ダウンロード

Cisco VPN 3000 シリーズコンセントレータ

データシート

Cisco VPN 3000 シリーズコンセントレータ

Cisco® VPN 3000 シリーズは、最高クラスのリモートアクセス VPN デバイスを提供し、柔軟性と信頼性に優れた高性能なリモートアクセスソリューションによって、以前には考えられなかったコスト節減を企業にもたらします。Cisco VPN 3000 シリーズは、IP Security（IPSec）および Secure Sockets Layer（SSL）ベースの VPN 接続を単一のプラットフォームで提供し、非常に多様なリモートアクセス展開に対応します。

様々な企業が VPN を利用して、パブリックネットワークインフラストラクチャ上に安全なエンドツーエンドのプライベートネットワークを構築し、通信費を削減しています。Cisco VPN 3000 シリーズは、1 台のプラットフォームで SSL VPN および IPSec VPN の両方を提供します。別途の機能ライセンス料は不要なので、パラレルな複数のリモートアクセスインフラストラクチャを展開する必要がなく、コスト効率に優れた代替手段となります。リモート接続の確立は、SSL 対応の Web ブラウザまたは VPN クライアントソフトウェアから行うことができ、柔軟性とアプリケーションのアクセス性が高められます。この一元管理型アーキテクチャにより、モバイルワーカー、在宅勤務者、エクストラネットユーザなど、多様なユーザコミュニティの存在する様々な展開シナリオにおいてきめ細かいアクセス制御が要求される場合にも、管理と実装を容易に行うことができます。

機能と利点

高性能で安全なリモートアクセスの利点を十分に活用するには、堅牢でアベイラビリティの高い VPN ソリューションが必要です。Cisco VPN 3000 コンセントレータソフトウェアバージョン 4.7 には、独自のリモートアクセス専用アーキテクチャによる先進的なハイアベイラビリティ機能が組み込まれており、企業のミッションクリティカルなリモートアクセスアプリケーションの要件に対応する、高性能で拡張性の高い堅牢な VPN インフラストラクチャを構築することができます。

Cisco VPN 3000 コンセントレータソフトウェアバージョン 4.7 の新機能としては、広範なアプリケーションアクセス、卓越したエンドポイントセキュリティ、データの完全性保護、先進的なインフラストラクチャアクセス、およびネットワーク適合の確認機能があります。

Cisco VPN 3000 シリーズの利点は、次のとおりです。

高度なエンドポイントセキュリティ - Cisco WebVPN v4.7 の主要コンポーネントである Cisco Secure Desktop は、接続に先立ってセキュリティポスチャの査定を実行し、一貫性のある信頼性の高い方式で重要データの痕跡を消します。セッションアクティビティのための安全な場所が提供され、クライアントシステム上の情報が削除されるので、SSL VPN セッションの終了後、クッキー、ブラウザ履歴、一時ファイル、およびダウンロード済みコンテンツがシステムに残りません。Secure Desktop 機能は、IPSec クライアント対応の Network Admission Control（NAC）と連携します。NAC はシスコ主導の業界イニシアチブであり、ネットワークのコンピューティングリソースにアクセスを試みるデバイスに対し、ネットワークインフラストラクチャによってセキュリティポリシーへの適合を強制実施します。また、この機能は、パーソナルファイアウォール検証のための IPSec クライアント対応の Are-You-There（AYT）サポートとも連携します。これら 3 つのソリューションは強力なエンドポイントセキュリティパッケージを構成し、機密データを保護するとともに、莫大な損害を引き起こすネットワーク攻撃への防衛手段となります。
SSL VPN による広範なアプリケーションサポート - Cisco VPN 3000 シリーズコンセントレータプラットフォームは、動的にダウンロードされる WebVPN 用の SSL VPN クライアントを通じて、広範なアプリケーションサポートを提供し、あらゆるアプリケーションへのネットワークレイヤ接続を可能にします。Citrix アプリケーションアクセスのためのクライアントレスサポートが提供され、VPN ユーザは標準の Web ブラウザを通じてネットワークリソースをシームレスかつ低いオーバーヘッドで利用できます。エクストラネットなど、アプリケーションアクセスの要件が限られた環境では、純粋なクライアントレスおよびシンクライアントのポート転送オプションを使用できます。
リモートエンドポイントのゼロタッチ管理による展開の簡素化 - Cisco VPN 3000 シリーズコンセントレータに組み込まれた Web ベースの管理機能では、簡素なインターフェイスによってすべてのリモートアクセスユーザを設定およびモニタすることができ、IPSec および SSL VPN の両方の環境を容易に管理できます。管理者はグループベースの管理機能を使用して、グループ別のセキュリティポリシーおよび認証方式を設定します。この機能は、企業の管理外のユーザやエンドポイントまでネットワークリソースを広げる場合に不可欠です。リモートアクセス VPN やサイト間 VPN では、リモートサイトでの設定作業で技術的なリソースが利用できない場合、展開の簡易性が重要です。Cisco Easy VPN ソリューション（Cisco Easy VPN Remote および Easy VPN Server で構成）は、中央サイトで定義したセキュリティポリシーをリモート VPN デバイスにプッシュし、最新のポリシーに適合していることを確認してから接続を確立します。それによって、サイト間 VPN およびリモートアクセス VPN に柔軟性、拡張性、および使用の簡易性をもたらします。
あらゆる展開シナリオに対応 - IPSec および SSL は、ユーザアクセスに関する固有のニーズに対応するための補完的な技術です。企業の多様なユーザベースのニーズを満たすには、これら両方が必要です。Cisco VPN 3000 シリーズコンセントレータは、IPSec および SSL VPN の両方をサポートしているので、様々なシナリオでネットワークにアクセスするユーザに対して最適な技術を選ぶことができます。その結果、1 つのプラットフォーム上での高度な柔軟性と広範なアプリケーションアクセスが可能になり、個別のインフラストラクチャを展開して管理する必要がなくなります。
ユーザ 1 人あたりのコストの低減 - コンセントレータプラットフォームは簡易なライセンス方式（特殊な機能のための追加ライセンスが不要）を特色としており、広範なテクノロジーとの組み合わせにより、他に類のないコスト節減およびユーザ単位での低価格を実現します。Cisco VPN 3000 シリーズコンセントレータは、あらゆる規模の企業のニーズに対応する拡張性を備えています。独自のマルチデバイスクラスタリング機能によって、企業規模の拡大に応じて、コスト効率よくリモートアクセスソリューションを拡張することができます。Cisco VPN 3000 シリーズのロードバランシング機能は、コンセントレータクラスタ上で自動的にリモートアクセス接続を均等に分散し、シングルポイントオブフェイラーをなくします。

