを指定して tunnel-group コマンドを入力します。次の例では、リモート アクセス トンネル グループを設定しています。

hostname(config)# tunnel-group firstgroup type ipsec-ra
hostname(config)#
 

ステップ 3 一般属性コンフィギュレーション モードに入り、firstgroup というトンネル グループの AAA サーバ グループを定義するには、 general-attributes 引数を指定して tunnel-group コマンドを入力します。

hostname(config)# tunnel-group firstgroup general-attributes
hostname(config-general)#
 

ステップ 4 認証に使用する AAA サーバ グループを指定するには、 authentication-server-group コマンドを入力します。

hostname(config-general)# authentication-server-group RAD2
hostname(config-general)#
 

このコマンドには、この例で示すより多くの引数があります。詳細については、コマンド リファレンスを参照してください。


 

DHCP アドレッシングの設定

DHCP を使用して VPN クライアントのアドレスを割り当てるには、まず DHCP サーバ、およびその DHCP サーバで使用可能な IP アドレスの範囲を設定する必要があります。その後、接続プロファイル単位で DHCP サーバを定義します。また、オプションとして、該当の接続プロファイルまたはユーザ名に関連付けられたグループ ポリシー内に、DHCP ネットワーク スコープも定義できます。このスコープは、使用する IP アドレス プールを DHCP サーバに指定するための、IP ネットワーク番号または IP アドレスです。

次の例では、 firstgroup という名前の接続プロファイルに、IP アドレス 172.33.44.19 の DHCP サーバを定義しています。また、この例では、 remotegroup というグループ ポリシーに対して、192.86.0.0 という DHCP ネットワーク スコープも定義しています (remotegroup というグループ ポリシーは、firstgroup という接続プロファイルに関連付けられています)。ネットワーク スコープを定義しない場合、DHCP サーバはアドレス プールの設定順にプール内を探して IP アドレスを割り当てます。未割り当てのアドレスが見つかるまで、プールが順に検索されます。

次のコンフィギュレーションには、本来不要な手順が含まれています。これらは、以前にその接続プロファイルに名前を付け、接続プロファイル タイプをリモート アクセスとして定義していたり、グループ ポリシーに名前を付け、内部または外部として指定していた場合のためです。これらの手順が次の例に記載されているのは、これらの値を設定しない限り、後続の tunnel-group コマンドおよび group-policy コマンドにアクセスできないので、注意を促すためです。

注意事項と制約事項

IPv4 アドレスを使用して、クライアント アドレスを割り当てる DHCP サーバを識別できます。

CLI を使用した DHCP アドレッシングの設定

 

コマンド
目的

ステップ 1

vpn-addr-assign dhcp

アドレス割り当て方式として IP アドレス プールを設定します。 dhcp 引数を指定して vpn-addr-assign コマンドを入力します。「コマンドラインでの IPv4 アドレス割り当ての設定」も参照してください。

ステップ 2

tunnel-group firstgroup type remote-access

リモート アクセス接続プロファイルとして firstgroup という接続プロファイルを確立します。

type キーワードおよび remote-access 引数を指定して tunnel-group コマンドを入力します。

ステップ 3

tunnel-group firstgroup general-attributes

DHCP サーバを設定できるように、接続プロファイルの一般属性コンフィギュレーション モードを開始します。

general-attributes 引数を指定して tunnel-group コマンドを入力します。

ステップ 4

dhcp-server IPv4_address_of_DHCP_server
 
hostname(config-general)# dhcp-server 172.33.44.19

hostname(config-general)#

IPv4 アドレスで DHCP サーバを定義します。IPv6 アドレスで DHCP サーバを定義することはできません。接続プロファイルに複数の DHCP サーバ アドレスを指定できます。

dhcp-server コマンドを入力します。このコマンドを使用すると、VPN クライアントの IP アドレスを取得しようとしているときに指定した DHCP サーバに追加のオプションを送信するようにASAを設定できます。詳細については、『Cisco Security Appliance Command Reference』の dhcp-server コマンドを参照してください。

この例では、IP アドレス 172.33.44.19 の DHCP サーバを設定しています。

ステップ 5

hostname(config-general )# exit

hostname(config)#

トンネル グループ モードを終了します。

ステップ 6

hostname(config)# group-policy remotegroup internal

remotegroup という内部グループ ポリシーを作成します。

内部グループ ポリシーを作成するには、 internal 引数を指定して group-policy コマンドを入力します。

この例では、内部グループを設定しています。

ステップ 7

hostname(config)# group-policy remotegroup attributes
 
hostname(config)# group-policy remotegroup attributes
hostname(config-group-policy)#
 

(任意)グループ ポリシー属性コンフィギュレーション モードを開始し、DHCP サーバで使用する IP アドレスのサブネットワークを設定します。

attributes キーワードを指定して group-policy コマンドを入力します。

この例では、 remotegroup グループ ポリシーのグループ ポリシー属性コンフィギュレーション モードを開始しています。

ステップ 8

hostname(config-group-policy) # dhcp-network-scope 192.86.0.0
hostname(config-group-policy)#

