次に、[トランスポート] タブの各フィールドに入力して、透過的トンネリングを設定します。
透過的トンネリングを使用すると、ファイアウォールの役目をするルータを介して、VPN Client とセキュア ゲートウェイ間の保護された伝送が可能になります。このルータは、Network Address Translation(NAT)を実行している場合も、Port Address Translations(PAT)を実行している場合もあります。透過的トンネリングは、Protocol 50(ESP)トラフィックを UDP パケット内でカプセル化し、IKE(UDP 500)および Protocol 50 の双方を、NAT または PAT 装置とファイアウォールを経由して送信される前に、TCP パケット内でカプセル化できるようにします。透過的トンネリングの最も一般的なアプリケーションは、PAT を実行するホーム ルータの背後で使用されています。
また、VPN Client は頻繁にキープアライブを送信して、装置上のマッピングがアクティブであることを確認します。
すべての装置が、その背後の複数の同時接続をサポートするわけではありません。一部の装置は、追加のセッションを固有のソース ポートにマッピングできません。装置のベンダーに問い合わせて、この制限があるかどうか確認してください。一部のベンダーは、Protocol-50(ESP)Port Address Translation(IPSec パススルー)をサポートしています。これがサポートされている場合は、透過的トンネリングを使用可能にしなくても済みます。
透過的トンネリングを使用するには、Cisco VPN 装置内の中央サイト グループを設定する必要があります。たとえば、VPN 3000 Concentrator Manager の Configuration | User Management | Groups | IPSec のタブについての説明を参照してください(『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』、または VPN 3000 Concentrator Manager ブラウザ内のヘルプを参照)。
デフォルトでは、このパラメータは有効になっています。このパラメータを無効にするには、チェック ボックスのチェックマークを外してください。ただし、常にこのパラメータのチェックマークを付けた状態にしておくようにお勧めします。
次に透過的トンネリングのモードとして over UDP または over TCP のいずれかを選択します。使用するモードは、接続先のセキュア ゲートウェイが使用するモードに一致する必要があります。PAT 装置では、どちらのモードも適切に動作します。複数の同時接続の場合は、TCP を使用すると動作状態が良くなることがあります。さらにエクストラネット環境では、一般的に TCP モードが望まれます。UDP は、ステートフルなファイアウォールでは使用できません。その場合には、TCP を使用する必要があります。
[IPSec over UDP (NAT/PAT)] を有効にするには、オプション ボタンをクリックします。UDP を使用して、ポート番号がネゴシエートされます。UDP はデフォルトのモードです。
[IPSec over TCP] を有効にするには、オプション ボタンをクリックします。TCP を使用しているときには、TCP ポート フィールドに TCP 用のポート番号も入力する必要があります。このポート番号は、セキュア ゲートウェイ上に設定されたポート番号と一致している必要があります。デフォルトのポート番号は、10000 です。
複数 NIC の構成では、トンネルが確立されたインターフェイス上のネットワーク トラフィックのみがローカル LAN アクセスとして許可されます。[ローカル LAN アクセスの許可] パラメータは、ユーザが、セキュア ゲートウェイを通じて中央サイトの VPN 装置に接続しているときに、ローカル LAN 上のリソース(プリンタ、ファクシミリ、共有ファイルなど)にアクセスできるようにします。 このパラメータが有効になっていて、中央サイトがそれを許可する設定になっていれば、接続中にローカル リソースにアクセスできます。このパラメータが無効のときは、ユーザの Client システムからのすべてのトラフィックは、IPSec 接続を通じて、セキュア ゲートウェイに送信されます。
この機能を有効にするには、[ローカル LAN アクセスの許可] にチェックマークを付けます。この機能を無効にするには、このボックスのチェックマークを外します。使用されているローカル LAN が安全でないときは、この機能を無効にする必要があります。たとえば、ホテルや空港でローカル LAN を使用しているときは、この機能を無効にします。
中央サイトにいるネットワーク管理者は、ユーザがアクセスできる Client サイドのネットワークのリストを設定します。この機能が有効なときは、ユーザは最高 10 までのネットワークにアクセスできます。[ローカル LAN アクセスの許可] が有効で、中央サイトに接続しているときは、ユーザのシステムからのすべてのトラフィックは、IPSec トンネルを通じて伝送されます。例外は、ネットワーク リストによって、IPSec を通じる送信から除外されているネットワークに送信されるトラフィックです。
このローカル LAN アクセス機能が VPN Client 上で使用できるように設定されており、中央サイトの VPN 装置上で許可されている場合は、ルート表を調べると、使用できるローカル LAN のリストを確認できます
ルート表には、IPSec トンネルを経由しないローカル LAN のルートと、IPSec トンネルを経由して中央サイトの装置に接続する保護されたルートが表示されます。 ローカル LAN ルート列のルートは、ローカルで使用可能なリソース用のものです。
注 この機能は、NIC カード 1 枚のみ、すなわちトンネル経由の場合と同様の NIC カード上でのみ動作します。
注 接続中は、名前を使用してローカル LAN を印刷したリ、ブラウズしたりできませんが、接続が解除されているときは印刷やブラウズができます。この制限に関しての詳細は、『VPN Client アドミニストレータ ガイド』の第 1 章を参照してください。
VPN Client は、Dead Peer Detection(DPD)と呼ばれるキープアライブ メカニズムを使用して、IPSec トンネルの相手側にある VPN 装置が使用可能であるかどうかチェックします。ネットワークが通常よりもビジーであったり、信頼性が低いときは、ピアがアクティブでなくなったと見なされるまでの待機時間(秒数)を必要に応じて増やさなければなりません。接続を終了するまでに待機するデフォルトの秒数は、90 秒です。設定可能な最小秒数は 30 秒、最大秒数は 480 秒です。
設定値を調整するには、[ピアの応答タイムアウト(秒)] フィールドに秒数を入力してください。
VPN Client は、[ピアの応答タイムアウト(秒)] 値によって指定された秒数が経過するまで、5 秒ごとに DPD 要求を送信し続けます。
Copyright © 2003, Cisco Systems, Inc. All rights reserved.