SSL VPN - Cisco WebVPN

SSL VPN は、インターネットに接続できる場所ならどこからでも、Web ブラウザとそのネイティブの SSL 暗号化機能だけを使用して、ネットワークリソースへのリモートアクセスを提供します。VPN クライアントソフトウェアのインストールは不要です。Cisco VPN 3000 シリーズコンセントレータの Cisco WebVPN 機能を使用すれば、Web ページ、ファイル共有、E メール、クライアントサーバアプリケーションなど、あらゆるアプリケーションに SSL 対応セッションでアクセスできます。

社員、提携先、および管理外の PC に対するカスタマイズされたアプリケーションアクセス
Cisco WebVPN では、クライアントレス、シンクライアント、および SSL トンネリングのクライアントアクセス方式が提供され、社員、エクストラネット、および企業が管理しないデバイスなど、エンドシステムの環境に基づく適切なレベルのアプリケーションアクセスが可能です。SSL VPN Client for WebVPN は、中央から設定する軽量でサポートしやすい SSL VPN トンネリングクライアントであり、これによってあらゆるアプリケーションにアクセスできます。SSL VPN Client for WebVPN は、SSL 対応のすべてのブラウザと互換性があり、ActiveX、Java、または .exe ファイルのいずれかの方式で動的にユーザにプッシュされます。Cisco WebVPN のシンクライアントアクセスでは、ダウンロードした小容量の Java アプレットを使用するポート転送メカニズムが利用されます。ポート転送により、ローカルコンピュータ上のポートからのデータ要求が、ネットワーク側の対応するアプリケーションポートにリレーされます。そのため、Web ブラウザを使用する場合よりも多くのアプリケーションやネットワークリソースへのユーザアクセスが可能です。Cisco WebVPN のクライアントレスアクセスを使用する場合、基本的な Web ブラウザ以外はほとんど必要としないユーザ接続が実現され、Web サーバのほかに Outlook Web Access 2003 によってファイル共有、E メールなどのリソースにアクセスできます。

表 1 に、Cisco SSL VPN Client for WebVPN の機能を示します。

表 1 Cisco SSL VPN Client for WebVPN：ネットワークトンネリングクライアントによる幅広いアプリケーションアクセス

機能	説明
普遍的なアプリケーションアクセス	Cisco IP SoftPhone のアクセスや Voice over IP（VoIP）のサポートなど、SSL 上であらゆるクライアント機能を提供し、リモートユーザの生産性を向上させる
容易なダウンロードおよびインストール	動的なダウンロードおよび複数の配信方式が用意され、Java、ActiveX、または .exe でのシームレスなダウンロードと配布が可能小容量のダウンロードサイズで、迅速に配布できるインストール後の再起動は不要
セキュリティの強化	クライアントはセッション終了時に削除することも、永続的にインストールしたままにすることもできる
中央からのリモート管理	中央サイトからの設定による整合性がもたらされ、リモートクライアント側での管理作業は不要

