Cisco Business VPNの概要とベストプラクティス
目的
このドキュメントの目的は、シスコビジネスに初めて参加する方に、バーチャルプライベートネットワーク(VPN)のベストプラクティスの概要を説明することです。
目次
はじめに
ずっと前に事務所で働けたのは君だけだったらしい。あなたが思い出す日に、仕事の問題を解決するために週末にオフィスに向かわなければならない日に戻って。オフィスにいない限り、会社のリソースからデータを取得する方法はありませんでした。その日は過ぎた。今日の時代には、外出先でも作業ができます。自宅、別のオフィス、コーヒーショップ、さらには別の国からビジネスを行う。欠点は、ハッカーが常にあなたの機密データを取り込むことを望んでいるということです。パブリックインターネットを使用するだけでは安全ではありません。セキュリティだけでなく柔軟性を得るために何ができるか?VPNをセットアップします。
VPN接続を使用すると、ユーザはインターネットなどのパブリックまたは共有ネットワークを経由し、プライベートネットワークとそのリソースを保護するために、基盤となるネットワークインフラストラクチャへのセキュアな接続を確保することで、プライベートネットワークとの間でデータの送受信を行うことができます。
VPNトンネルは、暗号化を使用してデータを安全に送信し、データをエンコードし、認証を使用してクライアントのIDを確保できるプライベートネットワークを確立します。企業オフィスでは、従業員がオフィスの外からでもプライベートネットワークにアクセスできるようにすることが有用で必要であるため、VPN接続を使用することが多くあります。
通常、サイト間VPNはネットワーク全体を相互に接続します。ネットワークを拡張し、ある場所からコンピュータリソースを他の場所で利用できるようにします。VPN対応ルータを使用することで、企業はインターネットなどのパブリックネットワークを介して複数の固定サイトを接続できます。
VPN用に設定されたクライアントからサイトへのクライアントは、リモートホストまたはクライアントが同じローカルネットワーク上に配置されているかのように動作できます。ルータがインターネット接続用に設定された後、ルータとエンドポイントの間にVPN接続を設定できます。VPNクライアントは、接続を確立するために一致する設定の要件に加えて、VPNルータの設定に依存します。また、VPNクライアントアプリケーションの一部はプラットフォーム固有であり、オペレーティングシステム(OS)のバージョンによっても異なります。設定が完全に同じでないと、通信できません。
VPNは、次のいずれかを使用して設定できます。
- Secure Socket Layer (SSL)
- IPSec(Internet Protocol Security)
- Point to Point Tunneling Protocol(PPTP):SSLやIPSecほどセキュアではない
- 総称ルーティング カプセル化(GRE)
- Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)
これまでVPNをセットアップしたことのない場合は、この記事を通して多くの新しい情報を入手できます。このガイドはステップバイステップのガイドではなく、参照用の概要の詳細です。したがって、この記事を読んでから、ネットワーク上でVPNをセットアップすることをお勧めします。この記事では、特定の手順に関するリンクを提供しています。
TheGreenBow、OpenVPN、Shrew Soft、EZ VPNなどのシスコ以外のサードパーティ製品は、シスコではサポートされていません。これらはガイダンスの目的でのみ含まれています。この記事を超えてサポートが必要な場合は、サードパーティにサポートを依頼してください。
VPN接続を使用する利点
- VPN接続を使用すると、機密のネットワークデータとリソースを保護できます。
- リモートワーカーや企業の従業員は、物理的に存在しなくても本社のリソースに簡単にアクセスでき、プライベートネットワークとそのリソースのセキュリティを維持できるため、利便性とアクセシビリティが向上します。
- VPN接続を使用した通信は、他のリモート通信方式よりも高いレベルのセキュリティを提供します。高度な暗号化アルゴリズムを使用すると、プライベートネットワークを不正アクセスから保護できます。
- ユーザの実際の地理的位置は保護され、インターネットなどのパブリックネットワークや共有ネットワークには公開されません。
- VPNを使用すると、追加のコンポーネントや複雑な設定を必要とせずに、新しいユーザやユーザグループを追加できます。
VPN接続を使用するリスク
