Cisco VPN 3000シリーズコンセントレータリリースノート（Release 4.1.2）

ダウンロード

Part Number OL-5447-03

はじめに

注リリースされたCisco VPN 3000製品に関する最新の資料は、http://www.cisco.comから入手できます。これらのオンライン資料には、印刷版資料の作成後に行われた更新や変更が反映されている場合があります。

以下のリリースノートは、Cisco VPN 3000シリーズコンセントレータRelease 4.1、Release 4.1.1、およびRelease 4.1.2ソフトウェアを対象とします。これらのリリースノートでは、新機能、既存機能の変更、制限および制約事項（「注意事項」）、解決済みの問題、および関連資料について説明します。また、このリリースに関して注意すべき問題点と、このリリースをロードする前に行う必要のある手順についても説明します。「使用上の注意」では、VPN 3000シリーズコンセントレータをインストールおよび使用する際に知っておくべきインターオペラビリティ上の考慮事項およびその他の問題点について説明します。これらのリリースノートを熟読してから、このリリースをインストールしてください。

内容

リリースノートの内容は次のとおりです。

システム要件

Release 4.1.2へのアップグレード

Release 4.1の新機能

Release 4.1の変更点

使用上の注意

VPN 3000シリーズコンセントレータの判明している注意事項

Release 4.1.2で解決された注意事項

Release 4.1.1で解決された注意事項

Release 4.1で解決された注意事項

マニュアルの更新

マニュアルの入手方法

テクニカルサポート

システム要件

ここでは、Release 4.1のシステム要件について説明します。

サポートするハードウェア

Cisco VPN 3000シリーズコンセントレータソフトウェアRelease 4.1は、次のハードウェアプラットフォームをサポートします。

Cisco VPN 3000シリーズコンセントレータ、モデル3005～3080
Altiga Networks VPNコンセントレータ、モデルC10～C60
Cisco VPN 3002ハードウェアクライアント

次の表に、各VPNコンセントレータプラットフォームに必要な最小限のメモリ容量および推奨メモリ容量を示します。

注推奨メモリ容量を使用しない場合、WebVPNの同時セッション数が減少します。

プラットフォーム	必要最小限のメモリ（MB）	WebVPN用に強く推奨メモリ（MB）
3005	32	64
3015	128	256
3020	256	256
3030	128	512
3060	256	512
3080	256	512

注モデル3030～3080で、Enhanced-SEP（SEP-E）暗号化カードは従来のScalable Encryption Processing（SEP）モジュールよりも高度なパフォーマンスを提供します。モデル3020では、SEP-Eのみ使用できます。

プラットフォームファイル

Release 4.1.2には3つのバイナリファイルがあり、それぞれ次のプラットフォームで使用します。

ファイル名の先頭部分	サポートするプラットフォーム
`vpn3000`	VPNコンセントレータ3015～3080プラットフォーム
`vpn3005`	VPNコンセントレータ3005プラットフォームのみ
`vpn3002`	VPN 3002ハードウェアクライアントのみ

vpn3000で始まるファイル - VPNコンセントレータ3015～3080プラットフォームをサポートします。
vpn3005で始まるファイル - VPNコンセントレータ3005プラットフォームのみサポートします。
vpn3002で始まるファイル - VPN 3002ハードウェアクライアントのみサポートします。
注意アップグレードするプラットフォームに対応するファイルをインストールしてください。

Release 4.1.2へのアップグレード

ここでは、以前のリリースからRelease 4.1.2へのアップグレードについて説明します。

VPN 3000コンセントレータのリリースをアップグレードする場合、VPNコンセントレータの管理中に新しい画面がすべて正しく表示されるように、ブラウザのキャッシュをクリアする必要があります。

注さらに、ログインしたあと、[Save Needed]をクリックして新しいRelease 4.1.2パラメータをコンフィギュレーションファイルに追加する必要があります。これらの新しいRelease 4.1.2パラメータは、設定するとただちに実行コンフィギュレーションに追加されますが、VPN Concentrator Managerで[Save Needed]または[Save]アイコンをクリックしない限り、保存されたコンフィギュレーションには追加されません。

VPN 3000コンセントレータソフトウェアを新バージョンにアップグレードしても、既存のコンフィギュレーションファイルは自動的には上書きされません。新機能の設定オプション（たとえば、IKEプロポーザル）が、アップグレードによって自動的にコンフィギュレーションファイルに保存されるわけではありません。HTML Managerでは（[Save]ではなく）[Save Needed]が表示され、コンフィギュレーションを保存する必要があることが示されます。コンフィギュレーションを保存しなかった場合は、次の再起動時に新しい設定オプションが再び追加されます。コンフィギュレーションファイルをTACに送信する場合は、最初に実行コンフィギュレーションをコンフィギュレーションファイルに保存してください。

作業を始める前に

このリリースにアップグレードする前に、既存のコンフィギュレーションのバックアップコピーをフラッシュおよび外部サーバに保存しておいてください。これにより、必要な場合にシステムを以前のコンフィギュレーションおよびソフトウェアに戻すことができます。

アップグレードする前に、次の考慮事項に注意してください。これらの考慮事項は判明している製品の動作であり、製品をアップグレードする前に知っていると役立つものです。各項目の最後に、該当する問題について記述している注意事項の番号が付記されている場合があります。この番号を使用して特定の注意事項を探し出す方法については、VPN 3000シリーズコンセントレータの判明している注意事項を参照してください。

VPN 3000コンセントレータソフトウェアRelease 4.1.2には、VPN ClientおよびVPN 3002ハードウェアクライアントソフトウェアのRelease 4.0.xバージョンに対応する新機能と対話する機能がいくつか含まれています。このコンセントレータリリースを最大限に活用するには、クライアントソフトウェアを最新のリリースにアップグレードする必要があります。

注 VPN 3000コンセントレータRelease 4.1.2と同時に発表されるVPN Clientリリースはありません。

VPN 3000コンセントレータソフトウェアRelease 4.1.2は、VPN ClientおよびVPN 3002ハードウェアクライアントのバージョン3.6および4.0とは相互動作しません。Release 3.6より古いバージョンのVPN 3002またはVPN Clientを使用している場合は、新機能を活用するために、次のいずれかの新しいバージョンにアップグレードする必要があります。
Release 3.0からRelease 4.1.2にアップグレードしてグループルックアップ機能を使用する場合は、アップグレード後にグループルックアップを手動で設定する必要があります。この機能をイネーブルにするには、Configuration | System | General | Authenticationの順に選択し、[Enable]チェックボックスをオンにします（CSCdu63961) 。
VPN Client Release 3.0以上を使用するには、VPNコンセントレータをRelease 3.0以上にアップグレードする必要があります。VPN Client Release 3.0以上は、VPN 3000コンセントレータのバージョン2.5以下とは相互動作しません。
システムの処理負荷が高くなっているときには、VPN 3000コンセントレータをアップデートしないでください。アップデートが失敗する可能性があります（CSCdr61206）。
次のバックアップ手順で、バックアップ用のコンフィギュレーションを確保します。

既存コンフィギュレーションのフラッシュへのバックアップ

1. Administration | File Management | Files の順に選択します。

2. コンフィギュレーションファイルを選択し、[Copy]をクリックします。

3. バックアップファイルの名前（8.3フォーマット、例：CON412BK.TXT）を入力します。

これで、既存のコンフィギュレーションがフラッシュにコピーされました。

既存コンフィギュレーションの外部サーバへのバックアップ

サーバにもコンフィギュレーションのバックアップコピーを作成しておく必要があります。これにはさまざまな方法がありますが、そのうちの1つに、Webブラウザを使用してHTMLインターフェイス（VPNコンセントレータ）からファイルをダウンロードする方法があります。

これにより、必要であれば以前のコンフィギュレーションを使用して以前のファームウェアに戻れる状態で、ソフトウェアをアップグレードできるようになりました。

注アップグレード後に、ブラウザのキャッシュを必ずクリアしてください。Release 4.1.2では、機能の追加、HTMLページレイアウトの拡張およびcookieの削除が行われます。ブラウザのキャッシュをクリアすることによって、すべてが正しく表示され、新しい機能およびレイアウトを確実に使用することができます。

VPN 3000上でのパスワード保存のイネーブル化によるVPN 3002パスワードの保存

VPN 3002を4.1.1以上にアップグレードすると、VPN 3002のユーザパスワードが削除されます。この新機能は、VPN 3002上でのユーザパスワードのローカルな保存をイネーブルまたはディセーブル（デフォルト）にするオプションを提供し、パスワードの集中的な管理を可能にします。VPN 3002にパスワードを保存するには、この時点でトンネルのVPN 3000側のパスワード保存機能をイネーブルにする必要があります（CSCeb23742）。

VPN 3002ハードウェアクライアントを使用して中央サイトのVPN3000コンセントレータに接続している場合は、Release 4.1.xにアップグレードする前、現在のソフトウェアリリースを実行している間に次の手順を行ってください。

ステップ1 2台のデバイス間の既存のトンネルを使用して、中央サイトのVPN 3000コンセントレータ上のパスワード保存機能をイネーブルにします。

ステップ2 既存のトンネルをダウンにした後、トンネルを再確立します。この操作を最低でも1回実行してから、Release 4.1.xにアップグレードしてください。

ステップ3 現在のイメージのバックアップコピーを作成します。

ステップ4 Release 4.1.xへのアップグレードを実行します。

Release 4.1.1へのアップグレード後のHTTP/HTTPS管理の設定

デフォルトでは、プライベートインターフェイス上でHTTP（S）管理がイネーブルに設定されます。Release 4.1.1以上へのアップグレード後に、パブリック/外部インターフェイス経由でVPN 3000コンセントレータを管理するには、Configuration | Interfaces | Ethernet #画面のWebVPNタブの[public/external interfaces]で、HTTPS/HTTP管理を明示的にイネーブルに設定する必要があります。

この設定は、プライベートインターフェイス経由でのTelnetまたはHTTP（S）アクセスを使用するか、またはコンソールCLI（コマンドラインインターフェイス）を使用して行います。Configuration | Interfaces | Ethernet #画面のWebVPNタブで、[Allow Management HTTPS sessions]パラメータを設定します（CSCec37514）。

VPN 3005シリーズコンセントレータ上のCompactFlashの修復

製造工程の問題によって、一部のVPN 3005コンセントレータでファイルシステムが壊れている場合があります。この不具合の結果、証明書やコンフィギュレーションファイルを保存できない場合があります。不具合のあるVPN 3005コンセントレータは、シリアル番号CAM0708xxxx～CAM0750xxxx（xxxxは各コンセントレータの一意のサフィックス）の範囲のコンセントレータです。ただし、この範囲に限定されるわけではありません（CSCed68739、CSCed72955）。

Release 4.1.1以上では、使用するVPN 3005コンセントレータにこの問題があれば自動的に検知されますが、Release 4.1.1以上で稼働するVPN 3005コンセントレータ上の壊れたCompactFlash上でファイルを修復するには、次の手順を行う必要があります。

ステップ1 コンフィギュレーションファイルをローカルに保存します。

ステップ2 必要なすべてのファイルをリモートホストにバックアップします。

ステップ3 CLIプロンプトから、Administration > File Management > Reformat Filesystemの順に選択します。

ステップ4 プロンプトにYESと入力します。

ステップ5 コンフィギュレーションをリロードします。

ステップ6 各コンセントレータのcertificates.suffixを再インストールします。

注この修復手順を実行する場合、VPN 3005コンセントレータ上のCompactFlashカードを交換する必要はありません。

Release 4.1.2からのダウングレード

Release 4.1.2より前のリリースに戻す必要がある場合は、次の手順を行います。

ステップ1 希望するリリースのファームウェアをリロードします（まだ再起動しないでください）。

ステップ2 既存のコンフィギュレーションファイルのコピーを作成し、そのコピーに新しい名前を付けます（例：CON412BK.TXT）。

ステップ3 [CONFIG]を削除します。

ステップ4 以前に保存しておいたバックアップファイル（例：CON411BK.TXT）を[CONFIG]にコピーします。[Save]はクリックしないでください（クリックすると、元のCONFIGファイルが実行コンフィギュレーションで上書きされます）。

ステップ5 ソフトウェアのリセットを実行します。

以前のファームウェアおよびイメージが復元されます。

Release 4.0、4.1、4.1.1、4.1.2のコンフィギュレーションからRelease 3.6にダウングレードした場合のLAN間接続グループからの情報の削除

125を超えるユーザおよびグループが組み合わされたVPNコンセントレータは、SEPがアクティブでない場合、トンネルを終端できません。これは、アクティブなSEPのないVPNコンセントレータがモデル3015とみなされるためです。モデル3015は、125のユーザおよびグループの組み合わせしかサポートしていません。

SEP-Eを搭載し、Release 4.0、4.1、4.1.1、または4.1.2で稼働するVPNコンセントレータをRelease 3.6にダウングレードした場合に、この状況になることがあります。Release 3.6はSEP-Eモジュールをサポートしていないため、問題が発生します。Release 3.6コードの実行中にSEP-Eカードが検出されると、SEP-Eは不明のカードとみなされます。

何らかの理由によって、モデルがサポートする以上のユーザ数を含むコンフィギュレーションをロードしようとすると、再起動後のコンソールに次のイベントが表示されます。

*************************************************************

3 03/20/2003 14:03:16.260 SEV=3 CONFIG/32 RPT=1

SERVE Too Many Entries Error.Delete an entry before adding a new one.

