RV110WファイアウォールでのAdvanced Virtual Private Network(VPN)セットアップの設定

ダウンロード オプション

  • PDF     (3.3 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (3.1 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.1 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 12 月 11 日
Document ID:SMB4907

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

目的

バーチャルプライベートネットワーク(VPN)は、パブリックネットワークまたはインターネットを使用して、プライベートネットワークを確立し、安全に通信します。インターネットキー交換(IKE)は、2つのネットワーク間で安全な通信を確立するプロトコルです。これは、トラフィックフローの前にキーを交換するために使用されます。これにより、VPNトンネルの両端の信頼性が保証されます。

VPNの両端が同じVPNポリシーに従って、互いに正常に通信する必要があります。

このドキュメントの目的は、RV110WワイヤレスルータでIKEプロファイルを追加し、VPNポリシーを設定する方法を説明することです。

該当するデバイス

・ RV110W

[Software Version]

•1.2.0.9

IKEポリシー設定

Internet Key Exchange(IKE;インターネットキーエクスチェンジ)は、VPNで通信するためのセキュアな接続を確立するために使用されるプロトコルです。この確立されたセキュアな接続は、セキュリティアソシエーション(SA)と呼ばれます。 この手順では、セキュリティのために使用するVPN接続のIKEポリシーを設定する方法について説明します。VPNが正常に機能するには、両方のエンドポイントのIKEポリシーが同じである必要があります。

ステップ1:Web設定ユーティリティにログインし、[VPN] > [Advanced VPN Setup]を選択します。[Advanced VPN Setup]ページが開きます。

ステップ2:[Add Row]をクリックして、新しいIKEポリシーを作成します。[Advanced VPN Setup]ページが開きます。

ステップ3:[Policy Name]フィールドに、識別しやすいIKEポリシーの名前を入力します。

ステップ4:[Exchange Mode]ドロップダウンリストからオプションを選択します。

・ Main:IKEポリシーの動作をアグレッシブモードよりも安全に、かつ低速にできます。よりセキュアなVPN接続が必要な場合は、このオプションを選択します。

・ Aggressive:IKEポリシーの動作がメインモードよりも速いが安全ではない。より高速なVPN接続が必要な場合は、このオプションを選択します。

ステップ5:[Encryption Algorithm]ドロップダウンリストからアルゴリズムを選択します。

・ DES:Data Encryption Standard(DES;データ暗号規格)では、データ暗号化に56ビットキーサイズを使用します。DESは古いため、1つのエンドポイントがDESのみをサポートしている場合にのみ使用する必要があります。

・ 3DES — Triple Data Encryption Standard(3DES)は、DESを3回実行しますが、実行されるDESのラウンドに応じて、キーサイズを168ビットから112ビット、112ビットから56ビットに変更します。3DESはDESやAESよりも安全です。

・ AES-128:128ビットキー(AES-128)を使用するAdvanced Encryption Standard(AES-128)では、AES暗号化に128ビットキーを使用します。AESはDESよりも高速で安全です。一般に、AESは3DESよりも高速ですが、安全性は低いのですが、一部のタイプのハードウェアでは3DESの高速化が可能です。AES-128はAES-192およびAES-256よりも高速ですが、安全性は低くなります。

・ AES-192:AES-192では、AES暗号化に192ビットキーを使用します。AES-192はAES-128よりも低速ですが、安全性は高く、AES-192はAES-256よりも高速ですが、安全性は低くなります。

・ AES-256:AES-256は、AES暗号化に256ビットのキーを使用します。AES-256はAES-128およびAES-192よりも低速ですが、安全性は高くなります。

ステップ6:[Authentication Algorithm]ドロップダウンリストから必要な認証を選択します。

・ MD5:Message-Digest Algorithm 5(MD5)は、認証に128ビットのハッシュ値を使用します。MD5はSHA-1およびSHA2-256よりもセキュアではありませんが、高速です。

・ SHA-1:セキュアハッシュ関数1(SHA-1)は、認証に160ビットのハッシュ値を使用します。SHA-1はMD5よりも低速ですが安全性が高く、SHA-1はSHA2-256よりも高速ですが安全性が低くなります。

・ SHA2-256:256ビットのハッシュ値(SHA2-256)を持つセキュアハッシュアルゴリズム2は、認証に256ビットのハッシュ値を使用します。SHA2-256はMD5およびSHA-1よりも低速ですが、セキュアです。