(任意) remotegroup というグループ ポリシーのユーザにアドレスを割り当てるために DHCP サーバで使用する IP アドレスの範囲を指定するには、 dhcp-network-scope コマンドを入力します。

この例では、192.86.0.0 というネットワーク スコープを設定しています。

(注) dhcp-network-scope は、DHCP プールのサブセットではなく、ルーティング可能な IP アドレスである必要があります。DHCP サーバは、この IP アドレスが属するサブネットを判別し、そのプールからの IP アドレスを割り当てます。ルーティングの理由により、ASA のインターフェイスを dhcp-network-scope として使用することをお勧めします。任意の IP アドレスを dhcp-network-scope として使用できますが、ネットワークにスタティック ルートを追加する必要がある場合があります。

この例で作成されるコンフィギュレーションの概要は、次のとおりです。

hostname(config)# vpn-addr-assign dhcp
hostname(config)# tunnel-group firstgroup type remote-access
hostname(config)# tunnel-group firstgroup general-attributes
hostname(config-general)# dhcp-server 172.33.44.19
hostname(config-general)# exit
hostname(config)# group-policy remotegroup internal
hostname(config)# group-policy remotegroup attributes
hostname(config-group-policy)# dhcp-network-scope 192.86.0.0


 

ローカル ユーザへの IP アドレスの割り当て

グループ ポリシーを使用するようにローカル ユーザ アカウントを設定し、また AnyConnect 属性を設定することもできます。IP アドレスの他のソースに障害が発生した場合に、これらのユーザ アカウントがフォールバックを提供するので、管理者は引き続きアクセスできます。

ここでは、ローカル ユーザのすべての属性を設定する方法について説明します。

前提条件

この手順では、既存のユーザを編集する方法について説明します。ユーザを追加するには、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選択し、[Add] をクリックします。詳細については、一般的な操作のコンフィギュレーション ガイドを参照してください。

ユーザの編集

デフォルトでは、[Edit User Account] 画面の設定ごとに [Inherit] チェックボックスがオンになっています。つまり、ユーザ アカウントは、デフォルト グループ ポリシー DfltGrpPolicy のその設定の値を継承するということです。

各設定内容を上書きする場合は、[Inherit] チェックボックスをオフにし、新しい値を入力します。次の「手順の詳細」で、[Edit User Account] 画面の各設定について説明しています。

手順の詳細


ステップ 1 ASDM を開始し、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] を選択します。

ステップ 2 設定するユーザを選択し、[ Edit ] をクリックします。

[Edit User Account] 画面が開きます。

ステップ 3 左側のペインで、[VPN Policy] をクリックします。

ステップ 4 ユーザのグループ ポリシーを指定します。ユーザ ポリシーは、このグループ ポリシーの属性を継承します。この画面にデフォルト グループ ポリシーの設定を 継承するよう 設定されている他のフィールドがある場合、このグループ ポリシーで指定された属性がデフォルト グループ ポリシーの属性より優先されます。

ステップ 5 ユーザが使用できるトンネリング プロトコルを指定するか、グループ ポリシーから値を継承するかどうかを指定します。目的の [Tunneling Protocols] チェックボックスをオンにし、使用できる VPN トンネリング プロトコルを選択します。選択されたプロトコルのみが使用可能になります。次の選択肢があります。

(SSL/TLS を利用する VPN)クライアントレス SSL VPN では、Web ブラウザを使用して VPN コンセントレータへのセキュアなリモート アクセス トンネルを確立し、ソフトウェア クライアントもハードウェア クライアントも必要としません。クライアントレス SSL VPN を使用すると、HTTPS インターネット サイトを利用できるほとんどすべてのコンピュータから、企業の Web サイト、Web 対応アプリケーション、NT/AD ファイル共有(Web 対応)、電子メール、およびその他の TCP ベース アプリケーションなど、幅広い企業リソースに簡単にアクセスできるようになります。

SSL VPN クライアントは、Cisco AnyConnect Client アプリケーションのダウンロード後にユーザが接続できるようにします。ユーザは、最初にクライアントレス SSL VPN 接続を使用してこのアプリケーションをダウンロードします。ユーザが接続するたびに、必要に応じてクライアント アップデートが自動的に行われます。

[IPsec IKEv1]:IP セキュリティ プロトコル。IPsec は最もセキュアなプロトコルとされており、VPN トンネルのほぼ完全なアーキテクチャを提供します。Site-to-Site(ピアツーピア)接続、および Cisco VPN クライアントと LAN 間の接続の両方で IPsec IKEv1 を使用できます。

[IPsec IKEv2]:AnyConnect Secure Mobility Client 対応の IPsec IKEv2。IKEv2 を使用した IPsec による AnyConnect 接続では、SSL VPN 接続が使用できる同じ機能セットを利用できます。