*************************************************************

（CSCea51435）

Release 4.1の新機能

ここでは、VPN 3000シリーズコンセントレータのRelease 4.1の新機能について説明します。ポイントリリース（4.1.x）には、新機能が含まれません。これらの機能の設定および使用方法については、『VPN 3000 Series Concentrator Reference Volume I:Configuration』および『VPN 3000 Series Concentrator Reference Volume II:Administration and Management』を参照してください。

VPN 3020コンセントレータ

VPN 3000コンセントレータシリーズにVPN 3020が追加されました。VPN 3020の仕様は次のとおりです。
750の同時リモートアクセスIPSecセッションまたは200の同時WebVPNセッションのサポート（同時IPSecセッションおよびWebVPNセッションの最大数については、「アクティブセッションの最大数：WebVPNまたはIPSec、PTP、L2TP/IPSec」を参照してください）。
メモリ256 MB
1つのSEP-Eモジュールによるハードウェアベースの暗号化
1つの電源装置
拡張性：
― 冗長性を提供するセカンダリSEP-Eモジュール

― オプションの冗長電源装置

VPN 3020をVPN 3030、3060、または3080にアップグレードすることはできません。

WebVPN

WebVPNを使用すると、ユーザはWebブラウザを通じてVPN 3000コンセントレータへのセキュアなリモートアクセスVPNトンネルを確立できます。ソフトウェアまたはハードウェアクライアント（IPSecまたはPPTPベース）は不要です。WebVPNを使用すると、インターネットに接続してHTTP（S）サイトに到達できる任意のコンピュータから、Webリソース、Web対応アプリケーション、NT/Active Directory（AD）ファイルシェア（Web対応）、電子メールなどのTCPベースアプリケーションをはじめとする、広範囲のエンタープライズアプリケーションに簡単にアクセスすることができます。WebVPNは、Secure Socket Layer（SSL）プロトコルおよびその後継プロトコルであるTransport Layer Security（SSL/TLS）を使用し、中央サイトにあるサポート対象の特定の内部リソースとリモートユーザの間にセキュアな接続を提供します。VPNコンセントレータがプロキシを必要とする接続を認識し、HTTPサーバが認証サブシステムと対話してユーザを認証します。

注 WebVPNをサポートするのは、VPN 3000シリーズコンセントレータモデル3005～3080と、Altiga Networks VPNコンセントレータモデルC10～60のみです。VPN 3002ハードウェアクライアントは、WebVPNをサポートしません。

ネットワーク管理者はユーザにグループ単位でWebVPNリソースへのアクセスを提供します。Release 4.1で使用できる機能は次のとおりです。
電子メールプロキシ ― SSL上のPost Office Protocolリビジョン3（POP3S）、SSL上のInternet Messages Access Protocolリビジョン4（MAP4S）、およびSSL上のSimple Mail Transfer Protocol Secure（SMTPS）プロキシ経由での電子メールを可能にします。
ポートフォワーディング（アプリケーションアクセス） ― Java 1.4.1以上が必要です。
Windowsファイルアクセス ― 設定済みファイルサーバ上のファイルへのアクセス、またはネットワーク上のファイル閲覧を提供します。
注セキュリティ上の理由から、WebVPNユーザは少なくともWebVPNの使用を終えた時点でログアウトすることを強く推奨します。可能な場合、ブラウザウィンドウを閉じてください。

WebVPNの設定

WebVPNの設定方法については、『VPN 3000 Series Concentrator Reference Volume I:Configuration』の付録A「Configuring WebVPN」を参照してください。

WebVPNで使用可能な最大セッション数については、このリリースノートの「最大セッション数」を参照してください。

WebVPNでの閲覧に問題のあるWebサイト

一部の社内WebサイトまたはURLを指定して起動するアプリケーションが、WebVPNで正常に機能しない場合があります。ただし、サイトでスタティックTCPポート番号を使用している場合は、WebVPN のTCPポートフォワーディング（アプリケーションアクセス）機能を使用して、この問題を回避することができます。ダイナミックTCPポートはサポートされません。

次に、TCPポートフォワーディングパラメータを使用したサイトの設定例を示します。

名前：My_Web_Site

ローカルポート：3456（例：http(s)://127.0.0.x:3456またはhttp(s)://FQDN:3456）。たとえばTCPポート3000を使用する場合（例：http://FQDNまたはhttp://127.0.0.x:3000）

リモートサーバ：10.1.1.2またはFully Qualified Domain Name（FQDN;完全修飾ドメイン名）

リモートTCPポート：3456（例：http(s)://127.0.0.x:3456またはhttp(s)://FQDN:3456）。たとえばTCPポート80を使用する場合（例：http://FQDNまたはhttp://127.0.0.x:3000）

WebVPNを使用してこのWebサイトにアクセスする手順は、次のとおりです。

ステップ1 WebVPNセッションを確立し、ポートフォワーディング（アプリケーションアクセス）アプレットを起動します。

ステップ2 ブラウザを開き、アドレスフィールドに次のいずれかの値を入力します（値は前出の例に基づいています）。
IPアドレスを使用する場合は、[http(s)://127.0.0.x:3000]を入力します。
ドメインネームサーバを使用する場合は、[http(s)://FQDN]を入力します。
また、正常に機能しないインターネットサイトまたは外部WebサイトにはSSL VPN（WebVPN）は使用せず、Webブラウザを使用するという方法もあります。

JavaまたはHTMLに関して非互換のWebサイト

VPN 3000 WebVPNソリューションは、Macromedia Flashを使用するWebサイトをサポートしていません。導入画面にFlashが使用されているだけで、WebVPNユーザがログアウトされる場合もあります。その他のサイトでも問題が発生する可能性がありますが、限られたWebサイトしかテストしていません。

サイトによっては、JavaScript、Java、HTML、またはMacromedia Flashコンテンツの現在の実装が非互換であるために動作しない場合があります（CSCeb78900、CSCec25478、CSCec49393、CSCec74334、CSCed05714）。このようなサイトの例に、次のものがあります。

www.avega.com、www.coors.com、www.hotmail.com、www.pwc.com、www.remax.com、www.windowsupdate.microsoft.com

Javaアプレットによっては、そのアプレットのダウンロードに使用されたサーバが調べられ、定義済みサーバのリストと一致しないと、アプレットの実行が許可されないものがあります。このようなサイトにVPN 3000 WebVPN経由でアクセス（プロキシ）を試みても、この種のアプレットをダウンロードできません。その結果、これらのサイトは正常に表示されなかったり、情報が欠落していたりします。

アプリケーションに関する問題があるWebサイト

その他に、アプリケーションに関する問題があるサイトがあります。HTTP要求を生成するJavaアプレット使用したアプリケーションは、WebVPN上では動作しません。この理由から、たとえばCiscoSecure ACSアプリケーションにはログインできません（CSC78536）。

TCPポートフォワーディング（アプリケーションアクセス）のJavaに関する問題

注 WebVPNポートフォワーディング（アプリケーションアクセス）でサポートされるのは、Sun Microsystems Javaのみです。Microsoft Javaはサポートされません。

ポートフォワーディング（アプリケーションアクセス）に関して、次の問題があります。
TCPポートフォワーディング（アプリケーションアクセス）を使用するためにクライアントに必要なのは、J2SEバージョン1.4.1以上のJava Runtime Environment（JRE）部分だけです。
ヒント アプレットを使用して自動的にダウンロードするのではなく、java.sun.comからJ2REを手動でダウンロードすることを強く推奨します。

― J2REは、わずか10 MBです。

― J2SEは、90+ MB（以上）です（CSCec33444）。
証明書を使用してユーザ認証を実行する場合、TCPポートフォワーディング（アプリケーションアクセス）Javaアプレットは動作しません。JavaはWebブラウザのキーストアにアクセスできないので、ブラウザがユーザ認証に使用した証明書を使用できません（CSCec16732）。
リンク（たとえば、電子メールメッセージに含まれているリンクなど）をクリックすると、そのリンクがアプリケーションアクセスJavaアプレットを実行するブラウザウィンドウを使用しているため、ポートフォワーディング（アプリケーションアクセス）が無効になる場合があります。この動作はInternet Explorerでは見られませんが、NetscapeおよびMozillaブラウザにはこの問題があり、回避する方法も提供されていません（CSCec47541）。

アプリケーションアクセスの正常な停止

注意アプリケーションアクセスの使用を終えた時点で、アプリケーションアクセスウィンドウを閉じる（終了する）必要があります。

このウィンドウを閉じずにコンピュータをシャットダウンすると、あとでこれらのアプリケーションを実行するときに問題が発生することがあります。また、アプリケーションのホスト（メールサーバなど）にアクセスできなくなる可能性があります。アプリケーションアクセスを起動すると、ユーザのhostsファイルが変更され、WebVPN固有のエントリが追加されます。アプリケーションアクセスウィンドウを閉じると、このファイルが元の状態に戻ります。詳細は、『VPN 3000 Series Concentrator Reference Vol. I:Configuration』の付録B「WebVPN End User Setup」を参照してください。

WebVPNでのURL閲覧用に推奨するブラウザ

現在のリリースでWebVPNを使用してURLを閲覧する場合、推奨するブラウザは次のとおりです。

オペレーティングシステム	推奨するブラウザ
Windows	Internet Explorerバージョン6.0、Service Pack 1 Netscapeバージョン7.1 Mozillaバージョン1.4および1.5¹
Linux	Mozillaバージョン1.4および1.5¹ Netscapeバージョン7.1
Solaris	Netscapeバージョン7.1
Mac OS X²	Safariバージョン1.0

¹ Mozillaブラウザバージョン1.6では、WebVPNでアプリケーションアクセスを実行できません。Mozillaブラウザバージョン1.5および1.4では、アプリケーションアクセスを正常に起動して相互運用することができます（CSCed62309）。

² Mac OS Xでは、Safari 1.0だけがすべてのWebVPN機能をサポートします。

それ以外のブラウザは、完全に適格ではありません。Opera 7.11はサポートされません（CSCec18059）。Netscape 4.7xは推奨できません。Linuxプラットフォーム上のOpera Webブラウザでは、WebVPN経由のポートフォワーディングを使用できません。適正な1.4.1 Javaを使用しても、Linux版のOperaは正常に動作しません（CSCeb81453）。
Outlook Web Access（OWA）は、Internet Explorer 5.x以下および他のブラウザでは表示および動作方式が異なります。これはWebVPN接続とは無関係です。OWAはIE 5.x以上でしか使用できない固有の機能を使用します（CSCec18088）。
各インターフェイスのSSL証明書

Release 4.1では、HTTP管理およびWebVPNのため、インターフェイスごとに1つのSSL証明書が対応づけられます。インターフェイスにSSL証明書がなければ、VPN 3000コンセントレータの再起動時に自動的に生成されます。

さらに、ロードバランシングがイネーブルになると、ロードバランシングSSL証明書が自動的に生成され、ディセーブルになると自動的に削除されます。

注セキュアHTTPS管理またはWebVPNアクセスに使用するインターフェイスに、有効なSSL証明書があることを確認してください。

パブリックおよび外部インターフェイスでのHTTPおよびHTTPSのデフォルト設定（ディセーブル）

HTTPおよびHTTPSはデフォルトで、パブリックインターフェイスおよび外部インターフェイス上でディセーブルです。

HTTPおよびHTTPSをイネーブルにするには、CLIにアクセスするか、Telnetを使用するか、またはプライベートインターフェイスを使用します。両方ともイネーブルにするか、または両方ともディセーブルにするかのどちらかです。

HTML（GUI）インターフェイスで、Configuration | Interfacesの順に選択し、WebVPNタブの[Allow Management HTTPS Sessions]チェックボックスをオンにします。

また、特定のIPアドレスからのアクセスを許可または禁止するには、Administration | Access Rights | Access Control List | AddまたはModifyの順に選択します（CSCec37514）。

VPN 3000コンセントレータのグローバル設定

Web VPNが使用する認証および許可の設定は、グループ別に設定されたものではなく、グローバルな設定（ベースグループ）です。

注 WebVPNは、有効期限付きのRADIUS以外のすべての認証方式（内部、RADIUS、SDI、Kerberos/Active Directory、証明書、NTドメイン）をサポートします（CSCec38676）。

