RV160およびRV260でのサイト間VPNの詳細設定およびフェールオーバーの設定

ダウンロードオプション

PDF (2.0 MB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (1.9 MB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (1.6 MB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2019 年 4 月 10 日

Document ID:1554933610037562

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

目的

このドキュメントの目的は、RV160およびRV260でサイト間VPNの高度な設定とフェールオーバーを設定する方法を示すことです。

概要

バーチャルプライベートネットワーク(VPN)は、リモートワーカーをセキュアなネットワークに接続する優れた方法です。VPNを使用すると、リモートホストはオンサイトのセキュアなネットワークに接続されているかのように動作できます。サイト間VPNでは、1つの場所にあるローカルルータがVPNトンネルを介してリモートルータに接続します。このトンネルは、業界標準の暗号化および認証技術を使用して送信されたデータを保護することにより、データを安全にカプセル化します。サイト間VPN接続を正常に確立するには、接続の両側で同じ設定を行う必要があります。高度なサイト間VPN設定により、VPNトンネルのオプション設定を柔軟に設定できます。

フェールオーバーは、これら2つのサイト間の常時接続を保証する強力な機能です。これは、耐障害性が重要な場合に便利です。プライマリルータがダウンすると、フェールオーバーが発生します。この時点で、セカンダリまたはバックアップルータが引き継ぎ、接続を提供します。これにより、シングルポイント障害を防止できます。

該当するデバイス

・ RV160

・ RV260

[Software Version]

·1.0.00.13

前提条件

RV160およびRV260でサイト間VPNの詳細設定とフェールオーバーを設定する前に、ローカルおよびリモートルータでIPsecプロファイルとサイト間VPNを設定する必要があります。設定に役立つ記事のリストを次に示します。VPNセットアップウィザードを使用して、IPsecプロファイルとサイト間VPNの両方を設定するか、個別に設定して、次に示す2つのドキュメントに従うことができます。

1. RV160およびRV260でのVPNセットアップウィザードの設定

または

1. RV160およびRV260でのIPSecプロファイル（オートキーモード）の設定(オプション)

2. RV160およびRV260でのサイト間VPNの設定

サイト間VPNの詳細設定

詳細設定は、VPN接続の両側で同じ設定にする必要があります。

ステップ1:Web設定ユーティリティにログインします。

ステップ2:[VPN] > [IPSec VPN] > [Site-to-Site]に移動します。

ステップ3：編集する接続のチェックボックスをオンにします。次に、ペンと紙のアイコンを押して、接続を編集します。この例では、HomeOfficeという名前の接続が選択されています。

ステップ4:[詳細設定]タブをクリックします。

ステップ5:[Compress (Support IP Payload Compression Protocol (IPComp))]チェックボックスをオンにして、ルータが接続を開始するときに圧縮を提案できるようにします。このプロトコルは、IPデータグラムのサイズを縮小します。応答側がこの提案を拒否した場合、ルータは圧縮を実装しません。ルータが応答側の場合、圧縮が有効になっていなくても、圧縮を受け入れます。このルータでこの機能を有効にする場合は、リモートルータ（トンネルのもう一方の端）で有効にする必要があります。

ステップ6：ブロードキャストメッセージは、コンピュータ、プリンタ、ファイルサーバなどのリソースを識別するために、Windowsネットワークの名前解決に使用されます。これらのメッセージは、Network Neighborhoodなどの一部のソフトウェアアプリケーションおよびWindows機能で使用されます。LANブロードキャストトラフィックは通常、VPNトンネル経由では転送されません。ただし、このチェックボックスをオンにすると、トンネルの一方の端からのNetBIOSブロードキャストを他方の端に再ブロードキャストできます。有効にするには、[NetBIOS Broadcast]チェックボックスをオンにします。

ステップ7:[Keep-Alive] チェックボックスをオンにして、ルータが一定の間隔でVPN接続の再確立を試行できるようにします。キープアライブモニタリング間隔を設定する秒数を[キープアライブモニタリング間隔]フィールドに入力します。範囲は10 ～ 999秒です。

ステップ8:[Dead Peer Detection (DPD) Enabled]をオンにして、DPDを有効にします。定期的にHELLO/ACKメッセージを送信して、VPNトンネルのステータスを確認します。DPDオプションは、VPNトンネルの両端で有効にする必要があります。次のように入力して、[Interval]フィールドにHELLO/ACKメッセージの間隔を指定します。

・ Delay Time – 各Helloメッセージ間の遅延時間（秒）を入力します。範囲は10 ～ 300秒で、デフォルト値は10です。

・ Detection Timeout – ピアが切断されたことを宣言するために、タイムアウトを秒単位で入力します。範囲は30 ～ 1800秒です。

・ DPDアクション – DPDタイムアウト後に実行するアクション。ドロップダウン・リストから[Clear]または[Restart]を選択します。

ステップ9：拡張認証を有効にする場合は、[拡張認証]をオンにします。これにより、リモートユーザがVPNへのアクセスを許可される前にクレデンシャルでキーを入力する必要がある、追加レベルの認証が提供されます。拡張認証を機能させるには、メインサイトでグループ認証を使用し、リモートサイトでユーザ認証を使用する必要があります。次のいくつかの手順では、グループ認証を使用するようにメインサイトを設定します。

