セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 7.2(2): 公衆インターネット VPN on a Stick のための SSL VPN Client(SVC)の設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 9 月 26 日) | フィードバック


目次


概要

このドキュメントでは、SSL VPN on a Stick を実行するために、適応型セキュリティ アプライアンス(ASA)7.2.2 をセットアップする方法について説明します。 この設定は、ASA でスプリット トンネリングが許可されない特定のケースに対して適用されます。ユーザはインターネットへの接続が許可される前に直接 ASA に接続されます。

ASA バージョン 7.2.2 では、同じセキュリティ トラフィック割り当て configuration mode コマンドの内部インターフェイス キーワードはすべてのトラフィックが同じインターフェイス(ちょうど IPSecトラフィック)を開始および終了するようにします。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • ハブ ASA セキュリティ アプライアンス モデルはバージョン 7.2.2 を実行する必要があります

  • Cisco SSL VPN Client(SVC)1.x

    シスコの「ソフトウェア ダウンロード」(登録ユーザ専用)から、SSL VPN Client パッケージ(sslclient-win*.pkg)をダウンロードします。 SVC を ASA のフラッシュ メモリにコピーします。 SVC は ASA が付いている SSL VPN 接続を確立するためにリモートユーザ コンピュータにダウンロードされるべきです。 Ciscoセキュリティ アプライアンス コマンド・ライン コンフィギュレーション ガイドSVC ソフトウェアセクションのインストールを詳細についてはバージョン 7.2 参照して下さい。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 5500 シリーズその適応性があるセキュリティ アプライアンス モデル(ASA)は実行しますソフトウェア バージョンを 7.2(2)

  • Windows 1.1.4.179 用のバージョンの Cisco SSL VPN Client

  • Windows 2000 Professional または Windows XP が稼働している PC

  • Cisco Adaptive Security Device Manager (ASDM)バージョン 5.2(2)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

SSL VPN Client(SVC)は、ネットワーク管理者によるリモート コンピュータへの IPSec VPN クライアントのインストールおよび設定を必要とせずに、リモート ユーザに IPSec VPN クライアントのメリットを提供する VPN トンネリング技術です。 既にセキュリティ アプライアンス モデルのリモートコンピュータに、また WebVPN ログオンおよび認証あっている SVC は SSL 暗号化を使用します。

SVC セッションを設定するために、リモートユーザはブラウザでセキュリティ アプライアンス モデルの WebVPN インターフェイスの IP アドレスを入力し、ブラウザはそのインターフェイスに接続し、WebVPN Login 画面を表示する。 ユーザがログオンおよび認証を満たし、セキュリティ アプライアンス モデルが SVC を必要とすることとしてユーザを識別すれば場合、セキュリティ アプライアンス モデルはリモートコンピュータに SVC をダウンロードします。 セキュリティ アプライアンス モデルが識別する場合 SVC を使用するオプションを持っていますとしてユーザをセキュリティ アプライアンス モデルはリモートコンピュータに SVC インストールをスキップするために User 画面のリンクを示している間 SVC をダウンロードします。

ダウンロードの後で、SVC はそれ自身をインストールし、設定し、次に接続が終了するとき SVC はリモートコンピュータから残るか、またはそれ自身を(設定によって)アンインストールします。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-01.gif

この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。 これらは、ラボ環境で使用された RFC 1918 のアドレスです。leavingcisco.com

ASDM を使用する ASA 7.2(2) コンフィギュレーション 5.2(2)

このドキュメントは、インターフェイス設定などの基本設定がすでに行われていて適切に動作していることを前提としています。

ASA を ASDM で設定できるようにするには、『ASDM 用の HTTPS アクセスの許可』を参照してください。

WebVPN と ASDM は、ポート番号を変更しない限り、同じ ASA インターフェイス上では有効にできません。 詳細については、『ASA の同じインターフェイスで有効になる ASDM および WebVPN』(英語)を参照してください。

ASA 上で SSL VPN on a stick を設定するには、次の手順を実行します。

  1. Configuration > Interfaces の順に選択 し、SSL VPN トラフィックが同じインターフェイスを開始および終了するように同じインターフェイス チェック チェック ボックスに接続される 2つ以上のホスト間のイネーブル トラフィックをチェックして下さい。

  2. [Apply] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-02.gif

    同等の CLI コンフィギュレーション コマンドを次に挙げます。

    Cisco ASA 7.2(2)
    ciscoasa(config)#same-security-traffic permit intra-interface
    

  3. > IPアドレス管理 > IP プール > Add vpnpool と指名される IP アドレス プールを作成するために Configuration > VPN の順に選択 して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-03.gif

