CVR100W VPNルータの高度なVPNセットアップ

ダウンロード オプション

  • PDF     (1.7 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.5 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (590.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 12 月 12 日
Document ID:SMB4884

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

CVR100W VPNルータの高度なVPNセットアップ

目的

バーチャルプライベートネットワーク(VPN)は、インターネットなどのパブリックネットワークを介して異なるネットワーク上のエンドポイントを接続するために使用されます。この機能を使用すると、ローカルネットワークから離れたリモートユーザがインターネット経由で安全に接続できます。 

この記事では、CVR100W VPNルータで高度なVPNを設定する方法について説明します。基本的なVPN設定については、「CVR100W VPNルータでの基本的なVPN設定」を参照してください

該当するデバイス

・ CVR100W VPNルータ

[Software Version]

•1.0.1.19

高度なVPNセットアップ

初期設定

この手順では、Advanced VPN Setupの初期設定を行う方法について説明します。

ステップ1:Web設定ユーティリティにログインし、[VPN] > [Advanced VPN Setup]を選択します。[Advanced VPN Setup]ページが開きます。

ステップ2:(オプション)VPN接続のネットワークアドレス変換(NAT)トラバーサルを有効にするには、[NATトラバーサル]フィールドの[有効]チェックボックスをオンにします。NATトラバーサルを使用するゲートウェイ間でVPN接続を有効にします。VPN接続がNAT対応ゲートウェイを通過する場合は、このオプションを選択します。

ステップ3:(オプション)VPN接続を介して送信されるNetwork Basic Input/Output System (NetBIOS)ブロードキャストを有効にするには、[NETBIOS]フィールドの[Enable]チェックボックスをオンにします。

IKEポリシー設定

Internet Key Exchange(IKE;インターネットキーエクスチェンジ)は、VPNで通信するためのセキュアな接続を確立するために使用されるプロトコルです。この確立されたセキュアな接続は、セキュリティアソシエーション(SA)と呼ばれます。 この手順では、セキュリティのために使用するVPN接続のIKEポリシーを設定する方法について説明します。VPNが正常に機能するには、両方のエンドポイントのIKEポリシーが同じである必要があります。

ステップ1:IKEポリシーテーブルで、[行の追加(Add Row)]をクリックして、新しいIKEポリシーを作成します。[Advanced VPN Setup]ページが変更されます。

ステップ2:[Policy Name]フィールドに、IKEポリシーの名前を入力します。

ステップ3:[Exchange Mode]ドロップダウンリストから、IKEポリシーの動作方法を指定するオプションを選択します。

・ Main:このオプションを使用すると、IKEポリシーをより安全に動作させることができます。アグレッシブモードよりも遅い。よりセキュアなVPN接続が必要な場合は、このオプションを選択します。

・ Aggressive:このオプションを使用すると、IKEポリシーの動作が高速になりますが、メインモードよりもセキュアではありません。より高速なVPN接続が必要な場合は、このオプションを選択します。

ステップ4:(オプション)応答モードを有効にするには、[応答]チェックボックスをオンにします。応答モードが有効な場合、CVR100W VPNルータはリモートVPNエンドポイントからのVPN要求のみを受信できます。

ステップ5:[Local ID(ローカルID)]フィールドで、目的のオプションボタンをクリックして、ローカルIDの指定方法を指定します。

・ Auto:このオプションは自動的にローカルIDを割り当てます。

・ Manual:このオプションは、ローカルIDを手動で割り当てるために使用します。

ステップ6:(オプション)[Local ID(ローカルID)]ドロップダウンリストから、ローカルネットワークに必要な識別方法を選択します。

・ IPアドレス:このオプションは、ローカルネットワークをパブリックIPアドレスで識別します。

・ FQDN:このオプションでは、完全修飾ドメイン名(FQDN)を使用してローカルネットワークを識別します。

ステップ7:(オプション)[Local ID]フィールドに、IPアドレスまたはドメイン名を入力します。このエントリは、ステップ6で選択したオプションによって異なります。