- 設定ミスによるセキュリティリスクがある可能性があります。VPNの設計と実装は複雑になる可能性があるため、プライベートネットワークのセキュリティが損なわれないように、接続を設定する作業を知識のある経験豊富なプロフェッショナルに委ねる必要があります。
- 信頼性が低いかもしれません。VPN接続にはインターネット接続が必要であるため、優れたインターネットサービスを提供し、ダウンタイムを最小限に抑えて保証するために、実績とテスト済みのレピュテーションを持つプロバイダーが重要です。
- 新しいインフラストラクチャまたは新しい構成セットを追加する必要がある状況が発生した場合、特に使用中の製品以外やベンダーが関係する場合は、互換性がないために技術的な問題が発生する可能性があります。
- 接続速度が遅くなる可能性があります。無料のVPNサービスを提供するISP接続を使用している場合、これらのプロバイダーは接続速度に優先順位を付けないため、接続が遅くなる可能性があります。VPNのスループットは、ルータのハードウェア機能によって異なることに注意してください。
VPNの動作の詳細については、ここをクリックしてください。
VPN設定時に使用するヒント
- 異なるサイト間でVPNを設定する場合は、両端で異なるLAN IPサブネットを使用します。たとえば、接続先のサイトで192.168.x.xアドレッシング方式を使用している場合、10.x.xまたは172.16.x.x - 172.31.x.xサブネットを使用します。別のオプションは、サブネットマスクが異なることです。ルータのIPアドレスを変更すると、Dynamic Host Configuration Protocol(DHCP)上のデバイスは、そのサブネット内のIPアドレスを自動的に取得します。
- 安定したVPN接続のために、ルータのWANインターフェイスでスタティックパブリックIPを使用します。
- 選択した暗号化および認証レベルが、VPNのVPNトンネルを確立するルータと同じであることを確認します。
- 入力したPSKとKey Lifetimeがリモートルータと同じであることを確認します。PSKは何でも構いません。PSKはサイトとクライアントがコンピュータ上でクライアントとして設定するときに一致する必要があります。デバイスによっては、使用できない禁止シンボルが存在する場合があります。Key Lifetimeは、システムがキーを変更する頻度です。証明書の方が安全と見なされるため、証明書が優先されます。
- ほとんどのVPNでは、クライアントはVPNを使用するために証明書を必要としません。これはルータを介した検証のためだけです。たとえば、OpenVPNにはクライアント証明書とサイト証明書の両方が必要です。
- フェーズIのSAライフタイムを、フェーズIIのSAライフタイムよりも長く設定します。フェーズIをフェーズIIよりも短くする場合、データトンネルとは対照的に、頻繁にトンネルの前後を再ネゴシエートする必要があります。データトンネルにはより多くのセキュリティが必要なため、フェーズIIのライフタイムをフェーズIよりも短くすることをお勧めします。
- すべてのパスワードをより複雑なものに変更します。
VPNのタイプ
セキュアソケットレイヤ(SSL)
Cisco Business RV34xシリーズルータは、AnyConnectを使用してSSL VPNをサポートします。RV160およびRV260には、別のSSL VPNであるOpenVPNを使用するオプションがあります。SSL VPNサーバを使用すると、リモートユーザはWebブラウザを使用してセキュアVPNトンネルを確立できます。この機能により、ネイティブのHTTP(Hypertext Transfer Protocol)over SSL Hypertext Transfer Protocol Secure(HTTPS)ブラウザサポートを使用して、幅広いWebリソースやWeb対応アプリケーションに簡単にアクセスできます。
SSL VPNを使用すると、ネットワークトラフィックを暗号化して、セキュアで認証されたパスを使用して、制限されたネットワークにリモートからアクセスできます。
SSLでアクセスを設定するには、次の2つのオプションがあります。
- 自己署名証明書:独自の作成者によって署名された証明書。これは推奨されず、テスト環境でのみ使用してください。
- CA署名付き証明書:これは非常に安全であり、強く推奨されます。サードパーティは、ネットワークが正当であることを検証し、サイトに添付されるCA証明書を作成します。CA証明書の詳細については、この記事の「証明書」セクションを参照してください。
このドキュメントには、AnyConnectに関する記事へのリンクがあります。AnyConnectの概要については、ここをクリックしてください。
IPsecプロファイル
