Comments
Description
Transcript
第 - Cisco
CHAPTER
72
AnyConnect VPN Client 接続の設定
この章では、AnyConnect VPN Client 接続を設定する方法について説明します。次の項目を取り上げ
ます。
• 「AnyConnect VPN Client 接続に関する情報」(P.72-1)
• 「AnyConnect 接続のライセンス要件」(P.72-2)
• 「ガイドラインと制限事項」(P.72-4)
• 「AnyConnect 接続の設定」(P.72-4)
• 「高度な SSL VPN 機能の設定」(P.72-14)
• 「AnyConnect 接続をイネーブルにする設定例」(P.72-18)
• 「AnyConnect 接続の機能履歴」(P.72-18)
AnyConnect VPN Client 接続に関する情報
Cisco AnyConnect SSL VPN Client は、リモート ユーザに適応型セキュリティ アプライアンスへのセ
キュアな SSL 接続を提供します。事前にインストールされたクライアントがない場合、リモート ユー
ザは、SSL VPN 接続を受け入れるように設定されたそれぞれのブラウザ インターフェイスに IP アド
レスを入力します。適応型セキュリティ アプライアンスが、http:// 要求を https:// にリダイレクトする
ように設定されていない限り、ユーザは URL を https://<address> の形式で入力する必要があります。
URL を入力すると、ブラウザがそのインターフェイスに接続され、ログイン画面が表示されます。
ユーザがログインと認証に成功し、そのユーザがクライアントを要求していると適応型セキュリティ
アプライアンスで識別されると、セキュリティ アプライアンスは、リモート コンピュータのオペレー
ティング システムに合うクライアントをダウンロードします。ダウンロード後、クライアントがイン
ストールおよび設定され、セキュアな SSL 接続が確立されます。接続の終了時には、コンフィギュ
レーションに従って、クライアントはそのまま残るかアンインストールされます。
以前にインストールされているクライアントの場合は、ユーザの認証時に、適応型セキュリティ アプ
ライアンスがクライアントのリビジョンを検査して、必要に応じてクライアントをアップグレードしま
す。
クライアントが適応型セキュリティ アプライアンスと SSL VPN 接続をネゴシエートした場合は、
Transport Layer Security(TLS)を使用して接続します。状況に応じて、Datagram Transport Layer
Security(DTLS)が使用されます。DTLS は、一部の SSL 接続で発生する遅延と帯域幅の問題を回避
し、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスを向上させます。
AnyConnect クライアントは、適応型セキュリティ アプライアンスからダウンロードできます。また
は、システム管理者が手動でリモート PC にインストールできます。クライアントを手動でインストー
ルする方法の詳細については、『Cisco AnyConnect VPN Client Administrator Guide』を参照してくだ
さい。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
72-1
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続のライセンス要件
適応型セキュリティ アプライアンスは、ユーザが確立している接続のグループポリシーまたはユーザ
名アトリビュートに基づきクライアントをダウンロードします。自動的にクライアントをダウンロード
するように適応型セキュリティ アプライアンスを設定するか、またはクライアントをダウンロードす
るかをリモート ユーザに確認するように設定できます。後者の場合、ユーザが応答しなかった場合は、
タイムアウト時間が経過した後にクライアントをダウンロードするか、ログイン ページを表示するよ
うに適応型セキュリティ アプライアンスを設定できます。
AnyConnect 接続のライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
ASA 5505
次のいずれかを使用します。
• フル機能 SSL VPN ライセンス:
– 基本ライセンス:2 セッション(10 の組み合せた IPSec と SSL VPN1)。
– Security Plus ライセンス:2 セッション(25 の組み合せた IPSec と SSL VPN1)。
– オプション ライセンス:10 または 25 セッション。
– オプションの共有ライセンス2:クライアントまたはサーバ。サーバ ライセンスでは、
500 ~ 50,000(500 単位で増加)および 50,000 ~ 1,040,000(1000 単位で増加)。
• AnyConnect Essentials ライセンス3
ASA 5510
次のいずれかを使用します。
• フル機能 SSL VPN ライセンス:
– 基本ライセンスと Security Plus ライセンス:2 セッション(250 の組み合せた IPSec と SSL
VPN1)。
– オプション ライセンス:10、25、50、100、または 250 セッション。
– オプションの VPN Flex ライセンス:250 セッション。
– オプションの共有ライセンス 2:クライアントまたはサーバ。サーバ ライセンスでは、
500 ~ 50,000(500 単位で増加)および 50,000 ~ 1,040,000(1000 単位で増加)。
• AnyConnect Essentials ライセンス 3
ASA 5520
次のいずれかを使用します。
• フル機能 SSL VPN ライセンス:
– 基本ライセンスと Security Plus ライセンス:2 セッション(750 の組み合せた IPSec と SSL
VPN1)。
– オプション ライセンス:10、25、50、100、250、500、または 750 セッション。
– オプションの VPN Flex ライセンス:250 または 750 セッション。
– オプションの共有ライセンス 2:クライアントまたはサーバ。サーバ ライセンスでは、
500 ~ 50,000(500 単位で増加)および 50,000 ~ 1,040,000(1000 単位で増加)。
• AnyConnect Essentials ライセンス 3
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
72-2
OL-18970-01-J
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続のライセンス要件
モデル
ライセンス要件
ASA 5540
次のいずれかを使用します。
• フル機能 SSL VPN ライセンス:
– 基本ライセンスと Security Plus ライセンス:2 セッション(5000 の組み合せた IPSec と
SSL VPN1)。
– オプション ライセンス:10、25、50、100、250、500、750、1000、または 2500 セッショ
ン。
– オプションの VPN Flex ライセンス:250、750、1000、または 2500 セッション。
– オプションの共有ライセンス 2:クライアントまたはサーバ。サーバ ライセンスでは、