Release 4.1のWebVPNでは一般に、IPSec/PPTPで現在使用できるグループ単位の（およびベースグループ）パラメータの大部分が、WebVPNには適用できません。ただし、以下の例外があります。
グループのWebVPNタブで使用できるWebVPNパラメータ
Client Configタブの[Banner]は、WebVPNセッションに適用されます（CSCeb40901）。その他に[Base Group]の[Authorization/DN]フィールドパラメータ、およびGeneralタブのトンネリングプロトコルも適用されます。
WebVPNは、接続先グループのDNS設定を使用しません。WebVPNはVPN 3000コンセントレータのグローバルなDNS設定に従います。
そのため、同じグループに割り当てられたユーザであってもDNSの結果が異なる場合があり、管理者が混乱する可能性があります。コンセントレータのグローバルなDNS設定が適切であるかどうかを確認するには、『VPN 3000 Series Concentrator Reference Volume I:Configuration』を参照してください（CSCed25396）。

次の表に、各種のパラメータに対するWebVPNのサポートの有無を示します。

パラメータ	グループ別	グローバル/システム全体
認証	なし	あり ¹
許可	なし	あり
アカウンティング	あり	あり ²
DNS	なし	あり
サーバ/URL	あり ³	あり
ポートフォワーディング	あり ³	あり
URLエントリのイネーブル化	あり	あり

¹ このリリースでは、WebVPNは有効期限付きRADIUS認証をサポートしません（CSCec38676）。

² グループにアカウンティングサーバが定義されていない場合は、IPSec/PPTPの場合と同様、グローバル/システムサーバが使用されます。

³ これらのポリシー設定を強制するには、RADIUS認証が必要であり、RADIUSサーバがClassアトリビュートの値を[OU=Group_name ;]（セミコロンを含む）に設定して返す必要があります。

注 WebVPNセッションの認証および許可には、リストの最上位にあるアクティブサーバが、種類を問わず使用されます。この最上位のサーバで認証または許可が失敗した場合、リスト内で後続のサーバがこれらのタスクのために使用されることはありませんが、最上位のサーバが到達不可能である場合（たとえば、VPN 3000コンセントレータがサーバへのTCP/UDP接続を確立できない場合）は例外です。その場合に限り、リスト内で後続のサーバに接続して、認証または許可が試みられます。

WebVPNブラウザのキャッシングおよびセキュリティに関連する注意事項

インターネットカフェやキオスクなど、パブリックまたは共有型のインターネットシステムを通じてWebVPNを使用する場合は、WebVPNセッションを終了またはログアウトしたあと、セキュリティ保護のために、WebVPNセッション中にPC上に保存したファイルをすべて削除してください。接続の切断時にこれらのファイルが自動的に削除されることはありません。ログアウトしたあとで、ブラウザのキャッシュもクリアする必要があります（CSCec78671）。

注注：WebVPNではセッション中に表示したWebページのコンテンツは保存されません。ただし、さらなるセキュリティ保護のために、ブラウザのキャッシュもクリアすることを推奨します。PCからコンテンツを削除しても、そのコンテンツが確実に回復不可能になるわけではありません。重要なデータをダウンロードするときは、このことを念頭に置いてください。

SolarisプラットフォームでのWebVPNのポートの常時待ち受け

SolarisプラットフォームでWebVPNのポートフォワーディング機能を使用したあと、WebVPN接続を終了するか[Port Forwarding]ウィンドウを閉じても、ワークステーションは引き続きそれらのポートを待ち受けしています。また、同じブラウザで新しいWebVPN接続を確立した場合、それらのポート経由のトラフィックは発生しません。この問題は、Solarisプラットフォームでのみ発生します。

ブラウザを閉じることによって、オープンされていたポートが完全に閉じられ、新しいWebVPN接続でポートがトラフィックを転送できるようになります（CSCeb58582）。

WebVPNユーザのアイドルタイムアウトの短時間設定

ブラウザがcookieをディセーブルに設定している場合、またはcookieを要求されて拒否した場合、クライアント側のユーザは接続できないにも関わらず、Admin | Admin session | RASデータベースにそのユーザが追加されます。[max logins]が1に設定されていれば、すでに最大接続数を超過しているので、そのユーザは再びログインできません。管理者はWebVPNユーザのアイドルタイムアウトを短く設定することを推奨します（CSCeb77581）。

WebVPNにおけるCookieの必要性

cookieがディセーブルに設定されていると、WebVPNは正常に動作できません。WebVPNには、cookieの使用が必須です（CSCeb58578）。

WebVPNのファイル共有におけるユーザ名およびパスワードの必要性

パスワードで保護されたシェアを使用するWindows 98ワークグループは、共有リソースのアクセス制御がシェアレベルで設定されている場合、アクセスできません（CSCec23335）。

VPN 3000経由のネットワークプリンタの非サポート

WebVPNは、VPN 3000コンセントレータの後ろ側にあるネットワークプリンタへの印刷をサポートしません。WebVPN上での印刷は、ホストまたはPCがWebVPNの外部で到達可能なすべてのプリンタでサポートされます（CSCec50393）。

RefreshアイコンによるWebVPNページの更新およびリロード

ページを更新またはリロードするには、WebVPNツールバーの[Refresh]アイコンを使用してください。WebVPNセッション中には、ブラウザの更新/リロードボタンは使用しないでください。ブラウザの更新ボタンを使用すると、Internet Explorer 6.0 SP1の場合にはWebVPNセッションがホームページに戻され、Netscape 7.xおよびMozilla 1.4以上の場合にはWebVPNセッションがログアウトされます（CSCed01739）。

一部のポップアップ/広告防止ソフトウェアによるポートフォワーディング動作への悪影響

ある種のポップアップ/広告防止ソフトウェアパッケージを使用した場合に、[TCP Port Forwarding]ウィンドウがポップアップしなくなることがあります。[TCP Port Forwarding]ウィンドウを選択したときにポップアップされるようにするには、このような広告防止ソフトウェアで、WebVPNのポータルページを信頼できるサイトとして追加する必要があります（CSCeb35674）。

VPN 3000コンセントレータのログインの変更（Release 4.1以上）

WebVPNがイネーブルに設定されているインターフェイスを使用してVPN Concentrator Managerにログインするとき、管理者はインターフェイスのIPアドレスの後ろに[/admin]というストリングを入力する必要があります（例：192.168.1.1/admin）。

WebVPNエンドユーザは、ログイン時にVPN 3000コンセントレータのIPアドレスのみを入力します（例：192.168.1.1）。

MeetingMakerおよびSofTrackerアプリケーションの非サポート

WebVPN上では、MeetingMakerおよびSofTrackerアプリケーションはサポートされません（CSCeb81114）。一般的に、WebVPNのポートフォワーディングでは、UDPを使用するアプリケーションはサポートされません。

ホスト名でのアンダースコア（ _ ）の使用不可

VPN 3000コンセントレータのホスト名にアンダースコア（_ ）が含まれていて、なおかつInternet Explorer 6.0 SP1 WebブラウザでVPNコンセントレータへのWeb VPN接続を確立しようとすると、その後のログインが失敗します。

FQDNにアンダースコアが含まれていても、ログインページにアクセスすることはできますが、ユーザ名とパスワードを入力すると、次のエラーが戻されます。

Cookies must be enabled to log in.

同じ設定でもMozillaを使用すればログインできますが、この動作はVPN 3000側の問題ではありません。

RFC 952によると、これはMicrosoftの問題でもなく、ホスト名にアンダースコアが不正に使用されていることが原因と考えられます。ホスト名の中でアンダースコアを使用することは認められません（CSCed34985）。

次に、このRFCの抜粋を示します。

「名前」（ネット、ホスト、ゲートウェイ、またはドメイン名）は、英字（A-Z）、数字（0-9）、マイナス記号（-）、およびピリオド（.）で構成される最大24文字のテキストストリングである。ピリオドは、「ドメインスタイルの名前」でコンポーネントの区切り文字としてのみ使用できる（詳細はRFC 921「Domain Name System Implementation Schedule」を参照）。名前の一部としてブランクまたはスペース文字を使用することはできない。大文字と小文字は区別されない。最初の文字は英字でなければならない。最後の文字はマイナス記号またはピリオドであってはならない。ゲートウェイとして動作するホストは、名前の一部に「-GATEWAY」または「-GW」が使用されている必要がある。

Microsoft Knowledge Baseの次のリンクも参照してください。

http://support.microsoft.com/default.aspx?scid=kb;en-us;149044

http://support.microsoft.com/default.aspx?scid=kb;en-us;294217

WebVPNキャプチャツール

WebVPN CLIには、WebVPN接続で正常に表示されないWebサイトに関する情報を記録するためのキャプチャツールが含まれています。このツールの出力に基づいて、シスコのカスタマーサポートが問題をトラブルシューティングします。

このツールを使用するには、WebVPNでロギングをイネーブルに設定している必要があります（『VPN 3000 Series Concentrator Reference Volume I: Configuration』の「Monitoring | Event Log | Configure WebVPN Logging」を参照）。このツールを使用して、正常に表示されないWebサイトに関する情報を取得します。

WebVPNキャプチャツールの出力は、次の2つのファイルで構成されます。

[mangled.001, 002...]など（Webページのアクティビティによって異なります）。mangleファイルは、VPN 3000コンセントレータがWebVPN接続を使用してこれらのページを転送するために実行したHTMLアクションを記録しています。
[original.001, 002...]など（Webページのアクティビティによって異なります）。originalファイルは、そのURLでVPN 3000コンセントレータに送信されたファイルです。

キャプチャが終了した時点で、必ずキャプチャツールをオフにしてください。これらのファイルを表示するには、Administration | File Managementの順に選択します。

WebVPNキャプチャツールの使用法については、『VPN 3000 Series Concentrator Reference Volume I: Configuration』の付録「Configuring the VPN Concentrator for WebVPN」を参照してください。

Lotus iNotesおよびMicrosoft Exchangeの非サポート

このリリースでは、WebVPNはLotus iNotesおよびMicrosoft Exchange（Outlook/Exchangeプロキシ）アプリケーションをサポートしません。

Microsoft Distributed Fileの非サポート

WebVPNはCIFSをサポートしますが、Microsoft Distributed Fileはサポートしません（CSCed86246）。

traceroute

VPNコンセントレータおよびVPN 3002で、tracerouteコマンドがサポートされるようになりました。このコマンドは、パケットが宛先IPアドレスに到達するために使用したルートを記録し、ネットワーク接続に関する問題のトラブルシューティングに役立ちます。tracerouteコマンドを使用するには、Sun MicrosystemsのJREバージョン1.4.1以上が必要です。

注意適正なバージョンのJREをインストールしていない場合は、tracerouteを実行しないでください。JREのない状態でtracerouteを実行すると、adminセッションが終了します。

Zone Labs Integrity：障害時の接続許可/禁止および複数サーバのサポート

Release 4.1ではIPSec接続に関してのみ、接続を試みる時点でIntegrityサーバが使用不可能な場合に、プライベートネットワークを開く（Fail Open）、またはトンネルを終了する（Fail Closed）、のいずれかを指定できるオプションが追加されています。従来は、ユーザが接続する際Zone Labs Integrityサーバが使用不可能な場合、ユーザはネットワークへのアクセスが与えられました。

このリリースでは、管理者はVPNコンセントレータが接続を受け入れる最大5つのIntegrityサーバのリストを設定できます。アクティブなIntegrityサーバが使用不可能になった場合、別のIntegrityサーバが接続を開始できます。そのサーバが設定済みリストに含まれていれば、コンセントレータはそのサーバでユーザを認証します。

クライアントのOS/バージョンタイプ別のアクセス制御

WebVPN接続以外の接続について、管理者がサポート対象のクライアントタイプおよびソフトウェアバージョン別にリモートアクセス接続を制限することができます。この制限はすべてのEZ-VPNクライアントに適用されます。たとえば、Windows 2000ユーザだけがInternet Explorer 6.0, Service Pack 1を使用してネットワークに接続でき、他のプラットフォームまたはバージョンにはアクセスを禁止するといった設定が可能です。

ネットワークリストのLAN間接続拡張機能

管理者はConfiguration | IPSec | LAN-to-LAN | AddまたはModifyページを使用して、LAN間接続用のネットワークリストを作成できます。

pingの拡張機能

pingコマンドを発行すると、デフォルトで、0xABCDというパターンに設定されたICMPデータを持つ100バイトのICMPエコー要求が5つ、タイムアウト2秒で送信されるようになりました。ManagerおよびCLIの両方で、ステータスとして次の文字がICMP要求と同じ数だけ表示されます。

! - 正常に応答を受信できた場合

. - pingへの応答を待機してタイムアウトした場合

C - データが一致しなかった場合

U - ICMP unreachableを受信した場合

VPNコンセントレータは、応答までの最小、平均、および最大ラウンドトリップ時間も計算して表示します。

VPN 3002のパスワード保存に関する拡張機能

パスワード保存の拡張機能によって、保存されたパスワードは電源をリセットすると無効になります。デバイスが元の場所から移動された場合、この機能によってセキュリティが強化されます。

