このドキュメントの目的は、RV160およびRV260でサイト間VPNの高度な設定とフェールオーバーを設定する方法を示すことです。
バーチャルプライベートネットワーク(VPN)は、リモートワーカーをセキュアなネットワークに接続する優れた方法です。VPNを使用すると、リモートホストはオンサイトのセキュアなネットワークに接続されているかのように動作できます。サイト間VPNでは、1つの場所にあるローカルルータがVPNトンネルを介してリモートルータに接続します。このトンネルは、業界標準の暗号化および認証技術を使用して送信されたデータを保護することにより、データを安全にカプセル化します。サイト間VPN接続を正常に確立するには、接続の両側で同じ設定を行う必要があります。高度なサイト間VPN設定により、VPNトンネルのオプション設定を柔軟に設定できます。
フェールオーバーは、これら2つのサイト間の常時接続を保証する強力な機能です。これは、耐障害性が重要な場合に便利です。プライマリルータがダウンすると、フェールオーバーが発生します。この時点で、セカンダリまたはバックアップルータが引き継ぎ、接続を提供します。これにより、シングルポイント障害を防止できます。
・ RV160
・ RV260
·1.0.00.13
RV160およびRV260でサイト間VPNの詳細設定とフェールオーバーを設定する前に、ローカルおよびリモートルータでIPsecプロファイルとサイト間VPNを設定する必要があります。設定に役立つ記事のリストを次に示します。VPNセットアップウィザードを使用して、IPsecプロファイルとサイト間VPNの両方を設定するか、個別に設定して、次に示す2つのドキュメントに従うことができます。
1. RV160およびRV260でのVPNセットアップウィザードの設定
または
1. RV160およびRV260でのIPSecプロファイル(オートキーモード)の設定(オプション)
詳細設定は、VPN接続の両側で同じ設定にする必要があります。
ステップ1:Web設定ユーティリティにログインします。
ステップ2:[VPN] > [IPSec VPN] > [Site-to-Site]に移動します。
ステップ3:編集する接続のチェックボックスをオンにします。次に、ペンと紙のアイコンを押して、接続を編集します。この例では、HomeOfficeという名前の接続が選択されています。
ステップ4:[詳細設定]タブをクリックします。
ステップ5:[Compress (Support IP Payload Compression Protocol (IPComp))]チェックボックスをオンにして、ルータが接続を開始するときに圧縮を提案できるようにします。このプロトコルは、IPデータグラムのサイズを縮小します。応答側がこの提案を拒否した場合、ルータは圧縮を実装しません。ルータが応答側の場合、圧縮が有効になっていなくても、圧縮を受け入れます。このルータでこの機能を有効にする場合は、リモートルータ(トンネルのもう一方の端)で有効にする必要があります。
ステップ6:ブロードキャストメッセージは、コンピュータ、プリンタ、ファイルサーバなどのリソースを識別するために、Windowsネットワークの名前解決に使用されます。これらのメッセージは、Network Neighborhoodなどの一部のソフトウェアアプリケーションおよびWindows機能で使用されます。LANブロードキャストトラフィックは通常、VPNトンネル経由では転送されません。ただし、このチェックボックスをオンにすると、トンネルの一方の端からのNetBIOSブロードキャストを他方の端に再ブロードキャストできます。有効にするには、[NetBIOS Broadcast]チェックボックスをオンにします。
ステップ7:[Keep-Alive] チェックボックスをオンにして、ルータが一定の間隔でVPN接続の再確立を試行できるようにします。キープアライブモニタリング間隔を設定する秒数を[キープアライブモニタリング間隔]フィールドに入力します。範囲は10 ~ 999秒です。
ステップ8:[Dead Peer Detection (DPD) Enabled]をオンにして、DPDを有効にします。定期的にHELLO/ACKメッセージを送信して、VPNトンネルのステータスを確認します。DPDオプションは、VPNトンネルの両端で有効にする必要があります。次のように入力して、[Interval]フィールドにHELLO/ACKメッセージの間隔を指定します。
・ Delay Time – 各Helloメッセージ間の遅延時間(秒)を入力します。範囲は10 ~ 300秒で、デフォルト値は10です。
・ Detection Timeout – ピアが切断されたことを宣言するために、タイムアウトを秒単位で入力します。範囲は30 ~ 1800秒です。
・ DPDアクション – DPDタイムアウト後に実行するアクション。ドロップダウン・リストから[Clear]または[Restart]を選択します。
ステップ9:拡張認証を有効にする場合は、[拡張認証]をオンにします。これにより、リモートユーザがVPNへのアクセスを許可される前にクレデンシャルでキーを入力する必要がある、追加レベルの認証が提供されます。拡張認証を機能させるには、メインサイトでグループ認証を使用し、リモートサイトでユーザ認証を使用する必要があります。次のいくつかの手順では、グループ認証を使用するようにメインサイトを設定します。
