データ シート
Cisco IOS FlexVPN
IP ネットワーク上に IPSec VPN を導入している多くの顧客が、多様な接続要件を満たすために複数のタイプの VPN を導入することで生じる複雑さと高いコストに直面しています。多くの場合、これらの顧客は、それぞれのネットワークを管理および運用するために、さまざまなタイプの VPN について学習しなければなりません。そして導入するテクノロジーが一度選択されると、VPN を拡張するための機能の移行や追加は敬遠されがちになります。FlexVPN は VPN の導入をシンプルにし、さまざまなソリューションによってもたらされる複雑さに対処するユニファイド エコシステムとして、リモート アクセス、テレワーカー、サイト間、モビリティ、セキュリティ管理サービスなど、あらゆるタイプの VPN に対応すべく開発されました。図 1 を参照してください。
顧客のネットワークがプライベート、パブリック、およびクラウド システムにまたがって拡大するにつれ、VPN テクノロジーの統合が重要になります。そしてそれは、設計や構成の簡素化に対するニーズに対応するうえで、より重要になりました。顧客は Cisco IOS® FlexVPN を使用することで、ネットワーク範囲を飛躍的に拡大でき、しかもインフラストラクチャが著しく複雑化することはありません。FlexVPN は頑強な標準ベースの暗号化テクノロジーです。大規模な企業は安全に支店やリモート ユーザを接続できるうえ、GRE、Crypto、VTI ベースのソリューションといった複数タイプのソリューションを個別にサポートする場合と比べてコストを大幅に削減できます。FlexVPN は、セキュリティ テクノロジーとしてオープン標準ベースの IKEv2 を基盤とし、その上に多くのシスコ 固有の拡張機能を提供することで、高度なセキュリティ、付加価値、および競合との差別化を実現します。
図 1 一般的な Cisco IOS FlexVPN 導入例
Cisco IOS FlexVPN の機能と利点
Cisco IOS FlexVPN は統合型 VPN ソリューションで、次のような利点があります。
- トランスポート ネットワーク:FlexVPN は、パブリック インターネットまたはプライベートの マルチプロトコル ラベル スイッチング(MPLS)VPN ネットワーク上に導入することができます。
- 導入スタイル: サイト間 VPN とリモート アクセス VPN の一元化を目的として設計されているため、1 つの FlexVPN を導入するだけで、どちらのタイプの接続要求も同時に受け入れることができます。
- フェールオーバー用冗長構成:FlexVPN では、次の 3 種類の冗長性モデルを実装できます。
- FlexVPN トンネル上でのダイナミック ルーティング プロトコル(Open Shortest Path First(OSPF)、Enhanced Interior Gateway Routing Protocol(EIGRP)、Border Gateway Protocol(BGP)など)。パス/ヘッドエンドは、ダイナミック ルーティング メトリックに基づいて選択されます。
- IKEv2 ベースのダイナミック ルートの配信とサーバ クラスタリング。
- 2 つのシャーシ間での IPSec/IKEv2 アクティブ/スタンバイ型ステートフル フェールオーバー(今後サポートの予定)。
- サードパーティとの互換性:クラウドベースおよびモバイルベース コンピューティングへの IT 環境の移行に伴い、より多くの異なるベンダーの VPN ルータや VPN エンドポイントへの対応が必要になります。Cisco IOS FlexVPN ソリューションは、Apple iOS や Android デバイスのネイティブ VPN クライアントなど、あらゆる IKEv2 ベースのサードパーティ VPN ベンダーとの互換性があります。
- IP マルチキャスト サポート:FlexVPN は、IP マルチキャストを次の 2 つの方法でネイティブ サポートしています。
- FlexVPN ハブ ルータがスポークごとに IP マルチキャスト パケットを複製します。
- 転送ネットワークがネイティブ IP マルチキャストをサポートしている場合、FlexVPN ハブ ルータは IPSec 暗号化の後で転送ネットワークがマルチキャスト パケットを複製することを選択できます(今後サポートの予定)。
- 卓越した Quality of Service(QoS):Cisco IOS FlexVPN のアーキテクチャは、ハイアラキカル QoS を、簡単にトンネル単位または SA の単位で統合できます。
- トンネル単位の QoS は、FlexVPN ハブ ルータでスポークごとに適用されます。
- トンネル単位の QoS は、スポーク間の直接 トラフィックに動的に適用されます(今後サポートの予定)。
- ポリシーの一元管理:VPN の動的ポリシー(スプリット トンネリング ポリシー、暗号化ネットワーク ポリシー、Virtual Route Forwarding (VRF)選択、リモート アクセス用のドメイン ネーム システム(DNS)サーバなど)は、認証、認可、アカウンティング(AAA)/RADIUS サーバに完全に統合して、ピアごとに適用することができます。
- VRF 対応:Cisco IOS FlexVPN ソリューションは、サービス プロバイダー 型の導入において、MPLS VPN ネットワークと完全に統合することができます。Inside VRF と Front-door VRF の両方がサポートされています。Inside VRF の割り当てポリシーは、中央集中型 AAA サーバによって管理することができます。
表 1 に Cisco IOS Flex VPN でサポートされるプラットフォームを示します。
表 1 プラットフォームのサポート
関連リソース
Cisco IOS FlexVPN ソリューションおよびその他の IPSec VPN テクノロジーの詳細については、次の Web ページをご覧ください。
構成例に関する注意:このドキュメントは、Cisco IOS FlexVPN がどのようにしてネットワークを安全に保護することができるかを説明しています。Cisco ISR および ASR 1000 の特定のプラットフォームのパフォーマンスや拡張性については、シスコ担当者までお問い合わせください。