システム オプション
[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPSec] > [System Options] ペイン(または [Configuration] > [Site-to-Site VPN] > [Advanced] > [System Options] を使用して到達)を使用すると、ASA 上の IPsec セッションと VPN セッションに固有の機能を設定できます。
-
[Limit maximum number of active IPsec VPN sessions]:アクティブな IPsec VPN セッションの最大数の制限をイネーブルまたはディセーブルにします。範囲は、ハードウェア プラットフォームとソフトウェア ライセンスによって異なります。
-
[Maximum IPsec Sessions]:アクティブな IPsec VPN セッションの最大許可数を指定します。このフィールドは、上記のチェックボックスをオンにして、アクティブな IPsec VPN セッションの最大数を制限した場合にだけアクティブになります。
-
-
[L2TP Tunnel Keep-alive Timeout]:キープアライブ メッセージの頻度を秒単位で指定します。範囲は 10 ~ 300 秒です。デフォルトは 60 秒です。これは、Network(Client)Access 専用の高度なシステム オプションです。
-
VPN トンネルの確立時に、既存のフローを再分類します。
-
[Preserve stateful VPN flows when the tunnel drops]:ネットワーク拡張モード(NEM)での IPsec トンネル フローの保持をイネーブルまたはディセーブルにします。永続的な IPsec トンネル フロー機能をイネーブルにすると、[Timeout] ダイアログボックスでトンネルが再作成される限り、セキュリティ アプライアンスがステート情報にアクセスできるため、データは正常にフローを続行します。このオプションは、デフォルトで無効です。
(注)
トンネル TCP フローはドロップされないため、クリーンアップは TCP タイムアウトに依存します。ただし、特定のトンネル フローのタイムアウトがディセーブルになってる場合、手動または他の方法(ピアからの TCP RST など)によってクリアされるまで、そのフローはシステム内で保持されます。
-
[IPsec Security Association Lifetime]:セキュリティ アソシエーション(SA)の期間を設定します。このパラメータにより、IPsec SA キーのライフタイムの測定単位を指定します。ライフタイムは、IPsec SA が期限切れになるまでの存続期間を示し、新しいキーと再ネゴシエートする必要があります。
-
[Time]:時(hh)、分(mm)、および秒(ss)単位で SA のライフタイムを指定します。
-
[Traffic Volume]:キロバイト単位のトラフィックで SA ライフタイムを定義します。IPsec SA が期限切れになるまでのペイロード データのキロバイト数を入力します。または [unlimited] をオンにします。最小値は 100 KB、デフォルト値は 10000 KB、最大値は 2147483647 KB です。
-
-
[Enable PMTU (Path Maximum Transmission Unit) Aging]:管理者が PMTU のエージングをイネーブルにすることができます。
-
[Interval to Reset PMTU of an SA (Security Association)]:PMTU 値が元の値にリセットされる秒数を入力します。
-
-
[Enable inbound IPSec sessions to bypass interface access-lists]。[Group policy and per-user authorization ACLs still apply to the traffic]:ASA は、VPN トラフィックが ASA インターフェイスで終了することをデフォルトで許可するので、IKE または ESP(またはその他のタイプの VPN パケット)をアクセス ルールで許可する必要はありません。このオプションをオンにしている場合は、復号化された VPN パケットのローカル IP アドレスに対するアクセス ルールは不要です。VPN トンネルは VPN セキュリティ メカニズムを使用して正常に終端されたので、この機能によって、構成が簡略化され、セキュリティ リスクを負うことなく、デバイスのパフォーマンスが最大化されます。(グループ ポリシーおよびユーザー単位の許可 ACL は、引き続きトラフィックに適用されます)。
このオプションをオフにすることにより、アクセス ルールをローカル IP アドレスに適用することを強制的に適用できます。アクセス ルールはローカル IP アドレスに適用され、VPN パケットが復号化される前に使用されていた元のクライアント IP アドレスには適用されません。
-
[Permit communication between VPN peers connected to the same interface]:この機能をイネーブルまたはディセーブルにします。
同じインターフェイスを介して着信クライアント VPN トラフィックを暗号化せずに、または暗号化してリダイレクトすることもできます。同じインターフェイスを介して VPN トラフィックを暗号化せずに送信する場合は、そのインターフェイスに対する NAT をイネーブルにし、プライベート IP アドレスをパブリックにルーティング可能なアドレスに変換する必要があります(ただし、ローカル IP アドレス プールですでにパブリック IP アドレスを使用している場合は除きます)。
-
[Compression Settings]:圧縮をイネーブルにする機能(WebVPN および SSL VPN クライアント)を指定します。圧縮はデフォルトでイネーブルになっています。