ステップ8:[Remote ID(リモートID)]フィールドで、目的のオプションボタンをクリックして、リモートIDの指定方法を指定します。

・ Auto:リモートIDを自動的に割り当てます。

・手動:このオプションは、リモートIDを手動で割り当てるために使用します

ステップ9:(オプション)[リモートID(Remote ID)]ドロップダウンリストから、リモートネットワークに必要な識別方法を選択します。

・ IPアドレス:このオプションは、リモートネットワークをパブリックIPアドレスで識別します。

・ FQDN:このオプションでは、完全修飾ドメイン名(FQDN)を使用してリモートネットワークを識別します。

ステップ10:(オプション)[リモートID(Remote ID)]フィールドに、IPアドレスまたはドメイン名を入力します。エントリは、ステップ9で選択したオプションによって異なります。

ステップ11:[Redundancy Remote ID(冗長リモートID)]フィールドで、目的のオプションボタンをクリックして、冗長リモートIDの指定方法を指定します。Redundancy Remote IDは、リモートゲートウェイでVPNトンネルをセットアップするために使用される代替リモートIDです。

・ Auto:このオプションは、冗長リモートIDを自動的に割り当てます。

・手動:このオプションは、冗長リモートIDを手動で割り当てるために使用します。

ステップ12:(オプション)[Redundancy Remote ID(冗長リモートID)]ドロップダウンリストから、冗長ネットワークの目的の識別方法を選択します。

・ IPアドレス:このオプションは、冗長リモートネットワークをパブリックIPアドレスで識別します。

・ FQDN:このオプションでは、完全修飾ドメイン名(FQDN)を使用して、冗長性リモートネットワークを識別します。

ステップ13:(オプション)[Redundancy Remote ID]フィールドに、IPアドレスまたはドメイン名を入力します。エントリは、ステップ12で選択したオプションによって異なります。

ステップ14:[Encryption Algorithm]ドロップダウンリストから、セキュリティアソシエーション(SA)をネゴシエートするオプションを選択します。

・ DES:Data Encryption Standard(DES;データ暗号規格)では、データ暗号化に56ビットキーサイズを使用します。DESは古いため、1つのエンドポイントがDESのみをサポートしている場合に使用する必要があります。

・ 3DES — Triple Data Encryption Standard(3DES)は、DESを3回実行しますが、実行されるDESのラウンドに応じて、キーサイズを168ビットから112ビット、112ビットから56ビットに変更します。3DESはDESやAESよりも安全です。

・ AES-128:128ビットキー(AES-128)を使用するAdvanced Encryption Standard(AES-128)では、AES暗号化に128ビットキーを使用します。AESはDESよりも高速で安全です。ハードウェアの種類によっては、3DESの高速化が可能です。AES-128はAES-192およびAES-256よりも高速ですが、安全性は低くなります。

・ AES-192:AES-192では、AES暗号化に192ビットキーを使用します。AES-192はAES-128よりも低速ですが、安全性は高く、AES-192はAES-256よりも高速ですが、安全性は低くなります。

・ AES-256:AES-256は、AES暗号化に256ビットのキーを使用します。AES-256はAES-128およびAES-192よりも低速ですが、安全性は高くなります。

ステップ15:[Authentication Algorithm]ドロップダウンリストから、VPNヘッダーを認証するオプションを選択します。

・ MD5:Message-Digest Algorithm 5(MD5)は、認証に128ビットのハッシュ値を使用します。MD5は安全性が低いが、SHA-1およびSHA2-256よりも高速である。

・ SHA-1:Secure Hash Algorithm 1(SHA-1)は、認証に160ビットのハッシュ値を使用します。SHA-1はMD5よりも低速ですが安全性が高く、SHA-1はSHA2-256よりも高速ですが安全性が低くなります。

・ SHA2-256:Secure Hash Algorithm 2(SHA2-256)は、認証に256ビットのハッシュ値を使用します。SHA2-256はMD5およびSHA-1よりも低速ですが、セキュアです。

ステップ16:[Pre-Shared Key]フィールドに、IKEポリシーで使用する事前共有キーを入力します。

ステップ17:[Diffie-Hellman (DH) Group]ドロップダウンリストから、IKEが使用するDHグループを選択します。DHグループ内のホストは、互いに認識せずにキーを交換できます。グループビット番号が大きいほど、グループのセキュリティは高くなります。

ステップ18:[SA-Lifetime]フィールドに、SAが更新されるまでのVPNのセキュリティアソシエーション(SA)の有効期間(秒)を入力します。

ステップ19:(オプション)Dead Peer Detection(DPD)を有効にするには、Dead Peer DetectionフィールドのEnableチェックボックスをオンにします。DPDを使用してIKEピアを監視し、ピアが機能しなくなったかどうかを確認します。DPDは、非アクティブなピアのネットワークリソースの浪費を防止します。