サポートするオペレーティングシステム：Windows® 2000 および Windows XP

Cisco Secure Desktop の高度なエンドポイントセキュリティによる情報漏洩/データ盗難対策

SSL VPN を展開すると、セキュアエンドポイントからでも、企業が管理しないエンドポイントからでも、普遍的なアクセスが可能になり、ネットワークリソースを多様なユーザコミュニティに広げることが可能になります。このようにネットワークを拡張すると、必然的にネットワークセキュリティが危険にさらされる箇所が増えます。管理下の PC、個人所有のコンピュータ、公衆端末など、ユーザがどこからネットワークにアクセスしても、Cisco Secure Desktop は SSL セッションの前後を通じて確実にデータを保護します。Cisco Secure Desktop のホスト整合性確認機能は、接続前にポスチャ査定を実行し、アクセスを試みるエンドポイントが必要とされる特定のウイルス対策ソフトウェア、ファイアウォール、OS またはサービスパック機能を装備していることを確認するとともに、マルウェアがインストールされていないかどうかを調べたうえで、ネットワークへのアクセスを許可します。そのあと、Cisco Secure Desktop はコンピュータ上に仮想のサンドボックスを生成し、すべてのセッション情報の安全な保管庫を作成します。セッション中はすべての情報が暗号化され、ハードドライブ上の Cisco Secure Desktop パーティションに書き込まれます。意図的か偶発的かを問わず、情報がホストシステムに保存されることはありません。セッションを終了する時点で、この安全な保管庫は DoD 仕様の削除アルゴリズムで除去されます。すべてのセッション情報（キャッシュファイル、履歴、クッキー、ダウンロードファイル、パスワード）がリアルタイムで暗号化され、セッション開始時からあらゆるデータが確実に保護されます。この機能は、セッション終了後に追跡したファイルのクリーンアップを試みる、他のキャッシュクリーニング製品とはまったく異なります。また、Cisco Secure Desktop の自動タイムアウト機能は、ユーザが能動的にセッションを終了したかどうかに関わらず、確実にセッション情報を消去するのに役立ちます。Cisco Secure Desktop はゲスト権限で実行することができ、Web の設定、ブラウザの種類、システム権限とは無関係に、あらゆるエンドポイントでの普遍的な保護を提供します。

表 2 に、Cisco Secure Desktop の機能を示します。

表 2 Cisco Secure Desktop：ネットワークからエンドポイントに送信される情報の総合的なセキュリティ

機能	説明
ゲスト権限で使用可能	リモートコンピュータからネットワークにアクセスするユーザが、すべてのシステムの管理者権限を持っているとは限らない。Cisco Secure Desktop は、ゲスト権限だけでインストールすることができるので、あらゆるシステムへの配布とインストールが可能
接続前のポスチャ査定	ホストの整合性確認機能により、エンドポイントシステムにウイルス対策ソフトウェア、パーソナルファイアウォールソフトウェア、および Windows サービスパックが存在するかどうかを確認したうえで、ネットワークへのアクセスを許可する
総合的なセッション保護	セッションに関連するすべてのデータ（パスワード、ダウンロードファイル、履歴、クッキー、キャッシュファイル）の絶対的な保護を提供する。すべてのセッションデータを暗号化し、Cisco Secure Desktop の安全な保管庫に書き込む
セッション終了時のデータクリーンアップ	セッションを終了する時点で、安全な保管庫の全データを上書きする
キーストロークロガーの検知	セッションを開始するとき、キーストロークロギングソフトウェアの有無をチェックする。セッションの開始後に、安全な保管庫内で不審なプログラムが動作を開始した場合には、ユーザにプロンプトを表示し、疑わしいアクティビティを停止するように指示する

Citrix ターミナルサーバのサポート

全社的な情報への安全かつタイムリーな、信頼性が高く、コスト効率の良いリモートアクセスへの需要が拡大しつつあります。リモート接続の選択肢を増やしつつ、コストを抑える目的で、多くの企業がアプリケーションの管理と配信を集中化し、ターミナルサーバアーキテクチャを通じて社内のコンピューティングリソースにアクセスできるようにしています。この理由から、堅牢なリモートアクセスソリューションが、簡素で使いやすく信頼性の高いプロトコルによって Citrix 展開をサポートするとともに、アプリケーションの利用がローカルシステムベースであることが重要となっています。一般的な SSL ソリューションでは、内部ターミナルサーバリソースにアクセスするには、ソフトウェアクライアントまたはダウンロードアプレット（Java または ActiveX）が必要です。そのため、アプリケーションの起動が遅くなるばかりか、ソフトウェアの矛盾やブラウザ設定に起因してアクセスに問題が生じる場合があります。Cisco VPN 3000 シリーズコンセントレータは、Java ベースの余分なポート転送メカニズムに依存する必要のない、真にクライアントレスな Citrix サポートを提供し、ブラウザやセキュリティ設定とは無関係に、迅速で安定性の高いシステムアクセスを実現します。

