Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月13日
章のタイトル: ゲートウェイ VPN
ゲートウェイ VPN
次のトピックでは、VPN 展開を管理する方法について説明します。
ゲートウェイ VPN の基本
バーチャル プライベート ネットワーク(VPN)は、インターネットや他のネットワークなどのパブリック ソースを介したエンドポイント間でセキュアなトンネルを確立するネットワーク接続です。Firepower 管理対象デバイスの仮想ルータ間にセキュア VPN トンネルを確立するように Firepower システムを設定できます。システムは、インターネット プロトコル セキュリティ(IPsec)プロトコル スイートを使用してトンネルを構築します。
VPN 接続が確立されると、ローカル ゲートウェイの背後にあるホストはセキュアな VPN トンネルを介して、リモート ゲートウェイの背後にあるホストに接続することができます。接続は、2 つのゲートウェイの IP アドレスとホスト名、その背後のサブネット、および相互認証のための 2 つのゲートウェイの共有秘密で構成されます。
VPN エンドポイントは、Internet Key Exchange(IKE)のバージョン 1 またはバージョン 2 のいずれかのプロトコルを使用して相互に認証し、トンネルに対してセキュリティ アソシエーションを作成します。システムは IPsec Authentication Header(AH)プロトコルまたは IPsec Encapsulating Security Payload(ESP)プロトコルのいずれかを使用して、トンネルに入るデータを認証します。ESP プロトコルは、AH と同じ機能を提供する他にデータの暗号化も行います。
展開にアクセス コントロール ポリシーが存在する場合、システムは、VPN トラフィックがアクセス コントロールを通過するまで VPN トラフィックを送信しません。さらに、システムは、トンネルがダウンしている場合は、トンネル トラフィックをパブリックなソースに送信しません。
VPN を Firepower 用に設定して展開するには、展開先の各管理対象デバイスで VPN ライセンスを有効にしておく必要があります。また、VPN 機能は 7000 および 8000 シリーズ デバイスでのみ使用できます。
IPsec
IPsec プロトコル スイートは、VPN トンネルにおいて、IP パケットが ESP または AH セキュリティ プロトコルでどのようにハッシュ、暗号化、およびカプセル化されるかを定義します。Firepower システムはハッシュ アルゴリズムおよび Security Association(SA)の暗号キーを使用しますが、これは、Internet Key Exchange(IKE)プロトコルによって 2 つのゲートウェイ間で確立されています。
セキュリティ アソシエーション(SA)は 2 つのデバイス間で共有のセキュリティ属性を確立し、VPN エンドポイントがセキュアな通信をサポートできるようにします。SA は、2 つの VPN エンドポイントが、VPN トンネルがどのようにセキュアにされているかを表すパラメータを処理することができます。
システムは、IPsec 接続のネゴシエーションの最初の段階で Internet Security Association and Key Management Protoco(ISAKMP)を使用し、エンドポイントと認証キー交換の間で VPN を確立します。IKE プロトコルは ISAKMP 内にあります。
AH セキュリティ プロトコルは、パケット見出しとデータを保護しますが、暗号化はできません。ESP はパケットを暗号化および保護しますが、最も外側の IP 見出しをセキュアにすることはできません。多くの場合、この保護は必要なく、大半の VPN 展開は、(暗号化の機能により)AH よりも頻繁に ESP を使用します。VPN はトンネル モードのみで動作するため、システムはレイヤ 3 からのパケット全体を暗号化および認証し、ESP プロトコル内で稼動します。トンネル モードの ESP は、後者の暗号化機能だけでなく、データを暗号化します。
IKE
Firepower システムは IKE プロトコルを使用して、トンネルに対して SA をネゴシエートする他に、2 つのゲートウェイを相互に認証します。プロセスは、次の 2 つのフェーズで構成されます。
IKE フェーズ 1 では、Diffie-Hellman キー交換によってセキュアに認証された通信チャネルを確立し、その後の IKE 通信を暗号化するために事前共有キーを生成します。このネゴシエーションにより、双方向の ISAKMP セキュリティ アソシエーションが生じます。ユーザは、事前共有キーを使用して認証を行うことができます。フェーズ 1 はメイン モードで機能します。このフェーズでは、ネゴシエーションの間にすべてのデータを保護しようとしますが、ピアのアイデンティティも保護します。