  4. [Apply] をクリックします。

    同等の CLI コンフィギュレーション コマンドを次に挙げます。

    Cisco ASA 7.2(2)
    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254
    

  5. イネーブル WebVPN:

    1. Configuration > VPN > WebVPN > WebVPN Access の順に選択 し、outside インターフェイスを選択して下さい。

    2. 『Enable』 をクリック して下さい。

    3. ユーザをログイン ページからそれぞれ の グループを選択することを許可するために WebVPN Login ページ チェックボックスのイネーブル トンネル グループ ドロップダウン リストをチェックして下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-04.gif

    4. [Apply] をクリックします。

    5. > WebVPN > SSL VPN クライアント > Add SSL VPN クライアント イメージを ASA のフラッシュ メモリから追加するために Configuration > VPN の順に選択 して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-05.gif

    6. [OK] をクリックします。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-06.gif

    7. [OK] をクリックします。

    8. SSL VPN クライアント チェックボックスをクリックして下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-07.gif

    同等の CLI 設定コマンドはここにあります:

    Cisco ASA 7.2(2)
    ciscoasa(config)#webvpn
    ciscoasa(config-webvpn)#enable outside
    ciscoasa(config-webvpn)#svc image disk0:/sslclient-win-1.1.4.179.pkg 1
    ciscoasa(config-webvpn)#tunnel-group-list enable
    ciscoasa(config-webvpn)#svc enable
    

  6. グループ ポリシーを設定します。

    1. clientgroup と指名される内部 グループ ポリシーを作成するために > Add (内部 グループ ポリシー)を Configuration > VPN > General > Group Policy の順に選択 して下さい。

    2. General タブをクリックし、トンネリング プロトコルとして WebVPN を有効に するために WebVPN チェックボックスを選択して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-08.gif

    3. Client Configuration タブをクリックし、次に全般クライアント パラメータ タブをクリックして下さい。

    4. リモート パソコン スプリットトンネル ポリシー ドロップダウン リストからトンネルをすべてのネットワークからセキュアトンネルをすべてのパケットを移動させます選択して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-09.gif

    5. WebVPN > SSLVPN Client タブをクリックし、これらのオプションを選択して下さい:

      1. [Use SSL VPN Client] オプションで、[Inherit] チェック ボックスをオフにし、[Optional] オプション ボタンをクリックします。

        このオプションはリモートクライアントがかどうか SVC をダウンロードするために選択するようにします。 Always を選択すると、SSL VPN 接続のたびにリモート ワークステーションに SVC がダウンロードされるようになります。

      2. クライアント システム オプションの保存インストーラに関しては、受継チェックボックスのチェックを外し、Yesオプション・ボタンをクリックして下さい

        このオプションは SVC ソフトウェアがクライアントマシンに残るようにします。 これにより、ASA は接続が確立するたびに SVC ソフトウェアをクライアントにダウンロードする必要がなくなります。 このオプションは、社内ネットワークに頻繁にアクセスするリモート ユーザが選択するのに適しています。

      3. [Renegotiation Interval] オプションで、[Inherit] チェック ボックスをオフにし、[Unlimited] チェック ボックスをオフにし、キーの再生成が行われるまでの時間(分)を入力します。

        セキュリティは、キーが有効である時間に制限を設けることで強化されます。

      4. [Renegotiation Method] オプションで、[Inherit] チェック ボックスをオフにして、[SSL] オプション ボタンをクリックします。

        再ネゴシエーションは再ネゴシエーションのためにとりわけ作成される提供 SSL トンネルか新しいトンネルを使用できます。

      SSL VPN クライアントの属性は次の図で示すように設定することになります。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-10.gif

    6. [OK] をクリックして、[Apply] をクリックします。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-11.gif

    同等の CLI 設定コマンドはここにあります:

    Cisco ASA 7.2(2)
    ciscoasa(config)#group-policy clientgroup internal
    ciscoasa(config)#group-policyclientgroup attributes
    ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn
    ciscoasa(config-group-policy)#split-tunnel-policy tunnelall
    ciscoasa(config-group-policy)#webvpn
    ciscoasa(config-group-webvpn)#svc required
    ciscoasa(config-group-webvpn)#svc keep-installer installed
    ciscoasa(config-group-webvpn)#svc rekey time 30
    ciscoasa(config-group-webvpn)#svc rekey method ssl
    

  7. > 一般の > Users > Add 新規 ユーザ ユーザー アカウント ssluser1 を作成するために Configuration > VPN の順に選択 して下さい。

  8. [OK] をクリックして、[Apply] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-12.gif

    同等の CLI コマンドはここにあります:

    Cisco ASA 7.2(2)
    ciscoasa(config)#username ssluser1 password asdmASA@
    

  9. グループ > Edit を Configuration > Properties > AAA Setup > AAA Servers の順に選択 して下さい。