Easy VPN(EZVPN)、TheGreenBow、およびShrew Softは、インターネットプロトコルセキュリティ(IPSec)VPNです。IPSec VPNは、2つのピア間またはクライアントからサイトへのセキュアなトンネルを提供します。機密と見なされるパケットは、これらのセキュアなトンネルを介して送信する必要があります。これらの機密パケットを保護するには、ハッシュアルゴリズム、暗号化アルゴリズム、キーのライフタイム、およびモードなどのパラメータを、これらのトンネルの特性を指定して定義する必要があります。次に、IPSecピアは、このような機密パケットを検出すると、適切なセキュアトンネルをセットアップし、このトンネルを介してパケットをリモートピアに送信します。
ファイアウォールまたはルータにIPsecを実装すると、境界を通過するすべてのトラフィックに適用できる強力なセキュリティが提供されます。企業またはワークグループ内のトラフィックは、セキュリティ関連の処理のオーバーヘッドを受けません。
VPNトンネルの両端が正常に暗号化されて確立されるためには、両方とも暗号化、復号化、および認証の方法について合意する必要があります。IPsecプロファイルは、IPsecの中央設定で、自動モードでのフェーズIおよびIIネゴシエーション用の暗号化、認証、およびDiffie-Hellman(DH)グループなどのアルゴリズムを定義します。
IPsecの重要なコンポーネントには、インターネットキーエクスチェンジ(IKE)フェーズ1とフェーズ2があります。
IKEフェーズ1の基本的な目的は、IPSecピアを認証し、ピア間にセキュアなチャネルを設定してIKE交換を有効にすることです。IKEフェーズ1では、次の機能を実行します。
- IPSecピアのIDを認証および保護します
- ピア間で一致するIKEセキュリティアソシエーション(SA)ポリシーをネゴシエートし、IKE交換を保護します
- 認証されたDiffie-Hellman交換を実行し、一致する共有秘密キーの最終結果を返します
- IKEフェーズ2のパラメータをネゴシエートするためのセキュアトンネルを設定します
- メインモードとアグレッシブモードの2つのモードで発生
IKEフェーズ2の目的は、IPSec SAをネゴシエートしてIPSecトンネルを設定することです。IKEフェーズ2では、次の機能を実行します。
- 既存のIKE SAによって保護されたIPSec SAパラメータをネゴシエートします
- IPSecセキュリティアソシエーションを確立
- セキュリティを確保するために、IPSec SAを定期的に再ネゴシエートします
- オプションで、追加のDiffie-Hellman交換を実行します
- 使用するモードは1つのみ、クイックモード
IPSecポリシーでPerfect Forward Secrecy(PFS;完全転送秘密)が指定されている場合、新しいDH交換がクイックモードごとに実行され、より高いエントロピー(鍵材料の寿命)を持つ鍵材料が提供され、暗号化攻撃に対する耐性がが向上します。各DH交換には大きな累乗が必要なため、CPU使用率が増加し、パフォーマンスコストが大幅に削減されます。
Point-to-Point Tunneling Protocol(PPTP)
PPTPは、パブリックネットワーク間にVPNトンネルを作成するために使用されるネットワークプロトコルです。PPTPサーバは、Virtual Private Dialup Network(VPDN;バーチャルプライベートダイヤルアップネットワーク)サーバとも呼ばれます。PPTPは高速で、モバイルデバイスで動作する機能を持つため、他のプロトコルで使用される場合があります。ただし、他のタイプのVPNほどセキュアではないことに注意してください。PPTPタイプのアカウントに接続するには、複数の方法があります。詳細については、リンクをクリックしてください。
- Rv34xシリーズルータでのポイントツーポイントトンネリングプロトコル(PPTP)サーバの設定
- WindowsのRV320およびRV325 VPNルータシリーズでのPoint to Point Tunneling Protocol(PPTP)サーバの設定
総称ルーティング カプセル化
Generic Routing Encapsulation(GRE;総称ルーティングカプセル化)は、カプセル化を使用して1つのプロトコルのパケットを別のプロトコルに転送する単純な一般的なアプローチを提供するトンネリングプロトコルです。
GREはペイロード、つまり外部IPパケット内の宛先ネットワークに配信する必要がある内部パケットをカプセル化します。GREトンネルは、トンネルの送信元アドレスとトンネルの宛先アドレスによって識別される2つのエンドポイントを持つ仮想ポイントツーポイントリンクとして動作します。
