VPN の IP アドレス

IP アドレス割り当てポリシーの設定

ASA では、リモート アクセス クライアントに IP アドレスを割り当てる際に、次の 1 つ以上の方式を使用できます。複数のアドレス割り当て方式を設定すると、ASA は IP アドレスが見つかるまで各オプションを検索します。デフォルトでは、すべての方式がイネーブルになっています。

  • [Use authentication server] ユーザー単位で外部認証、認可、アカウンティング サーバーからアドレスを取得します。IP アドレスが設定された認証サーバーを使用している場合は、この方式を使用することをお勧めします。AAA サーバーは、[Configuration] > [AAA Setup] ペインで設定できます。この方法は IPv4 および IPv6 の割り当てポリシーに使用できます。

  • [Use DHCP] DHCP サーバーから IP アドレスを取得します。DHCP を使用する場合は、DHCP サーバーを設定する必要があります。また、DHCP サーバーで使用可能な IP アドレスの範囲も定義する必要があります。DHCP を使用する場合は、[Configuration] > [Remote Access VPN] > [DHCP Server] ペインでサーバーを設定します。この方法は IPv4 の割り当てポリシーに使用できます。

  • [Use an internal address pool]:内部的に設定されたアドレス プールは、最も設定が簡単なアドレス プール割り当て方式です。この方法を使用する場合は、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Address Pools] ペインで IP アドレス プールを設定します。この方法は IPv4 および IPv6 の割り当てポリシーに使用できます。

    • [Allow the reuse of an IP address so many minutes after it is released]:IP アドレスがアドレス プールに戻された後に、IP アドレスを再利用するまでの時間を指定します。遅延時間を設けることにより、IP アドレスがすぐに再割り当てされることによって発生する問題がファイアウォールで生じないようにできます。デフォルトでは、これはチェックされません。つまり、ASA は遅延時間を課しません。遅延時間を設定する場合は、チェックボックスをオンにし、IP アドレスを再割り当てするまでの時間を 1 ~ 480 の範囲で指定します。この設定要素は、IPv4 割り当てポリシーで使用できます。

次のいずれかの方式を使用して、IP アドレスをリモート アクセス クライアントに割り当てる方法を指定します。

IP アドレス割り当てオプションの設定

手順

ステップ 1

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Assignment Policy] を選択します。

ステップ 2

[IPv4 Policy] エリアで、アドレス割り当て方式をオンにして有効にするか、オフにして無効にします。次の方法は、デフォルトで有効になっています。

  • [Use Authentication server]: IP アドレスを提供するために設定した認証、許可、アカウンティング(AAA)サーバーを使用できるようにします。

  • [Use DHCP]: IP アドレスを提供するために設定したダイナミック ホスト コンフィギュレーション プロトコル(DHCP)サーバーを使用できるようにします。

  • [Use internal address pools]:ASA で設定されたローカル アドレス プール設定を使用できるようにします。

[Use internal address pools] を有効にする場合、IPv4 アドレスが解放された後、そのアドレスの再利用を有効にできます。You can specify a range of minutes from 0-480 after which the IP v4 address can be reused.

ステップ 3

[IPv6 Policy] エリアで、アドレス割り当て方式をオンにして有効にするか、オフにして無効にします。次の方法は、デフォルトで有効になっています。

  • [Use Authentication server]: IP アドレスを提供するために設定した認証、許可、アカウンティング(AAA)サーバーを使用できるようにします。

  • [Use internal address pools]:ASA で設定されたローカル アドレス プール設定を使用できるようにします。

ステップ 4

[Apply] をクリックします。

ステップ 5

[OK] をクリックします。

アドレス割り当て方式の表示

手順

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Assignment Policy] の順に選択します。

ローカル IP アドレス プールの設定

VPN リモート アクセス トンネルに対して IPv4 または IPv6 アドレス プールを設定するには、ASDM を開き、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Management] > [Address Pools] > [Add/Edit IP Pool] を選択します。アドレス プールを削除するには、ASDM を開き、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Management] > [Address Pools] を選択します。削除するアドレス プールを選択し、[Delete] をクリックします。

