Skip to main content

 

Cisco Meraki Documentation

Cisco Secure Connect - リモートアクセス

このドキュメントはこちらのドキュメントを翻訳したものです。

内容の不一致がある場合には英語版のドキュメントを正とします。

概要

Cisco Secure Connectを使用すると、リモートユーザーは、Secure Connectファブリックを介して、
Cisco Secure Client(以前のCisco AnyConnectクライアント)を使用して、どこからでもプライベートアプリケーションにアクセスできます。
顧客の IdP を介した SAML 認証を使用して、ID ベースのアクセス制御が可能です。エンドポイント・コンプライアンス(エンドポイント・ポスチャーとして知られる)も評価され、プライベート・リソースへのきめ細かなアクセス制御が可能です。

clipboard_ee50b1483c318a1d5b42ecf18cdfacd77.png前提条件

必要条件

詳細

内部DNSサーバIPアドレス プライベート・アプリケーション名前解決に使用されるサーバー
企業ドメイン名 プライベート・アプリケーションにアクセスするため必要なドメイン
クライアントIPアドレスプール

北米とヨーロッパにはそれぞれ4つのデータセンターがあります。指定された各地域は、完全なセット(4つ)のプライベートアドレスプールを持つ必要があります。

(注意: ルーティングとルールの更新を簡単にまとめるために、連続したプライベート・アドレス・プールを使用することをお勧めします)

これらのプールは、顧客内部ネットワークで使用されている既存の内部アドレス/サブネットと重複することはできません。1つのリージョンが必要で、2つ目のリージョンはオプションとなります。

トンネルバイパスが必要なサブネット DNSのような特定のトラフィックをトンネルのバイパス
(トンネルの外側にルーティング)させたい場合
データセンターゲートウェイ機器 VPN接続のデータ・センター側の物理的またはソフトウェア・デバイス。IKEv2と互換性のあるデバイスはすべてサポートされていますが、設定の詳細は異なります。
顧客宅内装置(CPE) デバイス パブリックIP* CPE 外部 WAN インターフェースのインターネット・ルーティング可能な IP アドレス。
トンネルIKEv2事前共有鍵 事前共有鍵 は、IPSec トンネルで CPE デバイスを構成するために必要

* パブリックIPは、IKEv2電子メールIDをサポートしないデバイスにのみ必要。

リモートアクセスセットアップ

まず、Cisco Meraki と Cisco Umbrella のアカウントをシームレスに接続する必要があります。 詳しい手順については、Secure Connect オンボーディングを参照してください。

はじめに

1. セキュアコネクト> アイデンティティ&接続 > リモートアクセス と進み、セットアップを開始します。

2. この「チェックリスト」は、主なリモートアクセス設定タスクを案内します。 各タスクが完了すると、プログレスバーが進みます。これらの
    タスクはどの順番で実行してもかまいませんが、以下の手順は、このチェックリストの一番上の Configure remote access service から始めます。
clipboard_e6ba6ef84fde3bdf8eb03d3fe0c17e979.png

3. Configure remote access service をクリックすると、UmbrellaダッシュボードのDeployments > Remote Access の階層に移動します。
    右上の RETURN TO SECURE CONNECT リンクでいつでも戻ることができます。

clipboard_eccd854c1dd35d9d0dc4fc3d5380da683.png

ネットワーク設定

1. 手順 3のCONFIGUREをクリックすると、リモートアクセスサービス設定ウィザードが起動し、Network Configuration > Traffic    Steering > Client Configuration > Add Regions を実行します。各画面の上部にあるナビゲーション・メニューは、設定中のステップを示します。

2. DNS サーバの IP アドレスを追加します。 セキュアクライアントはこれらのサーバを使用して、トンネルを介してアクセスされるアプリケーションを
    名前解決します。DNS解決用のデフォルトドメインと追加のDNS名(オプション)をそれぞれのフィールドに追加し、Next をクリックします。

clipboard_eba315b9faee9d2a654b7b1572632c8d6.png

トラフィックステアリング

トラフィックステアリングはスプリットトンネリングとも呼ばれ、セキュアクライアント接続 (トンネルの内側) で暗号化して転送するトラフィックと、インターネットリソース (トンネルの外側) に直接転送するトラフィック (もしあれば) を決定できます。
すべてのトラフィックをセキュアコネクトサービス経由にする場合は、この機能をデフォルトで無効のままにして、Next をクリックします。
接続中、ユーザーはローカルリソースにアクセスできなくなります。