L2TP over IPSec では、複数の PC やモバイル PC に採用されている一般的なオペレーティング システムに付属の VPN クライアントを使用するリモート ユーザが、パブリック IP ネットワークを介して ASA およびプライベート企業ネットワークへのセキュアな接続を確立できるようにします。


) プロトコルを選択しなかった場合は、エラー メッセージが表示されます。


ステップ 6 使用するフィルタ(IPv4 または IPv6)を指定するか、またはグループ ポリシーの値を継承するかどうかを指定します。フィルタは、ASAを経由して着信したトンネリングされたデータ パケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって、許可するか拒否するかを決定するルールで構成されます。フィルタおよびルールを設定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [General] > [More Options] > [Filter] を選択します。

[Manage] をクリックして、ACL と ACE を追加、編集、および削除できる [ACL Manager] ペインを表示します。

ステップ 7 接続プロファイル(トンネル グループ ロック)がある場合、それを継承するかどうか、または選択したトンネル グループ ロックを使用するかどうかを指定します。特定のロックを選択すると、ユーザのリモート アクセスはこのグループだけに制限されます。[Tunnel Group Lock] では、VPN クライアントで設定されたグループと、そのユーザが割り当てられているグループが同じかどうかをチェックすることによって、ユーザが制限されます。同一ではなかった場合、ASAはユーザによる接続を禁止します。[Inherit] チェックボックスがオフの場合、デフォルト値は [None] です。

ステップ 8 [Store Password on Client System] 設定をグループから継承するかどうかを指定します。[Inherit] チェックボックスをオフにすると、[Yes] および [No] のオプション ボタンが有効になります。[Yes] をクリックすると、ログオン パスワードがクライアント システムに保存されます(セキュリティが低下するおそれのあるオプションです)。接続ごとにユーザにパスワードの入力を求めるようにするには、[No] をクリックします(デフォルト)。セキュリティを最大限に確保するためにも、パスワードの保存は許可しないことを推奨します。

ステップ 9 このユーザに適用するアクセス時間ポリシーを指定する、そのユーザの新しいアクセス時間ポリシーを作成する、または [Inherit] チェックボックスをオンのままにします。デフォルトは [Inherit] です。また、[Inherit] チェックボックスがオフの場合のデフォルトは [Unrestricted] です。

[Manage] をクリックして、[Add Time Range] ダイアログボックスを開きます。このダイアログボックスでアクセス時間の新規セットを指定できます。

ステップ 10 ユーザによる同時ログオン数を指定します。Simultaneous Logons パラメータは、このユーザに指定できる最大同時ログオン数を指定します。デフォルト値は 3 です。最小値は 0 で、この場合ログオンが無効になり、ユーザ アクセスを禁止します。


) 最大値を設定して制限しておかないと、同時に多数の接続が許可されるため、セキュリティとパフォーマンスの低下を招くおそれがあります。


ステップ 11 ユーザ接続時間の 最大接続時間 を分で指定します。ここで指定した時間が経過すると、システムは接続を終了します。最短時間は 1 分、最長時間は 2147483647 分(4000 年超)です。接続時間を無制限にするには、[Unlimited] チェックボックスをオンにします(デフォルト)。

ステップ 12 ユーザのアイドル タイムアウトを分で指定します。この期間、このユーザの接続に通信アクティビティがなかった場合、システムは接続を終了します。最短時間は 1 分で、最長時間は 10080 分です。この値は、クライアントレス SSL VPN 接続のユーザには適用されません。

ステップ 13 セッション アラート間隔を設定します。[Inherit] チェックボックスをオフにすると、自動的に [Default] チェックボックスがオンになります。これにより、セッション アラート間隔が 30 分に設定されます。新しい値を指定する場合は、[Default] チェックボックスをオフにして、セッション アラート間隔(1 ~ 30 分)を分数ボックスで指定します。

ステップ 14 アイドル アラート間隔を設定します。[Inherit] チェックボックスをオフにすると、自動的に [Default] チェックボックスがオンになります。これにより、アイドル アラート間隔が 30 分に設定されます。新しい値を指定する場合は、[Default] チェックボックスをオフにして、セッション アラート間隔(1 ~ 30 分)を分数ボックスで指定します。

ステップ 15 このユーザに対して専用の IPv4 アドレスを設定する場合は、[Dedicated IPv4 Address] 領域(任意)で、IPv4 アドレスおよびサブネット マスクを入力します。

ステップ 16 このユーザに対して専用の IPv6 アドレスを設定する場合は、[Dedicated IPv6 Address] フィールド(任意)で、IPv6 アドレスを IPv6 プレフィックスとともに入力します。IPv6 プレフィックスは、IPv6 アドレスが常駐するサブネットを示します。

ステップ 17 クライアントレス SSL の設定を行う場合は、左側のペインで、[Clientless SSL VPN] をクリックします。各設定内容を上書きする場合は、[Inherit] チェックボックスをオフにし、新しい値を入力します。

ステップ 18 [Apply] をクリックします。

変更内容が実行コンフィギュレーションに保存されます。