IKE フェーズ 2 では、IKE ピアが、フェーズ 1 で確立されたセキュアなチャネルを使用して、IPsec の代わりにセキュリティ アソシエーションにネゴシエートします。ネゴシエーションにより、最低 2 つの単方向セキュリティ アソシエーション(一方は着信、他方は発信)が生じます。
VPN 展開
VPN 展開は、VPN に含まれているエンドポイントおよびネットワークを指定し、またそれらが相互にどのように接続しているかを指定します。VPN 展開を Firepower Management Center に設定すると、次に管理対象デバイス、または別の Firepower Management Center によって管理されているデバイスにその VPN 展開を導入できます。
システムでは、ポイントツーポイント、スター、およびメッシュという 3 つのタイプの VPN 展開がサポートされています。
ポイントツーポイントの VPN 展開
ポイントツーポイントの VPN 展開では、2 つのエンドポイントが相互に直接通信します。2 つのエンドポイントをピア デバイスとして設定し、いずれかのデバイスでセキュアな接続を開始することができます。この設定の各デバイスは、VPN 対応の管理対象デバイスであることが必要です。
スター VPN 導入
スター VPN 導入では、中央のエンドポイント(ハブ ノード)が、複数のリモート エンドポイント(リーフ ノード)とのセキュアな接続を確立します。ハブ ノードと個々のリーフ ノード間のそれぞれの接続は、別の VPN トンネルです。いずれかのリーフ ノードの背後にあるホストは、ハブ ノードを介して互いに通信できます。
スター型の展開は一般的に、インターネットや他のサードパーティのネットワークを介してセキュアな接続を使用している組織の本店と支店を接続する VPN を表します。スター VPN 導入は、すべての従業員に対して、組織のネットワークへのコントロールされたアクセスを提供します。
一般的なスター型の導入では、ハブ ノードは本社に配置します。リーフ ノードは支社に配置します。トラフィックの大部分は、これらのリーフ ノードから開始されます。各ノードは、VPN 対応の管理対象デバイスであることが必要です。
メッシュ VPN 展開
メッシュ VPN 展開では、すべてのエンドポイントが個々の VPN トンネルによって他のエンドポイントと通信できます。メッシュ型の展開では 1 つのエンドポイントで障害が発生しても残りのエンドポイントが相互に通信できるように、冗長性を備えています。このタイプの展開は一般的に、分散した支店が配置されたグループを接続する VPN を表します。この設定で展開する VPN 対応の管理対象デバイスの数は、必要な冗長性のレベルによって異なります。各エンドポイントは、VPN 対応の管理対象デバイスであることが必要です。
VPN 展開の管理
[VPN] ページ()で、現行のすべての VPN 展開を、展開に含まれている名前およびエンドポイントごとに表示することができます。このページ内のオプションを使用して、VPN 展開のステータスを表示する、新しい展開を作成する、管理対象デバイスに展開する、展開を修正または削除する、といった操作を実行することができます。
デバイスを Firepower Management Center に登録すると、登録中に、展開済みの VPN が Firepower Management Center と同期されることに注意してください。
VPN 展開オプション
新しい VPN 展開を作成する場合には、最小限の処理として、一意の名前と展開のタイプを指定し、事前共有キーを指定する必要があります。次の 3 つのタイプの展開から選択することができ、それぞれの展開には VPN トンネルが含まれています。
VPN 展開でエンドポイントとして使用できるのは、Cisco の管理対象デバイスのみです。サードパーティ製のエンドポイントはサポートされません。
VPN 認証に対して事前共有キーを定義する必要があります。展開内で生成したすべての VPN 接続で使用するデフォルトのキーを指定できます。ポイントツーポイント型の展開では、各エンドポイントのペアに事前共有キーを指定できます。
マルチドメイン展開では、ドメイン間で VPN 展開を構成できます。つまり、異なるドメインに属するデバイスにエンドポイントを割り当てることができます。このような場合は、関連する子孫ドメインで先祖の展開を表示できますが、変更することはできません。ドリルダウンして展開の詳細を表示すると、現在のドメインに属するデバイスの情報のみが表示されます。
ポイントツーポイント VPN 展開オプション
ポイントツーポイント VPN 展開を設定する場合は、エンドポイント ペアのグループを定義し、各ペアの 2 つのノード間に VPN を作成します。
- [名前(Name)]
- タイプ(Type)
- 事前共有キー(Pre-Shared Key)
-
認証に対して一意の事前共有キーを定義します。各エンドポイント ペアに対して事前共有キーを指定しない場合は、システムで展開内のすべての VPN に対してこのキーが使用されます。
- Device