Release 4.1の変更点

ここでは、Release 4.1機能の旧リリースからの変更点について説明します。

最大セッション数

VPNコンセントレータは、IPSec、PPTP、L2TP/IPSec、およびWebVPNセッションを、単独、またはこれらの組み合わせでサポートします。同時にアクティブにできるセッション数が、VPNコンセントレータでサポート可能なセッション数よりも少なくなるように制限することができます。セッション数の制限では、IPSec、PPTP、およびL2TP/IPSecセッションが1つのグループとして扱われます。Configuration | System | General | Sessions画面で、[Maximum Active Sessions]パラメータが上記のセッションに適用され、[Maximum Active WebVPN Sessions]パラメータがWebVPNセッションに適用されます。

一方のタイプのセッションの最大数を下げれば、もう一方のタイプのセッションがより多くサポートされるようになると思うかもしれませんが、VPNコンセントレータはそのようには動作しません。実際には、どちらかのタイプのアクティブセッション数を意図的に減した場合、VPNコンセントレータがサポートする両方のタイプのセッション数が減ります。次の各項で具体的な例を示します。

注シスコでは、これらのパラメータのデフォルト値を入念にテストして確認済みです。シスコのテクニカルサポートから指示された場合以外は、これらのデフォルト値を変更しないことを推奨します。

アクティブセッションの最大数：WebVPNまたはIPSec、PPTP、L2TP/IPSec

WebVPNセッションは、他のタイプよりもVPNコンセントレータのリソース所要量が著しく大きいので、次の表ではWebVPNセッションだけを別扱いにしています。WebVPNセッションと他のタイプのセキュアセッションを混在させるときは、この違いについて理解しておく必要があります。

サポートされる最大セッション数は、VPNコンセントレータハードウェアによって決まるので、モデルごとに異なります。次の表に、VPNコンセントレータの各モデルで同時にサポートできるアクティブWebVPNセッションまたはIPSec、PPTP、L2TP/IPSecセッションの最大数を示します。

VPNコンセントレータモデル	メモリ（MB）	他のセッションがアクティブでない場合のWebVPNセッション数（デフォルト = 最大数）	WebVPNセッションがアクティブでない場合のIPSec、PPTP、L2TPセッションの最大数（デフォルト = 最大数）	スループット（Mbs）¹
VPNコンセントレータモデル	メモリ（MB）	他のセッションがアクティブでない場合のWebVPNセッション数（デフォルト = 最大数）		スループット（Mbs）¹
3005	32	10	100	1
3005	64	50	200	1
3015	128	75	100	1.5
3020、SEP-E搭載	256	200	750	9
3020、SEP-E搭載	512	200	750	9
3030、SEP-E搭載	128	100	1,500	9
3030、SEP-E搭載	256	200		9
3030、SEP-E搭載	512	500		9
3060、SEP-E搭載	256	200	5,000	10.3
3060、SEP-E搭載	512	500	5,000	10.3
3080、SEP-E搭載	256	200	10,000	10.3
3080、SEP-E搭載	512	500	10,000	10.3

¹ これらのスループット値は、VPNコンセントレータが大量の処理を実行する必要のあるWebページで計測したパフォーマンスを反映しています。バイナリデータファイル、または検証や処理をあまり必要としないファイルを使用する場合には、記載されているスループット速度の約2倍になります。

WebVPNに関して記載されている数字は、VPN 3000コンセントレータがWebVPNを使用してWebページを取得するパフォーマンスを計測するための標準的なキャパシティおよびパフォーマンステストに基づいています。これらのパフォーマンステストは、次の条件に基づいて実施されています。

1つのWebVPNセッションは、3DES暗号化を使用してログオンしたTLS-v1 WebVPNユーザ1人を表す。
各ユーザは最大60秒ごとに1つのWebページを受信する。
ユーザは1秒ごとに1人の速度でログインし、テストを実行している間、データを送受信する。
ベンチマークによるWebページの平均取得時間は5秒以下である。
テストに使用したWebページのコンテンツには、次のフォーマットがすべて含まれる。プレーンテキスト、.gifファイル、.jpgファイル、URL、およびJavaスクリプトファイル。

アクティブなセッションの最大数

同時にアクティブにできるIPSec、PPTP、およびLT2P/IPSecセッション数を、VPNコンセントレータで潜在的にサポート可能なセッション数よりも少なくなるように制限することができます。

[Maximum Active Sessions]フィールドに0を指定すると、ハードウェアがサポートする最大セッション数より下の意図的な限界はないという意味になります。言い換えると、VPNコンセントレータ3030の場合、このフィールドが0（デフォルト値）であれば、最大セッション数は1500です。

セッション数が設定された値に達すると、VPNコンセントレータは新たなどのタイプのセッションも許可しなくなります。たとえば、VPN 3005上のIPSecセッションの最大数を50に設定した場合、アクティブなIPSecセッションが50個になると、VPNコンセントレータは新たなWebVPN、IPSec、PPTP、またはL2TP/IPSecセッションを1つも受け入れなくなります。

アクティブなWebVPNセッションの最大数

[Maximum Active WebVPN Sessions]フィールドは、このVPNコンセントレータ上で同時にアクティブにできるWebVPNセッションの最大数を指定します。デフォルト値を使用することを推奨します。

セッション数が設定した値に達すると、VPNコンセントレータは新たなどのタイプのセッションも許可しなくなります。たとえば、VPN 3060上のWebVPNセッションの最大数を95に設定した場合、アクティブなWebVPNセッションが95個になると、VPNコンセントレータはIPSecまたはWebVPNセッションを1つも受け入れなくなります。

IPSec、PPTP、L2TP/IPSecセッションに対するWebVPNセッションの比率

アクティブセッションの最大数を示した表から、各プラットフォーム上でのIPSec、PPTP、L2TP/IPSecセッションに対するWebVPNセッションの比率が導き出されます。VPNの使用に関連してネットワークプランニングおよび管理を行うとき、これらの比率を利用できます。

いずれかの[Maximum Sessions]パラメータを変更すると、VPNコンセントレータ上でのWebVPNセッションの他のセッションに対する比率が変化する点に注意してください。

例として、最大容量のメモリおよびSEP-Eを搭載したVPN 3030コンセントレータでの、[Maximum Session]パラメータと[Maximum WebVPN Sessions]パラメータの相互作用を次の表に示します。

プラットフォーム	Max Active Sessions（IPSec、PPTP、L2TP）の設定	Max Active WebVPN Sessionsの設定	比率（ WebVPN：その他のセッション）	例（ WebVPN：その他のセッション）	例（その他のセッション：WebVPNセッション）
SEP-Eおよび512 MBのメモリを搭載したVPN 3030	1,500（デフォルト）	500（デフォルト）	1:3	アクティブなWebVPNセッションが50個の場合、最大1350個のIPSecセッションが許可される。	アクティブなIPSecセッションが1200個の場合、最大100個のWebVPNセッションが許可される。
	800	100	1:8	アクティブなWebVPNセッションが50個の場合、最大400個のIPSecセッションが許可される。	アクティブなIPSecセッションが300個の場合、最大62個のWebVPNセッションが許可される。
	1,500	50	1:30	アクティブなWebVPNセッションが10個の場合、最大1200個のIPSecセッションが許可される。	アクティブなIPSecセッションが800個の場合、最大23個のWebVPNセッションが許可される。
	1,200	50	1:24	アクティブなWebVPNセッションが48個の場合、最大48個のIPSecセッションが許可される。	IPSecセッションが800個の場合、最大16個のWebVPNセッションが許可される。
	1,200	50	1:24	アクティブなWebVPNセッションが50個の場合、IPSecセッションは許可されない。	アクティブなIPSecセッションが1200個の場合、WebVPNセッションは許可されない。

アクティブセッション数が設定した値に達すると、VPNコンセントレータは新たなどのタイプのセッションも許可しなくなります。

Telnet Over SSLの変更点

Release 4.1では、VPNコンセントレータへのTelnet over SSL接続を確立する機能が削除されました。管理セッション用には、Telnet over SSLではなくSSHを使用することを推奨します。WebVPNポートフォワーディングにはTelnetのサポートが含まれますが、VPNコンセントレータにTelnet over SSLで接続することはできません。

64 MBメモリ搭載VPN 3005コンセントレータのIPSecまたはPPTPセッションに対する最大サポート数

Release 4.1では、64 MBのメモリを搭載したVPN 3005コンセントレータは、最大200個のリモートアクセスIPSecセッションを同時にサポートします。

この最大セッション数を達成するには、VPN Clientが次のどちらかの条件を満たしている必要があります。

4.0以上のソフトウェアで稼働している。
4.0より前のソフトウェアで稼働している場合は、分割トンネリングを実行しない。
VPN 3002ハードウェアクライアントでは、分割トンネリングを実行しないでください。

注 32 MBのメモリを搭載したVPN 3005コンセントレータは、最大100個のIPSecまたはPPTPセッションをサポートします。

HTTPSフィルタルールの変更点

Release 4.1にアップグレードすることによって、HTTPS用の設定済みのフィルタルールの実施に影響が出ます。インターフェイス上で[Allow Management HTTPS sessions]または[Allow WebVPN HTTPS sessions]パラメータをイネーブルに設定すると、以前のフィルタ設定との矛盾が生じる可能性があります。

たとえば、Release 4.0では、VPNコンセントレータのパブリックインターフェイスには、パブリックネットワーク上のPC 1との間でHTTPSトラフィックを送受信するための2つのHTTPルール（HTTPS In/Out）があります。

Release 4.0 VPNコンセントレータは、これらのフィルタルールを次のように実施します。

ルール1. PC 1にHTTPS In/Outを許可する。

ルール2. それ以外のHTTPSトラフィックをすべて廃棄する（デフォルトのアクション）。

Release 4.1にアップグレードし、パブリックインターフェイス上で[Allow Management HTTPS sessions]または[Allow WebVPN HTTPS sessions]パラメータをイネーブルに設定すると、実施方式が変更されます。VPNコンセントレータは、次の順序でフィルタルールを実施します。

ルール1. PC 1にHTTPS In/Outを許可する。

ルール2. インターフェイスを入出するHTTPS管理セッションおよびWebVPN HTTPSセッションを許可する。

ルール3. それ以外のHTTPSトラフィックをすべて廃棄する（デフォルトのアクション）。

ルール2によって、ルール3が実施されなくなり、パブリックネットワーク上のすべてのPCが、VPNコンセントレータとの間でHTTPSを使用できます。

Release 4.1では、特定のPCからのHTTPSトラフィックを禁止するためのルールを明示的に定義する必要があります。次の例では、ルール2を定義する必要があります。

ルール1. PC 1にHTTPS In/Outを許可する。

ルール2. その他のPC（0.0.0.0/255.255.255.255）をどれも禁止する。

ルール3. インターフェイスを入出するHTTPS管理セッションおよびWebVPN HTTPSセッションを許可する。

ルール4. それ以外のHTTPSトラフィックをすべて廃棄する（デフォルトのアクション）（CSCec72348）。

使用上の注意

ここでは、VPN 3000シリーズコンセントレータソフトウェアRelease 4.1をインストールして使用する前に知っておく必要のある、インターオペラビリティおよびその他の考慮事項を示します。

Cisco Security Agentによるポートフォワーディングのブロック

ポートフォワーディングを使用するPCシステムにCisco Security Agent（Version 4.0、build 119）がインストールされている場合、Cisco Security Agentはポート80のTCP接続へのアクセスをブロックします。Cisco Security Agentを使用する場合は、特定のポートでの127.0.0.1へのアクセスを許可するポリシーを作成する必要があります（CSCec06741）。

TCPポートフォワーディングによるクライアントPCのCPU使用率の増大

ブロードバンドおよびイーサネットのスループット速度でファイルを転送するためにTCPポートフォワーディング機能を使用する場合、ダウンロードされたJavaアプレットが、リモートPCのシステム処理能力を著しく消費する可能性があります（CSCeb38638）。

SDIまたはNTドメイン認証を使用する場合のグループロックのディセーブル化

この機能は、内部認証またはRADIUS認証を使用する場合にのみサポートされます。この機能を正しく使用する方法については、次のURLを参照してください。http://www.cisco.com/warp/public/471/altigagroup.html

パスワード期限によるLANのユーザプロファイルの変更不可

（IPSecユーザにのみ）パスワード期限を使用するには、VPNクライアントで[Start Before Logon]をイネーブルにする必要があります。また、DNSサーバおよびWINSサーバが適切に設定されていることを確認しなければならない場合もあります（CSCdv7325）。

ブラウザの互換性の問題

ここでは、特定のWebブラウザに関して判明している動作および問題点について説明します。
現在、VPN 3000コンセントレータで管理用に完全にサポートされているブラウザは、Netscape、Internet Explorer、およびMozillaです。
上記以外のブラウザを使用すると、許容不可能な動作が発生する可能性があります。たとえば、サポートされていないブラウザを使用してVPN 3000コンセントレータの管理を試みると、いずれかのリンクをクリックした際にログイン画面に戻る場合があります（CSCdx87630）。
VPN 3000コンセントレータとの対話には、サポートされているWebブラウザを使用してください。特に、ポートフォワーディング機能を使用する場合には、Opera以外のブラウザを使用してください。
ファイル共有を使用している場合、ファイルを開くか保存する動作をキャンセルすると、Internet Explorer 5.5が終了します。Internet Explorer 5.5では、ファイルを開くか保存するためにそのファイルをクリックすると、ブラウザが閉じられる場合があります。また、ファイルを開くか保存しているときに[Cancel]をクリックしても、ブラウザが閉じられる場合があります。
Microsoft社はInternet Explorer 5.5に関するこの問題を確認しています。詳細については、次のリンクにあるMicrosoft Knowledge Baseの記事を参照してください。
http://support.microsoft.com/default.aspx?scid=kb;en-us;275290&Product=ie

この問題を回避するには、ファイルを右クリックし、次に[Save Target As]をクリックします（CSCec51902）。

Internet Explorerによるポートフォワーディング起動時のセキュリティ警告の表示

Internet Explorer 6.0からポートフォワーディング（アプリケーションアクセス）を起動するたびに、[Security Information]ウィンドウで次のメッセージが表示されます。

This page contains both secure and nonsecure items.
Do you want to display the nonsecure items?