  10. 既定のサーバー グループ ローカルを選択し、『Edit』 をクリック して下さい。

  11. 編集ローカルサーバ Group ダイアログボックスで、イネーブル ローカルユーザ ロックアウト チェックボックスをクリックし、最大試みテキストボックスで 16 を入力して下さい。

  12. [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-13.gif

    同等の CLI コマンドはここにあります:

    Cisco ASA 7.2(2)
    ciscoasa(config)#aaa local authentication attempts max-fail 16
    

  13. トンネル グループを設定して下さい:

    1. sslgroup と名前を挙げられる新しいトンネル グループを作成するために > Add (WebVPN アクセス)を Configuration > VPN > General > Tunnel Group の順に選択 して下さい。

    2. General タブをクリックし、次に基本的なタブをクリックして下さい。

    3. グループ ポリシー ドロップダウン リストから clientgroup を選択して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-14.gif

    4. クライアントアドレス 割り当てタブをクリックし、次に利用可能なアドレス プール vpnpool を割り当てるために『Add』 をクリック して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-15.gif

    5. WebVPN タブをクリックし、次にグループ エイリアスおよび URL タブをクリックして下さい。

    6. パラメータ ボックスのエイリアス名前をタイプし、ログイン ページのグループ名のリストにそれを追加するために『Add』 をクリック して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-16.gif

    7. [OK] をクリックして、[Apply] をクリックします。

    同等の CLI 設定コマンドはここにあります:

    Cisco ASA 7.2(2)
    ciscoasa(config)#tunnel-group sslgroup type webvpn
    ciscoasa(config)#tunnel-group sslgroup general-attributes
    ciscoasa(config-tunnel-general)#address-pool vpnpool
    ciscoasa(config-tunnel-general)#default-group-policy clientgroup
    ciscoasa(config-tunnel-general)#exit
    ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
    ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable
    

  14. NAT を設定して下さい:

    1. > トラフィックを許可する外部 IP アドレス 172.16.1.5 の使用と変換されるべき内部ネットワークから来る NAT > Add > Add ダイナミック NAT ルール『Configuration』 を選択 して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-17.gif

    2. [OK] をクリックします。

    3. > トラフィックを許可する外部 IP アドレス 172.16.1.5 の使用と変換されるべき外部ネットワーク 192.168.10.0 から来る NAT > Add > Add ダイナミック NAT ルール『Configuration』 を選択 して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-18.gif

    4. [OK] をクリックします。

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-19.gif

    5. [Apply] をクリックします。

    同等の CLI 設定コマンドはここにあります:

    Cisco ASA 7.2(2)
    ciscoasa(config)#global (outside) 1 172.16.1.5
    ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0
    ciscoasa(config)#nat (outside) 1 192.168.10.0 255.255.255.0
    

ASA 7.2(2) CLI 設定

Cisco ASA 7.2(2)
ciscoasa#show running-config
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface


!--- Command that permits the SSL VPN traffic to enter 
!--- and exit the same interface.


access-list 100 extended permit icmp any any
pager lines 24
mtu inside 1500
mtu outside 1500

ip local pool vpnpool 192.168.10.1-192.168.10.254


!--- The address pool for the SSL VPN Clients.


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. 
!--- Note: Uses an RFC 1918 range for lab setup. 
!--- Apply an address from your public range provided by your ISP.


nat (inside) 1 0.0.0.0 0.0.0.0


!--- The NAT statement to define what to encrypt 
!--- (the addresses from vpn-pool).


nat (outside) 1 192.168.10.0 255.255.255.0

access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:0
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:
timeout uauth 0:05:00 absolute
group-policy clientgroup internal


!--- Create an internal group policy "clientgroup."


group-policy clientgroup attributes
 vpn-tunnel-protocol webvpn


!--- Enable webvpn as tunneling protocol.


 split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.


 webvpn
  svc required
  

!--- Activate the SVC under webvpn mode


svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate 
!--- the crypto keys and initialization vectors, increasing the security of 
!--- the connection.


svc rekey time 30


--- Command that specifies the number of minutes from the start of the 
!--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey. 



username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create an user account "ssluser1."


aaa local authentication attempts max-fail 16


!--- Enable the AAA local authentication.


http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group sslgroup type webvpn


!--- Create a tunnel group "sslgroup" with type as WebVPN.


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created.