ステップ7:[Pre-Shared Key]フィールドに、IKEポリシーで使用する事前共有キーを入力します。

ステップ8:[Diffie-Hellman (DH) Group]ドロップダウンリストから、IKEが使用するDHグループを選択します。DHグループ内のホストは、互いに認識せずにキーを交換できます。グループビット番号が大きいほど、グループのセキュリティは高くなります。

・グループ1 - 768ビット:最小強度キーと最も安全でない認証グループ。しかし、IKEキーの計算にかかる時間が短縮されます。このオプションは、ネットワークの速度が低い場合に推奨されます。

・グループ2 - 1024ビット:強度の高いキーとよりセキュアな認証グループ。しかし、IKEキーを計算するには時間が必要です。 

・グループ5 - 1536ビット:最高強度キーと最もセキュアな認証グループを表します。IKEキーを計算する時間が長くなる。ネットワークの速度が高い場合に推奨されます。

ステップ9:[SA-Lifetime]フィールドに、VPNのSAが更新されるまでの期間(秒)を入力し

ステップ10:(オプション)[Dead Peer Detection]フィールドの[Enable]チェックボックスをオンにして、[Dead Peer Detection]を有効にします。Dent Peer Detection(DPD)は、IKEピアを監視して、ピアが機能を停止したかどうかを確認します。Dead Peer Detection(DPD)は、非アクティブなピアのネットワークリソースの浪費を防止します。

ステップ11:(オプション)ステップ9でDent Peer Detectionを有効にした場合は、Dent Peer Delayフィールドにピアのアクティビティをチェックする頻度(秒)を入力しま

ステップ12:(オプション)ステップ9でDent Peer Detectionを有効にした場合は、Dent Peer Detection Timeoutフィールドに、非アクティブなピアがドロップされるまでに待機する秒数を入力します。

ステップ13:[Save]をクリックし、すべての設定を適用します。

VPNポリシーの設定

ステップ1:Web設定ユーティリティにログインし、[VPN] > [Advanced VPN Setup]を選択します。[Advanced VPN Setup]ページが開きます。

ステップ2:VPNポリシーテーブルから[Add Row]をクリックします。[Advanced VPN Policy Setup]ウィンドウが表示されます。 

VPNポリシー設定の追加/編集

ステップ1:[Policy Name]フィールドにポリシーの一意の名前を入力して識別します。

ステップ2:[Policy Type]ドロップダウンリストから適切なポリシータイプを選択します。

・自動ポリシー:パラメータは自動的に設定できます。この場合、ポリシーに加えて、IKE(Internet Key Exchange)プロトコルが2つのVPNエンドポイント間でネゴシエートする必要があります。

・手動ポリシー:この場合、VPNトンネルのキーの設定を含むすべての設定は、エンドポイントごとに手動で入力されます。

ステップ3:[リモートエンドポイント]ドロップダウンリストから、リモートエンドポイントのゲートウェイを識別するIP IDのタイプを選択します。

・ IPアドレス:リモートエンドポイントのゲートウェイのIPアドレス。このオプションを選択した場合は、フィールドにIPアドレスを入力します。

・ FQDN(完全修飾ドメイン名):リモートエンドポイントのゲートウェイの完全修飾ドメイン名を入力します。このオプションを選択した場合は、フィールドに完全修飾ドメイン名を入力します。

ローカルトラフィックの選択

ステップ1:[Local IP]ドロップダウンリストから、エンドポイントに指定する識別子のタイプを選択します。

・ Single:これにより、ポリシーが1つのホストに制限されます。このオプションを選択した場合は、[IP address]フィールドにIPアドレスを入力します。

・サブネット:IPの境界を定義するマスクです。これにより、指定されたサブネットのホストだけがVPNに接続できます。VPNに接続するには、論理AND演算によりコンピュータを選択する。IPが必要な同じ範囲に収まっている場合は、コンピュータが選択されます。このオプションを選択した場合は、[IP address and Subnet]フィールドにIPアドレスとサブネットを入力します。

リモートトラフィックの選択

ステップ1:[Local IP]ドロップダウンリストから、エンドポイントに指定する識別子のタイプを選択します。

・ Single:これにより、ポリシーが1つのホストに制限されます。このオプションを選択した場合は、[IP address]フィールドにIPアドレスを入力します。