-
展開のエンドポイントとして、デバイス スタックやデバイス高可用性ペアなどの管理対象デバイスを選択できます。使用している Firepower Management Center で管理されていないシスコの管理対象デバイスの場合は、[その他(Other)] を選択し、エンドポイントの IP アドレスを指定します。
- [仮想ルータ(Virtual Router)]
-
エンドポイントとして管理対象デバイスを選択する場合は、選択したデバイスに現在適用されている仮想ルータを選択します。複数のエンドポイントに同じ仮想ルータを選択することはできません。
- インターフェイス(Interface)
-
エンドポイントとして管理対象デバイスを選択した場合は、指定した仮想ルータに割り当てられているルーテッド インターフェイスを選択します。
- [IPアドレス(IP Address)]
- [保護されたネットワーク(Protected Networks)]
-
暗号化された展開でネットワークを指定します。各ネットワークに対して CIDR ブロックでサブネットを入力します。IKE バージョン 1 は、保護された単一のネットワークのみサポートしています。
VPN エンドポイントは同じ IP アドレスを持つことはできません。また、VPN エンドポイント ペアの保護されたネットワークは重複することはできないことに注意してください。エンドポイントについて保護されたネットワークのリストに 1 つ以上の IPv4 または IPv6 エントリが含まれている場合、他のエンドポイントの保護されたネットワークは、同じタイプ(IPv4 または IPv6)のエントリを少なくとも 1 つ持っていることが必要です。このようなエントリを持っていない場合、他のエンドポイントの IP アドレスが同じタイプであること、および保護されたネットワーク内でエントリが重複しないことが必要です。(IPv4 については /32 CIDR アドレスを使用し、IPv6 については /128 CIDR アドレス ブロックを使用します)。これらの両方のチェックに失敗すると、エンドポイントのペアは機能しません。
- [内部 IP(Internal IP)]
-
エンドポイントが、ネットワーク アドレス変換を備えたファイアウォールの背後に配置されている場合は、このチェックボックスをオンにします。
- [パブリック IP(Public IP)]
-
[内部 IP(Internal IP)] チェックボックスをオンにした場合は、ファイアウォールに対してパブリック IP アドレスを指定します。エンドポイントが応答側の場合は、この値を指定する必要があります。
- [パブリック IKE ポート(Public IKE Port)]
-
[内部 IP(Internal IP)] チェックボックスをオンにした場合は、内部のエンドポイントにポート転送されているファイアウォール上の UDP ポートに対して、1 ~ 65535 の数値を指定します。エンドポイントが応答側で、転送されているファイアウォール上のポートが 500 または 4500 ではない場合、この値を指定する必要があります。
- [実装キーを使用する(Use Deployment Key)]
-
展開に対して定義されている事前共有キーを使用する場合は、チェックボックスをオンにします。このエンドポイント ペアに対して VPN 認証の事前共有キーを指定するには、チェックボックスをオフにします。
- 事前共有キー(Pre-Shared Key)
-
[実装キーを使用する(Use Deployment Key)] チェックボックスをオフにした場合は、このフィールドに事前共有キーを指定します。
スター VPN の展開オプション
スター VPN 展開を設定する場合は、1 つのハブ ノード エンドポイント、およびリーフ ノード エンドポイントのグループを定義します。展開を設定するには、ハブ ノード エンドポイントと、少なくとも 1 つのリーフ ノード エンドポイントを定義する必要があります。
- [名前(Name)]
- タイプ(Type)
- 事前共有キー(Pre-Shared Key)
- Device
-
展開のエンドポイントとして、デバイス スタックやデバイス高可用性ペアなどの管理対象デバイスを選択できます。使用している Firepower Management Center で管理されていないシスコの管理対象デバイスの場合は、[その他(Other)] を選択し、エンドポイントの IP アドレスを指定します。
- [仮想ルータ(Virtual Router)]
-
エンドポイントとして管理対象デバイスを選択する場合は、選択したデバイスに現在適用されている仮想ルータを選択します。複数のエンドポイントに同じ仮想ルータを選択することはできません。
- インターフェイス(Interface)
-
エンドポイントとして管理対象デバイスを選択する場合は、選択した仮想ルータに割り当てられているルーテッド インターフェイスを選択します。
- [IPアドレス(IP Address)]
- [保護されたネットワーク(Protected Networks)]