ステップ20:(オプション)ピアのアクティビティをチェックする頻度を指定するには、[DPD Delay]フィールドに時間間隔(秒)を入力します。このオプションは、ステップ19でDPDが有効になっている場合に使用できます。

ステップ21:(オプション)非アクティブピアがドロップされるまでの待機時間を指定するには、[DPD Timeout]フィールドに長さ(秒単位)を入力します。このオプションは、ステップ19でDPDが有効になっている場合に使用できます。

ステップ22:[Save]をクリックします。元の[Advanced VPN Setup]ページが再表示されます。

ステップ23:(オプション)IKEポリシーテーブルでIKEポリシーを編集するには、ポリシーのチェックボックスをオンにします。次に、[編集]をクリックし、必要なフィールドを編集して、[保存]をクリックします

ステップ24:(オプション)IKEポリシーテーブルでIKEポリシーを削除するには、ポリシーのチェックボックスをオンにして[削除]をクリックします。次に[保存]をクリックします。

VPNポリシーの設定

この手順では、使用するVPN接続のVPNポリシーを設定する方法について説明します。VPNが正常に機能するには、両方のエンドポイントのVPNポリシーが同じである必要があります。

ステップ1:VPNポリシーテーブルで、[Add Row]をクリックして新しいVPNポリシーを作成します。[Advanced VPN Setup]ページが変更されます。

ステップ2:[Policy Name]フィールドに、VPNポリシーの名前を入力します。

ステップ3:[Policy Type]ドロップダウンリストから、VPNトンネルの設定の生成方法を指定するオプションを選択します。

・手動ポリシー:このオプションでは、データの暗号化と整合性のためのキーを設定できます。

・ Auto Policy:このオプションでは、データ整合性と暗号化キー交換にIKEポリシーを使用します。

ステップ4:[Remote Endpoint]ドロップダウンリストから、リモートIDを手動で割り当てる方法を指定するオプションを選択します。

・ IPアドレス:このオプションは、リモートネットワークをパブリックIPアドレスで識別します。

・ FQDN:このオプションでは、完全修飾ドメイン名(FQDN)を使用してリモートネットワークを識別します。

ステップ5:[Remote Endpoint]ドロップダウンリストの下のテキスト入力フィールドに、リモートアドレスのパブリックIPアドレスまたはドメイン名を入力します。

ステップ6:(オプション)冗長性を有効にするには、[Redundancy Endpoint]フィールドの[Enable] チェックボックスをオンにします。冗長性エンドポイントオプションを使用すると、プライマリVPN接続が失敗した場合にCVR100W VPNルータがバックアップVPNエンドポイントに接続できます。

ステップ7:(オプション)冗長性IDを手動で割り当てるには、[冗長性エンドポイント(Redundancy Endpoint)]ドロップダウンリストからオプションを選択します。

・ IPアドレス:このオプションは、冗長リモートネットワークをパブリックIPアドレスで識別します。

・ FQDN:このオプションでは、完全修飾ドメイン名(FQDN)を使用して、冗長性リモートネットワークを識別します。

ステップ8:(オプション)冗長性アドレスを入力するには、[Redundancy Endpoint]ドロップダウンリストの下のテキスト入力フィールドに、パブリックIPアドレスまたはドメイン名を入力します。

ステップ9:(オプション)ロールバックを有効にするには、[ロールバックの有効化]チェックボックスをオンにします。このオプションを使用すると、プライマリVPN接続が障害から回復した場合に、バックアップVPN接続からプライマリVPN接続への自動切り替えが可能になります。

ステップ10:[Local IP]ドロップダウンリストから、ポリシーの影響を受けるホストを特定するオプションを選択します。

・ Single:このオプションでは、ローカルVPN接続ポイントとして1つのホストを使用します。

・サブネット:このオプションでは、ローカルネットワークのサブネットをローカルVPN接続ポイントとして使用します。

ステップ11:[IP Address]フィールドに、ローカルサブネットまたはローカルホストのホストまたはサブネットIPアドレスを入力します。

ステップ12:(オプション)ステップ10で[Subnet]オプションを選択した場合は、[Subnet Mask]フィールドにローカルサブネットのサブネットマスクを入力します。