500 ~ 50,000(500 単位で増加)および 50,000 ~ 1,040,000(1000 単位で増加)。
• AnyConnect Essentials ライセンス 3
ASA 5550 および
5580
次のいずれかを使用します。
• フル機能 SSL VPN ライセンス:
– 基本ライセンスと Security Plus ライセンス:2 セッション(5000 の組み合せた IPSec と
SSL VPN1)。
– オプション ライセンス:10、25、50、100、250、500、750、1000、2500、または 5000
セッション。
– オプションの VPN Flex ライセンス:250、750、1000、2500、または 5000 セッション。
– オプションの共有ライセンス 2:クライアントまたはサーバ。サーバ ライセンスでは、
500 ~ 50,000(500 単位で増加)および 50,000 ~ 1,040,000(1000 単位で増加)。
• AnyConnect Essentials ライセンス 3
1. IPSec セッションと SSL VPN セッションの最大数の合計が、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が
VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、適応型セキュリティ アプライアンスをオー
バーロードして、ネットワークのサイズを適切にすることができます。合計の限界のセッション構成を決定する場合、SSL VPN セッショ
ンの数はライセンスが与えられている SSL VPN セッション セキュリティ アプライアンスの数(デフォルトでは 2)を超えることはできま
せん。
2. 共有ライセンスによって、適応型セキュリティ アプライアンスは複数のクライアントの適応型セキュリティ アプライアンスの共有ライセ
ンス サーバとして機能します。共有ライセンス プールは大規模ですが、個々の適応型セキュリティ アプライアンスによって使用される
セッションの最大数は、永続的なライセンスで指定される最大数を超えることはできません。
3. AnyConnect Essentials ライセンスを使用すると、SSL VPN セッションのプラットフォームの制限をサポートしながら、AnyConnect クラ
イアントの基本的な機能を使用することができます。たとえば、25 のセッションを使用できますが、IPv6、CSD、自動セッション再開、
ダイナミック アップデート、クライアントレス SSL VPN、WebLaunch などの多くの高度な機能はサポートされません。AnyConnect
Essentials ライセンスは、AnyConnect for Mobile ライセンス、フル SSL VPN ライセンス、共有 SSL VPN ライセンス、Advanced
Endpoint Connection ライセンスとは互換性がありません。デフォルトでは、上記のライセンスの代わりに AnyConnect Essentials ライセン
スが使用されますが、no anyconnect-essentials コマンドを使用することで、コンフィギュレーションで AnyConnect Essentials ライセンス
をディセーブルにし、他のライセンスの使用を復元することができます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
72-3
第 72 章
AnyConnect VPN Client 接続の設定
ガイドラインと制限事項
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
リモート PC のシステム要件
AnyConnect クライアントは、リモート PC で動作する次のオペレーティング システムをサポートして
います。
• Microsoft Vista
• Microsoft Windows 2000
• Microsoft Windows XP
• MAC Intel
• MAC Power PC
• Linux
レガシー SSL VPN Client(SVC)は、リモート PC で動作する次のオペレーティング システムをサ
ポートしています。
• Microsoft Windows 2000
• Microsoft Windows XP
コンテキスト モードのガイドライン
シングルコンテキスト モードでサポートされています。マルチコンテキスト モードはサポートされて
いません。
ファイアウォール モードのガイドライン
ルーテッド ファイアウォール モードでだけサポートされています。トランスペアレント モードはサ
ポートされていません。
フェールオーバーのガイドライン
L2TP over IPsec セッションはステートフル フェールオーバーではサポートされていません。
AnyConnect 接続の設定
この項では、AnyConnect VPN クライアント接続を受け入れるように適応型セキュリティ アプライア
ンスを設定するための前提条件、制約事項、および詳細なタスクについて説明します。次の項目を取り
上げます。
• 「クライアントを Web 展開するためのセキュリティ アプライアンスの設定」(P.72-5)
• 「永続的なクライアント インストールのイネーブル化」(P.72-6)
• 「DTLS の設定」(P.72-6)
• 「リモート ユーザに対するプロンプト」(P.72-7)
• 「AnyConnect クライアント プロファイル ダウンロードのイネーブル化」(P.72-8)
• 「追加の AnyConnect クライアント機能のイネーブル化」(P.72-10)
• 「Start Before Logon のイネーブル化」(P.72-11)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
72-4
OL-18970-01-J
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
• 「AnyConnect ユーザ メッセージの言語の変換」(P.72-11)
• 「高度な SSL VPN 機能の設定」(P.72-14)
• 「SSL VPN クライアント イメージのアップデート」(P.72-17)
クライアントを Web 展開するためのセキュリティ アプライアンスの設定
この項では、AnyConnect クライアントを Web 展開するように適応型セキュリティ アプライアンスを
設定する手順について説明します。
前提条件
TFTP や別の方法を使用して、クライアント イメージ パッケージを適応型セキュリティ アプライアン
スにコピーします。
詳細な手順
コマンド
目的
ステップ 1 svc image filename order
例:
hostname(config-webvpn)# svc image
anyconnect-win-2.3.0254-k9.pkg 1
hostname(config-webvpn)# svc image
anyconnect-macosx-i386-2.3.0254-k9.pkg 2
hostname(config-webvpn)# svc image
anyconnect-linux-2.3.0254-k9.pkg 3
フラッシュのファイルを SSL VPN クライアント パッケージ
ファイルとして指定します。
適応型セキュリティ アプライアンスは、リモート PC にダウン