-
暗号化された展開でネットワークを指定します。各ネットワークに対して CIDR ブロックでサブネットを入力します。
VPN エンドポイントは同じ IP アドレスを持つことはできません。また、VPN エンドポイント ペアの保護されたネットワークは重複することはできないことに注意してください。エンドポイントについて保護されたネットワークのリストに 1 つ以上の IPv4 または IPv6 エントリが含まれている場合、他のエンドポイントの保護されたネットワークは、同じタイプ(IPv4 または IPv6)のエントリを少なくとも 1 つ持っていることが必要です。このようなエントリを持っていない場合、他のエンドポイントの IP アドレスが同じタイプであること、および保護されたネットワーク内でエントリが重複しないことが必要です。(IPv4 については /32 CIDR アドレスを使用し、IPv6 については /128 CIDR アドレス ブロックを使用します)。これらの両方のチェックに失敗すると、エンドポイントのペアは機能しません。
- [内部 IP(Internal IP)]
-
エンドポイントが、ネットワーク アドレス変換を備えたファイアウォールの背後に配置されている場合は、このチェックボックスをオンにします。
- [パブリック IP(Public IP)]
-
[内部 IP(Internal IP)] チェックボックスをオンにした場合は、ファイアウォールに対してパブリック IP アドレスを指定します。エンドポイントが応答側の場合は、この値を指定する必要があります。
- [パブリック IKE ポート(Public IKE Port)]
-
[内部 IP(Internal IP)] チェックボックスをオンにした場合は、内部のエンドポイントにポート転送されているファイアウォール上の UDP ポートに対して、1 ~ 65535 の数値を指定します。エンドポイントが応答側で、転送されているファイアウォール上のポートが 500 または 4500 ではない場合、この値を指定する必要があります。
メッシュ VPN 展開オプション
メッシュ VPN 展開を設定する場合は、VPN のグループを定義して、特定のエンドポイント セットに任意の 2 つのポイントをリンクさせます。
- [名前(Name)]
- タイプ(Type)
- 事前共有キー(Pre-Shared Key)
- Device
-
展開のエンドポイントとして、デバイス スタックやデバイス高可用性ペアなどの管理対象デバイスを選択できます。使用している Firepower Management Center で管理されていないシスコの管理対象デバイスの場合は、[その他(Other)] を選択し、エンドポイントの IP アドレスを指定します。
- [仮想ルータ(Virtual Router)]
-
エンドポイントとして管理対象デバイスを選択した場合は、指定したデバイスに適用されている仮想ルータを選択します。複数のエンドポイントに同じ仮想ルータを選択することはできません。
- インターフェイス(Interface)
-
エンドポイントとして管理対象デバイスを選択した場合は、指定した仮想ルータに割り当てられているルーテッド インターフェイスを選択します。
- [IPアドレス(IP Address)]
- [保護されたネットワーク(Protected Networks)]
-
暗号化された展開でネットワークを指定します。各ネットワークに対して CIDR ブロックでサブネットを入力します。IKE バージョン 1 は、保護された単一のネットワークのみサポートしています。
VPN エンドポイントは同じ IP アドレスを持つことはできません。また、VPN エンドポイント ペアの保護されたネットワークは重複することはできないことに注意してください。エンドポイントについて保護されたネットワークのリストに 1 つ以上の IPv4 または IPv6 エントリが含まれている場合、他のエンドポイントの保護されたネットワークは、同じタイプ(IPv4 または IPv6)のエントリを少なくとも 1 つ持っていることが必要です。このようなエントリを持っていない場合、他のエンドポイントの IP アドレスが同じタイプであること、および保護されたネットワーク内でエントリが重複しないことが必要です。(IPv4 については /32 CIDR アドレスを使用し、IPv6 については /128 CIDR アドレス ブロックを使用します)。これらの両方のチェックに失敗すると、エンドポイントのペアは機能しません。
- [内部 IP(Internal IP)]
-
エンドポイントが、ネットワーク アドレス変換を備えたファイアウォールの背後に配置されている場合は、このチェックボックスをオンにします。
- [パブリック IP(Public IP)]
-
[内部 IP(Internal IP)] チェックボックスをオンにした場合は、ファイアウォールに対してパブリック IP アドレスを指定します。エンドポイントが応答側の場合は、この値を指定する必要があります。