表 3 に、Cisco VPN 3000 シリーズの Citrix サポートに関連する機能を示します。

表 3 Citrix のサポート：クライアントレス Citrix サポートによる内部ネットワークインフラストラクチャリソースへの拡張アクセス

機能	説明
システムリソースへのアクセスの確保	クライアントレスアクセスを使用すれば、ブラウザの不適合やセキュリティ設定によってクライアントまたはアプレットがダウンロードできないという問題が回避される
迅速な接続	追加のソフトウェアクライアントまたはアプレットをダウンロードする必要がないので、アプリケーションを瞬時に起動できる
高度な安定性	クライアントレスアクセスを使用すれば、管理外のコンピュータや適合しないイメージによるクライアントソフトウェアの矛盾という問題が回避される

IPSec VPN - Cisco Easy VPN および自動アップグレード可能な Cisco IPSec VPN Client

IPSec VPN は、インターネットで伝送される企業データ、IP 音声、および映像トラフィックの保護に必要なセキュリティおよび暗号化機能を提供します。IPSec はどのような IP ネットワークにも展開できるので、VPN サービスを必要とするユーザにとって魅力あるオプションであり、リモートアクセスにおける事実上の標準となっています。

迅速で簡単な、拡張性に優れた展開

簡単に導入して運用できる Cisco VPN Client を使用して、Cisco VPN 3000 シリーズコンセントレータへの保護されたエンドツーエンドの暗号化トンネルを確立します。このシンクライアント設計の IPSec 準拠ソフトウェアは、ユーザ数の制限なくライセンスを使用できます。Cisco IPSec VPN Client を大規模に展開する場合には、設定済みのものを使用することができます。この方法では、ユーザによる介入をほとんど必要とせずに、初回のログオンを実行できます。ユーザが接続した時点で新しいクライアントバージョンに自動的にアップグレード可能であり、リモートで展開するシステムのクライアントバージョンを簡単に管理することができます。Cisco Easy VPN を使用する場合、コンセントレータで集中的に VPN アクセスポリシーを作成して保管しておき、接続を確立した時点でクライアントにプッシュできます。IPSec リモートクライアントの設定が動的にアップデートされるので、IPSec リモートクライアント側での設定作業は不要です。Cisco Easy VPN Remote により、エンドユーザポリシーが動的に設定され、エンドユーザや現場の技術者による手動での設定作業を必要としないので、集中的なセキュリティポリシー管理を実現するとともに、設定ミスやサービスコールを減らすことができます。Cisco Easy VPN Server によって、コンセントレータはサイト間 VPN またはリモートアクセス VPN のための VPN ゲートウェイとして動作し、中央サイトで定義したセキュリティポリシーをリモート VPN デバイスにプッシュします。その結果、これらの接続に最新のポリシーを確実に反映させ、そのうえで接続を確立できます。

NAC による総合的なセキュリティポリシーへの適合

NAC はシスコシステムズが主導する業界規模のコラボレーションであり、すべてのエンドポイントがネットワークのセキュリティポリシーに適合していることを確認してから、アクセスを許可します。Cisco VPN 3000 コンセントレータソフトウェアバージョン 4.7 は、IPSec リモートアクセスに関して NAC に対応しています。NAC を使用すると、脆弱性のあるホストは通常のネットワークアクセスが禁止されるので、リモートアクセスの利用形態の拡大にともなうリスクが軽減します。Cisco AYT 機能は、Cisco IPSec VPN Client を使用して接続するユーザを対象に、ファイアウォールポリシーを強制実施します。特定のファイアウォールポリシーに違反するエンドポイントに関しては、接続を拒否するように VPN を設定できます。Cisco IPSec VPN Client は 30 秒ごとにファイアウォールをポーリングし、ファイアウォールが作動しているかどうかを確認します。AYT がチェックする対象は、Cisco Security Agent、Cisco Integrated Client Firewall、Network ICE BlackICE Defender、Sygate Personal Firewall、Sygate Personal Firewall Pro、Sygate Security Agent、Zone Labs ZoneAlarm、および Zone Labs ZoneAlarm Pro です。

表 4 に、NAC の機能を示します。

表 4 NAC：復元力に悪影響を及ぼす非適合のエンドポイントを拒否

機能	説明
既存の脅威緩和インフラストラクチャの使用	既存のネットワークおよびウイルス対策用インフラストラクチャを使用し、コストを節約する
ネットワークによるネットワークの保護	NAC 対応のネットワークアクセスポイント（Cisco VPN 3000 シリーズコンセントレータなど）によるネットワークベースのアプローチを採用し、すべてのホストデバイスについてポリシーに適合しているかどうかを調べる

