プライベート ネットワークを構成するには、[SSL VPN-Plus] タブにある [プライベート ネットワーク] 画面を使用します。プライベート ネットワークは、リモート ユーザーが VPN クライアントと SSL VPN トンネルを使用して接続するときに、VPN クライアントがアクセスするネットワークです。有効なプライベート ネットワークは、VPN クライアントのルーティング テーブルに組み込まれます。

プライベート ネットワークは、VPN クライアントのトラフィックを暗号化する、または暗号化から除外する Edge Gateway の背後にあるすべてのアクセス可能な IP アドレス ネットワークのリストです。SSL VPN トンネル経由でアクセスする必要がある各プライベート ネットワークは、個別のエントリとして追加する必要があります。エントリの数は、ルート要約の手法を使用して制限できます。
  • SSL VPN-Plus は、リモート ユーザーによるプライベート ネットワークへのアクセスを、画面上のテーブルに表示される IP アドレス プールの順(上から下)に許可します。プライベート ネットワークを画面上のテーブルに追加した後は、上下の矢印を使用して、テーブル内のネットワークの位置を調整できます。
  • プライベート ネットワークに対して TCP 最適化の有効化を選択すると、アクティブ モードの FTP などの一部のアプリケーションがそのサブネット内で動作しない場合があります。アクティブ モードで構成されている FTP サーバを追加するには、その FTP サーバ用に別のプライベート ネットワークを追加し、そのプライベート ネットワークの TCP 最適化を無効にする必要があります。また、その FTP サーバのプライベート ネットワークを有効にし、画面上のテーブルで、TCP が最適化されたプライベート ネットワークより上に表示されるようにする必要があります。

前提条件

手順

  1. [SSL VPN-Plus] タブで、[プライベート ネットワーク] をクリックします。
  2. [追加]作成ボタン)ボタンをクリックします。
  3. プライベート ネットワークを構成します。
    オプション アクション
    ネットワーク プライベート ネットワークの IP アドレスを、192169.1.0/24 などの CIDR 形式で入力します。
    説明 (オプション)ネットワークの説明を入力します。
    トラフィックを送信 VPN クライアントでプライベート ネットワークとインターネット トラフィックを送信する方法を指定します。
    • [トンネルを経由]

      VPN クライアントは、プライベート ネットワークとインターネット トラフィックを SSL VPN-Plus が有効な Edge Gateway を経由して送信します。

    • [トンネルを迂回]

      VPN クライアントは Edge Gateway をバイパスし、トラフィックをプライベート サーバに直接送信します。

    TCP 最適化を有効化 (オプション)インターネットの速度を最適化するには、トラフィックの送信に [トンネルを経由] を選択した際に、[TCP 最適化を有効化] も選択する必要があります。

    このオプションを選択すると、VPN トンネルでの TCP パケットのパフォーマンスが向上しますが、UDP トラフィックのパフォーマンスは向上しません。

    従来のフルアクセス SSL VPN トンネルは、インターネット上の暗号化で、2 番目の TCP/IP スタックの TCP/IP データを送信します。この従来の方法では、アプリケーション レイヤーのデータを 2 つの別々の TCP ストリームにカプセル化します。パケット ロスは最適なインターネット条件下でも発生しますが、これが起こると、TCP-over-TCP メルトダウンと呼ばれるパフォーマンス劣化効果が生じます。TCP-over-TCP メルトダウンでは、2 つの TCP 計測ツールが 1 つの IP アドレス データ パケットを修正することにより、ネットワークのスループットが低下し、接続がタイムアウトになります。[TCP 最適化を有効化] を選択すると、この TCP-over-TCP の問題が発生するリスクを回避できます。

    注: TCP 最適化を有効にする際には、以下を考慮する必要があります。
    • インターネット トラフィックを最適化するポート番号を入力する必要があります。
    • SSL VPN サーバは、VPN クライアントの代わりに TCP 接続を開始します。SSL VPN サーバが TCP 接続を開始すると、最初に自動生成される Edge ファイアウォール ルールが適用されます。このルールは、Edge Gateway から開始されたすべての接続の通過を許可します。最適化されていないトラフィックは、通常の Edge ファイアウォール ルールによって評価されます。デフォルトで生成された TCP ルールでは、任意の接続が許可されます。
    ポート [トンネルを経由] を選択した場合は、リモート ユーザーが内部サーバにアクセスするために開くポート番号の範囲を入力します。FTP トラフィックの場合は 20-21、HTTP トラフィックの場合は 80-81 のようになります。

    ユーザーに無制限のアクセス権を付与する場合は、このフィールドを空白のままにします。

    ステータス プライベート ネットワークを有効または無効にします。
  4. [保持] をクリックします。
  5. [変更を保存] をクリックして、システムに設定を保存します。

次のタスク

認証サーバを追加します。NSX Data Center for vSphere Edge Gateway での SSL VPN-Plus の認証サービスの設定 を参照してください。

重要: この画面で追加したプライベート ネットワークへのネットワーク トラフィックを許可するため、対応するファイアウォール ルールを追加します。 NSX Data Center for vSphere Edge Gateway ファイアウォール ルールの追加を参照してください。