- [パブリック IKE ポート(Public IKE Port)]
-
[内部 IP(Internal IP)] チェックボックスをオンにした場合は、内部のエンドポイントにポート転送されているファイアウォール上の UDP ポートに対して、1 ~ 65535 の数値を指定します。エンドポイントが応答側で、転送されているファイアウォール上のポートが 500 または 4500 ではない場合、この値を指定する必要があります。
VPN 展開の詳細オプション
VPN の展開には、展開の VPN で共有できる共通設定がいくつか含まれています。各 VPN では、デフォルトの設定を使用するか、またはそのデフォルトの設定を上書きすることができます。通常、詳細設定はほとんど、あるいはまったく変更する必要がありません。詳細設定は導入環境ごとに異なります。
- 許可されるその他のアルゴリズム(Other Algorithm Allowed)
-
このチェックボックスをオンにすると、[アルゴリズム(Algorithm)] リストに含まれていないがリモート ピアによって提案されるアルゴリズムについて、自動ネゴシエーションが有効になります。
- アルゴリズム(SNMP (v3) Auth. Alrorithm)
-
展開でデータのセキュリティを確保するため、フェーズ 1 とフェーズ 2 のアルゴリズムの提案を指定します。両方のフェーズに対して、[暗号(Cipher)]、 [ハッシュ(Hash)]、および [Diffie-Hellman (DH) ]グループ認証メッセージを選択します。
- IKE ライフタイム(IKE Life Time)
-
IKE SA の最大ネゴシエーション間隔について、数値を指定し、時間単位を選択します。最小 15 分、最大 30 日を指定できます。
- IKE v2
-
システムで IKE バージョン 2 を使用する場合は、このチェックボックスをオンにします。このバージョンでは、スター型の展開と複数の保護ネットワークがサポートされます。
- ライフタイム(Life Time)
-
SA の最大ネゴシエーション間隔について、数値を指定し、時間単位を選択します。最小 5 分、最大 24 時間を指定できます。
- ライフ パケット数(Life Packets)
-
有効期限までに IPsec SA を介して伝送できるパケット数を指定します。0 ~ 18446744073709551615 の整数を使用できます。
- ライフ バイト(Life Bytes)
-
有効期限までに IPsec SA を介して伝送できるバイト数を指定します。0 ~ 18446744073709551615 の整数を使用できます。
- AH
-
保護対象のデータに対して認証ヘッダー セキュリティ プロトコルを使用するように指定する場合は、このチェックボックスをオンにします。暗号化サービス ペイロード(ESP)プロトコルを使用する場合は、このチェックボックスをオフにします。
VPN 展開の管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
VPN |
7000 & 8000 シリーズ |
任意(Any) |
Admin/Network Admin |
 注意 | 7000 または 8000 シリーズ デバイス上の VPN を追加または削除して、設定の変更を展開すると Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。 |
| ステップ 1 | を選択します。 |
| ステップ 2 | VPN の展開を管理します。
|
)をクリックします。ポイントツーポイント VPN 展開の設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
VPN |
7000 & 8000 シリーズ |
任意(Any) |
Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | をクリックします。 |
| ステップ 3 | 一意の名前を入力します。 |
| ステップ 4 | [タイプ(Type)] として [PTP] が選択されていることを確認します。 |
| ステップ 5 | 一意の事前共有キーを入力します。 |
| ステップ 6 | [ノード ペア(Node Pairs)] の隣の追加アイコン( )をクリックします。 |
| ステップ 7 | ポイントツーポイント VPN 展開オプションで説明されている VPN 展開オプションを設定します。 |
| ステップ 8 | [ノード A(Node A)] の下の [保護されたネットワーク(Protected Networks)] の隣にある追加アイコン()をクリックします。 |
| ステップ 9 | 保護されたネットワークの CIDR ブロックを入力します。 |
| ステップ 10 | [OK] をクリックします。 |
| ステップ 11 | [ノード B(Node B)] に対して手順 8 ~ 10 を繰り返します。 |