clipboard_e5a5e0d84a718de37b285694d24726706.png

1. トラフィック・ステアリングを有効にするには、トラフィック・ステアリングをオンに切り替えます。
2. 接続中にローカルプリンターなどローカルリソースへのアクセスが必要な場合は、Designate LAN access outside secure tunnel をチェックします。
3. Tunnel Modeでは、宛先ネットワークを、Steer Traffic Inside the Secure Tunnel (split include) またはSteer Traffic outside the Secure Tunnel
    (split exclude)のどちらに適用するかを指定します。例えば、Steer Traffic Inside Secure Tunnel を選択すると、指定したDestination はトンネルを
    通過し、Exceptionsのリストは通過しません。その逆で、Steer Traffic outside the Secure Tunnel の場合、指定した Destination はトンネルの外側に
    送信され、リストした Exceptions はトンネルの内側に送信されます。Exceptions はすべて、DESTINATION(CIDR またはドメイン)に使用されている
    形式と一致している必要があります。
4. 次にAddをクリックして、希望するネットワークのリストを追加します。

clipboard_e0bfd7fad5aa95a16105b8bd39b78297e.png

Split DNS modeは、"Steer Traffic INSIDE Secure Tunnel"が選択されている場合にのみ利用可能です。

クライアント設定

Client Configuration はデフォルトのままにして、Next をクリックします。

clipboard_e48f3b76ac4a3f2db83a089af396f09f0.png

それ以外の場合は、必要なクライアントオプションを選択します。

clipboard_e9e68b76ebad403c34a97dfa21ac55412.png

clipboard_e24ad3b240304c67238add34b86744e1a.png

地域の追加

Add Regionsでは、トラフィックが経由するデータセンターの場所を選択します。お客様の設計に応じて、単一または両方を選択できます。

clipboard_e106aef4ba58c055e0883cc9b920dcf6f.png

clipboard_ef14e9884bda3a71916536e7f31469e47.png

clipboard_ee4dca2cb8ec5e502485702fec356b7cb.png

プロビジョン

1. 上記の手順を完了し、PROVISION をクリックすると、チェックリストのページに戻り、バックエンドでプロビジョニングが開始されます。

clipboard_e95c3a3a7c22924c60e2e126904bd8923.png

 

プロビジョニングが完了すると、リモート・エンドポイントに最も近いデータセンターを自動的に選択する自動選択URLが提供されます。
このURLはセキュアコネクトとUmbrellaのダッシュボードに表示され、<システム生成ID>.sc.ciscoplus.comという形式になっています。

代わりに、ロケーション固有のFQDNが以下のフォーマットで提供されます: <システム生成ID>.location.sc.ciscoplus.com
上記の例では、4つのFQDNが生成されます:

123d.pao1.sc.ciscoplus.com
123d.nyc1.sc.ciscoplus.com
123d.lax1.sc.ciscoplus.com
123d.ash1.sc.ciscoplus.com

上記の例では、各ロケーションのVPNプロファイルは「Palo Alto, CA」,「New York, NY」などと表示されます。

リモートアクセスユーザーは、自動選択された URL に接続するか、セキュアクライアントのドロップダウンから特定の場所に接続するかを選択できます。ドロップダウンは、サービスに最初に接続した後に入力されます。

完了までに5分ほどかかる場合があります。待っている間に次のセクションを始めても構いません。

2. Umbrella ダッシュボードの Deployments > Remote Access で、リモートアクセスが正常にプロビジョニングされたことを確認できます。

clipboard_eb9027e68412cd95665f807497208ac99.png

3. リモートアクセスを完了させるには、リモートユーザーを設定する必要があります。リモートユーザーを設定する必要がありますので、
    Configure and provision users を確認し、デプロイを完了してください。完了したら、チェックリストページのDeploy Secure Client to Users
    クリックし、提供されたリンクからセキュアクライアントをダウンロードして、リモートアクセスを開始できます。

clipboard_e8a0af5c4259371538a2a00e8c3f24e89.png

clipboard_edf931275c2b67c3b4fa17da6390d50c2.png

エンドポイントポスチャー(オプション)

エンドポイントポスチャは、エンドポイントが Secure Connect クラウドに接続できるようにする前に、エンドポイント上の以下の要件の組み合わせを検証します。