・サブネット:IPの境界を定義するマスクです。これにより、指定されたサブネットのホストだけがVPNに接続できます。VPNに接続するには、論理AND演算によりコンピュータを選択する。IPが必要な同じ範囲に収まっている場合は、コンピュータが選択されます。このオプションを選択した場合は、[IP address and Subnet]フィールドにIPアドレスとサブネットを入力します。

手動ポリシーパラメータ

手動ポリシーパラメータを設定するには、[Add/Edit VPN Policy Configuration]セクションのステップ2の[Policy Type]ドロップダウンリストから[Manual Policy]を選択します。

ステップ1:[SPI-Incoming]フィールドに3 ~ 8の16進数値を入力し。ステートフルパケットインスペクション(SPI)は、ディープパケットインスペクションと呼ばれるテクノロジーです。SPIは、コンピュータネットワークを安全に保つために役立つセキュリティ機能を実装しています。SPI-Incoming値は、前のデバイスのSPI-Outgoingに対応します。リモートVPNエンドポイントのSPI-Outgoingフィールドの値が同じである場合は、任意の値を使用できま

ステップ2:[SPI-Outgoing]フィールドに3 ~ 8の16進数値を入力し

ステップ3:[Encryption Algorithm]ドロップダウンリストから適切な暗号化アルゴリズムを選択します。

・ DES:Data Encryption Standard(DES;データ暗号規格)では、データ暗号化に56ビットキーサイズを使用します。DESは古いため、1つのエンドポイントがDESのみをサポートしている場合にのみ使用する必要があります。

・ 3DES — Triple Data Encryption Standard(3DES)は、DESを3回実行しますが、実行されたDESのラウンドに基づいて、キーサイズを168ビットから112ビット、112ビットから56ビットに変更します。3DESはDESやAESよりも安全です。

・ AES-128:128ビットキー(AES-128)を使用するAdvanced Encryption Standard(AES-128)では、AES暗号化に128ビットキーを使用します。AESはDESよりも高速で安全です。一般に、AESは3DESよりも高速ですが、安全性は低いのですが、一部のタイプのハードウェアでは3DESの高速化が可能です。AES-128はAES-192およびAES-256よりも高速ですが、安全性は低くなります。

・ AES-192:AES-192では、AES暗号化に192ビットキーを使用します。AES-192はAES-128よりも低速ですが、安全性は高く、AES-192はAES-256よりも高速ですが、安全性は低くなります。

・ AES-256:AES-256は、AES暗号化に256ビットのキーを使用します。AES-256はAES-128およびAES-192よりも低速ですが、安全性は高くなります。

ステップ4:[Key-In]フィールドにインバウンドポリシーの暗号化キーを入力します。キーの長さは、ステップ3で選択したアルゴリズムによって異なります。

ステップ5:[Key-Out]フィールドにアウトバウンドポリシーの暗号化キーを入力します。

ステップ6:[Integrity Algorithm]ドロップダウンリストから適切な整合性アルゴリズムを選択します。このアルゴリズムは、データの整合性を検証します。

・ MD5:このアルゴリズムは、キーの長さを16文字に指定します。Message-Digest Algorithm 5(MD5)はコリジョンに強くないため、このプロパティに依存するSSL証明書やデジタル署名などのアプリケーションに適しています。MD5はバイトストリームを128ビット値に圧縮しますが、SHAは160ビット値に圧縮します。MD5は計算する方が若干安価ですが、MD5はハッシュアルゴリズムの古いバージョンであり、衝突攻撃に対して脆弱です。

・ SHA1 — Secure Hash Algorithm version 1(SHA1)は160ビットのハッシュ関数で、MD5よりも安全ですが、計算に時間がかかります。

・ SHA2-256:このアルゴリズムは、キーの長さを32文字に指定します。 

ステップ7:インバウンドポリシーの整合性キー(整合性モードのESP用)を入力します。キーの長さは、ステップ6で選択したアルゴリズムによって異なります。

ステップ8:[Key-Out]フィールドにアウトバウンドポリシーの整合性キーを入力します。VPN接続はアウトバウンドからインバウンドに設定されているため、一方の端からのアウトバウンドキーは他方の端のインバウンドキーと一致する必要があります。

注:正常な接続を行うには、SPI-IncomingおよびOutgoing、Encryption Algorithm、Integrity Algorithm、およびKeysがVPNトンネルの反対側で同じである必要があります。