ロードするために、キャッシュ メモリのファイルを展開します。
複数のクライアントがある場合は、order 引数を使用して、クラ
イアント イメージに順序を割り当てます。ERROR: Unable to
load SVC image というエラー メッセージが表示された場合は、
cache-fs limit コマンドを使用して、キャッシュ メモリのサイズ
を調整します。
セキュリティ アプライアンスは、リモート PC のオペレーティ
ング システムと一致するまで、指定されている順序で各クライ
アントの一部をダウンロードします。そのため、最も一般的に
使用されているオペレーティング システム用のイメージには、
最も低い数値を割り当てます。
ステップ 2 enable interface
例:
hostname(config)# webvpn
hostname(config-webvpn)# enable outside
ステップ 3 ip local pool poolname startaddr-endaddr
mask mask
例:
hostname(config)# ip local pool vpn_users
209.165.200.225-209.165.200.254
mask 255.255.255.224
ステップ 4 address-pool poolname
インターフェイスに対するクライアントレス接続をイネーブル
にします。
(オプション)アドレス プールを作成します。DHCP やユーザに
よる割り当てのアドレスの指定など、別のアドレス割り当ての
方法を使用することもできます。
アドレス プールをトンネル グループに割り当てます。
例:
hostname(config)# tunnel-group
telecommuters general-attributes
hostname(config-tunnel-general)#
address-pool vpn_users
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
72-5
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
コマンド
目的
ステップ 5 default-group-policy name
例:
hostname(config-tunnel-general)#
default-group-policy sales
ステップ 6 group-alias name enable
例:
hostname(config)# tunnel-group
telecommuters webvpn-attributes
hostname(config-tunnel-webvpn)#
group-alias sales_department enable
ステップ 7 tunnel-group-list enable
例:
hostname(config)# webvpn
hostname(config-webvpn)# tunnel-group-list
enable
ステップ 8 vpn-tunnel-protocol svc
例:
hostname(config)# group-policy sales
attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)#
vpn-tunnel-protocol svc
デフォルトのグループポリシーをトンネル グループに割り当て
ます。
クライアントレス ポータルのログイン ページのグループ リスト
に表示されるグループ エイリアスを作成し、イネーブルにしま
す。
クライアントレス ポータルのログイン ページでのトンネルグ
ループ リストの表示をイネーブルにします。
グループまたはユーザの許可された VPN トンネリング プロトコ
ルとして SSL を指定します。その他のプロトコルを追加して指
定することもできます。詳細については、『Cisco ASA 5500
Series Command Reference』の vpn-tunnel-protocol コマンドを
参照してください。
グループポリシーに対するユーザの割り当ての詳細については、
第 6 章「接続プロファイル、グループポリシー、およびユーザ
の設定」を参照してください。
永続的なクライアント インストールのイネーブル化
永続的なクライアント インストールをイネーブルにすると、クライアントの自動アンインストール機
能がディセーブルになります。クライアントは、後続の接続のためにリモート コンピュータにインス
トールされたままなので、リモート ユーザの接続時間が短縮されます。
特定のグループまたはユーザに対する永続的なクライアント インストールをイネーブルにするには、
グループポリシーまたはユーザ名 webvpn モードで svc keep-installer コマンドを使用します。
svc keep-installer installed
デフォルトでは、クライアントの永続的なインストールはイネーブルになっています。クライアント
は、各セッションの終了時点までリモート コンピュータに残ります。次の例では、セッションの終了
時点でリモート コンピュータのクライアントを削除するように既存のグループポリシー sales を設定し
ます。
hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-policy)# svc keep-installer installed none
DTLS の設定
Datagram Transport Layer Security(DTLS)を使用すると、SSL VPN 接続を確立している
AnyConnect クライアントで、2 つのトンネル(SSL トンネルと DTLS トンネル)を同時に使用できま
す。DTLS を使用すると、SSL 接続で発生する遅延と帯域幅の問題を回避し、パケット遅延の影響を
受けやすいリアルタイム アプリケーションのパフォーマンスを向上させます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
72-6
OL-18970-01-J
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
デフォルトでは、SSL VPN アクセスがインターフェイスでイネーブルになっている場合、DTLS はイ
ネーブルになっています。DTLS をディセーブルにすると、SSL VPN 接続は SSL VPN トンネルだけ
と接続します。
(注)
DTLS を TLS 接続にフォール バックさせるには、Dead Peer Detection(DPD; デッドピア検知)をイ
ネーブルにする必要があります。DPD をイネーブルにしない場合、DTLS 接続で問題が発生すると、
TLS にフォール バックする代わりに接続は終了します。DPD のイネーブル化の詳細については、
「Dead Peer Detection のイネーブル化と調整」(P.72-14)を参照してください。
webvpn コンフィギュレーション モードで、enable コマンドの tls-only オプションを使用すると、す
べての AnyConnect クライアント ユーザに対して DTLS をディセーブルにできます。
enable <interface> tls-only
次に例を示します。
hostname(config-webvpn)# enable outside tls-only