注：拡張認証の代わりに、ユーザ認証用にクライアント/サイトを設定することを推奨します。

メインサイト用のユーザグループを作成していない場合は、この記事にあるユーザグループの作成方法を確認するためのリンクをクリックしてください。拡張認証用のユーザグループの作成

ユーザアカウントの作成方法を学習するには、セクションにリダイレクトするリンクをクリックしてください。拡張認証用のユーザアカウントの作成』を参照してください。

ステップ10：拡張認証として[Group]を選択し、プラスアイコンを押して新しいグループを追加します。ドロップダウンリストから、認証に使用するグループを選択します。必要なユーザがそのグループに属していることを確認します。

ステップ11：次のいくつかのステップでは、ユーザ認証を使用するようにリモートルータを設定します。リモートルータで[Extended Authentication] チェックボックスをオンにして、拡張認証を有効にします。

ステップ12：拡張認証として[User]を選択します。メインルータで選択したグループのユーザ名とパスワードを入力します。この例では、VPNuserとCiscoTest123!が入力されました。

ステップ13：スプリットDNSをオンにして有効にします。これにより、ドメインネームシステム(DNS)サーバと他のDNS要求が、指定されたドメイン名に基づいて別のDNSサーバに分割されます。ルータは、アドレス解決要求を受信すると、ドメイン名を検査します。ドメイン名がスプリットDNS設定のドメイン名と一致する場合、VPNサーバネットワーク内の指定されたDNSサーバに要求を渡します。それ以外の場合、要求はWANインターフェイス設定（ISP DNSサーバなど）で指定されたDNSサーバに渡されます。

スプリットDNSは、同じドメインの2つのゾーンに分割されます。1つは内部ネットワークで使用され、もう1つは外部ネットワークで使用されます。スプリットDNSは、内部ホストを名前解決のために内部DNSにリダイレクトし、外部ホストを名前解決のために外部DNSにリダイレクトします。

スプリットDNSを有効にしている場合は、指定したドメインに使用するDNSサーバのIPアドレスを入力します。必要に応じて、[DNSサーバー2]フィールドにセカカンダリDNSサーバーを指定します。[ドメイン名1-6]に、DNSサーバのドメイン名を入力します。ドメインの要求は、指定されたDNSサーバに渡されます。

ステップ14:[Apply]をクリックします。

拡張認証用のユーザグループの作成

ステップ1:[System Configuration] > [User Groups]に移動します。

ステップ2:[+]アイコンをクリックして、新しいユーザグループを追加します。

ステップ3:[Group Name]フィールドに名前を入力し、[Apply]を押します。この例では、グループ名としてSiteGroupTestが入力されています。

拡張認証のためのユーザアカウントの設定

特記事項：デフォルトの管理者アカウントを管理者グループに残し、Shrew Softの新しいユーザアカウントとユーザグループを作成してください。管理者アカウントを別のグループに移動すると、ルータにログインできなくなります。

ステップ1:[System Configuration] > [User Accounts]に移動します。

ステップ2：ページを下にスクロールして、[ローカルユーザー]を選択します。プラスのアイコンをクリックして、新しいローカルユーザを追加します。

ステップ3:[Add user account]ページが開きます。[ユーザ名]フィールドにユーザ名を入力します。この例では、ユーザ名としてVPNuserが入力されています。

ステップ4:[New Password]および[Confirm Password]フィールドにパスワードを入力してください。この例では、CiscoTest123!が入力されました。

注：このパスワードは例として使用されていますが、より複雑なパスワードを推奨します。

ステップ5：グループを選択し、[適用]を押して新しいユーザアカウントを作成します。この例では、グループとしてSiteGroupTestが選択されています。

フェールオーバーの設定

サイト間フェールオーバーを有効にするには、[詳細設定]タブでキープアライブを有効にする必要があります。

ステップ1:[Failover]タブをクリックして、フェイルオーバーを設定します。

ステップ2：有効にするTunnel Backupをチェックします。プライマリトンネルがダウンすると、この機能により、リモートピアの代替IPアドレスまたは代替ローカルWANを使用して、ルータがVPNトンネルを再確立できます。この機能は、DPDが有効になっている場合にのみ使用できます。

ステップ3:[Remote Backup IP Address] フィールドに、リモートピアのIPアドレスを入力するか、リモートゲートウェイに対して既に設定されているWAN IPアドレスを再入力します。次に、ドロップダウンリストからローカルインターフェイス(WAN1、WAN2、USB1、またはUSB2)を選択します。