Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NCP 専用リモート アクセス クライアントを使用したリモート アクセス VPN

NCP 専用リモート アクセス クライアントは、ジュニパー SRX シリーズ ゲートウェイ向けの NCP 専用リモート アクセス ソリューションの一部です。VPN クライアントは、NCP 専用リモート アクセス管理でのみ使用できます。NCP 排他クライアントを使用して、SRX シリーズ ゲートウェイに接続した場合、任意の場所からセキュアな IPsec ベースのデータ リンクを確立します。

NCP 専用リモート アクセス クライアントを使用した IPsec VPN について

このセクションでは、NCP 専用リモート アクセス クライアント ソフトウェア向け SRX シリーズ デバイスでの IPsec VPN サポートについて説明します。

NCP 専用リモート アクセス クライアント

Windows および MAC OS デバイスで NCP 専用リモート アクセス クライアント ソフトウェアを実行しているユーザーは、SRX シリーズ デバイスとの IKEv1 または IKEv2 IPsec VPN 接続を確立できます。NCP 専用リモート アクセス クライアント ソフトウェアは、 NCP 製品からダウンロードできます。

ライセンス

SRX シリーズ デバイスでは、デフォルトで 2 ユーザー ライセンスが提供されます。追加ユーザーにはライセンスが必要です。すべてのリモート アクセス ライセンスについては、ジュニパーネットワークスの担当者にお問い合わせください。

ライセンスはユーザー数に基づいています。たとえば、インストールされているライセンス数が 100 ユーザーの場合、100 人の異なるユーザーが VPN 接続を確立できます。トラフィック セレクターにより、各ユーザーは複数のトンネルを確立できます。ユーザーが切断すると、IKE と IPsec セキュリティ アソシエーション(SA)が期限切れになった 1 分後にライセンスがリリースされます。

ライセンス適用は、フェーズ 2 ネゴシエーションが完了した後にのみ検証されます。つまり、リモート アクセス ユーザーは SRX シリーズ デバイスに接続でき、IKE と IPsec SA を確立できますが、ユーザーがライセンスされたユーザー制限を超えると、ユーザーは切断されます。

vSRX インスタンスのライセンスはサブスクリプションベースです。接続されたリモート アクセス ユーザーは、インストール済みライセンスの有効期限が切れるとすぐに切断されません。リモート アクセス ユーザーが切断され、対応する IKE と IPsec SA が期限切れになると、ユーザーの後続の再接続は、現在インストールされているライセンスが期限切れかどうかによって異なります。

AutoVPN

NCP 専用リモート アクセス クライアントは、ポイントツーポイント セキュア トンネル インターフェイス モードで AutoVPN でサポートされています。AutoVPN は、SRX シリーズ デバイス上のルートベース IPsec VPN でのみサポートされます。

トラフィック セレクター

SRX シリーズ デバイスと NCP クライアントで設定されたトラフィック セレクターによって、IPsec VPN トンネルを介して送信されるクライアント トラフィックが決定されます。トンネル内およびトンネル外のトラフィックは、ネゴシエートされたトラフィック セレクターに対してのみ許可されます。パケットの宛先アドレスのルート ルックアップが st0 インターフェイス(トラフィック セレクターが設定されている)を指し、パケットのトラフィック セレクターがネゴシエートされたトラフィック セレクターと一致しない場合、パケットは破棄されます。NCP 専用リモート アクセス クライアントでは、複数フェーズ 2 IPsec SA と ARI(自動ルート挿入)がサポートされています。ポートとプロトコルとのトラフィック セレクターの柔軟な一致はサポートされていません。この機能では、トラフィック セレクターのリモート アドレスは 0.0.0.0/0 である必要があります。

多くの場合、リモート アクセス クライアントからのトラフィックはすべて VPN トンネルを介して送信されます。次のセクションで説明するように、トラフィック セレクターで設定されるローカル アドレスは、0.0.0.0/0 または特定のアドレスにすることができます。

リモート アドレス 0.0.0.0/0 を使用した SRX シリーズ デバイス上のトラフィック セレクターの設定は、NCP 専用リモート アクセス クライアント接続でサポートされています。VPN ネゴシエーションが完了すると、トラフィック セレクターのリモート アドレスは 1 つの IP アドレス(RADIUS サーバーまたはローカル アドレス プールによって割り当てられたリモート アクセス クライアントのアドレス)であることが予想されます。

