SonicOS 7 システム --- TZ シリーズ用

Technical Documentation>  インターフェース>  IPv4 のインターフェース設定>  VPN トンネル インターフェースの設定
Table of Contents

VPN トンネル インターフェースの設定

インターフェースの追加」ドロップダウン メニューから「VPN トンネル インターフェース」を選択して、番号付けされたトンネル インターフェースを作成できます。VPN トンネル インターフェースは、インターフェース 設定テーブルに追加されると、RIP、OSPF、 BGP などの動的ルーティングに使用できるようになります。また、静的ルート ベース VPN の設定において、静的ルート ポリシーのインターフェースとして使用できるようになります。

VPN トンネル インターフェース (TI) は標準インターフェースと同じように設定して、装置管理や HTTP/HTTPS/Ping/SSH によるユーザ ログインを有効にすることができます。また、マルチキャスト、フロー報告、非対称ルーティング、断片化パケットの処理、DF (Don't Fragment: 断片化を行わない) ビットも設定できます。

同じ VPN ポリシーと番号付けされたトンネル インターフェースをリモート ゲートウェイにも設定する必要があります。これらの番号付けされたトンネル インターフェース (ローカル ゲートウェイとリモート ゲートウェイ) に割り当てる IP アドレスは同じサブネットにある必要があります。

VPN トンネル インターフェースの配備」は、VPN トンネル インターフェースを配備する方法を示しています。

VPN トンネル インターフェースの配備
TI をインターフェースとして設定できる機能 TI を使用できないインターフェース
静的ルート 静的 ARP 登録インターフェース
NAT HA インターフェース
ACL (仮想アクセス ポイント アクセス制御リスト) WLB (WAN 負荷分散) インターフェース
静的 NDP (近隣者検出プロトコル) 登録インターフェース
OSPF OSPFv3/RIPnG: 現在は IPv6 の高度なルーティングでサポートされていない
RIP MAC_IP アンチスプーフ インターフェース
BGP DHCP サーバ インターフェース

すべてのプラットフォームで、サポートされる VPN トンネル インターフェース (番号付けされるトンネル インターフェース) の最大数は 64 です。番号付けされないトンネル インターフェースの最大数はプラットフォームによって異なり、各プラットフォームでサポートされる VPN ポリシーの最大数と一致します。

VPN トンネル インターフェースを設定するには、以下の手順を実行します。

  1. ネットワーク | システム > インターフェース」に移動します。

  2. インターフェース設定」テーブルの下の「インターフェースの追加」で、「VPN トンネル インターフェース」を選択します。「トンネル インターフェースの追加」ダイアログが表示されます。

    VPN トンネル インターフェースの設定

    ゾーンは VPN として定義されており、変更できません。

  3. VPN ポリシー」で、VPN ポリシーを選択します。
  4. 名前」フィールドに、このインターフェースのわかりやすい名前を入力します。この名前に使用できる文字は英数字、ピリオド (.)、下線 (_) です。空白とハイフン (-) は使用できません。
  5. IP アドレス」フィールドに IP アドレスを入力します。既定値は 0.0.0.0 ですが、明示的な IP アドレスを入力する必要があります。そうしないとエラー メッセージが表示されます。
  6. サブネット マスク」フィールドに、サブネット マスクを入力します。既定値は 255.255.255.0 です。
  7. 必要に応じて、「コメント」フィールドにコメントを入力します。
  8. 必要に応じて、このインターフェースで許可される管理プロトコルを指定します。HTTPSPingSNMPSSH から 1 つ以上を選択できます。
  9. 必要に応じて、このインターフェースで許可されるユーザ ログイン プロトコルを指定します。HTTPHTTPS のどちらかまたは両方を選択できます。

  10. 詳細」を選択します。

  11. トンネル インターフェースに対して作成されるフローのフロー報告を有効にするには、「フロー報告を有効にする」を選択します。
  12. 必要に応じて、「マルチキャスト サポートを有効にする」を選択し、インターフェースでのマルチキャスト受信を有効にします。このオプションは、既定では選択されていません。
  13. 必要に応じて、「非対称ルートのサポートを有効にする」を選択し、トンネル インターフェースでの非対称ルートのサポートを有効にします。このオプションは、既定では選択されていません。非対称ルーティングの詳細については、「非対称ルーティング」を参照してください。
  14. ルート モードを使用して発信/着信の変換を防ぐための NAT ポリシーを追加するには、「ルート モードを使用する – 発信/着信の変換を防ぐための NAT ポリシーを追加します」を選択します。選択すると、以下のオプションが利用可能になります。このオプションは、既定では選択されていません。
  15. ルート モード」が選択されている場合、NAT ポリシーのインターフェースを指定するには、「NAT ポリシー発信/着信インターフェース」でインターフェースを選択します。使用できるインターフェースは装置によって異なります。既定は「すべて」です。

  16. このインターフェースで断片化パケットの処理を有効にするには、「断片化パケットの処理を有効にする」を選択します。このオプションがオフの場合、断片化パケットは破棄され、VPN ログ レポートにログ メッセージ「Fragmented IPsec packet dropped」 (断片化された IPSec パケットが破棄された) が表示されます。

    このオプションをオンにすると、「DF (断片化を行わない) ビットを無視する」オプションが使用できるようになります。

  17. パケット ヘッダーの DF ビットを無視するには、「DF (Don’t Fragment: 断片化を行わない) ビットを無視する」を選択します。一部のアプリケーションでは、パケットの「断片化を行わない」オプションを明示的に設定できます。これにより、すべての装置にそのパケットを断片化しないよう指示されます。このオプションが有効になっていると、装置は DF ビットを無視し、パケットの断片化を強行します。
  18. OK」を選択します。新しい番号付けされた VPN トンネル インターフェースが「インターフェース設定」テーブルに追加されます。