| ステップ 12 | [保存(Save)] をクリックします。 エンドポイント ペアが展開に追加されます。 |
| ステップ 13 | [保存(Save)] をクリックして、展開の設定を終了します。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
スター VPN 展開の設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
VPN |
7000 & 8000 シリーズ |
任意(Any) |
Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | をクリックします。 |
| ステップ 3 | 一意の名前を入力します。 |
| ステップ 4 | [スター(Star)] をクリックしてタイプを指定します。 |
| ステップ 5 | 一意の事前共有キーを入力します。 |
| ステップ 6 | [ハブ ノード(Hub Node)] の隣の編集アイコン( )をクリックします。 |
| ステップ 7 | スター VPN の展開オプションで説明されている VPN 展開オプションを設定します。 |
| ステップ 8 | [保護されたネットワーク(Protected Networks)] の隣の追加アイコン()をクリックします。 |
| ステップ 9 | 保護されたネットワークの IP アドレスを入力します。 |
| ステップ 10 | [OK] をクリックします。 |
| ステップ 11 | [保存(Save)] をクリックします。ハブ ノードが展開に追加されます。 |
| ステップ 12 | [リーフ ノード(Leaf Nodes)] の隣の追加アイコン()をクリックします。 |
| ステップ 13 | リーフ ノードを完了するには、手順 7 ~ 10 を繰り返します。これにより、ハブ ノードと同じオプションが設定されます。 |
| ステップ 14 | [保存(Save)] をクリックします。 リーフ ノードが展開に追加されます。 |
| ステップ 15 | [保存(Save)] をクリックして、展開の設定を終了します。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
メッシュ VPN 展開の設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
VPN |
7000 & 8000 シリーズ |
任意(Any) |
Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | をクリックします。 |
| ステップ 3 | 一意の名前を入力します。 |
| ステップ 4 | [メッシュ(Mesh)] をクリックして [タイプ(Type)] を指定します。 |
| ステップ 5 | 一意の事前共有キーを入力します。 |
| ステップ 6 | [ノード(Nodes)] の隣の追加アイコン()をクリックします。 |
| ステップ 7 | メッシュ VPN 展開オプションで説明されている VPN 展開オプションを設定します。 |
| ステップ 8 | [保護されたネットワーク(Protected Networks)] の隣の追加アイコン()をクリックします。 |
| ステップ 9 | 保護されたネットワークの CIDR ブロックを入力します。 |
| ステップ 10 | [OK] をクリックします。 保護されたネットワークが追加されます。 |
| ステップ 11 | [保存(Save)] をクリックします。 展開にエンドポイントが追加されます。 |
| ステップ 12 | エンドポイントをさらに追加するには、ステップ 6 ~ 11 を繰り返します。 |
| ステップ 13 | [保存(Save)] をクリックして展開を完了します。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
高度な VPN 展開を設定する方法
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
VPN |
7000 & 8000 シリーズ |
任意(Any) |
Admin/Network Admin |
マルチドメイン展開では、現在のドメインで作成された VPN 展開が表示されます。これは編集できます。また、エンドポイント デバイスの 1 つがドメインに属している場合は、先祖ドメインで作成された VPN 展開も表示されます。先祖ドメインで作成された VPN 展開は編集できません。下位のドメインで作成された VPN 展開を表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 |
| ステップ 2 | 編集アイコン()をクリックします。
|
| ステップ 3 | [Advanced] タブをクリックします。 |
| ステップ 4 | VPN 展開の詳細オプションの説明に従って、詳細設定を行います。 |
| ステップ 5 | [アルゴリズム(Algorithms)] の隣の追加アイコン()をクリックします。 |