製品プラットフォームの特長

表 5 に、Cisco VPN 3000 シリーズの特長を示します。

表 5 Cisco VPN 3000 シリーズの特長

機能	説明
高性能な分散処理アーキテクチャ	Cisco Scalable Encryption Processing（SEP）モジュールによるハードウェアベースの暗号化を実行し、定格キャパシティ内で一貫したパフォーマンスを実現（Cisco VPN 3020、3030、3060、および 3080 コンセントレータ） WebVPN（SSL）、IPSec、Point-to-Point Tunneling Protocol（PPTP）、および Layer 2 Tunneling Protocol（L2TP）/IPSec の各接続に対応する大規模トンネリングをサポート
スケーラビリティ（Cisco VPN 3015、3020、3030、3060、および 3080 コンセントレータ）	モジュラ設計（4 つの拡張スロット）により、投資保護、冗長性、および容易なアップグレードパスを提供（Cisco VPN 3030 および 3060 コンセントレータのみ）ハイアベイラビリティと安定したパフォーマンスを持続させるシステムアーキテクチャ高度な信頼性と 24 時間連続運用を可能にする全デジタル設計強固な計測パッケージによる実行時の監視とアラート Microsoft 製品との互換性により、大規模なクライアント展開および関連システムとのスムーズな統合が可能統合デバイスクラスタリング（ロードバランシング）テクノロジー
セキュリティ	現在および新規に制定されるセキュリティ標準をフルサポートしているため、外部の認証システムとの統合およびサードパーティ製品との相互運用が可能ステートレスパケットフィルタリングおよびアドレス変換が可能なファイアウォール機能により、企業 LAN に求められる高度なセキュリティを確保ユーザレベルおよびグループレベルの管理で最大限の柔軟性を実現。WebVPN によるグループごとの細かいアクセス制御とロギング情報を提供
ハイアベイラビリティ	冗長サブシステムおよびマルチシャーシフェイルオーバー機能により、最大限のシステム稼働率を確保広範な計測機能と監視機能により、リアルタイムのシステム状況と早期の警報をネットワーク管理者に通知
強固な管理機能	Cisco VPN 3000 コンセントレータでは、Telnet、SSHｖ1、およびコンソールポートはもとより、任意の標準 Web ブラウザ（HTTP または HTTPS）からも管理作業を行える。ファイルには HTTPS、FTP、および SSH Copy（SCP）を利用してアクセスすることが可能企業とサービスプロバイダーのいずれの使用にも便利な設定機能と監視機能を提供ユーザとグループごとにアクセスレベルを設定できるので、セキュリティポリシーの設定と保守も容易に行える。より大規模に展開する場合には、VPN 3000 コンセントレータをサポートする数種類のシスコ製ネットワーク管理アプリケーションの利用が可能 -CiscoWorks Monitoring Center for Performance：リモートアクセスおよびサイト間 VPN トンネル接続でのリモートアクセスの監視とレポートを実行 -CiscoWorks Resource Manager Essentials（RME）：ソフトウェアの配布、Syslog レポート、インベントリ管理などの運用管理機能を提供 -CiscoWorks CiscoView：システムの状況をリアルタイムで監視

6 種類のモデル

Cisco VPN 3000 シリーズには、6 種類のコンセントレータモデルがあります。どのモデルも、IPSec および SSL VPN をサポートします。

Cisco VPN 3005 コンセントレータ

Cisco VPN 3005 コンセントレータは、全二重 T1/E1 までの帯域幅（最大パフォーマンス 4 Mbps）を必要とする中小・中堅企業向けの製品で、最大 200 の IPSec セッションまたは最大 50 のクライアントレスセッションを同時にサポートします。暗号化処理はソフトウェアで行われます。Cisco VPN 3005 にはアップグレード機能は組み込まれていません。

Cisco VPN 3015 コンセントレータ

Cisco VPN 3015 コンセントレータは、全二重 T1/E1 までの帯域幅（最大パフォーマンス 4 Mbps）を必要とする中小・中堅企業向けの製品で、最大 100 の IPSec セッションまたは最大 75 のクライアントレスセッションを同時にサポートします。Cisco VPN 3005 と同様、暗号化処理はソフトウェアで行われますが、Cisco VPN 3015 は Cisco VPN 3030 および 3060 モデルにフィールドアップグレードすることが可能です。

Cisco VPN 3020 コンセントレータ

Cisco VPN 3020 コンセントレータは、フル T1/E1 ～ T3/E3 の帯域幅（最大パフォーマンス 50 Mbps）を必要とする中堅・大規模企業向けの製品で、最大 750 の IPSec セッションまたは最大 200 のクライアントレスセッションを同時にサポートします。専用の SEP モジュール（SEP-E）により、ハードウェアベースで処理を高速化しています。Cisco VPN 3020 は、シリーズの他の製品にアップグレードすることはできません。冗長および非冗長構成で使用できます。

