セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 7.1/7.2: ASA の SVC に対するスプリット トンネリングの許可の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 9 月 26 日) | フィードバック


目次


概要

この資料は方法で彼らが Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)にトンネル伝送される間、ステップバイステップの説明をインターネットに Secure Socket Layer (SSL) VPN クライアント(SVC)アクセスを許可する提供したものです。 この設定は SSL によって共有リソースに SVC 安全なアクセスを許可し、分割トンネリングの使用のインターネットに保護されていないアクセスを可能にします。

同一のインターフェイス上でセキュリティで保護されたトラフィックと保護されていないトラフィックの両方を送信する機能は、スプリット トンネリングという名前で知られています。 分割トンネリングは他はパブリックネットワーク(インターネット)を渡って非暗号化送信されるが特定のトラフィックだけトンネルを入力するように、トラフィックが保護されるものそのトラフィックの宛先がである丁度規定 することを必要とし。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • すべてのリモート ワークステーション上でのローカルな管理者権限

  • リモート ワークステーションでの Java コントロールおよび ActiveX コントロール

  • ポート 443(SSL) は接続 パスに沿ってどこでもブロックされません

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 5500 シリーズその適応性があるセキュリティ アプライアンス モデル(ASA)は実行しますソフトウェア バージョンを 7.2(2)

  • Windows 1.1.4.179 用のバージョンの Cisco SSL VPN Client

    注: Ciscoソフトウェア ダウンロード登録ユーザのみ)から SSL VPN クライアント パッケージ(sslclient-win*.pkg)をダウンロードして下さい。 ASA が付いている SSL VPN 接続を確立するためにリモートユーザ コンピュータにダウンロードされる ASA のフラッシュ メモリに SVC をコピーして下さい。 詳細については ASA コンフィギュレーション ガイドの SVC ソフトウェアセクションのインストールを参照して下さい。

  • Windows 2000 専門 SP4 か Windows XP SP2 を実行する PC

  • Cisco Adaptive Security Device Manager (ASDM)バージョン 5.2(2)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

リモートコンピュータで IPSec VPN クライアントをインストールし、設定するネットワーク管理者のための必要なしでリモートユーザに IPSec VPN クライアントの利点を与える SSL VPN クライアント(SVC)は VPN トンネリング テクノロジーです。 既にセキュリティ アプライアンス モデルのリモートコンピュータに、また WebVPN ログオンおよび認証あっている SVC は SSL 暗号化を使用します。

SVC セッションを設定するために、リモートユーザはブラウザでセキュリティ アプライアンス モデルの WebVPN インターフェイスの IP アドレスを入力し、ブラウザはそのインターフェイスに接続し、WebVPN Login 画面を表示する。 ログオンおよび認証を満たし、セキュリティ アプライアンス モデルが SVC を必要とすることとして識別すれば場合、セキュリティ アプライアンス モデルはリモートコンピュータに SVC をダウンロードします。 セキュリティ アプライアンス モデルが SVC を使用するオプションと識別する場合セキュリティ アプライアンス モデルはリモートコンピュータに SVC インストールをスキップするためにウィンドウのリンクを示す間、SVC をダウンロードします。

ダウンロードした後、SVC はそれ自身をインストールし、設定し、次に接続が終了するとき SVC はリモートコンピュータから残るか、または設定によって決まるそれ自身をアンインストールします。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/100925/asa7x-svc-config01.gif

注: この設定で使用している IP アドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。 これらは RFC 1918 leavingcisco.com アドレスであり、ラボ環境で使用されたものです。

ASDM を使用する ASA コンフィギュレーション 5.2(2)

示されているように分割トンネリングで ASA の SSL VPN を設定するためにこれらのステップを完了して下さい:

  1. 資料はインターフェイスコンフィギュレーションのような基本設定が等既に作成され、きちんとはたらいていることを仮定します。

    注: ASA を ASDM で設定できるようにするには、『ASDM 用の HTTPS アクセスの許可』を参照してください。

    注: ポート番号を変更しなければ WebVPN および ASDM は同じ ASA インターフェイスで有効に することができません。 詳細については、『ASA の同じインターフェイスで有効になる ASDM および WebVPN』(英語)を参照してください。

  2. > IPアドレス管理 > IP プール IP アドレス プールを作成するために Configuration > VPN の順に選択 して下さい: VPN クライアントのための vpnpool

    asa7x-svc-config02.gif

    [Apply] をクリックします。

  3. WebVPN を有効に して下さい

    1. Configuration > VPN > WebVPN > WebVPN Access の順に選択 し、マウスが付いている outside インターフェイスを強調表示し、『Enable』 をクリック して下さい。 ドロップするを有効に するために WebVPN Login ページ チェックボックスのイネーブル トンネル グループ ドロップダウン リストをそれぞれ の グループを選択するようですユーザ向けのログイン ページに、チェックして下さい。

      /image/gif/paws/100925/asa7x-svc-config03.gif

      [Apply] をクリックします。

    2. > WebVPN > SSL VPN クライアント > Add SSL VPN クライアント イメージを示されているように ASA のフラッシュ メモリから追加するために Configuration > VPN の順に選択 して下さい。

      asa7x-svc-config04.gif

      [OK] をクリックします。

      asa7x-svc-config05.gif

      [OK] をクリックします。

      SSL VPN クライアント チェックボックスをクリックして下さい。

      /image/gif/paws/100925/asa7x-svc-config06.gif

      [Apply] をクリックします。

      同等の CLI 設定:

      Cisco ASA 7.2(2)
      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#svc image disk0:/sslclient-win-1.1.4.179.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#svc enable
      

  4. グループ ポリシーを設定して下さい

    1. 内部 グループ ポリシー clientgroup を作成するために > Add (内部 グループ ポリシー)を Configuration > VPN > General > Group Policy の順に選択 して下さい。 一般の下で、トンネリング プロトコルとして WebVPN を有効に するために WebVPN チェックボックスを選択して下さい。

      /image/gif/paws/100925/asa7x-svc-config07.gif

    2. パラメータが選択して下さいクライアントコンフィギュレーション > 一般クライアントで記録し、スプリットトンネル ポリシーのための受継ボックスをチェックを外し、ドロップダウン リストから下記のトンネル ネットワーク リストを

      [Split Tunnel Network List] の [Inherit] ボックスをオフにし、[Manage] をクリックして ACL Manager を起動します。

      /image/gif/paws/100925/asa7x-svc-config08.gif

      ACL Manager で、[Add] > [Add ACL...] の順に選択して、新しいアクセス リストを作成します。

      /image/gif/paws/100925/asa7x-svc-config09.gif

      ACL に名前を指定して [OK] をクリックします。

      /image/gif/paws/100925/asa7x-svc-config10.gif

      ACL 名が作成されてから、[Add] > [Add ACE] を選択して Access Control Entry(ACE; アクセス コントロール エントリ)を追加します。

      ASA の背後にある LAN に対応する ACE を定義します。 この場合、ネットワークは 10.77.241.128/26、割り当てを選択します。

      [OK] をクリックして ACL Manager を終了します。

      /image/gif/paws/100925/asa7x-svc-config11.gif

      Split Tunnel Network List で、作成した ACL が選択されていることを確認します。

      [OK] をクリックして、グループ ポリシー設定に戻ります。

      /image/gif/paws/100925/asa7x-svc-config12.gif

      メイン ページで、ASA にコマンドを送るために(必要であれば) 『Apply』 をクリック し、次に送信 して下さい

      1. 使用 SSL VPNクライアント オプションに関しては、受継チェックボックスのチェックを外し、Optionalオプション・ボタンをクリックして下さい。

        この選択はリモートクライアントがかどうか WebVPN > SSLVPN Client タブをクリックし、これらのオプションを選択するために選択するようにします:

        SVC をダウンロードしないで下さい。 Always を選択すると、SSL VPN 接続のたびにリモート ワークステーションに SVC がダウンロードされるようになります。

      2. [Keep Installer on Client System] オプションについては、[Inherit] チェック ボックスのチェックマークを外して、[Yes] オプション ボタンをクリックします。

        この操作は SVC ソフトウェアがクライアントマシンに残るようにします; 従ってクライアントに SVC ソフトウェアをダウンロードするために接続がなされるたびに、ASA が必要となりません。 このオプションは、社内ネットワークに頻繁にアクセスするリモート ユーザが選択するのに適しています。

      3. Renegotiation Interval オプションについては、[Inherit] チェック ボックスのチェックマークを外して、さらに [Unlimited] チェック ボックスのチェックマークを外します。そしてキーの再生成が行われるまでの時間(分)を入力します。

        セキュリティはキーは有効であること時間いっぱいを制限したとき強化されます。

      4. [Renegotiation Method] オプションで、[Inherit] チェック ボックスをオフにして、[SSL] オプション ボタンをオンにします。 再ネゴシエーションは、現在の SSL トンネルまたは再ネゴシエーション用に明示的に作成された新しいトンネルを使用できます。

        SSL VPN クライアントの属性は次の図で示すように設定することになります。

        /image/gif/paws/100925/asa7x-svc-config13.gif

    3. [OK] をクリックし、次に [Apply] をクリックします。

      asa7x-svc-config14.gif

      同等の CLI 設定:

      Cisco ASA 7.2(2)
      ciscoasa(config)#access-list split-tunnel standard permit 10.77.241.128 255.255.255.1922
       ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policyclientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
      ciscoasa(config-group-policy)#split-tunnel-network-list value split-tunnel
      ciscoasa(config-group-policy)#webvpn
      ciscoasa(config-group-webvpn)#svc required
      ciscoasa(config-group-webvpn)#svc keep-installer installed
      ciscoasa(config-group-webvpn)#svc rekey time 30
      ciscoasa(config-group-webvpn)#svc rekey method ssl
      

  5. > 一般の > Users > Add 新規 ユーザ ユーザー アカウント ssluser1 を作成するために Configuration > VPN の順に選択 して下さい。 [OK] をクリックし、次に [Apply] をクリックします。

    asa7x-svc-config15.gif

    同等の CLI 設定:

    Cisco ASA 7.2(2)
    ciscoasa(config)#username ssluser1 password asdmASA@

  6. デフォルト サーバグループ ローカルを修正し、16 として最大試み値のイネーブル ローカルユーザ ロックアウト チェックボックスを選択するためにグループ > Edit を Configuration > Properties > AAA Setup > AAA Servers の順に選択 して下さい。

    /image/gif/paws/100925/asa7x-svc-config16.gif

    同等の CLI 設定:

    Cisco ASA 7.2(2)
    ciscoasa(config)#aaa local authentication 
    				  attempts max-fail 16
    

  7. トンネル グループを設定して下さい

    新しいトンネル グループ sslgroup を作成するために > Add (WebVPN アクセス)を Configuration > VPN > General > Tunnel Group の順に選択 して下さい。

    1. 一般 > 基本的なタブで、ドロップダウン リストから clientgroup としてグループ ポリシーを選択して下さい。

      /image/gif/paws/100925/asa7x-svc-config17.gif

    2. 一般にクライアントアドレス 割り当てタブは、アドレス プールの下で、>> 利用可能なアドレス プール vpnpool を割り当てるために『Add』 をクリック します。

      asa7x-svc-config18.gif

    3. WebVPN > グループ エイリアスおよび URL タブでは、パラメータ ボックスのエイリアス名前をタイプし、>> それをログイン ページのグループ名のリストに現われさせます『Add』 をクリック して下さい。

      asa7x-svc-config19.gif

      [OK] をクリックし、次に [Apply] をクリックします。

      同等の CLI 設定:

      Cisco ASA 7.2(2)
      ciscoasa(config)#tunnel-group sslgroup type webvpn
      ciscoasa(config)#tunnel-group sslgroup general-attributes
      ciscoasa(config-tunnel-general)#address-pool vpnpool
      ciscoasa(config-tunnel-general)#default-group-policy clientgroup
      ciscoasa(config-tunnel-general)#exit
      ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
      ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable
      

  8. NAT の設定

    > 外部 IP アドレス 172.16.1.5 と変換することができる内部ネットワークから来るトラフィックのための NAT > Add > Add ダイナミック NAT ルール『Configuration』 を選択 して下さい。

    asa7x-svc-config20.gif

    メイン ページで『OK』 をクリック し、『Apply』 をクリック して下さい。

    同等の CLI 設定:

    Cisco ASA 7.2(2)
    ciscoasa(config)#global (outside) 1 172.16.1.5
    ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0
    

  9. VPN クライアントにネットワークの中からリターントラフィックのための NAT 免除を設定して下さい。

    ciscoasa(config)#access-list nonat permit ip 10.77.241.0 192.168.10.0
    ciscoasa(config)#access-list nonat permit ip 192.168.10.0 10.77.241.0
    ciscoasa(config)#nat (inside) 0 access-list nonat
    

CLI を使用する ASA 7.2(2) 設定

Cisco ASA 7.2(2)
ciscoasa#show running-config
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

access-list split-tunnel standard permit 10.77.241.128 255.255.255.192

!--- ACL for Split Tunnel network list for encryption.

access-list nonat permit ip 10.77.241.0 192.168.10.0
access-list nonat permit ip 192.168.10.0 10.77.241.0

!--- ACL to define the traffic to be exempted from NAT.

pager lines 24
mtu inside 1500
mtu outside 1500

ip local pool vpnpool 192.168.10.1-192.168.10.254


!--- The address pool for the SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. 
!--- Note: Uses an RFC 1918 range for lab setup. 
!--- Apply an address from your public range provided by your ISP.

nat (inside) 0 access-list nonat

!--- The traffic permitted in "nonat" ACL is exempted from NAT.


nat (inside) 1 0.0.0.0 0.0.0.0


access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:0
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:
timeout uauth 0:05:00 absolute
group-policy clientgroup internal


!--- Create an internal group policy "clientgroup".


group-policy clientgroup attributes
 vpn-tunnel-protocol webvpn


!--- Enable webvpn as tunneling protocol.


 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-tunnel


!--- Encrypt the traffic specified in the split tunnel ACL only.


 webvpn
  svc required
  

!--- Activate the SVC under webvpn mode.


svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, 
!--- they renegotiate the crypto keys and initialization vectors, 
!--- and increase the security of the connection.


svc rekey time 30


!--- Command that specifies the number of minutes 
!--- from the start of the session until the rekey takes place, 
!--- from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation 
!--- takes place during SVC rekey. 



username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create an user account "ssluser1".


aaa local authentication attempts max-fail 16


!--- Enable the AAA local authentication.


http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group sslgroup type webvpn


!--- Create a tunnel group "sslgroup" with type as WebVPN.


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created.