| ステップ 6 | 両方のフェーズに対して、[暗号(Cipher)]、[ハッシュ(Hash)]、および [Diffie-Hellman]([DH])グループ認証のメッセージを選択します。 |
| ステップ 7 | [OK] をクリックします。 |
| ステップ 8 | [保存(Save)] をクリックします。 |
)が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
VPN 展開の編集
注意 | 2 人のユーザが同じ展開について同時に編集してはいけません。ただし、Web インターフェイスでは同時編集を防止していないことに注意してください。 |
マルチドメイン展開では、現在のドメインで作成された VPN 展開が表示されます。これは編集できます。また、エンドポイント デバイスの 1 つがドメインに属している場合は、先祖ドメインで作成された VPN 展開も表示されます。先祖ドメインで作成された VPN 展開は編集できません。下位のドメインで作成された VPN 展開を表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | 編集アイコン()をクリックします。
| ||
| ステップ 3 | 必要な設定を変更します。
|
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
VPN 展開のステータス
VPN 展開を設定した後で、設定した VPN トンネルのステータスを表示できます。VPN ページには、各 VPN 展開の展開後に、その展開のステータス アイコンが表示されます。
)アイコンは、すべての VPN エンドポイントが稼動していることを表します。
)アイコンは、すべての VPN エンドポイントが停止していることを表します。
)アイコンは、稼動しているエンドポイントと停止しているエンドポイントがあることを表します。ステータス アイコンをクリックして、展開のステータス、および展開内のエンドポイントに関する基本情報(エンドポイント名や IP アドレスなど)を表示することができます。VPN ステータスは、毎分、または(エンドポイントが停止した、または稼動したなど)ステータスの変更が生じた場合に更新されます。
VPN ステータスの表示
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
VPN |
7000 & 8000 シリーズ |
任意(Any) |
Admin/Network Admin |
マルチドメイン展開では、システムは現在のドメインで作成された VPN 展開を表示します。また、エンドポイント デバイスの 1 つがドメインに属している場合は、先祖ドメインで作成された VPN 展開も表示されます。下位のドメインで作成された VPN 展開を表示するには、そのドメインに切り替えます。
VPN の統計およびログ
VPN 展開を設定した後で、設定した VPN トンネルを通過するデータの統計を表示することができます。また、各エンドポイントについて最新の VPN システムと IKE ログを表示することができます。
- エンドポイント(Endpoint)
- ステータス
- プロトコル
- 受信パケット数(Packets received)
- 転送パケット数(Packets Forwarded)
- 受信バイト数(Bytes Received)
- 転送バイト数(Bytes Forwarded)
- 作成時刻(Time Created)
- 最終使用時刻(Time Last Used)
- NAT トラバーサル(NAT Traversal)
-
[はい(Yes)] が表示されている場合、ネットワーク アドレス変換を備えたデバイスの背後に少なくとも 1 つの VPN エンドポイントが存在します。
- IKE 状態(IKE State)
- IKE イベント(IKE Event)
- IKE イベント時間(IKE Event Time)
- IKE アルゴリズム(IKE Algorithm)
-
VPN 展開で使用されている IKE アルゴリズム。
- IPSec 状態(IPSec State)
- IPSec イベント(IPSec Event)
- IPSec イベント時間(IPSec Event Time)
- IPSec アルゴリズム(IPSec Algorithm)
VPN 統計情報およびログの表示
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
VPN |
7000 & 8000 シリーズ |
任意(Any) |
Admin/Network Admin |
マルチドメイン展開では、システムは現在のドメインで作成された VPN 展開を表示します。また、エンドポイント デバイスの 1 つがドメインに属している場合は、先祖ドメインで作成された VPN 展開も表示されます。下位のドメインで作成された VPN 展開を表示するには、そのドメインに切り替えます。
)をクリックします。
フィードバック