ASA は、接続用の接続プロファイルまたはトンネル グループに基づいてアドレス プールを使用します。プールの指定順序は重要です。接続プロファイルまたはグループ ポリシーに複数のアドレス プールを設定すると、ASA は追加された順でそれらのプールを使用します。

ローカルでないサブネットのアドレスを割り当てる場合は、そのようなネットワーク用のルートの追加が容易になるように、サブネットの境界を担当するプールを追加することをお勧めします。

ローカル IPv4 アドレス プールの設定

[IP Pool] エリアには、設定されたアドレス プールが、名前ごとに、それぞれの IP アドレス範囲(たとえば、10.10.147.100 ~ 10.10.147.177)とともに表示されます。プールが存在しない場合、エリアは空です。ASA は、リストに表示される順番でこれらのプールを使用します。最初のプール内のアドレスがすべて割り当てられると、次のプールのアドレスが使用され、以下同様に処理されます。

ローカルでないサブネットのアドレスを割り当てる場合は、そのようなネットワーク用のルートの追加が容易になるように、サブネットの境界を担当するプールを追加することをお勧めします。

手順

ステップ 1

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Address Pools] を選択します。

ステップ 2

IPv4 アドレスを追加するには、[Add] > [IPv4 Address pool] をクリックします。既存のアドレス プールを編集するには、アドレス プール テーブルで、[Edit] をクリックします。

ステップ 3

[Add/Edit IP Pool] ダイアログボックスで、次の情報を入力します。

  • [Pool Name]:アドレス プールの名前を入力します。最大 64 文字を指定できます。

  • [Starting Address]:設定されたそれぞれのプールで使用可能な最初の IP アドレスを示します。たとえば 10.10.147.100 のように、ドット付き 10 進数表記を使用します。

  • [Ending Address]:設定されたそれぞれのプールで使用可能な最後の IP アドレスを示します。たとえば 10.10.147.177 のように、ドット付き 10 進数表記を使用します。

  • [Subnet Mask]:この IP アドレスが常駐するサブネットを指定します。

ステップ 4

[Apply] をクリックします。

ステップ 5

[OK] をクリックします。

ローカル IPv6 アドレス プールの設定

[IP Pool] エリアには、設定されたアドレス プールが、名前ごとに、開始 IP アドレス範囲、アドレス プレフィックス、プールに設定できるアドレス数とともに表示されます。プールが存在しない場合、エリアは空です。ASA は、リストに表示される順番でこれらのプールを使用します。最初のプール内のアドレスがすべて割り当てられると、次のプールのアドレスが使用され、以下同様に処理されます。

ローカルでないサブネットのアドレスを割り当てる場合は、そのようなネットワーク用のルートの追加が容易になるように、サブネットの境界を担当するプールを追加することをお勧めします。

手順

ステップ 1

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Address Pools] を選択します。

ステップ 2

IPv6 アドレスを追加するには、[Add] > [IPv6 Address pool] をクリックします。既存のアドレス プールを編集するには、アドレス プール テーブルで、[Edit] をクリックします。

ステップ 3

[Add/Edit IP Pool] ダイアログボックスで、次の情報を入力します。

  • [Name]:設定された各アドレス プールの名前を表示します。

    [Starting IP Address]:設定されたプールで使用可能な最初の IP アドレスを入力します。たとえば、2001:DB8::1 となります。

  • [Prefix Length]:IP アドレス プレフィックス長をビット単位で入力します。たとえば、32 は CIDR 表記で /32 を表します。プレフィックス長は、IP アドレスが常駐するプールのサブネットを定義します。