ステップ13:[Remote IP]ドロップダウンリストから、ポリシーの影響を受けるホストを特定するオプションを選択します。

・ Single:このオプションでは、リモートVPN接続ポイントとして1つのホストを使用します。

・サブネット:このオプションでは、リモートネットワークのサブネットをリモートVPN接続ポイントとして使用します。

ステップ14:[IP Address]フィールドに、リモートサブネットまたはリモートホストのホストまたはサブネットIPアドレスを入力します。

ステップ15:(オプション)ステップ13で[Subnet]オプションを選択した場合は、[Subnet Mask]フィールドにリモートサブネットのサブネットマスクを入力します。

注:ステップ3で[Manual Policy]オプションを選択した場合は、ステップ16 ~ 23を実行します。それ以外の場合は、ステップ 24 に進みます。

ステップ16:[SPI-Incoming]フィールドで、VPN接続の着信トラフィックのセキュリティパラメータインデックス(SPI)タグに3 ~ 8の16進数を入力します。SPIタグは、あるセッションのトラフィックを他のセッションのトラフィックと区別するために使用されます。トンネルの一方の側の着信SPIは、トンネルのもう一方の側の発信SPIである必要があります。

ステップ17:[SPI-Outgoing]フィールドに、VPN接続の発信トラフィック用のSPIタグに3 ~ 8の16進数文字を入力します。SPIタグは、あるセッションのトラフィックを他のセッションのトラフィックと区別するために使用されます。トンネルの一方の側の発信SPIは、トンネルのもう一方の側の着信SPIである必要があります。

ステップ18:[Encryption Algorithm]ドロップダウンリストから、セキュリティアソシエーション(SA)をネゴシエートするオプションを選択します。

・ DES:Data Encryption Standard(DES;データ暗号規格)では、データ暗号化に56ビットキーサイズを使用します。DESは古いため、1つのエンドポイントがDESのみをサポートしている場合に使用する必要があります。

・ 3DES — Triple Data Encryption Standard(3DES)は、DESを3回実行しますが、実行されるDESのラウンドに応じて、キーサイズを168ビットから112ビット、112ビットから56ビットに変更します。3DESはDESやAESよりも安全です。

・ AES-128:128ビットキー(AES-128)を使用するAdvanced Encryption Standard(AES-128)では、AES暗号化に128ビットキーを使用します。AESはDESよりも高速で安全性が高く、ハードウェアの種類によっては3DESの高速化が可能です。AES-128はAES-192およびAES-256よりも高速ですが、安全性は低くなります。

・ AES-192:AES-192では、AES暗号化に192ビットキーを使用します。AES-192はAES-128よりも低速ですが、安全性は高く、AES-192はAES-256よりも高速ですが、安全性は低くなります。

・ AES-256:AES-256は、AES暗号化に256ビットのキーを使用します。AES-256はAES-128およびAES-192よりも低速ですが、安全性は高くなります。

ステップ19:[Key-In]フィールドに、インバウンドポリシーのキーを入力します。キーの長さは、ステップ18で選択したアルゴリズムによって異なります。

・ DESは8文字キーを使用します。

・ 3DESは24文字キーを使用します。

・ AES-128は12文字キーを使用します。

・ AES-192は24文字キーを使用します。

・ AES-256は32文字キーを使用します。

ステップ20:[Key-Out]フィールドに、発信ポリシーのキーを入力します。キーの長さは、ステップ18で選択したアルゴリズムによって異なります。キーの長さは、ステップ18で選択したアルゴリズムによって異なります。

・ DESは8文字キーを使用します。

・ 3DESは24文字キーを使用します。

・ AES-128は12文字キーを使用します。

・ AES-192は24文字キーを使用します。

・ AES-256は32文字キーを使用します。

ステップ21:[Integrity Algorithm]ドロップダウンリストから、VPNヘッダーを認証するオプションを選択します。

・ MD5:Message-Digest Algorithm 5(MD5)は、認証に128ビットのハッシュ値を使用します。MD5はSHA-1およびSHA2-256よりもセキュアではありませんが、高速です。

・ SHA-1:Secure Hash Algorithm 1(SHA-1)は、認証に160ビットのハッシュ値を使用します。SHA-1はMD5よりも低速ですが安全性が高く、SHA-1はSHA2-256よりも高速ですが安全性が低くなります。

・ SHA2-256:Secure Hash Algorithm 2(SHA2-256)は、認証に256ビットのハッシュ値を使用します。SHA2-256は低速ですが、MD5やSHA-1よりも安全です。