このエラーはNetscape 7.1では発生しません（CSCed25138）。

IMAPSプロキシによる複数のメールサーバセッションの起動

IMAPクライアントの動作方式に起因した現象として、VPNコンセントレータおよびメールサーバの管理者は、同一の送信元またはクライアントから複数のセッションが起動されるのに気づく場合があります（たとえば、メールをチェックするときやフォルダを同期化するときにIMAPセッションが開かれる場合があります）。その結果、VPNコンセントレータのセッションテーブルに同じ送信元からの2つのIMAPSセッションがリストされたり、メールサーバ上でVPNコンセントレータの送信元IPアドレスおよび同じメールユーザの2つのIMAPセッションがリストされる場合があります（CSCec18358）。

[Group Strip]および[Strip Realm]設定の変更

（IPSecユーザの）グループルックアップ機能に、[Group Strip]というスイッチが追加されました。このスイッチは、ユーザ名を認証するときにユーザ名からグループを削除するかどうかを指定します。デフォルトでは、グループ名が削除されます。

従来のリリースでは、内部認証では常にグループ名が削除され、外部認証はグループデリミタ「@」を使用する[Strip Realm]の設定に依存していました（!および#グループは削除されませんでした）。

グループルックアップ機能を外部ユーザ認証とともに使用し、なおかつユーザ認証が（アップグレード後に）失敗するようになった場合は、[Group Strip]および[Strip Realm]の設定を確認してください（CSCec20818）。

ネイティブKerberos認証

VPN 3000シリーズコンセントレータはRelease 4.0から、Kerberos/Activeディレクトリへの認証をサポートするようになりました。これはWindows 2000およびWindows XPのデフォルトの認証メカニズムです。[Kerberos]は信頼されないネットワークに使用する認証プロトコルです。このプロトコルは2段階の認証で構成されています。第1レベルはKey Distribution Center（KDC;鍵発行局）であり、第2レベルは各クライアント/サーバ間の認証です。

この機能を設定するには、Kerberos認証サーバをグループ単位で追加するか、またはグローバル認証サーバリストにサーバを追加し、サーバのIPアドレス、サーバポート、再試行回数などのパラメータを設定します。IPSec groupタブに認証タイプとして[Kerberos]が含まれ、統計情報にもKerberos認証の統計が表示されます。

VPNコンセントレータを使用して、Kerberosサーバを実行しているLinuxまたはUnixサーバでユーザを認証するには、次の作業を行います。

ステップ1 認証するユーザが使用できる鍵を確認します。次のコマンドを実行します。

kadmin.local -q "getprinc username"

ステップ2 使用できる鍵の中に、[DES cbc mode with RSA-MD5, Version 5]があることを確認します。[DES cbc mode with RSA-MD5, Version 5]が表示されていない場合は、kdc.confファイルを編集し、supported_enctypes =行の先頭に、des-cbc-md5の選択項目を追加または移動します。次に例を示します。

[realms]

MYCOMPANY.COM = {

master_key_type = des-cbc-crc

supported_enctypes = des-cbc-md5:normal des-cbc-md5:norealm des-cbc-md5:onlyrealm

ステップ3 ファイルを保存します。そのあと、krb5kdc、kadmin、およびkrb524サービスを再起動します。

a. [DES cbc mode with RSA-MD5]鍵を作成するために、ユーザパスワードを変更します。

kadmin.local -q "cpw -pw newpassword username"

これで、このユーザをLinux/Unix Kerberos 5サーバで認証できるようになります（SCea20236）。

日本語版オペレーティングシステムのサポート

日本語版Windowsオペレーティングシステムでは、WebVPNは次の用途をサポートしません。
日本語を含んだURLのアクセス
ファイル名またはパスに日本語が含まれるCIFSファイルアクセス
WebVPNは、Linux、Solaris、Mac OSの日本語版に対応していません。それ以外のVPN 3000コンセントレータRelease 4.1の機能は、4.0から使用可能だった機能も含めて、日本語版システムで使用できます。

ファイル共有時のシェア名の最大文字数

ファイル共有を使用する場合、シェア名の長さは最大12文字です。12文字より長いシェア名は、表示されません。これはCIFSプロトコルによる制約事項です（CSCed21075）。

Windows MEでNortonアンチウィルスを使用する場合のTCPポートフォワーディングのブロック

TCPポートフォワーディング（アプリケーションアクセス）は、Norton AntivirusをインストールしているWindows ME PC上では使用できません。[TCP Port Forwarding]メニューをロードしようとすると、Norton Antivirusによって、フォワーディングされるTCPポートがオープンできないか、またはPCがダウンする場合があります。これはNorton Antivirusの問題です（CSCec18162）。

$で終わるシェア名の非表示

ファイル共有を使用する場合、シェア名の最後にドル記号（$）が使用されていると、その共有フォルダは表示されません。この共有リソースは、ユーザによる閲覧も不可能です。これは正常な動作です。Microsoft社によると、ドル記号で終わるシェア名（share$）は非表示シェアです。ユーザはこれらの非表示シェアを閲覧できません（CSCed09634）。

ファイル共有でのドメイン/ワークグループごとの最大サーバ表示数

ファイル共有では現在、ドメインまたはワークグループごとに2520のサーバしか表示されません。表示されないサーバについては、Network Pathエントリボックスにサーバ名を入力することによって閲覧できます（CSCec73349）。

VPN 3000シリーズコンセントレータの判明している注意事項

注意事項では、予想外の動作またはCiscoソフトウェアリリースの不具合について説明します。ユーザの便宜を考慮して、Release 4.1固有の判明している注意事項を最初にリストします。その後で、Release 4.1より前に判明していた注意事項をリストします。各リストは識別番号順になっています。どちらのリストでも、実行できる対処方法を併記しています。対処方法が併記されていない場合、対処方法はありません。

注 CCOのアカウントをお持ちの場合、Bug Navigator IIを使用して、リリースおよび重大度を指定して注意事項を検索できます。CCOでBug Navigator IIを使用するには、Software & Support:Online Technical Support:Software Bug Toolkitの順に選択するか、または http://www.cisco.com/pcgi-bin/Support/Bugtool/launch_bugtool.plにアクセスします。

Release 4.1固有の判明している注意事項

Release 4.1で発生した新しい問題は、次のとおりです。
CSCeb21763
ブラウザからWebVPN機能を使用してコンセントレータにログインした後、ブラウザの[Back]ボタンを使用すると、バナーポップアップボックスが2回以上表示されます。通常、バナーはユーザがログインした直後に1回しか表示されません。

Netscape 7.xおよびMozilla 1.xで[Back]および[Previous]ボタンを使用すると、ブラウザのキャッシュ設定やコンセントレータから送信されたページのプロパティとは無関係に、常にキャッシュからページが取得されます。その結果、[Back]ボタンをクリックしてWebVPNホームポータルサイトに戻ると、バナーポップアップが再表示されます。

対処方法：

ホームポータルサイトに戻るには、[Back]ボタンではなく、WebVPNコントロールバーの[Home]ボタンを使用してください。
CSCeb38638
非常に高いデータ転送速度でTCPポートフォワーディング機能を使用すると、JavaアプレットがCPU利用率50%以上で動作する場合があります。クライアントPCのCPUが高速であるほど、CPU利用率に対するJavaの影響は少なくなります。
CSCeb59310
グループに定義されているWebVPN ACLに、不正な、またはDNSで解決不可能なACLエントリが大量に（10より多く）含まれている場合、VPN 3000コンセントレータがこれらのACLエントリを解析しようと試みると、CPUサイクルがすべて消費されます。その結果、他のトンネルの確立やHTTP（S）管理セッションが拒否されます。

対処方法：

WebVPN ACL定義に使用されているURLが有効であるかどうかを確認してください。
CSCeb86147
RC4-128 SSL暗号化は、WebVPN接続でサポートされていますが、CPU利用率が非常に高いのでWebVPN用には推奨できません。暗号化には、DES-56または3DES-168を使用することを推奨します。RC4-128はソフトウェアベースですが、これらの暗号化方式はハードウェアベースです。
CSCec03101

[Monitoring Sessions]ページで[Group]ドロップダウンタブを選択しているときに、モニタリングの更新が行われると、メインのフレームが空白になり、左または上のフレームで別のリンクを選択しても、空白のままになります。

対処方法：

次のいずれかの操作を行います。

― ログアウト/ログイン

― 右のフレームを右クリックし、[Refresh]を選択する

この動作はIE 6.0でのみ発生し、IE 5.0、Netscape 4.78、またはNetscape 6.2では観察されていません。
CSCec09317
NBNSの[Master Browser Server]オプションが機能しません。現在、名前の変換はWINSサーバを使用する場合のみ正常に機能します。
CSCec20414
Outlook Web Accessを使用して新しいカレンダオブジェクトに参加者を呼ぶとき、[invite attendees]ボタンを選択するとページがリセットされる場合があります。これは、ページが完全にロードされていないために発生します。ページが完全にロードされているかどうかを確認するには、カレンダオブジェクトの[start time]および[end time]ドロップダウンに現在の日付および時刻が表示されているかどうかをチェックします。
CSCec24244
ファイル共有を使用し、ファイルをコピーするとき、コピーするファイルによって既存のファイルが上書きされる場合にも、確認を求めるプロンプトが表示されません。追加（コピー）するファイルと同名のファイルが存在しないことを確認する必要があります。
CSCec28525
WebVPNは一連のサイトを1つのフレームに収容します。WebVPNはベストエフォート式でサイトをフレームに収容するよう試みますが、一部のサイトはフレームに入った状態では正常に動作しません。このようなサイトは、フレームに入っていないか、またはサイト自身のフレームがトップレベルに位置しています。このようなサイトの例に、www.cutimes.comがあります。
CSCec30364
Admin | File Managementテーブルで、「.grp」など、ある種のWindows拡張子の付いたファイルに[View]オプションを選択しても、これらのファイルが表示されません。

対処方法：

該当するファイルのコピーを別のファイル名で作成し、名前を変更した新しいファイルを表示してください。
CSCec34817
VPN 3002でユーザ認証がイネーブルに設定されている場合、HTTPでリダイレクトされるインターフェイス向けのWebブラウザセッションを、VPN 3002ユーザログインプロンプトにリダイレクトできません。

VPN 3002とともに自分自身を認証するPC上のWebブラウザに、VPNコンセントレータのプライベートIPアドレスを入力すると、ブラウザのドロップダウンリスト上の最初のIPアドレスに、プレフィクス[https://]が追加されます。[https]があると、VPN 3002はブラウザをログインプロンプトに切り替えることができません。

対処方法：

VPN 3002とともに認証を試みるブラウザのアドレスバーの[https]から「s」を削除します。最終的には[https]を使用して接続が確立されますが、上記のステップで「s」を削除することによって、VPN 3002がログインプロンプトを表示できないという障害を回避することができます。
CSCec36405
WebVPNエンドユーザのLogout画面で、リンク[Click here to close the browser window]が、Mozilla 1.4およびNetscape 7.xでは動作しません。
CSCec37257
Internet Explorerでファイル共有を使用する場合、ユーザが同時に実行できるダウンロードは2つだけです。2つのダウンロードが進行しているときは、アイコンまたはアクションボタンをクリックしても外見上、応答しません。どちらか1つのダウンロードが完了すれば、WebVPNファイル共有は再び応答するようになります。
CSCec38676
WebVPNは、このリリースでは有効期限付きのRADIUSに対応しません。
CSCec46657
WebVPN上でOutlook Web Access/WebDAVを使用し[Change Password]をクリックすると、接続エラーになります。これはMS Exchange Serverのセキュリティ上の欠陥であると考えられ、MSは現在その使用をサポートしていません。

対処方法：

Exchange Serverに直接接続している状態でパスワードを変更してください。
CSCec47541
リンク（たとえば、電子メールメッセージに含まれているリンクなど）をクリックすると、そのリンクがアプリケーションアクセスJavaアプレットを実行するブラウザウィンドウを使用していて、アプリケーションアクセスが無効になる場合があります。このようなウィンドウへのリダイレクトの結果、WebVPNポートフォワーディングが終了します。

Microsoft Internet Explorerでは、この問題を防止できます。NetscapeおよびMozillaブラウザにはこの問題を防止する手段は提供されていません。
CSCec64525
Domino Web Accessを使用する場合、既存の電子メールメッセージを転送しようとすると、ユーザはWebVPNセッションからログアウトされます。
CSCec65416
VPN 3000コンセントレータは、WebDAVの問題により、Microsoft Outlook Exchange 2003のOutlook Web Accessをサポートしていません。
CSCec75742
ファイル共有を使用する場合、名前に2つのドットを含むファイルをダウンロードすると、ファイル名が変更されます。たとえば、ファイル「filename.v1.zip」は、ダウンロード後は「filename[1].v1.zip」という名前になります。

対処方法：

[Save As]ダイアログボックスを使用して手動でファイル名を変更してください。
CSCec75765
Release 4.1をロードしたあと、次のエラーイベントが生成される場合があります。

― SET validation Bad Value Error on alSessionLimit.0.