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created.


tunnel-group sslgroup webvpn-attributes

 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users.


telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface.


 svc image disk0:/sslclient-win-1.1.4.179.pkg 1


!--- Assign an order to the SVC image.


 svc enable


!--- Enable the security appliance to download SVC images to remote computers.


 tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa#

SVC との SSL VPN 接続の確立

ASA が付いている SSL VPN 接続を確立するためにこれらのステップを完了して下さい。

  1. Webブラウザの Address フィールドに ASA の WebVPN インターフェイスのための URL か IP アドレスを打ち込んで下さい。

    次に、例を示します。

    https://<IP address of the ASA WebVPN interface>

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-20.gif

  2. ユーザー名およびパスワードを入力し、次にグループ ドロップダウン リストからそれぞれ の グループを選択して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-21.gif

    ActiveX ソフトウェアはコンピュータに SSL VPN クライアントをダウンロードする前にインストールする必要があります。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-22.gif

    このダイアログボックスは接続が確立されると同時に現われます:

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-23.gif

    接続が確立されればこのメッセージが現れます:

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-24.gif

  3. 接続が確立されたら、コンピュータのタスク バーに現われる黄色いキー アイコンをダブルクリックして下さい。

    シスコシステムズ SSL VPN Client ダイアログボックスは SSL 接続についての情報を表示する。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-25.gif

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-26.gif

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-27.gif

確認

このセクションでは、設定が正常に機能していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show webvpn svc:ASA フラッシュ メモリに格納された SVC イメージを表示します。

    ciscoasa#show webvpn svc
    1. disk0:/sslclient-win-1.1.4.179.pkg 1
      CISCO STC win2k+ 1.0.0
      1,1,4,179
      Fri 01/18/2008 15:19:49.43
    
    1 SSL VPN Client(s) installed
    
  • show vpn-sessiondb svc:現在の SSL 接続についての情報を表示します。

    ciscoasa#show vpn-sessiondb svc
    
    Session Type: SVC
    
    Username     : ssluser1
    Index        : 1
    Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
    Protocol     : SVC                    Encryption   : 3DES
    Hashing      : SHA1
    Bytes Tx     : 131813                 Bytes Rx     : 5082
    Client Type  : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
    Client Ver   : Cisco Systems SSL VPN Client 1, 1, 4, 179
    Group Policy : clientgroup
    Tunnel Group : sslgroup
    Login Time   : 12:38:47 UTC Mon Mar 17 2008
    Duration     : 0h:00m:53s
    Filter Name  :
  • show webvpn group-alias:さまざまなグループに対する設定済みのエイリアスを表示します。

    ciscoasa#show webvpn group-alias
    Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
    
  • ASDM では、ASA の WebVPN 現在のセッションについての情報を表示するために Monitoring > VPN > VPN Statistics > Sessions の順に選択 して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-28.gif

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

  • VPNsessiondb ログオフ名前 <username > —指定されたユーザー名のための SSL VPN セッションをログオフすることを許可します。

    ciscoasa#vpn-sessiondb logoff name ssluser1
    Called vpn_remove_uauIth: success!
    webvpn_svc_np_tear_down: no ACL
    NFO: Number of sessions with name "ssluser1" logged off : 1
    
    

    同様に、すべての SVC セッションを終了するためにコマンド VPNsessiondb ログオフ SVC を使用できます。

    PC がスタンバイ モードまたは休止状態モードになった場合、SSL VPN 接続を終了することができます。

    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got message
    SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, etc)
    Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    
    ciscoasa#show vpn-sessiondb svc
    INFO: There are presently no active sessions
  • デバッグ webvpn SVC <1-255> — WebVPN リアルタイム イベントをセッションを設定するために提供します。

    Ciscoasa#debug webvpn svc 7 
    
    ATTR_CISCO_AV_PAIR: got SVC ACL: -1
    webvpn_rx_data_tunnel_connect
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 172.16.1.1'
    Processing CSTP header line: 'Host: 172.16.1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4, 179'
    Processing CSTP header line: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4,
    179'
    Setting user-agent to: 'Cisco Systems SSL VPN Client 1, 1, 4, 179'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: tacweb'
    Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
    Setting hostname to: 'tacweb'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486
    D5BC554D2'
    Processing CSTP header line: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1
    CF236DB5E8BE70B1486D5BC554D2'
    Found WebVPN cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1
    486D5BC554D2'
    WebVPN Cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486D5B
    C554D2'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0
    CSTP state = HAVE_ADDRESS
    No subnetmask... must calculate it
    SVC: NP setup
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    SVC ACL ID: -1
    vpn_put_uauth success!
    SVC: adding to sessmgmt
    SVC: Sending response
    CSTP state = CONNECTED
    
  • ASDM で、> ロギング > リアルタイム ログ ビューア > ビュー実時間事象を表示するために『Monitoring』 を選択 して下さい。 これらの例は ASA 172.16.1.5 によってインターネットで SVC 192.168.10.1 および Webサーバ 10.2.2.2 間のセッション情報を示します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-29.gif


関連情報


Document ID: 100894