Cisco VPN 3030 コンセントレータ

Cisco VPN 3030 コンセントレータは、フル T1/E1 ～ T3/E3 の帯域幅（最大パフォーマンス 50 Mbps）を必要とする中堅・大規模企業向けの製品で、最大 1500 の IPSec セッションまたは最大 500 のクライアントレスセッションを同時にサポートします。専用の SEP モジュールにより、ハードウェアベースで処理を高速化しています。Cisco VPN 3030 は、Cisco VPN 3060 にフィールドアップグレードすることが可能です。冗長および非冗長構成で使用できます。

Cisco VPN 3060 コンセントレータ

Cisco VPN 3060 コンセントレータは、最高レベルのパフォーマンスと信頼性を必要とする大規模企業向けの製品で、フラクショナル T3 ～フル T3/E3 以上の広帯域幅（最大パフォーマンス 100 Mbps）をサポートし、最大 5000 の IPSec セッションまたは最大 500 のクライアントレスセッションを同時にサポートします。専用の SEP モジュールにより、ハードウェアベースで処理を高速化しています。冗長および非冗長構成で使用できます。

Cisco VPN 3080 コンセントレータ

Cisco VPN 3080 コンセントレータは、最高レベルのパフォーマンスを必要とする大規模企業向けの製品で、最大 10,000 の IPSec セッションまたは最大 500 のクライアントレスセッションを同時にサポートします。専用の SEP モジュールにより、ハードウェアベースで処理を高速化しています。VPN 3080 は、完全な冗長構成のみ使用可能です。

モデルの比較

表 6 に、Cisco VPN 3000 シリーズコンセントレータの比較対照表を示します。

表 6 あらゆる規模の企業をサポートする Cisco VPN 3000 シリーズ

	Cisco VPN 3005	Cisco VPN 3015	Cisco VPN 3020	Cisco VPN 3030	Cisco VPN 3060	Cisco VPN 3080
同時 IPSec ユーザ数 1 *	200	100	750	1500	5000	10,000
同時 WebVPN（クライアントレス）ユーザ数 2 **	50	75	200	500	500	500
LAN 間の最大セッション数	100	100	250	500	1000	1000
暗号化スループット	4 Mbps	4 Mbps	50 Mbps	50 Mbps	100 Mbps	100 Mbps
暗号化方式	ソフトウェア	ソフトウェア	ハードウェア	ハードウェア	ハードウェア	ハードウェア
使用可能な拡張スロット数	0	4	1（冗長オプション）	3（冗長オプション）	2（冗長オプション）	0（完全冗長）
暗号化モジュール（SEP）	0	0	1	1	2	4
冗長 SEP	-	-	オプション	オプション	オプション	あり
システムメモリ	32/64 MB（固定）	128 MB	256 MB	512 MB	512 MB	512 MB
ハードウェア構成	1U	スケーラブル 2U	固定 2U	スケーラブル 2U	スケーラブル 2U	固定 2U
デュアル電源装置	シングル	オプション	オプション	オプション	オプション	あり
クライアントライセンス	無制限	無制限	無制限	無制限	無制限	無制限

* 最大限のデバイスメモリおよび SEP-E モジュールを搭載した場合の数値です（モデル 3020、3030、3060、および 3080）。ユーザ数を算出するにあたり、同時 IPSec ユーザは、リモートアクセス VPN に全トンネリングモードで接続するものと仮定しています。またその中には、1 つの Internet Key Exchange（IKE）セキュリティアソシエーションおよび 2 つの単方向 IPSec セキュリティアソシエーションが含まれるものと仮定しています。キーの再生成や分割トンネリングを行う環境では、本来ならば追加ユーザのサポートに使用される追加のシステムリソースが、これらの特定のセッションで使用されることになるので、予備のキャパシティを備えた VPN リモートアクセスロードバランシング環境を採用することをお勧めします。この表では、ネットワーク拡張モードまたはクライアントモードで動作するハードウェアクライアントを IPSec ユーザとみなしています。

** 最大限のデバイスメモリおよび SEP-E モジュールを搭載した場合の数値です（Cisco VPN 3020、3030、3060、および 3080 モデル）。ユーザ数を算出するにあたり、同時 WebVPN ユーザは、最大 60 秒ごとに 1 つの Web ページを取得するクライアントレス VPN ユーザであると仮定しています。テスト期間中、ユーザは 1 秒につき 1 人の割合でログインし、データの送受信を行っています。Web ページの平均取得時間は 5 秒以下です。