― SERVE Bad Value Error.

これらのイベントは無害であり、コンフィギュレーションを保存している場合、これらのメッセージは次回の再起動時からは表示されません。
CSCec77427
Mozillaブラウザを使用する場合、WebVPNユーザとしてログアウトしたあとに、ブラウザウィンドウを閉じるためのリンクが機能しません。

対処方法：

ブラウザウィンドウを手動で閉じてください。
CSCec78536
WebVPNは、http要求を生成するJavaアプレットをサポートしません。この理由から、たとえばCiscoSecure ACSアプリケーションにはログインできません。
CSCec82791
ファイル共有で、[Network Path]エントリボックスに入力した共有フォルダが存在しない場合、認証を要求するプロンプトが表示されます。有効な証明書があっても、認証は成功しません。

対処方法：

認証をキャンセルするか、または[Home]アイコンをクリックしてください。
CSCed05714
一部のサイトのHTTP応答で、JavaScriptコンテンツが通常のHTTPデータとして不正に識別されている場合があります。そのためWebVPNをこれらのサイトと相互運用すると、WebVPNが誤動作します。

このようなサイトの例に、www.pwc.comがあります。[Site Navigation]ドロップダウンメニューからいずれかのオプションを選択するとJavascriptエラーが発生し、WebVPNセッションが終了します。
CSCed05959
Webページが生成する応答で、1対のHTMLタグの間にあるコンテンツが9キロバイトを超えている場合、WebVPNはその応答を廃棄します。その結果、Webページが正常に表示されない場合があります。
CSCec07602
VPN 3000コンセントレータでPIXファイアウォールへのanswer-onlyモードのLAN間接続セッションを実行するとき、LAN間接続設定ページでネットワークを定義する代わりにネットワークリストを使用している場合、エラーになる可能性があります。
CSCed12191
ファイル共有を使用する場合、ワークグループの閲覧時にメンバーサーバが表示されない場合があります。これは、サーバからの応答が遅いことから発生する障害です。

対処方法：

サーバに到達するには、[Enter Network Path]エントリボックスにサーバ名を入力してください。
CSCed14579
シェア内のフォルダへの絶対パスを入力するとき、フォルダ名の大文字/小文字の区別が正しいことを確認してください。そうでないと、フォルダの内容を表示できません。たとえば、シェア内の共有フォルダがサブフォルダである場合、[Network Path]エントリフィールドに、このフォルダへの絶対パスを次のように入力する必要があります。\\server\share\SharedFolder
CSCed22336
Netscape 4.79でファイル共有を使用する場合、テキストファイルのダウンロードが失敗します。テキストファイルを表示することはできますが、ファイルを右クリックして[Save Target As...]を選択しても、動作が完了することはありません。

対処方法：

この問題を回避するには、ダウンロードが正常に処理されるNetscapeの最新版にアップグレードしてください。

現在のNetscapeバージョンのままにしておく必要がある場合は、テキストファイルを表示したあと、[File]メニューから[Edit]を選択し、[Select All]をクリックして、メモ帳にコピーペーストします。
CSCed23549
Release 3.6.7ソフトウェアで稼働するVPN 3030コンセントレータで、メモリ不良が発生しています。ログに次のメッセージが含まれます。

SEV=3 SYSTEM/10 RPT=47 Freeing free memory block.Ptr=034ec494, CPC1=000218e8, CPC2=00025d2c, TID=00360000

SEV=4 SYSTEM/0 RPT=185 0000:FACEDBAD 030CF9C8 031C4E40 00010000

このようなエラーメッセージが表示されても、VPN 3030コンセントレータがダウンするわけではないので、crashdumpファイルはありません。
CSCed34297
ファイル共有を使用する場合、VPN 3005には64 MBのメモリが必要です。メモリがこれより少ないと、ネットワークを閲覧するときに使用可能なドメイン/ワークグループおよびサーバがすべて正常に表示されない場合があります。また、オブジェクト数が1,000を超える場合は、フォルダ数およびファイル数として信頼できる数字が表示されません。
CSCed38056
WebVPNフレームの下に、次の行が表示されます。

Via:1.1 VPN3000 Cache-Control:no-cache Transfer-Encoding:chunked 58F

一部のページで、WebVPNがCRLFまたはLFのどちらかで終了するヘッダーを必要としているにもかかわらず、これらが混在したヘッダーが返される場合があります。その結果、ページにヘッダーフィールドが不要であっても、ヘッダーフィールドが表示されます。
CSCed45861
Netscape 4.7でファイル共有を使用する場合、シェア名にスペースが含まれていると、そのシェアにはアクセスできません。Netscapeは共有リソースを開くことができず、このエラーが発生したという表示もありません。Netscapeの最新版では、この問題は発生しません。

対処方法：

Netscape 7.1以上にアップグレードしてください。
CSCed48738
大量のcookie転送が行われるサイトがあります。これらのサイトをログアウトし、再びログインすると、サイトが正常に動作しなくなる場合があります。このような問題のあるサイトに、401k.com、quicken.com、hotmail.comがあります。その他にもcookieを大量に使用するサイトで、この問題が発生します。

対処方法：

サイトを広範囲にわたってナビゲートしたあと、ログアウトして再びログインする場合は、WebVPNからログアウトして、再びWebVPNにログインしてください。
CSCed49449
NetscapeでWebVPNを使用する場合、ブラウザを閉じて再び開かないと、WebVPNセッションを再確立できません。

WebVPNは、7.1より前のNetscapeバージョンをサポートしていません。ユーザが不正な方法（たとえば、別のWebサイトに直接切り替えるなど）によってWebVPNセッションをログアウトした場合、前のセッションからのcookieが削除されず、そのために新しいWebVPNセッションの確立が阻止されます。

対処方法：

― WebVPNセッションからのログアウトは、常に正しい方法で行ってください。

― WebVPNアドレスを扱うすべてのcookieを削除するか、またはブラウザを再起動してください。

― Netscape 7.1にアップグレードしてください。
CSCed50600
Release 4.1では、WRITE動作（Savelog + Config）用に1 MBのフラッシュの空きが必要です。今後のリリースではこの動作を最適化する予定ですが、その方法はフラッシュのスペースを確保するのではなく、WRITEタスクをグレースフルに終了させてHTTP（S）タスクを続行できるようにするという方法です。
CSCed52118
同じグループログインに複数のユーザが存在する場合、Administrator sessions | sessions detailをチェックすると、各グループの最初のセッションにしか、対応づけられたACLが表示されません。
CSCed52950
[Fleet Bank Home Link]タブごとに、個別のウィンドウが起動されます。
CSCed53867
WebVPNセッション中に、PDF文書のツールバーの[Acrobat]アイコンをクリックしたとき、「続行するとセッションがログアウトされる」という警告メッセージが表示されます。
CSCed55624
WebVPNセッション中に、ブラウザのcookieであるwebvpn（すべて小文字）を削除すると、WebVPNセッションがログアウトされます。

注 cookie名は「webvpn」であり、「WebVPN」ではありません。
CSCed56415
Netscape 7.1を使用する場合、一部のサイト（例：potterybarn.com）でブラウザがハングアップします。この問題が発生した場合は、ブラウザをいったん閉じて再び開き、WebVPNセッションを再確立してください。
CSCed58734
SSHホストキーを再生成するとき、VPN 3000コンセントレータをリセットしてSSH管理を再開しなければならない場合があります。
CSCed58753
VPN 3000へのWebVPN接続を維持しながら、もう1つのVPN 3000のコンフィギュレーションを保存しようとすると、javascriptエラーになります。
CSCed62309
Mozillaブラウザバージョン1.6では、WebVPNでアプリケーションアクセスを実行できません。Mozillaブラウザバージョン1.5および1.4では、アプリケーションアクセスを正常に起動して相互運用することができます。
CSCed72955
2003年3月から2003年12月までの間に製造されたVPN 3005コンセントレータは、製造工程の誤りにより、フラッシュファイルシステムが壊れている可能性があります。該当するシリアル番号は、CAM0708xxxx～CAM0750xxxxです。

症状としては、証明書の生成および保存でエラーが発生したり、ファイルシステムでinconsistent volumeエラーが発生することがあります。

旧リリースの判明している注意事項

以下の問題点は、Release 4.1より前のリリースから判明しており、VPN 3000シリーズコンセントレータRelease4.1で解決されていません。
CSCds44095
L2TP over IPSec接続は、NATデバイスを経由すると失敗します。接続を確立するとき、VPNクライアントとVPN 3000コンセントレータはIPアドレスを交換します。クライアントがVPN 3000コンセントレータのものと信じるアドレス（実際にはNATで変換されたアドレス）を送信すると、VPN 3000コンセントレータは接続を解除します。

原因は、インターフェイスに割り当てられているアドレスが、クライアントから着信するアドレスと一致しないことです。クライアント側にも同じ問題があります。この問題は、Windows 2000 MSクライアントがUDPカプセル化をサポートするようになるまで解決されません。
CSCdt08303
IOSまたはPIXを使用してLAN間接続を設定する場合、キープアライブ設定を一致させること（両方とも「ON」、または両方とも「OFF」にすること）が重要です。キープアライブ設定が、VPN 3000ではOFF、IOSデバイスではONである場合、データを使用してトンネルが確立されます。

VPN 3000コンセントレータでキープアライブがOFFに設定されている場合、コンセントレータはIOSスタイルのキープアライブに応答しないので、IOSによってトンネルが切断されます。
CSCdw36613
Windows NTバージョン4.0オペレーティングシステムで、VPNクライアントを接続し、ポリシーを変更して再配置し、接続をアップにしたときに、Zone Labs Integrity Agentが正常に更新されない場合があります。具体的には、[Policy]の[Firewall Security Rules]で[Block Internet Servers]を選択し、その新しいポリシーを[Deploy]した場合に、Windows NTバージョン4.0で稼働しているPCが更新済みのポリシーを受信しても、そのポリシーの[Block Internet Servers]設定が有効にならない場合があります。

対処方法：

オペレーティングシステムを再起動してください。
CSCdx47596
Windows XP搭載PCはMicrosoft固有の制約により、大量のClassless Static Routes（CSR;クラスレススタティックルート）を受信できません。VPN 3000コンセントレータは、DHCP INFORMメッセージ応答に挿入されるCSRの数を設定によって制限することができます。

VPN 3000コンセントレータは、クラスに応じてルート数を28～42に制限します。
CSCdx89348
コンセントレータはVPNクライアントの接続時に次のイベントを表示する場合があります。これらのイベントは、クライアントのパケットを不正に変更したLinksys Cable/DSLルータの後ろ側にクライアントが存在することが原因であり、そのためVPNコンセントレータがパケットを受信するときにパケットの認証が失敗します。LZS圧縮を使用した場合には、この問題がより顕著になります。

イベント：

131500 06/20/2002 17:08:34.300 SEV=4 IPSEC/4 RPT=4632

IPSec ESP Tunnel Inb:Packet authentication failed, username:gray, SPI:

4e01db67, Seq Num:0000850f.Dump of failed hash follows.