トンネルエンドポイントは、カプセル化されたパケットを中間IPネットワーク経由でルーティングすることによって、GREトンネルを介してペイロードを送信します。途中にある他のIPルータは、ペイロード(内部パケット)を解析しません。外部IPパケットは、GREトンネルエンドポイントに転送されるときにだけ解析されます。トンネルエンドポイントに到達すると、GREカプセル化が削除され、ペイロードがパケットの最終宛先に転送されます。
ネットワーク内のデータグラムのカプセル化は、送信元サーバがパケットが宛先ホストに到達するために行うルートに影響を与えたい場合など、複数の理由で行われます。送信元サーバは、カプセル化サーバとも呼ばれます。
IP-in-IPカプセル化では、外部IPヘッダーを既存のIPヘッダーに挿入します。外部IPヘッダーの送信元アドレスと宛先アドレスは、IP-in-IPトンネルのエンドポイントをポイントします。IPヘッダーのスタックは、パケットを転送するルータのループバックアドレスをネットワーク管理者が認識している限り、パケットを宛先への所定のパスに転送するために使用されます。
このトンネリングメカニズムは、ほとんどのネットワークアーキテクチャのアベイラビリティと遅延を決定するために使用できます。送信元から宛先までのパス全体をヘッダーに含める必要はありませんが、パケットを転送するためにネットワークのセグメントを選択できることに注意してください。
レイヤ 2 トンネリング プロトコル
L2TPは、トンネルするトラフィックの暗号化メカニズムを提供しません。代わりに、IPSecなどの他のセキュリティプロトコルを使用してデータを暗号化します。
L2TPトンネルは、L2TP Access Concentrator(LAC)とL2TP Network Server(LNS)の間で確立されます。 IPSec トンネルもこれらのデバイス間で確立され、すべての L2TP トンネルのトラフィックは IPSec を使用して暗号化されます。
L2TPに関するいくつかの重要な用語:
- CHAP:チャレンジハンドシェーク認証プロトコル。ポイントツーポイント認証プロトコル(PPP)。
- L2TP Access Concentrator(LAC):LACは、公衆電話交換網(PSTN)に接続されたシスコのネットワークアクセスサーバになることができます。 LACはL2TP上で動作するメディアのみを実装する必要があります。LACは、ローカルエリアネットワークまたはパブリックまたはプライベートフレームリレーなどのワイドエリアネットワークを使用してLNSに接続できます。LACは、着信コールの発信側と発信コールの受信側です。
- L2TP Network Server(LNS):ローカルエリアネットワークまたはワイドエリアネットワークに接続されるほとんどすべてのシスコルータ(パブリックまたはプライベートフレームリレーなど)がLNSとして機能します。これはL2TPプロトコルのサーバ側であり、PPPセッションを終端するプラットフォームで動作する必要があります。LNSは、発信コールの発信側と着信コールの受信側です。図1は、LACとLNS間のコールルーチンを示しています。
- Virtual Private Dial Network(VPDN):PPPを使用してサービスを提供するアクセスVPNの一種。
L2TPの詳細については、次のリンクをクリックしてください。
Cisco Business VPNルータと互換性のあるVPN
| RV34X | RV32X | RV160X/RV260X | |
|---|---|---|---|
| IPSec(IKEv1) | |||
| シュレウソフト | あり | あり | あり |
| グリーンボウ | あり | あり | あり |
| Mac内蔵クライアント | あり | あり | なし |
| iPhone/iPad | あり | あり | なし |
| Android | あり | あり | あり |
| L2TP/IPSec | はい(PAP) | × | なし |
| PPTP | はい(PAP) | 可能* | はい(PAP) |
| その他 | |||
| AnyConnect | あり | なし | なし |
| Openvpn | なし | あり | あり |
| IKEv2 | |||
| Windows | 可能* | なし | 可能* |
| Mac | あり | なし | あり |
| iPhone | あり | なし | あり |
| Android | あり | なし | あり |
| VPNテクノロジー |
サポートされているデバイス |
サポートされるクライアント* |
詳細と注意事項 |
|---|---|---|---|
| IPSec(IKEv1) |
RV34X、RV32X、RV160X/RV260X |
Native:Mac、iPhone、iPad、Android その他:EasyVPN(Cisco VPN Client)、ShrewSoft、Greenbow |