デフォルトでは、特定のグループまたはユーザに対して DTLS をイネーブルにするには、グループポ
リシー webvpn またはユーザ名 webvpn コンフィギュレーション モードで、svc dtls enable コマンドを
使用します。
[no] svc dtls enable
DTLS をディセーブルにする必要がある場合は、このコマンドの no 形式を使用します。次に例を示し
ます。
hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# no svc dtls enable
リモート ユーザに対するプロンプト
適応型セキュリティ アプライアンスで、リモート SSL VPN クライアント ユーザがクライアントをダ
ウンロードするためのプロンプトをイネーブルにするには、グループポリシー webvpn またはユーザ名
webvpn コンフィギュレーション モードで svc ask コマンドを使用します。
[no] svc ask {none | enable [default {webvpn | svc} timeout value]}
svc ask enable を指定すると、クライアントをダウンロードするか、クライアントレス ポータル ペー
ジに移動するかをリモート ユーザに尋ねるプロンプトを表示し、ユーザの応答を無期限に待機します。
svc ask enable default svc を指定すると、クライアントをすぐにダウンロードします。
svc ask enable default webvpn を指定すると、ポータル ページにすぐに移動します。
svc ask enable default svc timeout value を指定すると、クライアントをダウンロードするか、または
クライアントレス ポータル ページに移動するかを尋ねるプロンプトをリモート ユーザに表示し、デ
フォルト アクション(クライアントのダウンロード)を実行する前に value の間待機します。
svc ask enable default clientless timeout value を指定すると、クライアントをダウンロードするか、
またはクライアントレス ポータル ページに移動するかを尋ねるプロンプトをリモート ユーザに表示
し、デフォルト アクション(クライアントレス ポータル ページの表示)を実行する前に、value の間
待機します。
図 72-1 は、default svc timeout value または default webvpn timeout value が設定されている場合に、
リモート ユーザに表示されるプロンプトを示しています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
72-7
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
図 72-1
SSL VPN クライアントをダウンロードする場合にリモート ユーザに表示されるプロンプト
次の例では、適応型セキュリティ アプライアンスでクライアントをダウンロードするか、またはクラ
イアントレス ポータル ページに移動するかを尋ねるプロンプトを表示して、クライアントをダウン
ロードする前に応答を 10 秒待機するように設定しています。
hostname(config-group-webvpn)# svc ask enable default svc timeout 10
AnyConnect クライアント プロファイル ダウンロードのイネーブル化
AnyConnect クライアント プロファイルは、クライアント ユーザ インターフェイスに表示される接続
エントリの設定にクライアントが使用するコンフィギュレーション パラメータのグループを XML
ファイルに格納したものです。これらのパラメータ(XML タグ)には、ホスト コンピュータの名前と
アドレス、およびその他のクライアント機能をイネーブルにするための設定が含まれています。
AnyConnect クライアント インストールには、AnyConnectProfile.tmpl という名前のプロファイル テ
ンプレートが含まれています。このテンプレートは、テキスト エディタで編集して、別のプロファイ
ル ファイルを作成するための基本として使用できます。ユーザ インターフェイスからは利用できない
高度なパラメータを設定することもできます。インストールには、AnyConnectProfile.xsd という名前
の完全な XML スキーマ ファイルも含まれます。
プロファイルを作成した後は、適応型セキュリティ アプライアンスにファイルをロードして、その
ファイルをリモート クライアント PC にダウンロードするように適応型セキュリティ アプライアンス
を設定する必要があります。
次の手順に従いプロファイルを編集し、適応型セキュリティ アプライアンスでプロファイルのリモー
ト クライアントへのダウンロードをイネーブルにします。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
72-8
OL-18970-01-J
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
ステップ 1
クライアント インストールからプロファイル ファイル(AnyConnectProfile.tmpl)のコピーを取得し
ます。表 72-1 は、各オペレーティング システムのインストール パスを示しています。
表 72-1
オペレーティング システムとプロファイル ファイルのインストール パス
オペレーティング シス
テム
インストール パス
Windows Vista
%ALLUSERSPROFILE%¥Cisco¥Cisco AnyConnect VPN
Client¥Profile1
Windows XP および
2000
%ALLUSERSPROFILE%/Application Data/Cisco/Cisco
AnyConnect VPN Client/Profile2
Linux
/opt/cisco/vpn/profile
Mac OS X
/opt/cisco/vpn/profile
1. %ALLUSERSPROFILE% は、Windows Vista 用の同じ名前の環境変数を指します。大部分のインス
トールでは、これは C:¥Program Files です。
2. %PROGRAMFILES% は、Windows XP および 2000 用と同じ名前の環境変数を指します。大部分の
インストールでは、これは C:¥Program Files です。
ステップ 2
プロファイル ファイルを編集します。次の例は、Windows 用のプロファイル ファイル
(AnyConnectProfile.tmpl)のコンテンツを示しています。
<?xml version="1.0" encoding="UTF-8"?>
<!-This is a template file that can be configured to support the
identification of secure hosts in your network.
The file needs to be renamed to cvcprofile.xml (for now).
There is an ASA command to import updated profiles for downloading to
client machines. Provide some basic instruction.....