スプリット トンネリング

スプリット トンネリングでは、SRX シリーズ デバイスで設定されたトラフィック セレクターのローカル アドレスの保護リソースのアドレスとして、0.0.0.0/0 よりも短いプレフィックスを使用します。 対応するトラフィック セレクターは、リモート アクセス クライアント上で設定できます。SRX シリーズ デバイスでは、両方のトラフィック セレクターからの柔軟な一致の結果と一致する VPN トンネル上のトラフィックを許可します。リモート アクセス クライアントで設定されたトラフィック セレクターを SRX シリーズ デバイスで設定されたトラフィック セレクターと一致できない場合、トンネル ネゴシエーションは失敗します。IKEv1 の場合、クライアントのトラフィック セレクター設定のローカル アドレスとリモート アドレスは、SRX シリーズ デバイスで設定された対応するトラフィック セレクター内のアドレスの同じアドレスまたはサブセットである必要があります。

複数のサブネットワーク

SRX シリーズ デバイスでは、保護されたサブネットワークごとに 1 つのトラフィック セレクターを構成できます。サブネットワークは重複できません。NCP 専用リモート アクセス クライアントでは、SRX シリーズ デバイスで設定されている各トラフィック セレクターに対して 1 つのトラフィック セレクターを設定する必要があります。NCP 専用リモート アクセス クライアントの分割トンネル ウィンドウで設定されたアドレスは、クライアントのリモート トラフィック セレクターとして使用されます。これらのアドレスは、SRX シリーズ デバイスで設定された対応するトラフィック セレクター内のアドレスと同じアドレスまたはサブセットである必要があります。各トラフィック セレクターに対して 1 つの IPsec SA ペアが作成されます。

NCP 専用リモート アクセス クライアント認証

クライアントの IKE バージョンに応じて、NCP 専用リモート アクセス クライアントの拡張認証には 2 つの形式があります。

  • IKEv1 NCP 専用リモート アクセス クライアント認証は、RADIUS サーバーまたはローカル アクセス プロファイルを使用して XAuth でサポートされています。IKEv1 リモート アクセス接続では、IKE フェーズ 1 認証に事前共有鍵が使用されます。拡張認証(XAuth)は、リモート アクセス ユーザーの認証に使用されます。SRX シリーズ デバイスは、IKE アグレッシブ モード用に設定する必要があります。

    IKEv1 NCP 専用リモート アクセス クライアントでは、AutoVPN で事前共有鍵認証がサポートされています。ユーザーベース認証を使用しない AutoVPN の導入では、証明書認証のみがサポートされます。

  • IKEv2 NCP 専用リモート アクセス クライアント認証には、EAP をサポートする RADIUS サーバーが必要です。SRX シリーズ デバイスは、NCP 専用リモート アクセス クライアントと RADIUS サーバー間で EAP メッセージを中継するパススルーオーセンティケータとして機能します。次の EAP 認証タイプがサポートされています。

    • EAP-MSCHAPv2

      EAP-MSCHAPv2 の RADIUS サーバーによってプライマリ セッション キーを生成する必要があります。

    • EAP-MD5

    • EAP-TLS

    IKEv2 NCP 専用リモート アクセス クライアントでは、SRX シリーズ デバイスの認証にデジタル証明書が使用されます。リモート アクセス クライアントの認証には、EAP(Extensible Authentication Protocol)が使用されます。

リモート アクセス クライアント属性と IP アドレスの割り当て

属性の割り当て

IKEv1 または IKEv2 リモート アクセス クライアントでは、RADIUS サーバーまたはローカル ネットワーク属性設定を使用して属性を割り当てることができます。認証に RADIUS サーバーを使用するが、ネットワーク属性が割り当てされていない場合は、必要に応じてネットワーク属性(IP アドレスを含む)をローカルに設定できます。

次のクライアント属性は、RFC 2865、 仮想プライベート ネットワーク識別子に基づき、IKEv1 および IKEv2 NCP Exclusive Remote Access Client でサポートされています。

  • フレーム化された IP アドレス

  • Framed-IP-Netmask

次のジュニパーのベンダー固有の属性(VSA)は、IKEv1 および IKEv2 NCP 専用リモート アクセス クライアントでサポートされています。

  • Juniper-Primary-DNS

  • ジュニパーとプライマリーウィン

  • ジュニパーセカンダリDNS(IKEv2でのみ利用可能)