セットアップ、トラブルシューティング、およびサポートが簡単です。すべてのルータで使用でき、セットアップが簡単で(ほとんどの場合)、トラブルシューティングに最適なロギングがあります。ほとんどのデバイスが含まれます。そのため、ShrewSoft(無料で作業)とGreenbow(無料ではなく作業)を推奨します。 Windowsには純粋なIPSecネイティブVPNクライアントがないため、ShrewSoftクライアントとGreenbowクライアントがオプションとして用意されています。ShrewSoftとGreenbowにとっては、もう少し複雑ですが、難しいことではありません。初めて設定すると、クライアントプロファイルをエクスポートし、他のクライアントにインポートできます。 RV160X/RV260Xルータの場合、Easy VPNオプションがないため、Mac、iPhone、またはiPadでは動作しないサードパーティクライアントオプションを使用する必要があります。ただし、ShrewSoft、Greenbow、およびAndroidクライアントを接続するように設定できます。Mac、iPhone、およびiPadクライアントの場合は、IKEv2を推奨します(以下を参照)。 |
| AnyConnect |
RV34X |
Windows、Mac、iPhone、iPad、Android |
お客様の中には、完全なシスコソリューションを要求する方もいらっしゃいますが、それだけです。設定は簡単で、ロギングもありますが、ログを理解するのは困難です。コストの増加に対するクライアントライセンス要件が必要シスコの完全なソリューションであり、更新されています。トラブルシューティングはIPSecほど簡単ではありませんが、他のVPNオプションよりも優れています。 |
| L2TP/IPSec |
RV34X |
Native:Windows |
これは、Windowsで組み込みのVPNクライアントを使用する必要があるお客様に推奨されるものです。これに関する2つの注意点は次のとおりです。 |
| IPSec(IKEv2) |
RV34X、RV160X/RV260X |
Native:Windows、Mac、iPhone、iPad、Android |
IKEv2用のWindowsネイティブクライアントには証明書認証が必要です。これは、ルータとすべてのクライアントの両方が同じCA(または別の信頼できるCA)からの証明書を持つ必要があるためです。 IKEv2を使用する場合は、Mac、iPhone、iPad、およびAndroidデバイス用にそれを設定し、通常はWindowsマシン(ShrewSoft、Greenbow、またはL2TP/IPSec)用にIKEv1を設定します。 |
| オープンVPN |
RV32X、RV160X/RV260X |
クライアントはオープンVPNです |
セットアップが困難で、トラブルシューティングとサポートが困難RV160X/RV260XおよびRV320でサポート。特に証明書を使用する場合は、セットアップはIPSecまたはAnyConnectよりも複雑です。ルータには有用なログがなく、クライアントログに依存しているため、トラブルシューティングが困難です。また、OpenVPN Clientのバージョン更新では、どの証明書を受け入れたかについては警告なしに変更されています。また、これはChromebookでは動作せず、IPSecソリューションに移行する必要があることも判明しました。 |
*特定のハードウェアとソフトウェアの組み合わせがある場合は、可能な限り多くの組み合わせをテストしてください。それ以外の場合は、最新のテストバージョンに関するデバイス別構成ガイドを参照してください。
証明書
Webサイトを訪問したことがあり、セキュリティが確保されていないことを警告されたことはありますか。プライベート情報が安全で、安全ではないという安心感を与えることはありません。サイトが安全な場合、サイト名の前に閉じたロックアイコンが表示されます。これは、サイトが安全に確認された記号です。このロックアイコンが閉じていることを確認します。VPNについても同様です。
VPNをセットアップする場合は、認証局(CA)から証明書を取得する必要があります。 証明書はサードパーティサイトから購入され、認証に使用されます。これは、サイトが安全であることを証明する公式な方法です。基本的に、CAは正当なビジネスであり、信頼できることを検証する信頼できるソースです。VPNの場合は、低レベルの証明書が最小限のコストで必要になります。CAによってチェックアウトされ、情報を確認すると、証明書が発行されます。この証明書は、コンピュータ上のファイルとしてダウンロードできます。その後、ルータ(またはVPNサーバ)に移動し、そこにアップロードできます。