-->
<Configuration>
<ClientInitialization>
<UseStartBeforeLogon>false</UseStartBeforeLogon>
</ClientInitialization>
<HostProfile>
<HostName></HostName>
<HostAddress></HostAddress>
</HostProfile>
<HostProfile>
<HostName></HostName>
<HostAddress></HostAddress>
</HostProfile>
</Configuration>
<HostProfile> タグは、AnyConnect クライアントでリモート ユーザのホスト コンピュータの名前とア
ドレスを表示されるように多くの場合は編集されます。次の例は、ホスト コンピュータの名前とアド
レスが挿入されている <HostName> タグと <HostAddress> タグを示しています。
<HostProfile>
<HostName>Sales_gateway</HostName>
<HostAddress>209.165.200.225</HostAddress>
</HostProfile>
ステップ 3
プロファイル ファイルを適応型セキュリティ アプライアンスのフラッシュ メモリにロードし、次に
webvpn コンフィギュレーション モードで svc profiles コマンドを使用して、このファイルをキャッ
シュ メモリにロードするクライアント プロファイルとして指定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
72-9
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
[no] svc profiles name path}
ファイルがキャッシュ メモリにロードされると、プロファイルがクライアント ユーザのグループポリ
シーおよびユーザ名アトリビュートで使用可能になります。
次の例では、クライアントのインストールで提供されている AnyConnectProfile.tmpl ファイルから 2
つの新しいプロファイル ファイル(sales_hosts.xml と engineering_hosts.xml)が事前に作成されてお
り、フラッシュ メモリにアップロードされています。次に、名前 sales と engineering を指定して、グ
ループポリシーで使用するためのプロファイルとしてこれらのファイルを指定します。
asa1(config-webvpn)# svc profiles sales disk0:/sales_hosts.xml
asa1(config-webvpn)# svc profiles engineering disk0:/engineering_hosts.xml
dir cache:stc/profiles コマンドを入力すると、キャッシュ メモリにロードされるプロファイルが表示
されます。
hostname(config-webvpn)# dir cache:/stc/profiles
Directory of cache:stc/profiles/
0
0
-------
774
774
11:54:41 Nov 22 2006
11:54:29 Nov 22 2006
engineering.xml
sales.xml
2428928 bytes total (18219008 bytes free)
hostname(config-webvpn)#
ステップ 4
グループポリシー webvpn またはユーザ名アトリビュート webvpn コンフィギュレーション モードに入
り、svc profiles コマンドを使用して、グループまたはユーザのプロファイルを指定します。
[no] svc profiles {value profile | none}
次の例では、svc profiles value コマンドとともに疑問符(?)を使用して、使用可能なプロファイルを
表示します。次に、プロファイル sales を使用するためのグループポリシーを設定します。
asa1(config-group-webvpn)# svc profiles value ?
config-group-webvpn mode commands/options:
Available configured profile packages:
engineering
sales
asa1(config-group-webvpn)# svc profiles sales
asa1(config-group-webvpn)#
追加の AnyConnect クライアント機能のイネーブル化
ダウンロード時間を最小限に抑えるために、クライアントは必要なコア モジュールのダウンロード
(適応型セキュリティ アプライアンスから)だけを要求します。追加機能が AnyConnect クライアント
で使用可能になったら、それらの機能を使用できるようにするためにリモート クライアントをアップ
デートする必要があります。
新しい機能をイネーブルにするには、グループポリシー webvpn またはユーザ名 webvpn コンフィギュ
レーション モードで svc modules コマンドを使用して、新しいモジュール名を指定する必要がありま
す。
[no] svc modules {none | value string}
複数の文字列はカンマで区切ります。
各クライアント機能に対して入力する値のリストについては、Cisco AnyConnect VPN Client のリ
リース ノートを参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
72-10
OL-18970-01-J
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
Start Before Logon のイネーブル化
Start Before Logon(SBL)を使用すると、Windows PC にインストールされている AnyConnect クラ
イアントに対するログイン スクリプト、パスワード キャッシング、ドライブ マッピングなどが使用で
きるようになります。SBL では、AnyConnect クライアントの Graphical Identification and
Authentication(GINA)をイネーブルにするモジュールをダウンロードするように適応型セキュリ
ティ アプライアンスをイネーブルにする必要があります。次の手順は、SBL をイネーブルにする方法
を示しています。
ステップ 1
グループポリシー webvpn またはユーザ名 webvpn コンフィギュレーション モードで svc modules
vpngina コマンドを使用して、適応型セキュリティ アプライアンスで特定のグループまたはユーザに
VPN 接続に対する GINA モジュールをダウンロードできるようにします。
次の例では、グループポリシー telecommuters の場合はグループポリシー アトリビュート モードに入
り、グループポリシーの場合は webvpn コンフィギュレーション モードに入り、文字列 vpngina を指
定します。
hostname(config)# group-policy telecommuters attributes
hostname(config-group-policy)# webvpn
hostame(config-group-webvpn)# svc modules value vpngina
ステップ 2
クライアント プロファイル ファイル(AnyConnectProfile.tmpl)のコピーを取得します。各オペレー
ティング システムのプロファイル ファイルがある場所の詳細については、表 72-1(P.72-9)を参照し
てください。
ステップ 3
プロファイル ファイルを編集して SBL がイネーブルであることを指定します。次の例では、Windows
用のプロファイル ファイル(AnyConnectProfile.tmpl)の関係部分を示しています。
<Configuration>
<ClientInitialization>
<UseStartBeforeLogon>false</UseStartBeforeLogon>
</ClientInitialization>
<UseStartBeforeLogon> タグによって、クライアントが SBL を使用するかどうかが決まります。SBL
をオンにするには、false を true で置き換えます。次の例は、SBL がオンになっているタグを示してい
ます。
<ClientInitialization>
<UseStartBeforeLogon>true</UseStartBeforeLogon>
</ClientInitialization>
ステップ 4
AnyConnectProfile.tmpl に対する変更を保存し、webvpn コンフィギュレーション モードで