  • ジュニパーとセカンダリウィン(IKEv2 でのみ利用可能)

VSA Juniper-Local-Group-Name はサポートされていません。

IP アドレス割り当て

IP アドレスがローカル アドレス プールと RADIUS サーバーの両方から割り当てられている場合、RADIUS サーバーによって割り当てられた IP アドレスが優先されます。RADIUS サーバーが IP アドレスを返せず、ユーザーが設定したローカル アドレス プールがある場合、IP アドレスはローカル プールからリモート クライアントに割り当てられます。

ローカル アドレス プールまたは RADIUS サーバー アドレス プール内のアドレス数は、リモート アクセス クライアント ユーザーの数よりも大きくする必要があります。これは、ユーザーが切断されると、ユーザーがログオフするまでに最大 1 分かかる可能性があるためです。

IP アドレスが外部 RADIUS サーバーまたはローカル アドレス プールから割り当てられると、32 ビット マスクを持つ IP アドレスが NCP 専用リモート アクセス クライアントに渡されます。トンネルが確立されると、ARI(自動ルート挿入)によってリモート クライアントの IP アドレスに静的ルートが自動的に挿入されるため、SRX シリーズ デバイスの背後からのトラフィックを VPN トンネルに送信してクライアントの IP アドレスに送信できます。

設定されたトラフィック セレクターは、RADIUS サーバーまたはローカル アドレス プールによって割り当てられた IP アドレスをカバーしていない可能性があります。この場合、リモート クライアントは、VPN トンネルを介してサブネットワーク内の別のリモート クライアントの IP アドレスに到達できない場合があります。トラフィック セレクターは、RADIUS サーバーまたはローカル アドレス プールによって他のリモート クライアントに割り当てられた IP アドレスと一致するように明示的に構成する必要があります。

サポートされる機能

NCP 専用リモート アクセス クライアントでは、SRX シリーズ デバイスで次の機能がサポートされています。

  • SRX シリーズ デバイスおよび NCP 専用リモート アクセス クライアントからのトラフィック初期化

  • NAT デバイスの背後にあるリモート アクセス クライアント(NAT-T)

  • デッドピア検知

  • SRX シリーズ デバイスのシャーシ クラスタ構成

注意 事項

NCP 専用リモート アクセス クライアントを使用した SRX シリーズ デバイスでは、次の機能はサポートされていません。

  • ルーティング プロトコル

  • ポイントツーマルチポイント モードの st0 インターフェイスを備えた AutoVPN

  • 自動検出 VPN(ADVPN)

  • 事前共有鍵を使用した IKEv2 EAP

    IKEv2 NCP 専用リモート アクセス クライアントは、SRX シリーズ デバイスの認証に証明書を使用する必要があります。

  • ポリシーベース VPN

  • IPv6 トラフィック

  • VPN 監視

  • NHTB(ネクストホップ トンネル バインディング)、自動と手動の両方

  • ネゴシエーション中の複数のトラフィック セレクター

  • 同じ仮想ルーター内の NCP 専用リモート アクセス クライアントから受信したトラフィック セレクターに、重複する IP アドレスを含めてはなりません。

NCP 専用リモート アクセス クライアントを使用した SSL リモート アクセス VPN について

多くの公共ホットスポット環境では、UDPトラフィックがブロックされ、ポート443上のTCP接続は通常許可されています。このような環境では、SRX シリーズ デバイスは、TCP 接続内で IPsec メッセージをカプセル化することで、SSL リモート アクセス VPN をサポートできます。この実装は、サードパーティーの NCP 専用リモート アクセス クライアントと互換性があります。このセクションでは、SRX シリーズ デバイスでの NCP 専用リモート アクセス クライアントのサポートについて説明します。

NCP 専用リモート アクセス クライアントを使用した SSL リモート アクセス VPN のメリット

  • クライアントとゲートウェイ間のデバイスが IKE(インターネット 鍵交換)(UDP ポート 500)をブロックした場合でも、セキュアなリモート アクセスが保証されます。

  • ユーザーは、すべての作業環境でビジネス アプリケーションとリソースに安全にアクセスできます。

NCP 専用リモート アクセス クライアント

Windows、macOS、Apple iOS、Android デバイスで NCP 専用リモート アクセス クライアント ソフトウェアを実行しているユーザーは、ポート 443 と SRX シリーズ デバイスを介して TCP 接続を確立して、カプセル化された IPsec トラフィックを交換できます。