CAは、デジタル証明書を発行するときに公開キーインフラストラクチャ(PKI)を使用します。これは、公開キーまたは秘密キーの暗号化を使用してセキュリティを確保します。CAは、証明書要求の管理とデジタル証明書の発行を担当します。いくつかのサードパーティCAには、IdenTrust、Comodo、GoDaddy、GlobalSign、GeoTrust、およびVerisignがあります。
VPN内のすべてのゲートウェイが同じアルゴリズムを使用することが重要です。使用しない場合は、通信できなくなります。簡単に説明できるように、すべての証明書を同じ信頼できるサードパーティから購入することをお勧めします。これにより、手動で更新する必要があるため、複数の証明書の管理が容易になります。
注:通常、クライアントはVPNを使用するために証明書を必要としません。ルータを介した確認のためだけに使用されます。ただし、OpenVPNではクライアント証明書が必要です。
一部のスモールビジネスでは、簡単に証明書の代わりにパスワードまたは事前共有キーを使用することを選択しています。これは安全性が低いですが、無償で設定できます。
証明書の詳細については、次のリンクを参照してください。
ルータのサイト間VPN
ローカルルータとリモートルータでは、VPN接続に使用される事前共有キー(PSK)/パスワード/証明書、およびセキュリティ設定がすべて一致していることを確認することが重要です。1つ以上のルータがネットワークアドレス変換(NAT)を使用している場合、ほとんどのCiscoビジネスルータが使用しています。ローカルルータとリモートルータのVPN接続に対してファイアウォールの除外を行う必要があります。
詳細については、次のサイト間記事を参照してください。
ルータ上のクライアントからサイトへのVPN
クライアント側でVPNを設定する前に、ルータでVPNを設定する必要があります。
クリックすると、次のルータ設定の記事が表示されます。
クライアントからサイトへのプロファイルの作成
クライアントからサイトへのVPN接続では、インターネットからのクライアントはサーバに接続して、サーバの背後にある企業ネットワークまたはLANにアクセスできますが、ネットワークとそのリソースのセキュリティは維持されます。この機能は、新しいVPNトンネルを作成し、VPNクライアントソフトウェアを使用して、プライバシーとセキュリティを犠牲にすることなく、テレワーカーや出張者がネットワークにアクセスできるようにするため、非常に便利です。次の記事は、RV34xシリーズルータに固有のものです。
ユーザグループ
ユーザグループは、同じサービスセットを共有するユーザの集合に対してルータ上に作成されます。これらのユーザグループには、VPNへのアクセス方法に関する権限のリストなど、グループのオプションが含まれています。デバイスに応じて、PPTP、サイト間IPSec VPN、およびクライアントとサイト間IPSec VPNを許可できます。たとえば、RV260にはOpenVPNを含むオプションがありますが、L2TPはサポートされていません。RV340シリーズには、SSL VPN用のAnyConnect、およびキャプティブポータルまたはEZ VPNが搭載されています。
これらの設定を使用すると、権限のあるユーザだけがネットワークにアクセスできるように、管理者が制御およびフィルタリングできます。Shrew SoftとTheGreenBowは、ダウンロードできる最も一般的なVPN Clientの2つです。VPNトンネルを正常に確立するには、ルータのVPN設定に基づいてVPNを設定する必要があります。次の記事では、ユーザグループの作成について具体的に説明します。
VPNのユーザグループを設定する場合は、デフォルトの管理者アカウントを管理者グループに残し、VPNの新しいユーザアカウントとユーザグループを作成してください。管理者アカウントを別のグループに移動すると、ルータにログインできなくなります。その結果、工場出荷時のリセットを行い、そのルータの設定を再度行う必要があります。デフォルトの管理者アカウントは管理者グループだけに残します。
ユーザアカウント
ユーザアカウントは、PPTP、VPNクライアント、Webグラフィカルユーザインターフェイス(GUI)ログイン、およびSecure Sockets Layer Virtual Private Network(SSLVPN)などのさまざまなサービスに対してローカルデータベースを使用してローカルユーザの認証を許可するためにルータ上に作成されます。 これにより、管理者は、ネットワークにアクセスする権限のあるユーザだけを制御およびフィルタリングできます。次の記事では、ユーザアカウントの作成について具体的に説明します。
クライアントの場所でのクライアントとサイト