ステップ22:[Key-In]フィールドに、インバウンドポリシーのキーを入力します。キーの長さは、ステップ21で選択したアルゴリズムによって異なります。

・ MD5は16文字キーを使用します。

・ SHA-1は20文字キーを使用します。

・ SHA2-256は32文字キーを使用します。

ステップ23:[Key-Out]フィールドに、発信ポリシーのキーを入力します。キーの長さは、ステップ21で選択したアルゴリズムによって異なります。キーの長さは、ステップ21で選択したアルゴリズムによって異なります。

・ MD5は16文字キーを使用します。

・ SHA-1は20文字キーを使用します。

・ SHA2-256は32文字キーを使用します。

注:ステップ3で[Auto Policy]を選択した場合は、ステップ24 ~ 29を実行します。それ以外の場合は、ステップ 31 に進みます。

ステップ24:[SA-Lifetime]フィールドに、SAが更新前に継続する時間(秒)を入力します。

ステップ25:[Encryption Algorithm]ドロップダウンリストから、セキュリティアソシエーション(SA)をネゴシエートするオプションを選択します。

・ DES:Data Encryption Standard(DES;データ暗号規格)では、データ暗号化に56ビットキーサイズを使用します。DESは古いため、1つのエンドポイントがDESのみをサポートしている場合に使用する必要があります。

・ 3DES — Triple Data Encryption Standard(3DES)は、DESを3回実行しますが、実行されるDESのラウンドに応じて、キーサイズを168ビットから112ビット、112ビットから56ビットに変更します。3DESはDESやAESよりも安全です。

・ AES-128:128ビットキー(AES-128)を使用するAdvanced Encryption Standard(AES-128)では、AES暗号化に128ビットキーを使用します。AESはDESよりも高速で安全です。ハードウェアの種類によっては、3DESの高速化が可能です。AES-128はAES-192およびAES-256よりも高速ですが、安全性は低くなります。

・ AES-192:AES-192では、AES暗号化に192ビットキーを使用します。AES-192はAES-128よりも低速ですが、安全性は高く、AES-192はAES-256よりも高速ですが、安全性は低くなります。

・ AES-256:AES-256は、AES暗号化に256ビットのキーを使用します。AES-256はAES-128およびAES-192よりも低速ですが、安全性は高くなります。

ステップ26:[Integrity Algorithm]ドロップダウンリストから、VPNヘッダーを認証するオプションを選択します。

・ MD5:Message-Digest Algorithm 5(MD5)は、認証に128ビットのハッシュ値を使用します。MD5はSHA-1およびSHA2-256よりもセキュアではありませんが、高速です。

・ SHA-1:Secure Hash Algorithm 1(SHA-1)は、認証に160ビットのハッシュ値を使用します。SHA-1はMD5よりも低速ですが安全性が高く、SHA-1はSHA2-256よりも高速ですが安全性が低くなります。

・ SHA2-256:Secure Hash Algorithm 2(SHA2-256)は、認証に256ビットのハッシュ値を使用します。SHA2-256はMD5およびSHA-1よりも低速ですが、セキュアです。

ステップ27:[PFS Key Group]フィールドの[Enable] チェックボックスをオンにして、Perfect Forward Secrecy(PFS)を有効にします。PFSはVPNセキュリティを高めますが、接続速度を遅くします。

ステップ28:(オプション)ステップ27でPFSを有効にする場合は、PFS Key Groupフィールドの下にあるドロップダウンリストから、参加するDiffie-Hellman(DH)グループを選択します。グループ番号が大きいほど、グループのセキュリティは高くなります。

ステップ29:[Select IKE Policy]ドロップダウンリストから、VPNポリシーに使用するIKEポリシーを選択します。

ステップ30:(オプション)[View]をクリックすると、[Advanced VPN Setup]ページの[IKE configuration]セクションに移動します。

ステップ31:[Save]をクリックします。元の[Advanced VPN Setup]ページが再表示されます。

ステップ32:[Save]をクリックします

ステップ33:(オプション)VPNポリシーテーブルでVPNポリシーを編集するには、ポリシーのチェックボックスをオンにします。次に、[編集]をクリックし、必要なフィールドを編集して、[保存]をクリックします

ステップ34:(オプション) VPNポリシーテーブルでVPNポリシーを削除するには、ポリシーのチェックボックスをオンにし、[Delete]をクリックし、[Save]をクリックします。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