注:拡張認証の代わりに、ユーザ認証用にクライアント/サイトを設定することを推奨します。
メインサイト用のユーザグループを作成していない場合は、この記事にあるユーザグループの作成方法を確認するためのリンクをクリックしてください。拡張認証用のユーザグループの作成
ユーザアカウントの作成方法を学習するには、セクションにリダイレクトするリンクをクリックしてください。拡張認証用のユーザアカウントの作成』を参照してください。
ステップ10:拡張認証として[Group]を選択し、プラスアイコンを押して新しいグループを追加します。ドロップダウンリストから、認証に使用するグループを選択します。必要なユーザがそのグループに属していることを確認します。
ステップ11:次のいくつかのステップでは、ユーザ認証を使用するようにリモートルータを設定します。リモートルータで[Extended Authentication] チェックボックスをオンにして、拡張認証を有効にします。
ステップ12:拡張認証として[User]を選択します。メインルータで選択したグループのユーザ名とパスワードを入力します。この例では、VPNuserとCiscoTest123!が入力されました。
ステップ13:スプリットDNSをオンにして有効にします。これにより、ドメインネームシステム(DNS)サーバと他のDNS要求が、指定されたドメイン名に基づいて別のDNSサーバに分割されます。ルータは、アドレス解決要求を受信すると、ドメイン名を検査します。ドメイン名がスプリットDNS設定のドメイン名と一致する場合、VPNサーバネットワーク内の指定されたDNSサーバに要求を渡します。それ以外の場合、要求はWANインターフェイス設定(ISP DNSサーバなど)で指定されたDNSサーバに渡されます。
スプリットDNSは、同じドメインの2つのゾーンに分割されます。1つは内部ネットワークで使用され、もう1つは外部ネットワークで使用されます。スプリットDNSは、内部ホストを名前解決のために内部DNSにリダイレクトし、外部ホストを名前解決のために外部DNSにリダイレクトします。
スプリットDNSを有効にしている場合は、指定したドメインに使用するDNSサーバのIPアドレスを入力します。必要に応じて、[DNSサーバー2]フィールドにセカカンダリDNSサーバーを指定します。[ドメイン名1-6]に、DNSサーバのドメイン名を入力します。ドメインの要求は、指定されたDNSサーバに渡されます。
ステップ14:[Apply]をクリックします。
ステップ1:[System Configuration] > [User Groups]に移動します。
ステップ2:[+]アイコンをクリックして、新しいユーザグループを追加します。
ステップ3:[Group Name]フィールドに名前を入力し、[Apply]を押します。この例では、グループ名としてSiteGroupTestが入力されています。
特記事項:デフォルトの管理者アカウントを管理者グループに残し、Shrew Softの新しいユーザアカウントとユーザグループを作成してください。管理者アカウントを別のグループに移動すると、ルータにログインできなくなります。
ステップ1:[System Configuration] > [User Accounts]に移動します。
ステップ2:ページを下にスクロールして、[ローカルユーザー]を選択します。プラスのアイコンをクリックして、新しいローカルユーザを追加します。
ステップ3:[Add user account]ページが開きます。[ユーザ名]フィールドにユーザ名を入力します。この例では、ユーザ名としてVPNuserが入力されています。
ステップ4:[New Password]および[Confirm Password]フィールドにパスワードを入力してください。この例では、CiscoTest123!が入力されました。
注:このパスワードは例として使用されていますが、より複雑なパスワードを推奨します。
ステップ5:グループを選択し、[適用]を押して新しいユーザアカウントを作成します。この例では、グループとしてSiteGroupTestが選択されています。
サイト間フェールオーバーを有効にするには、[詳細設定]タブでキープアライブを有効にする必要があります。
ステップ1:[Failover]タブをクリックして、フェイルオーバーを設定します。
ステップ2:有効にするTunnel Backupをチェックします。プライマリトンネルがダウンすると、この機能により、リモートピアの代替IPアドレスまたは代替ローカルWANを使用して、ルータがVPNトンネルを再確立できます。この機能は、DPDが有効になっている場合にのみ使用できます。
ステップ3:[Remote Backup IP Address] フィールドに、リモートピアのIPアドレスを入力するか、リモートゲートウェイに対して既に設定されているWAN IPアドレスを再入力します。次に、ドロップダウンリストからローカルインターフェイス(WAN1、WAN2、USB1、またはUSB2)を選択します。
ステップ4:[Apply]をクリックします。
これで、RV160およびRV260のサイト間VPNの詳細設定とフェールオーバーが正常に設定されました。サイト間VPNは引き続き接続されている必要があります。