クライアントからサイトへのVPN接続では、インターネットからのクライアントはサーバに接続して、サーバの背後にある企業ネットワークまたはLANにアクセスできますが、ネットワークとそのリソースのセキュリティは維持されます。この機能は、プライバシーとセキュリティを犠牲にすることなく、VPNクライアントソフトウェアを使用してテレワーカーや出張者がネットワークにアクセスできる新しいVPNトンネルを作成するため、非常に便利です。VPNは、データが送受信されるときにデータを暗号化および復号化するように設定されます。
AnyConnectアプリケーションはSSL VPNで動作し、特にRV34xルータで使用されます。他のRVシリーズのルータでは使用できません。バージョン1.0.3.15以降では、ルータライセンスは不要ですが、VPNのクライアント側でライセンスを購入する必要があります。Cisco AnyConnectセキュアモビリティクライアントの詳細については、ここをクリックしてください。インストールの手順については、次の記事から選択してください。
- MacコンピュータへのCisco AnyConnectセキュアモビリティクライアントのインストール
- WindowsコンピュータへのCisco AnyConnectセキュアモビリティクライアントのインストール
すべてのRVシリーズルータでクライアントからサイトへのVPNに使用できるサードパーティアプリケーションがあります。前述のとおり、シスコはこれらのアプリケーションをサポートしていません。この情報は、ガイダンスとして提供されています。
GreenBow VPN Clientは、ホストデバイスがクライアント間IPsecトンネルまたはSSLのセキュアな接続を設定できるようにするサードパーティ製VPNクライアントアプリケーションです。これは、サポートを含む有料アプリケーションです。
OpenVPNは、SSL VPN用にセットアップおよび使用できる無料のオープンソースアプリケーションです。クライアント/サーバ接続を使用して、インターネット経由でサーバとリモートクライアントロケーション間のセキュアな通信を提供します。
Shrew Softは、IPsec VPNにもセットアップして使用できる、無料のオープンソースアプリケーションです。クライアント/サーバ接続を使用して、インターネット経由でサーバとリモートクライアントロケーション間のセキュアな通信を提供します。
Easy VPNはRV32xルータで一般的に使用されました。次に、参照用の情報を示します。
セットアップウィザード
最新のCisco Businessルータには、セットアップ手順をガイドするVPNセットアップウィザードが付属しています。VPNセットアップウィザードを使用すると、基本的なLAN-to-LANおよびリモートアクセスVPN接続を設定し、事前共有キーまたはデジタル証明書を認証に割り当てることができます。詳細については、次の記事を参照してください。
結論
この記事では、VPNについて理解を深め、ヒントを参考にして進むことができます。これで、自分で設定する準備が整いました。時間をかけてリンクを表示し、Cisco BusinessルータでVPNを設定する最適な方法を決定します。
フィードバックシスコに問い合わせ
- サポート ケースをオープン
- (シスコ サービス契約が必要です。)
関連するシスコ コミュニティ ディスカッション
このドキュメントは次の製品に対応しています
- RV042 Dual WAN VPN Router
- RV042G Dual Gigabit WAN VPN Router
- RV110W Wireless-N VPN Firewall
- RV130 VPN Router
- RV130 WF VPN Router
- RV130W Wireless-N Multifunction VPN Router
- RV130W Wireless-N Multifunction WF VPN Router
- RV134W VDSL2 Wireless-AC VPN Router
- RV160 VPN Router
- RV160W Wireless-AC VPN Router
- RV215W Wireless-N VPN Router
- RV260 VPN Router
- RV260P VPN Router with PoE
- RV260W Wireless-AC VPN Router
- RV320 Dual Gigabit WAN VPN Router
- RV325 Dual Gigabit WAN VPN Router
- RV340 Dual WAN Gigabit VPN Router
- RV340W Dual WAN Gigabit Wireless-AC VPN Router
- RV345 Dual WAN Gigabit VPN Router
- RV345P Dual WAN Gigabit POE VPN Router