  • [Number of Addresses]:開始 IP アドレスから始まる、プールにある IPv6 アドレスの数を指定します。

ステップ 4

[Apply] をクリックします。

ステップ 5

[OK] をクリックします。

グループ ポリシーへの内部アドレス プールの割り当て

[Add or Edit Group Policy] ダイアログボックスでは、追加または編集している内部ネットワーク(クライアント)アクセス グループ ポリシーのアドレス プール、トンネリング プロトコル、フィルタ、接続設定、およびサーバーを指定できます。このダイアログボックスの各フィールドで、[Inherit] チェックボックスを選択すると、対応する設定の値をデフォルト グループ ポリシーから取得できます。[Inherit] は、このダイアログボックスの属性すべてのデフォルト値です。

同じグループ ポリシーで IPv4 と IPv6 両方のアドレス ポリシーを設定できます。同じグループ ポリシーに両方のバージョンの IP アドレスが設定されている場合、IPv4 に設定されたクライアントは IPv4 アドレス、IPv6 に設定されたクライアントは IPv6 アドレスを取得し、IPv4 アドレスと IPv6 アドレス両方に設定されたクライアントは IPv4 アドレスと IPv6 アドレス両方を取得します。

手順

ステップ 1

ASDM を使用して ASA に接続し、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択します。

ステップ 2

新しいグループ ポリシーを作成するか、内部アドレス プールを設定するグループ ポリシーを作成し、[Edit] をクリックします。

[General attributes] ペインは [group policy] ダイアログで、デフォルトで選択されています。

ステップ 3

[Address Pools] フィールドを使用して、このグループ ポリシーの IPv4 アドレス プールを指定します。[Select] をクリックし、IPv4 アドレス プールを追加または編集します。

ステップ 4

[IPv6 Address Pools] フィールドを使用して、このグループ ポリシーに使用する IPv6 アドレス プールを指定します。[Select] をクリックし、IPv6 アドレス プールを追加または編集します。

ステップ 5

[OK] をクリックします。

ステップ 6

[Apply] をクリックします。

DHCP アドレス指定の設定

DHCP を使用して VPN クライアントのアドレスを割り当てるには、まず DHCP サーバー、およびその DHCP サーバーで使用可能な IP アドレスの範囲を設定する必要があります。その後、接続プロファイル単位で DHCP サーバーを定義します。また、オプションとして、該当の接続プロファイルまたはユーザー名に関連付けられたグループ ポリシー内に、DHCP ネットワーク スコープも定義できます。

次の例では、firstgroup という名前の接続プロファイルに、172.33.44.19 の DHCP サーバーを定義しています。この例では、remotegroup というグループポリシーに対して、10.100.10.1 の DHCP ネットワークスコープも定義しています。(remotegroup というグループ ポリシーは、firstgroup という接続プロファイルに関連付けられています)。ネットワーク スコープを定義しない場合、DHCP サーバーはアドレス プールの設定順にプール内を探して IP アドレスを割り当てます。未割り当てのアドレスが見つかるまで、プールが順に検索されます。

始める前に

IPv4 アドレスを使用して、クライアント アドレスを割り当てる DHCP サーバーを識別できます。また、DHCP オプションはユーザーに転送されず、ユーザーはアドレス割り当てのみを受信します。

手順

ステップ 1

DHCP サーバーを設定します。

DHCP サーバーを使用して IPv6 アドレスを AnyConnect クライアント に割り当てることはできません。

  1. [設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > > [アドレス割り当て(Address Assignment)] > [割り当てポリシー(Assignment Policy)] で DHCP が有効になっていることを確認します。

  2. [設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [DHCPサーバー(DHCP Server)] を選択して、DHCP サーバーを設定します。

ステップ 2

接続プロファイルで DHCP サーバーを定義します。

  1. [設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > AnyConnectConnection Profiles)]を選択します。

  2. [Connection Profiles] エリアで [Add] または [Edit] をクリックします。

  3. 接続プロファイルの設定ツリーで、[Basic] をクリックします。

  4. [Client Address Assignment] エリアで、クライアントに IP アドレスを割り当てるために使用する DHCP サーバーの IPv4 アドレスを入力します。たとえば、172.33.44.19 と指定します。