技術仕様

項目	仕様
ハードウェア
プロセッサ	Motorola PowerPC プロセッサ
メモリ	冗長システムイメージ（フラッシュ）可変メモリオプション（図 6）
暗号化	Cisco VPN 3005、3015：ソフトウェア Cisco VPN 3020、3030、3060、および 3080：ハードウェア
組み込みの LAN インターフェイス	Cisco VPN 3005：自動検知式、全二重 10/100BASE-TX ファストイーサネット（パブリック/untrusted、専用/trusted）2 ポート Cisco VPN 3015、3020、3030、3060、および 3080：自動検知式、全二重 10/100BASE-TX ファストイーサネット（パブリック/untrusted、専用/trusted、および DMZ）3 ポート
計測機能	Cisco VPN 3005：ユニットのステータスインジケータ（前面パネル）、イーサネットポートのステータス LED（背面パネル） Cisco VPN 3015、3020、3030、3060、および 3080：システム、拡張モジュール、電源装置、イーサネットモジュール、ファンのステータス LED（前面パネル）、イーサネットモジュール、拡張モジュール、電源装置のステータス LED（背面パネル） Cisco VPN 3015、3020、3030、3060、および 3080：セッション数、集約スループット、または CPU 利用率をプッシュボタンで選択してアクティビティモニタに表示可能
ソフトウェア
クライアントソフトウェアとの互換性	Cisco WebVPN Client - リモートシステム上の SSL 対応 Web ブラウザを利用したクライアントレス接続 Cisco IPSec VPN Client for Windows 98、ME、NT 4.0、2000、XP、Linux（Intel）、Solaris（UltraSparc 32 ビットおよび 64 ビット）、および Mac OS X 10.2（Jaguar）用に提供。一元管理型の分割トンネリング制御とデータ圧縮をサポート Microsoft PPTP、Microsoft Point-to-Point Encryption（MPPE）、Microsoft Point-to-Point Compression（MPPC）、Microsoft Challenge Handshake Authentication Protocol（MSCHAP）v1 および v2、Extensible Authentication Protocol（EAP）、RADIUS パススルーによる EAP-Transport Layer Security（EAP-TLS）、EAP-Generic Token Card（EAP-GTC）をサポート Microsoft L2TP および IPSec for Windows 2000 および XP（ルート伝播のための Windows XP Dynamic Host Control Protocol [DHCP] オプションを含む） Microsoft L2TP および IPSec for Windows 98、ME、および NT Workstation 4.0
トンネリングプロトコル	Cisco WebVPN（HTTPS/SSL ベース） IPSec、PPTP、L2TP、L2TP/IPSec、NAT Transparent IPSec、Ratified IPSec/UDP（自動検知およびフラグメンテーション防止機能搭載）、IPSec/TCP Cisco EasyVPN をサポート（クライアントおよびネットワーク拡張モード）
暗号化と認証	DES/3DES（56/168 ビット）または Message Digest Algorithm 5（MD5）や Secure Hashing Algorithm（SHA）搭載の AES（128、192、256 ビット）を使用する IPSec Encapsulating Security Payload（ESP）、40/128 ビット RC4 を使用する MPPE
キー管理	IKE Diffie-Hellman（DH）グループ 1、2、5、および 7（ECDH） RSA 証明書（SSL および WebVPN）
ルーティング	Routing Initiation Protocol（RIP）、RIPv2、Open Shortest Path First（OSPF）、Reverse Route Injection（RRI）、スタティックルーティング、エンドポイントの自動検出、NAT、および Classless Interdomain Routing（CIDR） IPSec フラグメンテーションポリシー制御（Path Maximum Transmission Unit [MTU] Discovery [PMTUD] のサポートを含む）インターフェイス MTU 制御
サードパーティとの互換性	iPass Ready、Funk Steel-Belted RADIUS、Microsoft Internet Explorer、Netscape Communicator、Entrust、Baltimore、SA Keon
ハイアベイラビリティ	マルチシャーシ冗長性およびマルチシャーシフェイルオーバーを実現する Virtual Router Redundancy Protocol（VRRP） WebVPN（SSL）接続と IPSec 接続の両方をサポートするリモートアクセスロードバランシングクラスタクライアントベースのフェイルオーバー、再確立、および再接続を行うための宛先プーリング冗長 SEP モジュール（オプション）、電源、およびファン（Cisco VPN 3015、3020、3030、3060、および 3080 モデル）プッシュボタンによる選択機能
管理
設定	コンソールポート、Telnet、SSHv1、および HTTPS から組み込み管理インターフェイスにアクセス可能管理者アクセスを 5 段階の認証レベルに設定可能。TACACS+ を利用した外部認証が可能役割ベースの管理ポリシーにより、サービスプロバイダー向け機能とエンドユーザ管理を分離監視イベントロギングおよび E メールによる通知（SMTP）イベントログの自動 FTP バックアップ SNMP（簡易ネットワーク管理プロトコル）MIB-II をサポート設定可能な SNMP トラップ Syslog 出力システムステータスセッションデータ（クライアントに割り当てられた IP、暗号化タイプ、接続時間、クライアント OS、クライアントバージョン）一般的な統計情報
セキュリティ
認証およびアカウンティングサーバ	冗長構成の外部認証サーバのサポート - RADIUS - Kerberos/Active Directory による認証 - Microsoft NT ドメインによる認証 - Microsoft NT ドメインによる認証（パスワード有効期限付き、MSCHAPv2）（IPSec のみ）
RSA 5（ロードバランシング、復元力）のネイティブサポートを含む RSA Security Dynamics（SecurID Ready）	Lightweight Directory Access Protocol（LDAP）または RADIUS によるユーザ許可最大 100 ユーザをサポートする内部認証サーバ X.509v3 デジタル証明書（Certificate Revocation List [CRL; 証明書失効リスト]/LDAP および CRL/HTTP、CRL キャッシングおよびバックアップ CRL Distribution Point [CDP] をサポート） RADIUS によるアカウンティング TACACS+ による管理ユーザの認証
インターネットベースのパケットフィルタリング	送信元および宛先 IP アドレスポートとプロトコルタイプフラグメント防止 FTP セッションフィルタリングサイト間フィルタおよび NAT（重複したアドレススペース用）
ポリシー管理	ユーザ別またはグループ別 - フィルタプロファイル（内部または外部から定義） - アイドルタイムアウトおよび最大セッションタイムアウト - 日時に基づいたアクセス制御 - トンネリングプロトコルおよびセキュリティ認証プロファイル - IP プールおよびサーバ - 認証プールおよびサーバ
認定	Federal Information Processing Standards（FIPS）140-2 レベル 2（3.6）、FIPS 140-1 レベル 2（3.1）、および VPNC