この問題についてはLinksysに通知済みです。

対処方法：

現時点では対処方法はありませんが、コンセントレータ上でLZS圧縮をディセーブルにすると、イベントの発生率が減ります。コンセントレータ上でLZS圧縮をディセーブルにするには、グループ設定のIPSecタブで[IPComp]を[none]に設定します。
CSCdy26161
Windows 98、Windows ME、およびWindows NT対応のMicrosoft L2TP/IPSecクライアントが、VPN コンセントレータにデジタル証明書を使用して接続しません。

対処方法：

事前共有鍵を使用してください。
CSCdz24882
Microsoft Internet Explorerバージョン5.0を使用する場合、Monitoring | System Status | Memory Status | Detailed Memory Reportの順に選択しても詳細なメモリレポートを作成できません。file memory.txtが作成されません。このファイルがすでに存在していれば、レポートが作成されます。最初にCLIインターフェイスを使用して詳細レポートを作成することによって、このファイルを作成できます。Internet Explorerバージョン5.5およびNetscapeでは、この問題はありません。
CSCdz83332
[html-management]ページの[interface]セクションでタブからタブへ移動する場合に、操作が失敗することがあります。

その場合には、[interface summary]ページに戻り、そこから目的とするインターフェイスに再び移動してください。これにより、正常な状態に戻ります。
CSCdz87108
LDAP認証の失敗理由は、この種のエラーコードのLDAPサーバでの実装方法によって異なります。RFC 1777-LDAPでは、LDAPサーバがエラーコードを戻さない場合もあるとしています。したがって、そのような場合、VPN 3000での障害理由は[Invalid response received from server]と表示されます。

LDAPサーバが特定のエラー診断（たとえば、noSuchAttributeなど）を戻した場合には、VPN 3000では適切なストリングが障害理由として表示されます。

Release 4.1.2で解決された注意事項

以下の問題は、Release 4.1.2で解決されています。
CSCeb47529
VPN 3000コンセントレータに、同じメジャーネットのルートがすでに存在する場合、より固有性の高いルートを、そのVPN 3000コンセントレータに入力することはできません。
CSCed42494
Linksysデバイスの後ろ側にある（同じDHCPプールを使用する）2台のPIX501（EZ VPNクライアント）が、IKE鍵の更新中に接続解除されます。この場合、各PIXはpublic-to-public IPSec SAをアップにしようとします（その結果、もう一方のPIXを切断します）。PIXは、新しいIKE SA上に新しいIPSec SAを確立します。このアップダウンにより、IKEが削除されます。

注注：旧IKE SAでは、削除メッセージを受信するか、SAが期限切れになって新しいSAをアクティブ化するまで、新しいIKE SAにトンネルを転送しません。
CSCed48380
VPN 3000コンセントレータのイベントであるIKE/124が、R_U_THERE障害と誤解されるおそれがあります。VPNコンセントレータは、DPDシーケンス番号には前のシーケンス番号よりも大きい数を期待します。最初のシーケンス番号は、ランダムに生成された番号とみなされます。

モデル831ハードウェアクライアントと相互運用する場合、モデル831ハードウェアクライアントがVPN 3000コンセントレータへの接続を試みると、次のイベントが発生しました。

588 01/19/2004 20:17:41.750 SEV=5 IKE/124 RPT=98 address
Group [group]
Received DPD sequence number 0x0 in R_U_THERE, expected 0x0

モデル831ハードウェアクライアントは最初のシーケンス番号として乱数 0を繰り返し送信し、VPN 3000コンセントレータは正常に接続をリジェクトしていましたが、このイベントメッセージは誤解を招くおそれがあります。次のイベントメッセージが適切です。

Received unexpected DPD sequence number %d in R_U_THERE.
Next expected sequence number should be greater than %d.
CSCed60514
最大接続タイムアウトのユーザ設定（[general]タブ）を適用して保存した後に、この設定が保存されていません。同じユーザを編集した場合、前に行った設定が消去され、デフォルト（グループ設定から最大接続タイムアウトを継承する）に戻ります。
CSCed70850
VPN 3000コンセントレータへのSSHリモート管理接続は、1回しか実行できません。そのあとでSSHを使用して接続することは不可能です。この障害は、[exit]コマンドを使用してSSHセッションをクリーンに終了した場合に発生します。SSHセッションをタイムアウトさせた場合や、http管理によって終了させた場合には、この障害は発生しません。また、SSH統計情報には、VPN 3000コンセントレータがダウンしたと表示されます。

Release 4.1.1で解決された注意事項

以下の問題は、Release 4.1.1で解決されています。
CSCed53846
4.0.4.Bにアップグレードした後、LCP認証方式がCHAPである場合、VPN 3002ハードウェアクライアントのPPPoEクライアントが接続できなくなります。
CSCed56906
WebVPNユーザがVPNコンセントレータを介してプライベートネットワークサーバに大量のTCPデータを送信するとき、ターゲットサーバがトラフィックを厳密にフロー制御している場合、そのデータによってVPNコンセントレータのデータバッファリソースがすべて使用される可能性があります。その場合、コンセントレータは新しいWebVPNまたはHTTP/HTTPS管理セッションを受け入れなくなります。既存のセッションは低速化するか、またはデータの送受信を停止します。
CSCed59586
Release 4.1にアップグレードされたVPN 3002ハードウェアクライアントは、外部インターフェイス上のHTTPS経由で管理できなくなります。
CSCed60615
VPN 3000 Release 4.0.xコードでは、RADIUSサーバとしてFunkを使用すると、有効期限付きRADIUSでエラーが発生します。Release 3.0.xコードには、この問題はありません。また、Funk RADIUSはMSCHAPv2を正常にサポートします。

対処方法：

VPN 3000 Release 3.0.xコードを使用してください。またはRADIUS（または有効期限付きRADIUS）認証を使用しないでください。
CSCed60860
Release 4.0.4.Bを使用するVPN 3000は、VPN 3000コンセントレータの再起動後、実MACアドレスおよび独自のIPアドレス（VRRPアドレスでもある）を使用してgratuitous ARPを送信します。

対処方法：

セカンダリVPN 3000に接続できない場合は、2台のVPN 3000間でのスパニングツリーをイネーブルにするスイッチを設定して、不正な書き換えを防止してください。
CSCed63615
Release 4.1にアップグレードされたVPN 3002ハードウェアクライアントでは、PPPoEを使用するとエラーが発生します。この問題はPPPoEに限られます。
CSCed66779
Cisco VPN 3000シリーズコンセントレータをRelease 4.1にアップグレードしたあと、非常に稀に、ユーザがアクティブコンフィギュレーションを保存できない場合があります。

次のエラーメッセージが表示されます。

Could not write to file, error 20
CERTS Error 0x2003

Release 4.1で解決された注意事項

以下の問題は、Release 4.1で解決されています。
CSCdy27564
VPN 3000コンセントレータで最初のIPSec/Phase 2の鍵の更新が行われるまで、ネットワーク拡張モードでPIX-501に割り当てられたIPアドレスが0.0.0.0と表示されます。Phase 2の鍵の更新が完了すると、割り当てられたIPアドレスはPIX-501のプライベートインターフェイスのネットワークアドレスに正しく設定されます。
CSCea29828
HTTPソフトウェアアップデートが失敗し、[Software Update Error]が表示されることがあります。もう一度アップデートを試みても、イメージが更新されません。
CSCea52820
HTMLのMonitoring | System Status | Memory DetailsページのHelpページのテキストが、[Memory Detail Report]を不正に参照しています。このページのラベルは、[Detailed Memory Report]です。
CSCea52936
SEP-EのMonitoring | System Status | SEPインラインSEPページのヘルプが不完全です。それ以外のセクションでは、SEP-Eを参照しています。

[Encryption and Decryption]バレットに[AES (SEP-E only)]を追加する必要があります。

この画面は、VPNコンセントレータの次のハードウェアベースの暗号化機能を実行するSEPまたはSEP-Eモジュールのステータスおよび統計情報を表示します。

― 乱数生成

― 認証のためのハッシュ変換（MD5およびSHA-1）

― 暗号化および復号化（DESおよび3DES）

この画面には、最後にシステムが起動またはリセットされてからの累積的なデータが表示されます。
CSCeb27069
Release 4.0.1で、RSA SecurIDを使用してある種のPINを否定しても、正常に機能しません（たとえば、英数字のPINの否定、PINの長さに基づくアクセスの否定など）。
CSCeb38654
VPN 3002-8Eモデルで、パブリックインターフェイスのリンクが起動時にダウンすると、装置が連続的に再起動されます。
CSCeb48289
VPN 3000コンセントレータで、不正なPPP IP制御メッセージに起因するエラーが発生します。
CSCeb65325
VPN 3000コンセントレータが、認証サーバに空白のユーザ名/パスワードを送信します。
CSCec02285
VPN 3002のCLIで、Administration | Access Rights | Administratorsメニューに、モニタユーザではなくISPユーザが表示されます。ただし、GUIではモニタユーザが表示されます。モニタアカウントを使用してGUIにログオンしようとすると失敗します。ISPアカウントを使用してGUIにログオンすると成功しますが、その場合にもクイックコンフィギュレーションを使用して設定を変更することは可能です。VPN 3002でこの問題があれば、この問題は常に発生します。VPN 3002にこの問題がなければ、どのバージョンのコードを使用しても、この問題が発生することはありません。
CSCec11767
Web（またはXML）インターフェイスから認証サーバのテストを実行するたびに、解放されないメモリが少しずつあります。その結果、最終的にVPNコンセントレータがダウンする可能性があります。
CSCec16876
VPN3kが2つ以上のリモートLANへのルートを自動的に追加しません。リモートLANごとにスタティックルートをVPN 3000コンセントレータに追加する必要があります。
CSCec61306
3DES/SHAに対するKerberosサポートが機能しません。
CSCec66975
VPN 3000コンセントレータのFastEthernetインターフェイスのifType（1.3.6.1.2.1.2.2.1.3）が7と報告されます（iso88023Csmacd）。IANAによると、ifType 7はRFC-draft-ietf-hubmib-etherif-mib-v3で使用しないように指示されています。代わりにifType 6（ethernetCsmacd）を使用してください。

（ianaiftype-mibおよびRFC 2665を参照）：

http://www.iana.org/assignments/ianaiftype-mib

http://www.ietf.org/rfc/rfc2665.txt?number=2665

不正なifTypeを使用すると、一部のNMSシステムで混乱を生じます。これらのシステムはイーサネットインターフェイスにはifType=6を想定するためです。
CSCec73218
一部のケーブルモデムは、ブロードバンド信号が消失した場合に、DHCP経由でIPアドレス192.168.1.11を発行します。その場合、VPN 3002がこのアドレスを受け入れると、VPN 3002はその192アドレスをIKEネゴシエーションで使用します。その結果、トンネルはトラフィックを送受信できなくなります。中央サイトのコンセントレータからは正常に機能しているように見えても、RXバイトやprivate-to-private SAのないトンネルになります。
CSCec77145
RSA/Ace 5.0.3 Agent APIを使用するCisco VPNコンセントレータの実装が、レルム間の認証で正常に機能しません。ACE/Serverは、エージェントにダウングレード要求を送信します。この要求をエージェントは、v5ヘッダーのあるv2認証要求を生成することと解釈します。Cisco VPNコンセントレータは、実際にダウングレードし、完全なv2要求を送信します。ACE/Serverはこれをプライマリ/セカンダリとして動作する必要のあるv2エージェントと解釈するので、この要求によりエラーが発生します。
CSCed03366
RADIUS経由でのSDIサーバへのユーザ認証に使用する新しいpinモードが正常に動作しません。この問題は、Release 4.0.3.RELから発生しました。
CSCed09411
VPN 3000コンセントレータは、メモリ統計情報の表示中にダウンする場合があります。
CSCed09496
VPN 3000コンセントレータは、分割トンネリングがイネーブルに設定されたNEM PIX 501接続を受け入れます。VPNコンセントレータはしばらくすると高いCPU利用率を示しますが、最終的にはdead-peer-detection（dpd）損失によって接続を廃棄します。

PIX NEM接続はデフォルトのdpdインターバルが短いために、他の接続よりも頻繁にこの問題に影響されます。その他の接続も稀に影響されることがあります。
CSCed18995
デジタル証明書を使用する場合、メインモードのIKE鍵の更新が行われるたびに、64バイトのメモリブロックが解放されません。
CSCed34928
HTMLからのFilter Rule Copyで、古いルールから新しいルールにネットワークリストがコピーされません。
CSCed40267
ネットワークリストおよびDHCPインターセプトがイネーブルに設定されたL2TPまたはPPTPクライアントからのDHCP Informメッセージを処理するとき、解放されないメモリブロックのためにVPN 3000コンセントレータが最終的にダウンします。解放されないブロックサイズは、ネットワークリストのサイズによって変化します。