自動ポリシーパラメータ

ステップ1:[SA Lifetime(SAライフタイム)]フィールドにセキュリティアソシエーション(SA)の期間を秒単位で入力します。SAライフタイムは、いずれかのキーがライフタイムに達した時点で、関連するすべてのSAが自動的に再ネゴシエートされます。

ステップ2:[Encryption Algorithm]ドロップダウンリストから適切な暗号化アルゴリズムを選択します。

・ DES:Data Encryption Standard(DES;データ暗号規格)では、データ暗号化に56ビットキーサイズを使用します。DESは古いため、1つのエンドポイントがDESのみをサポートしている場合にのみ使用する必要があります。

・ 3DES — Triple Data Encryption Standard(3DES)は、DESを3回実行しますが、実行されたDESのラウンドに基づいて、キーサイズを168ビットから112ビット、112ビットから56ビットに変更します。3DESはDESやAESよりも安全です。

・ AES-128:128ビットキー(AES-128)を使用するAdvanced Encryption Standard(AES-128)では、AES暗号化に128ビットキーを使用します。AESはDESよりも高速で安全です。一般に、AESは3DESよりも高速ですが、安全性は低いのですが、一部のタイプのハードウェアでは3DESの高速化が可能です。AES-128はAES-192およびAES-256よりも高速ですが、安全性は低くなります。

・ AES-192:AES-192では、AES暗号化に192ビットキーを使用します。AES-192はAES-128よりも低速ですが、安全性は高く、AES-192はAES-256よりも高速ですが、安全性は低くなります。

・ AES-256:AES-256は、AES暗号化に256ビットのキーを使用します。AES-256はAES-128およびAES-192よりも低速ですが、安全性は高くなります。

ステップ3:[Integrity Algorithm]ドロップダウンリストから適切な整合性アルゴリズムを選択します。このアルゴリズムは、データの整合性を検証します。

・ MD5:このアルゴリズムは、キーの長さを16文字に指定します。Message-Digest Algorithm 5(MD5)はコリジョンに強くないため、このプロパティに依存するSSL証明書やデジタル署名などのアプリケーションに適しています。MD5はバイトストリームを128ビット値に圧縮しますが、SHAは160ビット値に圧縮します。MD5は計算する方が若干安価ですが、MD5はハッシュアルゴリズムの古いバージョンであり、衝突攻撃に対して脆弱です。

・ SHA1 — Secure Hash Algorithm version 1(SHA1)は160ビットのハッシュ関数で、MD5よりも安全ですが、計算に時間がかかります。

・ SHA2-256:このアルゴリズムは、キーの長さを32文字に指定します。 

ステップ4:(オプション)[PFS Key Group]フィールドの[Enable]チェックボックスをオンにして、Perfect Forward Secrecy(完全転送秘密)を有効にします。これはセキュリティを向上させるためです。 

ステップ5:ステップ4で[Enable]をオンにした場合は、[PFS Key Group]フィールドのドロップダウンリストから適切なDiffie-Hellmanキー交換を選択します。

・グループ1 - 768ビット:最も低い強度キーと最も安全でない認証グループを表します。しかし、IKEキーの計算に必要な時間が短縮されます。ネットワークの速度が低い場合に推奨されます。

・グループ2 - 1024ビット:強度の高いキーとよりセキュアな認証グループを表します。しかし、IKEキーを計算するには時間が必要です。 

・グループ5 - 1536ビット:最高強度キーと最もセキュアな認証グループを表します。IKEキーを計算する時間が長くなる。ネットワークの速度が高い場合に推奨されます。

ステップ6:[Select IKE Policy]ドロップダウンリストから適切なIKEポリシーを選択します。Internet Key Exchange(IKE;インターネットキーエクスチェンジ)は、VPNで通信するためのセキュアな接続を確立するために使用されるプロトコルです。この確立されたセキュアな接続は、セキュリティアソシエーション(SA)と呼ばれます。 VPNが正常に機能するには、両方のエンドポイントのIKEポリシーが同じである必要があります。

ステップ7:[Save]をクリックし、すべての設定を適用します。

注:接続が成功するには、SA -Lifetime、Encryption Algorithm、Integrity Algorithm、PFSキーグループ、およびIKEポリシーが、VPNトンネルの反対側で同じである必要があります。

RV110Wに関する記事を表示する場合は、ここをクリックしてください

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