ポート

コンソールポート：非同期シリアル（DB-9）

表 7 と 8 に、Cisco VPN 3000 シリーズコンセントレータの物理特性および電力要件を示します。

表 7 物理特性

コンセントレータ	Cisco VPN 3005	Cisco VPN 3015	Cisco VPN 3020	Cisco VPN 3030	Cisco VPN 3060	Cisco VPN 3080
高さ	4.45 cm（1.75 インチ）	8.89 cm（3.5 インチ）	8.89 cm（3.5 インチ）	8.89 cm（3.5 インチ）	8.89 cm（3.5 インチ）	8.89 cm（3.5 インチ）
幅	44.45 cm（17.5 インチ）	44.45 cm（17.5 インチ）	44.45 cm（17.5 インチ）	44.45 cm（17.5 インチ）	44.45 cm（17.5 インチ）	44.45 cm（17.5 インチ）
奥行	29.21 cm（11.5 インチ）	29.21 cm（11.5 インチ）	29.21 cm（11.5 インチ）	29.21 cm（11.5 インチ）	29.21 cm（11.5 インチ）	29.21 cm（11.5 インチ）
前面ベゼルまたは SEPS/PS のないユニット	-	38.1 cm（15 インチ）	38.1 cm（15 インチ）	38.1 cm（15 インチ）	38.1 cm（15 インチ）	38.1 cm（15 インチ）
前面ベゼルはあるが SEPS/PS のないユニット	-	41.12 cm（16.19 インチ）	41.12 cm（16.19 インチ）	41.12 cm（16.19 インチ）	41.12 cm（16.19 インチ）	41.12 cm（16.19 インチ）
前面ベゼルと SEPS/PS のあるユニット	-	42.55 cm（16.75 インチ）	42.55 cm（16.75 インチ）	42.55 cm（16.75 インチ）	42.55 cm（16.75 インチ）	42.55 cm（16.75 インチ）
重量	3.9 kg（8.5 ポンド）	12.3 kg（27 ポンド）	12.7 kg（28 ポンド）	12.7 kg（28 ポンド）	15 kg（33 ポンド）	15 kg（33 ポンド）

表 8 電源のタイプと要件

コンセントレータ	Cisco VPN 3005	Cisco VPN 3015、3020、3030、3060、および 3080
公称	15 W（51.22 BTU/時）	35 W（119.50 BTU/時）
最大	25 W（85.36 BTU/時）	50 W（170.72 BTU/時）
入力電圧	100 ～ 240 VAC	100 ～ 240 VAC
周波数	50/60 Hz	50/60 Hz
力率補正	ユニバーサル	ユニバーサル

環境条件

動作温度：0 ～ 55°C（32 ～ 131°F）
保管温度：- 40 ～ 70°C（- 4 ～ 176°F）
湿度：0 ～ 95%（結露しないこと）

適合規格

CE マーキング

安全基準

UL 1950、CSA

EMC

FCC Part 15（CFR 47）クラス A、EN 55022 クラス A、EN50082-1、AS/NZS 3548 クラス A、VCCI クラス A

Hierarchical Navigation

Cisco VPN 3000コンセントレータ