マニュアルの更新

Cisco VPN 3000シリーズコンセントレータのマニュアルセットは、このリリース用に改訂されており、Cisco Connection Online（CCO）およびwww.cisco.comからオンラインで入手できます。ここでは、マニュアルの発行後に行われたマニュアルの変更および訂正について説明します。

マニュアルの変更点

以下のマニュアルについては、次に説明する製品変更を反映して変更が必要です。
『VPN 3000 Series Concentrator Reference Volume I:Configuration』
『VPN 3000 Series Concentrator Reference Volume II:Administration and Monitoring』
注 VPNハードウェアクライアントのマニュアルは、このリリースでは更新されていません。

VPN 3000コンセントレータマニュアルの更新

リリースノートに加えて、次のマニュアルがRelease 4.1に対応するように更新されています。
『VPN 3000 Series Concentrator Reference Volume I:Configuration』
『VPN 3000 Series Concentrator Reference Volume II:Administration and Management』
『VPN 3000 Series Concentrator Getting Started』
オンラインヘルプ
関連資料
『VPN Client User Guide for Windows』
『VPN Client Administrator Guide』
『VPN 3002 Hardware Client Getting Started』
『VPN 3002 Hardware Client Reference』
『VPN 3002 Hardware Client Quick Start Card』
サービスおよびサポート

リセラーから購入した製品のサービスおよびサポートについては、リセラーにお問い合わせください。製品に添付されている『Cisco Information Packet』の「Service and Support」に記載された各種のサービスおよびサポートプログラムをご利用いただけます。

注リセラーから製品を購入された場合は、CCOにゲストとしてアクセスできます。CCOは、シスコの主要なリアルタイムサポートチャネルです。CCOサービスへの直接アクセスも含む各種プログラムについては、リセラーにお問い合わせください。

シスコシステムズから直接購入した製品のサービスおよびサポートについては、CCOをご利用ください。

マニュアルの入手方法

シスコの製品マニュアル、テクニカルサポート、およびその他のリソースは、さまざまな方法で入手することができます。ここでは、シスコ製品に関する技術情報を入手する方法について説明します。

Cisco.com

WWW上の次のURLから、シスコ製品の最新資料を入手することができます。

http://www.cisco.com/univercd/home/home.htm

シスコのWebサイトには、次のURLからアクセスしてください。

http://www.cisco.com
http://www.cisco.com/jp

シスコのWebサイトの各国語版へは、次のURLからアクセスできます。

http://www.cisco.com/public/countries_languages.shtml

Documentation CD-ROM

シスコ製品のマニュアルおよびその他の資料は、製品に付属のCisco Documentation CD-ROMパッケージでご利用いただけます。Documentation CD-ROMは定期的に更新されるので、印刷資料よりも新しい情報が得られます。このCD-ROMパッケージは、単独、年間または3カ月契約で入手することができます。

Cisco.com登録ユーザの場合、Cisco OrderingツールからDocumentation CD-ROM（Customer Order Number DOC-CONDOCCD=）を単独で発注できます。次のURLにアクセスしてください。

http://www.cisco.com/en/US/partner/ordering/ordering_place_order_ordering_tool_launch.html

また、どなたでも、オンラインのSubscription Storeから毎月または3カ月ごとの購読契約で発注できます。次のURLにアクセスしてください。

http://www.cisco.com/go/marketplace

マニュアルの発注方法

マニュアルの発注方法については、次のURLにアクセスしてください。

http://www.cisco.com/univercd/cc/td/doc/es_inpck/pdi.htm

シスコ製品のマニュアルは、次の方法でご発注いただけます。
Cisco.com（Cisco Direct Customers）に登録されている場合、Networking Products MarketPlaceからシスコ製品のマニュアルを発注できます。次のURLにアクセスしてください。
http://www.cisco.com/en/US/partner/ordering/index.shtml
Cisco.comに登録されていない場合、製品を購入された代理店へお問い合わせください。
テクニカルサポート

シスコシステムズでは、あらゆる技術上の支援のための窓口として、TAC Webサイトを含むCisco.comを運営しています。お客様およびパートナーはTAC Webサイトからマニュアル、トラブルシューティングに関するヒント、およびコンフィギュレーション例を入手できます。Cisco.comにご登録済みのお客様は、各種ツール、ユーティリティなど、TAC Webサイトで提供するすべてのテクニカルサポートリソースをご利用いただけます。Cisco.comへのご登録については、製品を購入された代理店へお問い合わせください。

Cisco.com

Cisco.comは、いつでもどこからでも、シスコシステムズの情報、ネットワーキングソリューション、サービス、プログラム、およびリソースにアクセスできる対話形式のネットワークサービスです。

Cisco.comは、広範囲の機能やサービスを通してお客様に次のような利点を提供します。
業務の円滑化と生産性の向上
オンラインサポートによる技術上の問題の解決
ソフトウェアパッケージのダウンロードおよびテスト
シスコのトレーニング資料および製品の発注
スキル査定、トレーニング、認定プログラムへのオンライン登録
また、Cisco.comに登録することにより、各ユーザに合った情報やサービスをご利用いただくことができます。Cisco.comには、次のURLからアクセスしてください。

http://tools.cisco.com/RPF/register/register.do

TAC

シスコの製品、テクノロジー、またはソリューションについて技術的な支援が必要な場合には、TACをご利用いただくことができます。2種類のサポートを提供しています。TAC WebサイトとTAC Escalation Centerです。問題のプライオリティおよびサービス契約の内容に応じて、適切なTACサービスを選択してください。

テクニカルサポートへの問い合わせは、問題の緊急性に応じて分類されます。
プライオリティレベル4（P4）―シスコ製品の機能、インストレーション、基本的なコンフィギュレーションについて、情報または支援が必要で、業務への影響がほとんどまたは全くない場合。
プライオリティレベル3（P3）―ネットワークのパフォーマンスが低下しているが、ほとんどの業務運用が機能している場合。十分に運用できるレベルまで、通常の業務時間内にサービスの復旧を行います。
プライオリティレベル2（P2）―ネットワークのパフォーマンスが著しく低下、またはシスコ製品のパフォーマンス低下により業務に重大な影響がある場合。通常の業務時間内にフルタイムで問題の解決にあたります。
プライオリティレベル1（P1）―ネットワークがダウンし、業務に致命的な損害が発生する場合。24時間体制であらゆる手段を使用して問題の解決にあたります。
TAC Webサイト

TAC Webサイトでは、オンラインで資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。Technical Support Webサイトには、次のURLからアクセスしてください。

http://www.cisco.com/techsupport

シスコシステムズとサービス契約を結んでいるお客様、パートナー、リセラーは、TAC Webサイトのすべてのテクニカルサポートリソースをご利用いただけます。Cisco TAC Webサイトの一部のサービスには、Cisco.comのログインIDとパスワードが必要です。サービス契約が有効で、ログインIDまたはパスワードを取得していない場合は、次のURLにアクセスして登録手続きを行ってください。

http://tools.cisco.com/RPF/register/register.do

Cisco.com登録ユーザは、TAC Webサイトで技術上の問題を解決できなかった場合、次のURLからTAC Case Openツールのオンラインサービスを利用することができます。

http://www.cisco.com/techsupport
[Open a case（service request）]を選択し、表示される指示に従ってください。

インターネットを利用する場合、P3およびP4の問題については、状況を十分に説明し必要なファイルを添付できるよう、TAC WebサイトでCase Openツールを利用することをお勧めします。

Japan TAC Webサイト

Japan TAC Webサイトでは、利用頻度の高いTAC Webサイト（http://www.cisco.com/tac）のドキュメントを日本語で提供しています。Japan TAC Webサイトには、次のURLからアクセスしてください。
http://www.cisco.com/jp/go/tac
サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Webサイトのドキュメントにアクセスできます。 Japan TAC Webサイトにアクセスするには、Cisco.comのログインIDとパスワードが必要です。ログインIDとパスワードを取得していない場合は、次のURLにアクセスして登録手続きを行ってください。 http://www.cisco.com/jp/register/

TAC Escalation Center

TAC Escalation Centerでは、P1およびP2レベルの問題に対応しています。このレベルに分類されるのは、ネットワークの機能が著しく低下し、業務の運用に重大な影響がある場合です。TAC Escalation Centerにお問い合わせいただいたP1またはP2の問題には、TACエンジニアが対応します。

TACフリーダイヤルの国別電話番号は、次のURLを参照してください。

http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml

ご連絡に先立って、お客様が契約しているシスコサポートサービスがどのレベルの契約となっているか（たとえば、SMARTnet、SMARTnet Onsite、またはNetwork Supported Accounts [NSA;ネットワークサポートアカウント]など）、お客様のネットワーク管理部門にご確認ください。また、お客様のサービス契約番号およびご使用の製品のシリアル番号をお手元にご用意ください。

その他の資料および情報の入手方法

シスコの製品、テクノロジー、およびネットワークソリューションに関する情報について、さまざまな資料をオンラインおよび印刷物で入手することができます。
『Cisco Product Catalog』には、シスコシステムズが提供するネットワーキング製品のほか、発注方法やカスタマーサポートサービスについての情報が記載されています。『Cisco Product Catalog』には、次のURLからアクセスしてください。
http://www.cisco.com/en/US/products/products_catalog_links_launch.html
Cisco Pressでは、ネットワーク関連の出版物を幅広く発行しています。初心者から上級者まで、さまざまな読者向けの出版物があります。『Internetworking Terms and Acronyms Dictionary』、『Internetworking Technology Handbook』、『Internetworking Troubleshooting Guide』、『Internetworking Design Guide』などです。Cisco Pressの最新の出版情報などについては、次のURLからアクセスしてください。
http://www.ciscopress.com
『Packet』は、シスコシステムズが発行する季刊誌で、業界の専門家向けにネットワーク分野の最新動向、テクノロジーの進展、およびシスコの製品やソリューションに関する情報を提供し、ネットワークへの投資を最大限に活用するのに役立ちます。ネットワークの配置やトラブルシューティングのヒント、設定例、お客様の事例研究、チュートリアル、教育や認定に関する情報、および多数の詳細なオンラインリソースを紹介しています。『Packet』には、次のURLからアクセスしてください。
http://www.cisco.com/go/packet
『iQ Magazine』は、シスコシステムズが発行する隔月刊誌で、ビジネスリーダーや経営幹部向けにネットワーク業界の最新情報を提供します。『iQ Magazine』には、次のURLからアクセスしてください。
http://www.cisco.com/go/iqmagazine
『Internet Protocol Journal』は、インターネットおよびイントラネットの設計、開発、運用を担当するエンジニア向けに、シスコシステムズが発行する季刊誌です。『Internet Protocol Journal』には、次のURLからアクセスしてください。
http://www.cisco.com/en/US/about/ac123/ac147/about_cisco_the_internet_protocol_journal.html
トレーニング―シスコシステムズはネットワーク関連のトレーニングを世界各地で実施しています。トレーニングの最新情報については、次のURLからアクセスしてください。

http://www.cisco.com/en/US/learning/le31/learning_learning_resources_home.shtml

この資料は、「関連資料」に記載されている資料と併せてご利用ください。
CCIP、CCSP、Cisco Arrowのロゴ、Cisco Powered Networkのマーク、Cisco Unity、Follow Me Browsing、FormShare、 StackWiseは、Cisco Systems, Inc.の商標です。Changing the Way We Work, Live, Play, and Learn、iQuick Studyは、Cisco Systems, Inc.のサービスマークです。Aironet、ASIST、BPX、Catalyst、CCDA、CCDP、CCIE、CCNA、CCNP、Cisco、Cisco Certified Internetwork Expertのロゴ、Cisco IOS、Cisco IOSのロゴ、Cisco Press、Cisco Systems、Cisco Systems Capital、Cisco Systemsのロゴ、Empowering the Internet Generation、Enterprise/Solver、EtherChannel、EtherSwitch、Fast Step、GigaStack、Internet Quotient、IOS、IP/TV、iQ Expertise、iQのロゴ、iQ Net Readiness Scorecard、LightStream、Linksys、MGX、MICA、Networkersのロゴ、Networking Academy、Network Registrar、Packet、PIX、Post-Routing、Pre-Routing、RateMUX、Registrar、ScriptShare、SlideCast、SMARTnet、StrataView Plus、Stratm、SwitchProbe、TeleRouter、The Fastest Way to Increase Your Internet Quotient、TransPath、VCOは、米国および一部の国におけるCisco Systems, Inc.または関連会社の登録商標です。このマニュアルまたはWebサイトで言及している他の商標はいずれも、それぞれの所有者のものです。「パートナー」という用語を使用していても、シスコシステムズと他社とのパートナー関係を意味するものではありません。（0402R）

Copyright (c) 2004 Cisco Systems, Inc. All rights reserved.

Hierarchical Navigation

Cisco VPN 3000コンセントレータ