NCP 専用リモート アクセス クライアントは、次の 2 つのモードのいずれかで実行されます。

  • ポート 443 を介した TCP 接続内でカプセル化された IPsec メッセージをサポートする NCP パス ファインダー v1

  • NCP パス ファインダー v2:SSL/TLS 接続で IPsec メッセージをサポートします(NCP パス ファインダー v2 は TLSv1.0 を使用します)。

RSA 証明書を使用して、適切な SSL ハンドシェイクが行われます。IPsec メッセージは、SSL ハンドシェイク中に交換された鍵で暗号化されます。その結果、SSL トンネル用に 1 回、IPsec トンネル用に再度二重暗号化が行われます。

NCP パス ファインダー v2 モードのサポートでは、RSA 証明書を SRX シリーズ デバイスにロードし、その証明書を参照する SSL 終端プロファイルを設定する必要があります。

NCP 専用リモート アクセス クライアントは、IPsec トラフィックをブロックするファイアウォールまたはプロキシ サーバーによって通常の IPsec 接続が失敗した場合に備えて、フォールバック メカニズムを提供します。NCP パス ファインダー v2 モードは、完全な TLS 通信を提供する機能強化です。これは、非常に制限の厳しいアプリケーション レベルのファイアウォールやプロキシによってブロックされません。通常の IPsec 接続を確立できない場合、NCP 専用リモート アクセス クライアントは自動的に NCP パス ファインダー v1 モードに切り替わります。クライアントがまだゲートウェイにアクセスできない場合、NCP は完全な TLS ネゴシエーションを使用して NCP パス ファインダー v2 モードを有効にします。

ライセンス

SRX シリーズ デバイスでは、デフォルトで 2 ユーザー ライセンスが提供されます。ライセンスは、同時ユーザーを追加するために購入し、インストールする必要があります。

操作

SRX シリーズ デバイスでは、 TCP カプセル化プロファイル によって、リモート アクセス クライアントのデータ カプセル化操作が定義されます。複数の TCP カプセル化プロファイルを設定して、さまざまなクライアント セットを処理できます。プロファイルごとに、以下の情報が設定されます。

  • プロファイルの名前。

  • リモート アクセス クライアント接続のオプションのロギング。

  • トレース オプション。

  • SSL 接続の SSL 終端プロファイル。

NCP 専用リモート アクセス クライアントからの TCP 接続は、SRX シリーズ デバイスのポート 443 で受け入れられます。

TCP カプセル化プロファイルは、ステートメントを tcp-encap [edit security] 階層レベルで設定します。その後、カプセル化プロファイルは [edit security ike gateway gateway-name] 階層レベルのtcp-encap-profileステートメントで指定されます。IKE ゲートウェイ設定に TCP カプセル化プロファイルを含めます。例えば、

サポートされる機能

NCP 専用リモート アクセス クライアントを使用する SRX シリーズ デバイスでは、次の機能がサポートされています。

  • トラフィック セレクターに基づいた IPsec トンネルを使用したポイントツーポイント モードの AutoVPN

  • SRX シリーズ デバイス上のゲートウェイの背後にあるデバイスからのトラフィック初期化

  • デッドピア検知

  • SRX シリーズ デバイスのシャーシ クラスタ構成

注意 事項

NCP 専用リモート アクセス クライアントからの TCP 接続は、SRX シリーズ デバイスでポート 443 を使用します。J-Web デバイス管理ポートをデフォルト ポート 443 から変更し、tcp-encap をホスト インバウンド システム サービス用に設定する必要があります。コマンドを set security zones security-zone zone host-inbound-traffic system-services tcp-encap 使用します。(IKE は、コマンドを使用してホスト インバウンド システム サービスにも設定する set security zones security-zone zone host-inbound-traffic system-services ike 必要があります)。

デッド ピア検出(DPD)タイムアウトが十分に大きくない場合、TCP 接続を使用するトンネルは ISSU から存続しない可能性があります。ISSU を存続するには、DPD タイムアウトを 120 秒を超える値に増やします。DPD タイムアウトは、設定された DPD 間隔としきい値の積です。たとえば、DPD 間隔が 32 でしきい値が 4 の場合、タイムアウトは 128 です。

