IPsecアクセスコンセントレータ

IKEv2によるリモートアクセスサーバ（IPsecAC: IPsec Access Concentrator）機能を提供します。

表 1. 仕様概要
項目	値
AC設定数	8
VPNプロトコル	IKEv2
認証レルム	ローカル認証, アカウントリスト認証
認証メソッド	証明書 + EAP-MSCHAPv2
同時接続数	1024
ユーザ設定数	ローカル認証：64 アカウントリスト認証：リストファイルごとに256KB（個数制限なし）

表 2. IPv4/IPv6対応状況
機能	IPv4	IPv6	備考
VPNセッション	○	○
VPN上の通信	○	×

接続確認済みのリモートアクセスクライアント

Windows

Mac OS X

iOS

Android

注:

動作を保証するものではありません

ユーザ認証

リモートアクセスユーザの認証ポリシーを設定できます。

ローカル認証レルム

リモートアクセスユーザの認証情報をコンフィグ内に設定します。

ユーザ名（1-32文字）とパスワード（1-64文字）の他、IPアドレスの割当方法について設定できます。

ユーザに割り当てるIPアドレス(Framed-IP-Address)を指定可能。RFC791 の定めるClass A、B、C のアドレスで、かつClassfulネットワークにおけるブロードキャストアドレスではないアドレスを指定可能
ユーザに割り当てるIPアドレスに対するネットマスクは /32 固定
割り当てる IPアドレスをNASが選択するよう設定(nas-select) 可能

アカウントリスト認証レルム

リモートアクセスユーザの認証情報をリストファイル化して外部ファイルサーバに設置し、定期的に取得します。

リストファイル取得用のURLに指定可能なプロトコルは httpおよびhttps
- https を使用した場合に、SSLのサーバ認証は行わない
リスト取得のタイムアウトは20秒
リスト取得がタイムアウトした場合、1分間隔で 10回再取得を試みる。再取得に成功、あるいは10回すべて取得失敗した場合、次回取得は指定された定期取得間隔の時間経過後となる
定期的な取得に失敗したとき、およびアカウントリストの内容にエラーがあったとき、以前にリストを取得済みであればそれを使用し続ける
取得済のリストが存在するとき、URLを変更すると変更後のURLでの取得に成功するまでの間は、取得済のリストを使用し続ける
取得済のリストが存在するとき、URLの設定を削除した場合（アカウントリストを使用しない設定に変更した場合）は取得済みリストのアカウント情報を破棄する
システム起動後または設定変更後に、最初にリストの取得が成功するまでの間のユーザ認証は認証エラーとなる

アドレスプールの範囲に対応するネットワークは、ゲートウェイが"discard"の静的経路として登録されます。
- アドレスプールの範囲に応じて複数のサブネットに分割して登録されます。
- この経路は他の静的経路と同様に、動的ルーティングプロトコルに再配布できます。
リモートアクセスクライアントの接続時にIPアドレスを割り当てると、そのホストアドレスまたはサブネットについて、ゲートウェイがpppac[]インタフェースの経路として追加します。
- この経路は動的ルーティングプロトコルに再配布されないため、アドレスプールに基づく経路情報と重複して広告されることはありません。
- この経路の経路MTUは、クライアントごとにPPP接続時に交換されたMRUと同値が設定されます。