ステップ 3

DHCP スコープを定義するために、接続プロファイルに関連付けられたグループ ポリシーを編集します。

  1. [設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] > [グループポリシー(Group Policies)] を選択します。

  2. 編集するグループ ポリシーをダブルクリックします。

  3. 設定ツリーで、[Server] をクリックします。

  4. 下矢印をクリックして、[More Options] エリアを拡大表示します。

  5. [DHCPスコープの継承(DHCP Scope Inherit)] をオフにして、DHCP スコープを定義します。

    接続プロファイルのアドレスプールに DHCP サーバーを設定した場合、DHCP スコープはこのグループのプールに使用するサブネットを識別します。DHCP サーバーには、そのスコープによって識別される同じサブネット内のアドレスも設定されている必要があります。スコープを使用すると、この特定のグループに使用する DHCP サーバーで定義されているアドレスプールのサブセットを選択できます。

    ネットワーク スコープを定義しない場合、DHCP サーバーはアドレス プールの設定順にプール内を探して IP アドレスを割り当てます。未割り当てのアドレスが見つかるまで、プールが順に検索されます。

    スコープを指定するには、目的のプールと同じサブネット上にあり、そのプール内にはないルーティング可能なアドレスを入力します。DHCP サーバーは、この IP アドレスが属するサブネットを判別し、そのプールからの IP アドレスを割り当てます。

    ルーティングの目的で可能な場合は常に、インターフェイスの IP アドレスを使用することを推奨します。たとえば、プールが 10.100.10.2 ~ 10.100.10.254 で、インターフェイスアドレスが 10.100.10.1/24 の場合、DHCP スコープとして 10.100.10.1 を使用します。ネットワーク番号は使用しないでください。DHCP は IPv4 アドレス指定にのみ使用することができます。選択したアドレスがインターフェイスアドレスではない場合、スコープアドレスのスタティックルートを作成する必要があります。

  6. [OK] をクリックします。

  7. [Apply] をクリックします。

ローカル ユーザーへの IP アドレスの割り当て

グループポリシーを使用するようにローカルユーザーアカウントを設定し、また AnyConnect クライアント 属性を設定することもできます。IP アドレスの他のソースに障害が発生した場合に、これらのユーザー アカウントがフォールバックを提供するので、管理者は引き続きアクセスできます。

始める前に

ユーザーを追加または編集するには、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] の順に選択し、[Add] または [Edit] をクリックします。

デフォルトでは、[Edit User Account] 画面の設定ごとに [Inherit] チェックボックスがオンになっています。つまり、ユーザー アカウントは、デフォルト グループ ポリシー DfltGrpPolicy のその設定の値を継承するということです。

各設定内容をオーバーライドする場合は、[Inherit] チェックボックスをオフにし、新しい値を入力します。次の詳細な手順では IP アドレスの設定について説明します。設定の完全な詳細についてはローカル ユーザーの VPN ポリシー属性の設定を参照してください。

手順

ステップ 1

ASDM を開始し、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] の順に選択します。

ステップ 2

設定するユーザーを選択し、[Edit] をクリックします。

ステップ 3

左側のペインで、[VPN Policy] をクリックします。

ステップ 4

このユーザーに対して専用の IPv4 アドレスを設定する場合は、[Dedicated IPv4 Address (Optional)] 領域で、IPv4 アドレスとサブネット マスクを入力します。

ステップ 5

このユーザーに専用の IPv6 アドレスを設定するには、[Dedicated IPv6 Address (Optional)] 領域に IPv6 プレフィックスを含む IPv6 アドレスを入力します。IPv6 プレフィックスは、IPv6 アドレスが常駐するサブネットを示します。

ステップ 6

[Apply] をクリックして変更内容を実行コンフィギュレーションに保存します。