NCP 排他リモート アクセス クライアントの既定の DPD 設定では、最大 8 回の 20 秒間隔でメッセージの送信を指定します。シャーシ クラスタ フェイルオーバーが発生すると、SRX シリーズ デバイスが DPD 設定で指定されたパラメータ内で復旧せず、トンネルがダウンする可能性があります。この場合、NCP 専用リモート アクセス クライアントの DPD 間隔を 60 秒に増やします。

NAT-T は、これらのトンネルに NAT-T が必要ないため、設定で tcp-encap を使用するクライアントとのネゴシエーション中に無効になります。

NCP 専用リモート アクセス クライアントを使用する SRX シリーズ デバイスでは、次の機能はサポートされていません。

  • ルーティング プロトコル

  • ポイントツーマルチポイント モードの st0 インターフェイスを備えた AutoVPN

  • 自動検出 VPN(ADVPN)

  • ポリシーベース VPN

  • IPv6 トラフィック

  • VPN 監視

  • NHTB(ネクストホップ トンネル バインディング)、自動と手動の両方

例:NCP 専用リモート アクセス クライアント用の SRX シリーズ デバイスの設定

この例では、NCP 専用リモート アクセス クライアントからの IKEv2 IPsec VPN 接続をサポートするように SRX シリーズ デバイスまたは vSRX インスタンスを設定する方法を示しています。この設定は、NCP 専用リモート アクセス クライアントからの TCP カプセル化トラフィックもサポートしています。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • Junos OS リリース 15.1X49-D80 以降を実行する、サポート対象の SRX シリーズ デバイスまたは vSRX インスタンス。

  • NCP 専用リモート アクセス クライアント ソフトウェアは、サポート対象のユーザー デバイスにダウンロードする必要があります。

SRX シリーズ デバイスでは、デフォルトで 2 ユーザー ライセンスが提供されます。ライセンスを購入し、追加ユーザー用にインストールする必要があります。すべてのリモート アクセス ライセンスについては、ジュニパーネットワークスの担当者にお問い合わせください。

開始する前に、以下を行います。

  • SRX シリーズ デバイスで、次の手順に従います。

    • ネットワーク インターフェイスを設定します。

    NCP 専用リモート アクセス クライアントからの TCP 接続は、SRX シリーズ デバイスでポート 443 を使用します。J-Web などの TCP 接続のデバイス管理では、SRX シリーズ デバイスでポート 443 を使用できます。TCP カプセル化システム サービスは、NCP 専用リモート アクセス クライアント接続を受信するゾーン(この例では untrust ゾーン)上のホスト インバウンド トラフィックに対して設定する必要があります。ポート 443 で J-Web を使用する場合、Web 管理システム サービスは、必要なゾーン上のホスト インバウンド トラフィックに対して設定する必要があります。

  • NCP 専用リモート アクセス クライアントを設定します。その方法については、NCP 専用リモート アクセス クライアントのマニュアルを参照してください。

    NCP 専用リモート アクセス クライアント プロファイルの設定は、SRX シリーズ デバイスの VPN 設定と一致する必要があります。

  • この例では、外部 RADIUS サーバー(Active Directory サーバーなど)が、EAP-TLS プロトコルを使用して IKEv2 排他リモート アクセス クライアント ユーザーを認証します。この例では、RADIUS サーバーは IP アドレス 192.0.2.12 で設定されています。ユーザー認証の設定については、RADIUS サーバーのマニュアルを参照してください。

概要

この例では、IKEv2 専用リモート アクセス クライアント ユーザーは、EAP-TLS を使用して外部 RADIUS サーバーで認証されます。認証されたクライアントには、SRX シリーズ デバイスで設定されたローカル アドレス プールから IP アドレスとプライマリ DNS サーバーが割り当てられます。トラフィック セレクターは、リモート アドレスおよびローカル アドレスに対して 0.0.0.0/0 で設定されています。つまり、すべてのトラフィックがトンネルで許可されます。

TCP カプセル化と IKE ホスト インバウンド システム サービスは、untrust セキュリティ ゾーンで設定されています。ポート 443 で J-Web を使用する場合、HTTPS ホスト インバウンド システム サービスも設定する必要があります。