svc profile コマンドを使用して、適応型セキュリティ アプライアンスのグループまたはユーザに対す
るプロファイル ファイルをアップデートします。次に例を示します。
asa1(config-webvpn)# svc profiles sales disk0:/sales_hosts.xml
AnyConnect ユーザ メッセージの言語の変換
適応型セキュリティ アプライアンスには、ブラウザベースのクライアントレス SSL VPN 接続を開始す
るユーザに表示されるポータルと画面、および Cisco AnyConnect VPN Client ユーザに表示されるイ
ンターフェイスの言語変換機能があります。
この項では、これらのユーザ メッセージを変換するために適応型セキュリティ アプライアンスを設定
する方法について説明します。次の項目を取り上げます。
• 「言語変換の概要」(P.72-12)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
72-11
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
• 「変換テーブルの作成」(P.72-12)
言語変換の概要
リモート ユーザに可視である機能エリアとそれらのメッセージは、変換ドメイン内にまとめられてい
ます。Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるすべてのメッセージは、
AnyConnect ドメイン内にあります。
適応型セキュリティ アプライアンスのソフトウェア イメージ パッケージには、AnyConnect ドメイン
の変換テーブル テンプレートが含まれています。このテンプレートはエクスポートでき、入力する
URL にテンプレートの XML ファイルが作成されます。このファイルのメッセージ フィールドは空で
す。メッセージを編集して、テンプレートをインポートし、フラッシュ メモリに置かれる新しい変換
テーブル オブジェクトを作成できます。
既存の変換テーブルをエクスポートすることもできます。作成した XML ファイルに事前に編集した
メッセージが表示されます。この XML ファイルを同じ言語名で再インポートすると、変換テーブル
オブジェクトの新しいバージョンが作成され、以前のメッセージが上書きされます。AnyConnect ドメ
インの変換テーブルに対する変更は、すぐに AnyConnect クライアント ユーザに可視となります。
変換テーブルの作成
次の手順では、AnyConnect ドメインの変換テーブルを作成する方法について説明します。
ステップ 1
特権 EXEC モードで export webvpn translation-table コマンドを使用して、コンピュータに変換テー
ブル テンプレートをエクスポートします。
次の例では、show webvpn translation-table コマンドによって、使用可能な変換テーブル テンプレー
トとテーブルを表示しています。
hostname# show import webvpn translation-table
Translation Tables' Templates:
customization
AnyConnect
CSD
PortForwarder
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
Translation Tables:
次に、AnyConnect 変換ドメイン用の変換テーブルをエクスポートします。作成された XML ファイル
のファイル名は client という名前が付けられ、空のメッセージ フィールドが含まれています。
hostname# export webvpn translation-table AnyConnect template
tftp://209.165.200.225/client
次の例では、zh という名前の変換テーブルをエクスポートします。このテーブルは、テンプレートか
ら事前にインポートされたものです。zh は中国語用 Microsoft Internet Explorer で使用される省略形で
す。
hostname# export webvpn translation-table customization language zh
tftp://209.165.200.225/chinese_client
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
72-12
OL-18970-01-J
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
ステップ 2
変換テーブル XML ファイルを編集します。次の例は、AnyConnect テンプレートの一部を示していま
す。この出力の最後には、Connected メッセージのメッセージ ID フィールド(msgid)とメッセージ
文字列フィールド(msgstr)が含まれています。このメッセージは、クライアントが VPN 接続を確立
するときに AnyConnect クライアント GUI に表示されます。完全なテンプレートには、多くのメッ
セージ フィールドのペアが含まれています。
# SOME DESCRIPTIVE TITLE.
# Copyright (C) YEAR THE PACKAGE'S COPYRIGHT HOLDER
# This file is distributed under the same license as the PACKAGE package.
# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
#
#, fuzzy
msgid ""
msgstr ""
"Project-Id-Version: PACKAGE VERSION\n"
"Report-Msgid-Bugs-To: \n"
"POT-Creation-Date: 2006-11-01 16:39-0700\n"
"PO-Revision-Date: YEAR-MO-DA HO:MI+ZONE\n"
"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
"Language-Team: LANGUAGE <[email protected]>\n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=CHARSET\n"
"Content-Transfer-Encoding: 8bit\n"
#: C:¥cygwin¥home¥<user>¥cvc¥main¥Api¥AgentIfc.cpp:23
#: C:¥cygwin¥home¥<user>¥cvc¥main¥Api¥check¥AgentIfc.cpp:22
#: C:¥cygwin¥home¥<user>¥cvc¥main¥Api¥save¥AgentIfc.cpp:23
#: C:¥cygwin¥home¥<user>¥cvc¥main¥Api¥save¥AgentIfc.cpp~:20
#: C:¥cygwin¥home¥<user>¥cvc¥main¥Api¥save¥older¥AgentIfc.cpp:22
msgid "Connected"
msgstr ""
msgid には、デフォルト変換が含まれています。msgid に続く msgstr が変換を提供します。変換を作
成するには、msgstr 文字列の引用符の間に変換対象のテキストを入力します。たとえば、メッセージ
"Connected" をスペイン語で変換するには、引用符の間にスペイン語のテキストを挿入します。
msgid "Connected"
msgstr "Conectado"
ファイルは必ず保存してください。
ステップ 3
特権 EXEC モードで import webvpn translation-table コマンドを使用して、変換テーブルをインポー
トします。ブラウザと互換性がある言語の省略形を付けて新しい変換テーブルの名前を指定します。
次の例では、米国スペイン語用の Microsoft Internet Explorer で使用される省略形である es-us で XML
ファイルがインポートされます。
hostname# import webvpn translation-table AnyConnect language es-us
tftp://209.165.200.225/client
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
hostname# show import webvpn translation-table
Translation Tables' Templates:
AnyConnect
PortForwarder
csd
customization
keepout