1. 証明書
2. オペレーションシステムとバージョン
3. アンチマルウェア
4. ファイアウォール
5. ディスクの暗号化

クライアントベースのアクセスで エンドポスチャーを有効にするには、セキュアコネクト> Endpoint Posture > Client-based accessと進み、
鉛筆のアイコンをクリックして、有効にする各タイプのポスチャーを編集します。

clipboard_e6e723df32ec1d30ec80243a6da9cd270.png

1. 証明書要件 - システムは、エンドポイントがネットワークに接続する前に、特定の証明書を持っていることを確認します。

clipboard_ea4d843aefbb859d01a62327f49fe5fcd.png

clipboard_eb00ed2befaa6dc586acbeeb3805720c8.png

2. オペレーティングシステム要件 - ネットワークへの接続を許可する前に、エンドポイントが指定されたオペレーティングシステム(OS) および
    OSバージョンを実行していることを確認します。ユーザーが必要なバージョンにアップグレードするための期限も定義できます。

clipboard_e3d7aec559d83addfdee149737509542c.png

clipboard_e2d8453baa87cf42b4094d8a8bd66e72d.png

3. アンチマルウェア要件 - ネットワークへの接続を許可する前に、エンドポイントが指定のマルウェア対策ソフトウェアを実行していることを
    確認します。オペレーティングシステムを選択し、ドロップダウンからアンチマルウェアソフトウェアを選択します。

clipboard_edf2ad39d8db16ebf1d56b1af7e77df50.png

clipboard_eeefd29ec3505b12343b8aedd31825fbc.png

ここでは、管理者がMac OS Xを選択した場合の例を示しますが、必要に応じて複数のOSを選択することができます。
また、ユーザーが必要なバージョンにアップグレードする期間を定義することもできます。

clipboard_e0327fd6f69ce0a729c8483b0296db162.png

4. ファイアウォール要件 - ネットワークへの接続を許可する前に、システムはエンドポイントがローカルファイアウォールアプリケーションを
    実行していることを確認します。ドロップダウンからファイアウォール・ソフトウェア・プロバイダを選択します。

clipboard_e359329e7811ea427574380ee072f3cd4.png

ここでは、管理者がWindowsを選択した場合の例を示しますが、必要に応じて複数のオペレーティングシステムを選択することができます。

clipboard_e19205684a408357c95582541e0b14704.png

5. ディスク暗号化の要件 - システムは、エンドポイントがネットワークに接続する前に、ディスク暗号化が有効になっていることを確認します。
    ドロップダウンからディスク暗号化ソフトウェアプロバイダを選択します。

clipboard_ec68ededf3db27a8dc2f24587be03009c.png

ここでは、管理者がLinuxを選択した場合の例を示しますが、必要に応じて複数のオペレーティングシステムを選択することができます。

clipboard_e4a96031b09c058540ea72f516baec3ca.png

完了したら、Save changesをクリックして設定を保存します。

Next Steps - Network and Policy Setup 

リモートアクセスのセットアップが完了したら、状況に応じて残りのチェックリストを完了させます。

clipboard_e89c7b4f03c880250fe2155378b2cb169.png

・Step 2 - アプリケーション接続の有効化
    ◦ Meraki ネットワークの設定
    ◦ 非Meraki ネットワークの設定
        
・トンネルの種類は必ず「プライベート・アクセス」を選択してください。
        ・プライベートトンネルの背後にあるすべての内部ネットワーク(ルート)を、トンネルのクライアントプレフィックスとして追加
        ・以前にプロビジョニングされたすべてのリモートアクセスクライアントのサブネットについて、IPSec終端デバイスにルートを追加
・Step 3 - ユーザの設定およびプロビジョン
・Step 4 - ポリシーの適用
・Step 5 - 新しいファイアウォールの作成

シスコセキュアクライアントの展開

最後の手順は、Cisco Secure Client をダウンロードしてエンドポイントに展開することです。シスコセキュアクライアントのダウンロードには
2つの部分があります。1 つはソフトウェア本体です。 もう 1 つは、セットアップ プロセスで作成された機能と属性値を含む XML ファイルです。

Deploy Secure Client to Users をクリックし、提供されたリンクからセキュアクライアントをダウンロードし、Close をクリックします。

clipboard_e5a43bad1c8a6ac74743c0bd9af5ce941.png

シスコセキュアクライアントの導入に関する詳細は、こちらをご覧ください。

注: Cisco Software Centralからシスコセキュアクライアントのソフトウェアをダウンロードすることはできません。 Secure Connectポータルに掲載されているものと異なるバージョンのシスコセキュアクライアントが必要な場合は、サポートにお問い合わせください。