ASA では、リモート アクセス クライアントに IP アドレスを割り当てる際に、次の 1 つ以上の方式を使用できます。複数のアドレス割り当て方式を設定すると、ASA は IP アドレスが見つかるまで各オプションを検索します。デフォルトでは、すべての方式がイネーブルになっています。
aaa ユーザ単位で外部認証、認可、アカウンティング サーバからアドレスを取得します。IP アドレスが設定された認証サーバを使用している場合は、この方式を使用することをお勧めします。この方法は IPv4 および IPv6 の割り当てポリシーに使用できます。
dhcp DHCP サーバから IP アドレスを取得します。DHCP を使用する場合は、DHCP サーバを設定する必要があります。また、DHCP サーバで使用可能な IP アドレスの範囲も定義する必要があります。この方法は IPv4 の割り当てポリシーに使用できます。
local :内部的に設定されたアドレス プールは、最も設定が簡単なアドレス プール割り当て方式です。ローカルを選択する場合は、ip-local-poolコマンドを使用して、使用する IP アドレスの範囲を定義する必要があります。この方法は IPv4 および IPv6 の割り当てポリシーに使用できます。
VPN リモート アクセス トンネルに使用する IPv4 アドレス プールを設定するには、グローバル コンフィギュレーション モードで ip local pool コマンドを入力します。アドレス プールを削除するには、このコマンドの no 形式を入力します。
VPN リモート アクセス トンネルに使用する IPv6 アドレス プールを設定するには、グローバル コンフィギュレーション モードで ipv6 local pool コマンドを入力します。アドレス プールを削除するには、このコマンドの no 形式を入力します。
ASA は、接続用の接続プロファイルまたはトンネル グループに基づいてアドレス プールを使用します。プールの指定順序は重要です。接続プロファイルまたはグループ ポリシーに複数のアドレス プールを設定すると、ASA は追加された順でそれらのプールを使用します。
ローカルでないサブネットのアドレスを割り当てる場合は、そのようなネットワーク用のルートの追加が容易になるように、サブネットの境界を担当するプールを追加することをお勧めします。
AAA サーバを使用して VPN リモート アクセス クライアントにアドレスを割り当てるには、まず AAA サーバまたは AAA サーバ グループを設定する必要があります。コマンド リファレンスで aaa-server protocol コマンドを参照してください。
また、ユーザは RADIUS 認証用に設定された接続プロファイルと一致している必要があります。
次の例は、firstgroup という名前のトンネル グループに、RAD2 という AAA サーバ グループを定義する方法を示しています。例の中に 1 つ余分な手順が入っていますが、これは以前にそのトンネル グループに名前を付け、トンネル グループ タイプを定義していた場合のためです。この手順が次の例に記載されているのは、これらの値を設定しない限り、後続の tunnel-group コマンドにアクセスできないので、注意を促すためです。
この例で作成されるコンフィギュレーションの概要は、次のとおりです。
hostname(config)# vpn-addr-assign aaa hostname(config)# tunnel-group firstgroup type ipsec-ra hostname(config)# tunnel-group firstgroup general-attributes hostname(config)# authentication-server-group RAD2
DHCP を使用して VPN クライアントのアドレスを割り当てるには、まず DHCP サーバ、およびその DHCP サーバで使用可能な IP アドレスの範囲を設定する必要があります。その後、接続プロファイル単位で DHCP サーバを定義します。また、オプションとして、該当の接続プロファイルまたはユーザ名に関連付けられたグループ ポリシー内に、DHCP ネットワーク スコープも定義できます。このスコープは、使用する IP アドレス プールを DHCP サーバに指定するための、IP ネットワーク番号または IP アドレスです。
次の例では、firstgroup という名前の接続プロファイルに、IP アドレス 172.33.44.19 の DHCP サーバを定義しています。また、この例では、remotegroup というグループ ポリシーに対して、192.86.0.0 という DHCP ネットワーク スコープも定義しています(remotegroup というグループ ポリシーは、firstgroup という接続プロファイルに関連付けられています)。ネットワーク スコープを定義しない場合、DHCP サーバはアドレス プールの設定順にプール内を探して IP アドレスを割り当てます。未割り当てのアドレスが見つかるまで、プールが順に検索されます。
次のコンフィギュレーションには、本来不要な手順が含まれています。これらは、以前にその接続プロファイルに名前を付け、接続プロファイル タイプをリモート アクセスとして定義していたり、グループ ポリシーに名前を付け、内部または外部として指定していた場合のためです。これらの手順が次の例に記載されているのは、これらの値を設定しない限り、後続の tunnel-group コマンドおよび group-policy コマンドにアクセスできないので、注意を促すためです。
この例で作成されるコンフィギュレーションの概要は、次のとおりです。
hostname(config)# vpn-addr-assign dhcp hostname(config)# tunnel-group firstgroup type remote-access hostname(config)# tunnel-group firstgroup general-attributes hostname(config-general)# dhcp-server 172.33.44.19 hostname(config-general)# exit hostname(config)# group-policy remotegroup internal hostname(config)# group-policy remotegroup attributes hostname(config-group-policy)# dhcp-network-scope 192.86.0.0
詳細については、『Cisco セキュリティ アプライアンス コマンド リファレンス』ガイドで dhcp-server コマンドを参照してください。