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
72-13
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
Translation Tables:
es-us AnyConnect
高度な SSL VPN 機能の設定
次の項では、SSL VPN 接続を調整する高度な機能について説明します。次の項目を取り上げます。
• 「キーの再生成のイネーブル化」(P.72-14)
• 「Dead Peer Detection のイネーブル化と調整」(P.72-14)
• 「キープアライブのイネーブル化」(P.72-15)
• 「圧縮の使用」(P.72-16)
• 「MTU サイズの調整」(P.72-16)
• 「SSL VPN クライアント イメージのアップデート」(P.72-17)
キーの再生成のイネーブル化
適応型セキュリティ アプライアンスと SSL VPN クライアントがキーの再生成を行うときは、暗号キー
と初期ベクトルを再ネゴシエーションして、接続のセキュリティを高めます。
特定のグループまたはユーザの SSL VPN 接続で、クライアントによるキーの再作成の実行をイネーブ
ルにするには、グループポリシー モードおよびユーザ名 webvpn モードで svc rekey コマンドを使用し
ます。
[no] svc rekey {method {new-tunnel | none | ssl} | time minutes}
method new-tunnel は、キーの再作成中にクライアントが新規トンネルを確立するように指定します。
method none は、キー再作成をディセーブルにします。
method ssl は、キーの再作成中に SSL の再ネゴシエーションを実行するように指定します。
time minutes は、セッションの開始からまたは前回のキー再作成から、キーの再作成が行われるまでの
時間を 1 から 10080(1 週間)の分数で指定します。
次の例では、セッション開始の 30 分後に実施されるキー再作成中に、既存のグループポリシー sales
に対する SSL との再ネゴシエーションを実施するようにクライアントを設定しています。
hostname(config)# group-policy
hostname(config-group-policy)#
hostname(config-group-policy)#
hostname(config-group-policy)#
sales attributes
webvpn
svc rekey method ssl
svc rekey time 30
Dead Peer Detection のイネーブル化と調整
Dead Peer Detection(DPD)により、ピアの応答がなく接続が失敗している場合には、適応型セキュ
リティ アプライアンス(ゲートウェイ)またはクライアント側で瞬時に検出できます。
適応型セキュリティ アプライアンスまたはクライアントで特定のグループまたはユーザについて DPD
をイネーブルにし、適応型セキュリティ アプライアンスまたはクライアントが DPD を実行する頻度を
設定するには、グループポリシーまたはユーザ名 webvpn モードで svc dpd-interval コマンドを使用し
ます。
svc dpd-interval {[gateway {seconds | none}] | [client {seconds | none}]}
no svc dpd-interval {[gateway {seconds | none}] | [client {seconds | none}]}
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
72-14
OL-18970-01-J
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
パラメータは次のとおりです。
gateway seconds は、適応型セキュリティ アプライアンス(ゲートウェイ)で実行する DPD をイネー
ブルにして、適応型セキュリティ アプライアンス(ゲートウェイ)での DPD の実行頻度(5 ~ 3600
秒)を指定します。
gateway none は、適応型セキュリティ アプライアンスによる DPD をディセーブルにします。
client seconds は、クライアントによる DPD をイネーブルにし、クライアントが DPD を実行する頻度
(5 ~ 3600 秒)を指定します。
client none は、クライアントによって実行される DPD をディセーブルにします。
svc dpd-interval コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使
用します。
(注)
DTLS をイネーブルにすると、Dead Peer Detection(DPD)もイネーブルになります。DPD により、
失敗した DTLS 接続の TLS へのフォールバックがイネーブルになります。それ以外の場合、接続は終
了します。
次の例では、適応型セキュリティ アプライアンスによる DPD の実行頻度が 30 秒に設定され、クライ
アントによる既存のグループポリシー sales に対する DPD の実行頻度が 10 秒に設定されています。
hostname(config)# group-policy
hostname(config-group-policy)#
hostname(config-group-policy)#
hostname(config-group-policy)#
sales attributes
webvpn
svc dpd-interval gateway 30
svc dpd-interval client 10
キープアライブのイネーブル化
キープアライブ メッセージの頻度を調整することで、接続がアイドルでいられる時間がデバイスに
よって制限されている場合でも、プロキシ、ファイアウォール、または NAT デバイス経由の SSL
VPN 接続をオープンのまま維持します。頻度を調整することにより、リモート ユーザが Microsoft
Outlook や Microsoft Internet Explorer などのソケットベースのアプリケーションをアクティブに実行
していないときに、クライアントが接続解除して再接続しないように設定することもできます。
(注)
キープアライブは、デフォルトではイネーブルになっています。フェールオーバー イベントで
キープアライブをディセーブルにすると、SSL VPN クライアント セッションはスタンバイ デ
バイスに引き継がれません。
キープアライブ メッセージの頻度を設定するには、グループポリシー webvpn またはユーザ名 webvpn
コンフィギュレーション モードで、次のように svc keepalive コマンドを使用します。
[no] svc keepalive {none | seconds}
none は、クライアントのキープアライブ メッセージをディセーブルにします。
seconds は、クライアントによるキープアライブ メッセージの送信をイネーブルにし、メッセージの頻
度を 15 ~ 600 秒の範囲で指定します。
デフォルトでは、キープアライブ メッセージはイネーブルになっています。
コンフィギュレーションからコマンドを削除し、値が継承されるようにするには、このコマンドの no
形式を使用します。
次の例では、既存のグループポリシー sales に対して、クライアントがキープアライブ メッセージを
300 秒(5 分)の頻度で送信できるように適応型セキュリティ アプライアンスを設定しています。
hostname(config)# group-policy sales attributes
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
72-15
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の設定
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc keepalive 300
圧縮の使用
圧縮により、低帯域幅の接続に転送されるパケットのサイズが減少し、適応型セキュリティ アプライ
アンスとクライアント間の通信パフォーマンスが向上します。デフォルトでは、適応型セキュリティ
アプライアンスでは、グローバル レベルと特定のグループまたはユーザの両方において、すべての
SSL VPN 接続に対する圧縮がイネーブルになっています。
圧縮は、グローバル コンフィギュレーション モードで compression svc コマンドを使用してグローバル
にオンにする必要があります。そうすることで、グループポリシーおよびユーザ名 webvpn モードで svc
compression コマンドを使用して、特定のグループまたはユーザに圧縮を設定することができます。
圧縮のグローバルな変更