この例では、セキュリティ ポリシーはすべてのトラフィックを許可します。本番環境では、より制限の厳しいセキュリティ ポリシーを設定する必要があります。

表 1 は、この例の NCP 専用リモート アクセス クライアント接続をサポートするために SRX シリーズ デバイスで設定された IKE および IPSec 値を示しています。

表 1: NCP 専用リモート アクセス クライアント接続用の SRX シリーズ デバイスの IKE および IPSec オプション

オプション

IKEプロポーザル:

認証方法

rsa-signatures

Diffie-Hellman(DH)グループ

group19

暗号化アルゴリズム

aes-256-gcm

IKEポリシー:

証明 書

ローカル証明書

IKEゲートウェイ:

動的

user-at-hostname

IKE ユーザー タイプ

グループ ike-id

バージョン

v2-only

IPsec プロポーザル:

プロトコル

特に

暗号化アルゴリズム

aes-256-gcm

IPsec ポリシー:

PfS(Perfect Forward Secrecy)グループ

グループ19

トポロジ

図 1 は、この例のネットワーク接続を示しています。

図 1: SRX シリーズ VPN ゲートウェイへの NCP 専用リモート クライアント接続SRX シリーズ VPN ゲートウェイへの NCP 専用リモート クライアント接続

設定

SRX シリーズ デバイスに証明書を登録する

手順

この例では、最初のステップは、SRX シリーズ デバイスに証明機関(CA)証明書とローカル証明書を登録することです。ローカル証明書は、Microsoft 証明機関を使用してリモート クライアントに対する SRX シリーズ デバイスの認証に使用されます。それ以外の場合、以下のURLは異なります。以下の例では、SCEP をサポートするために CA サーバーが必要であることに注意してください。

  1. CA プロファイルを設定します。

    CA プロファイルの設定は、使用する CA サーバーによって異なります。この例では、証明書の失効を確認するために CRL を使用します。環境に適した登録 URL と CRL URL を使用します。

    CA プロファイル設定は、続行する前にコミットする必要があります。

  2. CA 証明書を登録します。

    yes値が信頼されている場合は、プロンプトに入力して CA 証明書をロードします。

  3. 失効ステータスを確認して CA 証明書を検証します。

  4. ローカル証明書のキー ペアを生成します。

  5. ローカル証明書を登録します。この例では、証明書はシンプルな証明書登録プロトコル(SCEP)を使用して登録されています。

  6. 取り消しステータスを確認して、ローカル証明書を検証します。

リモート クライアント用の SRX シリーズ デバイスの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

NCP 専用リモート アクセス クライアントをサポートするように SRX シリーズ デバイスを設定するには、次の手順に従います。

  1. ローカル アドレス プールを設定します。

  2. ローカル アクセス プロファイルを設定します。

  3. TCP カプセル化プロファイルを設定します。

  4. SSL 終端プロファイルを作成します。

    SSL 終端プロファイルが設定されていない場合、唯一の NCP パス ファインダー v1 モードがサポートされます。NCP パス ファインダー v2 のサポートには、SSL 終端プロファイルが構成されている必要があります。SSL 終端プロファイルが構成されている場合、NCP パス ファインダー v1 がサポートされます。

  5. SSL プロファイルを tcp-encap プロファイルにアタッチします。

  6. インターフェイスを設定します。

  7. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  8. IPsec プロポーザル、ポリシー、VPN を設定します。

  9. ゾーンを設定します。

  10. リモート アクセス ユーザーに割り当てられた IP アドレスのアドレス帳を設定します。

  11. セキュリティ ポリシーを設定します。

結果

設定モードから、and show security コマンドを入力して設定をshow access確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

IKE SA が確立されていることを確認する

目的

IKE SA に関する情報を表示します。

対処

動作モードから、コマンドを show security ike security-associations 入力します。

動作モードから、コマンドを show security ike security-associations detail 入力します。

リモート ユーザーとその IP 接続の検証

目的

使用中のピア アドレスとポートの詳細を含む、接続されているアクティブ ユーザーのリストを表示します。

対処

動作モードから、コマンドを show security ike active-peer 入力します。

動作モードから、コマンドを show security ike active-peer detail 入力します。

TCP カプセル化セッションの検証

目的

TCP カプセル化セッションに関する情報を表示します。

対処

動作モードから、コマンドを show security tcp-encap connections 入力します。

動作モードから、コマンドを show security tcp-encap statistics 入力します。