グローバルな圧縮の設定を変更するには、グローバル コンフィギュレーション モードで compression
svc コマンドを使用します。
compression svc
no compression svc
コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。
次の例では、すべての SSL VPN 接続の圧縮は、グローバルにディセーブルになっています。
hostname(config)# no compression svc
グループおよびユーザに対する圧縮の変更
特定のグループまたはユーザに対する圧縮を変更するには、グループポリシーおよびユーザ名 webvpn
モードで svc compression コマンドを使用します。
svc compression {deflate | none}
no svc compression {deflate | none}
デフォルトでは、グループおよびユーザに対する SSL 圧縮は deflate(イネーブル)に設定されていま
す。
コンフィギュレーションから svc compression コマンドを削除し、グローバル設定から値が継承される
ようにするには、このコマンドの no 形式を使用します。
次の例では、グループポリシー sales に対する圧縮はディセーブルになっています。
hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc compression none
MTU サイズの調整
クライアントによって確立された SSL VPN 接続の MTU サイズ(256 ~ 1406 バイト)は、グループ
ポリシー webvpn またはユーザ名 webvpn コンフィギュレーション モードで svc mtu コマンドを使用
して調整できます。
[no] svc mtu size
このコマンドは、AnyConnect クライアントにだけ影響を与えます。レガシー Cisco SSL VPN Client
(SVC)では、別の MTU サイズに調整できません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
72-16
OL-18970-01-J
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続の監視
デフォルト グループポリシーでのこのコマンドのデフォルトは、no svc mtu です。MTU サイズは、接
続で使用されるインターフェイスの MTU から IP/UDP/DTLS オーバーヘッドを減算して、自動的に調
整されます。
このコマンドは、SSL で確立されたクライアント接続、および SSL with DTLS で確立されたクライア
ント接続に影響を与えます。
次の例では、グループポリシー telecommuters の MTU サイズを 1200 バイトに設定します。
例
hostname(config)# group-policy telecommuters attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc mtu 1200
SSL VPN クライアント イメージのアップデート
適応型セキュリティ アプライアンスのクライアント イメージは、次の手順を使用していつでもアップ
デートできます。
ステップ 1
特権 EXEC モードで copy コマンドを使用して、または別の方法で新しいクライアント イメージを適
応型セキュリティ アプライアンスにコピーします。
ステップ 2
新しいクライアント イメージ ファイルの名前がすでにロードされているファイルと同じファイル名の
場合は、コンフィギュレーションにある svc image コマンドを再入力します。新しいファイル名が異
なっている場合は、no svc image コマンドを使用して古いファイルをアンインストールします。次に、
svc image コマンドを使用して、イメージに順序を割り当て、適応型セキュリティ アプライアンスが新
しいイメージをロードするようにします。
AnyConnect 接続の監視
アクティブなセッションについての情報を表示するには、show vpn-sessiondb を使用します。
コマンド
目的
show vpn-sessiondb svc
アクティブなセッションに関する情報を表示します。
vpn-sessiondb logoff svc
SSL VPN セッションをログオフします。
例
hostname# show vpn-sessiondb svc
Session Type: SSL VPN Client
Username
Index
Protocol
Hashing
TCP Dst Port
Bytes Tx
Pkts Tx
Client Ver
Client Type
Group
:
:
:
:
:
:
:
:
:
:
lee
1
SSL VPN Client
SHA1
443
20178
27
Cisco STC 1.1.0.117
Internet Explorer
DfltGrpPolicy
IP Addr
Encryption
Auth Mode
TCP Src Port
Bytes Rx
Pkts Rx
:
:
:
:
:
:
209.165.200.232
3DES
userPassword
54230
8662
19
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
72-17
第 72 章
AnyConnect VPN Client 接続の設定
AnyConnect 接続をイネーブルにする設定例
Login Time
Duration
Filter Name
: 14:32:03 UTC Wed Mar 20 2007
: 0h:00m:04s
:
hostname# vpn-sessiondb logoff svc
INFO: Number of sessions of type "svc" logged off : 1
hostname# vpn-sessiondb logoff name tester
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions with name "tester" logged off : 1
AnyConnect 接続をイネーブルにする設定例
次の例は、L2TP over IPsec を設定する方法を示しています。
ip local pool sales_addresses 209.165.202.129-209.165.202.158
aaa-server sales_server protocol radius
crypto ipsec transform-set sales_l2tp_transform esp-3des esp-sha-hmac
crypto ipsec transform-set sales_l2tp_transform mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
l2tp tunnel hello 100
group-policy sales_policy internal
group-policy sales_policy attributes
wins-server value 209.165.201.3 209.165.201.4
dns-server value 209.165.201.1 209.165.201.2
vpn-tunnel-protocol l2tp-ipsec
tunnel-group sales_tunnel type remote-access
tunnel-group sales_tunnel general-attributes
address-pool sales_addresses
authentication-server-group none
accounting-server-group sales_server
default-group-policy sales_policy
tunnel-group sales_tunnel ppp-attributes
authentication pap
AnyConnect 接続の機能履歴
表 72-2 に、この機能のリリース履歴の一覧を示します。
表 72-2
L2TP over IPsec の機能履歴
機能名
AnyConnect 接続
リリース
機能情報
7.2(1)
authentication eap-proxy、authentication ms-chap-v1、authentication
ms-chap-v2、authentication pap、l2tp tunnel hello、および
vpn-tunnel-protocol l2tp-ipsec コマンドが導入または変更されました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
72-18
OL-18970-01-J