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created.


tunnel-group sslgroup webvpn-attributes

 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users.


telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface.


 svc image disk0:/sslclient-win-1.1.4.179.pkg 1


!--- Assign an order to the SVC image.


 svc enable


!--- Enable the security appliance to download 
!--- SVC images to remote computers.


 tunnel-group-list enable


!--- Enable the display of the tunnel-group list 
!--- on the WebVPN Login page.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa#

SVC との SSL VPN 接続の確立

ASA が付いている SSL VPN 接続を確立するためにこれらのステップを完了して下さい。

  1. 示されているように形式の Webブラウザの ASA の WebVPN インターフェイスの URL か IP アドレスを入力して下さい。

    https://url

    または

    https://<IP address of the ASA WebVPN interface>

    /image/gif/paws/100925/asa7x-svc-config21.gif

  2. ユーザ名 および パスワードを入力し、次に廃棄リストから示されているようにそれぞれ の グループを選択して下さい。

    asa7x-svc-config22.gif

  3. ActiveX ソフトウェアはダウンロードの前のコンピュータに SVC インストールする必要があります。

    /image/gif/paws/100925/asa7x-svc-config23.gif

  4. これらのウィンドウは SSL VPN 接続が確立される前に現われます。

    /image/gif/paws/100925/asa7x-svc-config24.gif

  5. 接続が確立されればこれらのウィンドウを得ることができます。

    /image/gif/paws/100925/asa7x-svc-config25.gif

  6. 黄色いキーをクリックして下さいコンピュータのタスク バーに現われる。 これらのウィンドウは現われます SSL 接続についての情報を与える。 たとえば、192.168.10.1 は IP アドレスが 172.16.1.1 のクライアント および サーバのための割り当てIP、分割トンネリング 有効に なります、等です。

    asa7x-svc-config26.gif

    また ASA で設定される分割トンネル アクセス リストからネットワークリスト ダウンロードされます SSL によって暗号化されるセキュア ネットワークをチェックできます。

    この例では、SSL VPN クライアントは 10.77.241.128/24 に他のトラフィックはすべてトンネルを渡って暗号化されないし、送信 されないがアクセスを確保します。

    /image/gif/paws/100925/asa7x-svc-config27.gif

    asa7x-svc-config30.gif

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show webvpn svc:ASA フラッシュ メモリに格納された SVC イメージを表示します。

    ciscoasa#show webvpn svc
    1. disk0:/sslclient-win-1.1.4.179.pkg 1
      CISCO STC win2k+ 1.0.0
      1,1,4,179
      Fri 01/18/2008 15:19:49.43
    
    1 SSL VPN Client(s) installed
    
  • show vpn-sessiondb svc:現在の SSL 接続についての情報を表示します。

    ciscoasa#show vpn-sessiondb svc
    
    Session Type: SVC
    
    Username     : ssluser1
    Index        : 1
    Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
    Protocol     : SVC                    Encryption   : 3DES
    Hashing      : SHA1
    Bytes Tx     : 131813                 Bytes Rx     : 5082
    Client Type  : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
    Client Ver   : Cisco Systems SSL VPN Client 1, 1, 4, 179
    Group Policy : clientgroup
    Tunnel Group : sslgroup
    Login Time   : 12:38:47 UTC Mon Mar 17 2008
    Duration     : 0h:00m:53s
    Filter Name  :
  • show webvpn group-alias:さまざまなグループに対する設定済みのエイリアスを表示します。

    ciscoasa#show webvpn group-alias
    Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
    
  • ASDM では、ASA の WebVPN 現在のセッションについて確認するために Monitoring > VPN > VPN Statistics > Sessions の順に選択 して下さい。

    /image/gif/paws/100925/asa7x-svc-config28.gif

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

  1. vpn-sessiondb logoff name<username>:特定のユーザ名の SSL VPN セッションをログオフするコマンドです。

    ciscoasa#vpn-sessiondb logoff name ssluser1
    Called vpn_remove_uauIth: success!
    webvpn_svc_np_tear_down: no ACL
    NFO: Number of sessions with name "ssluser1" logged off : 1
    

    同様に、vpn-sessiondb logoff svc コマンドを使用すると、すべての SVC セッションを終了できます。

  2. 注: PC がスタンバイ モードまたは休止状態モードになった場合、SSL VPN 接続を終了することができます。

    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got message
    SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, etc)
    Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    
    ciscoasa#show vpn-sessiondb svc
    INFO: There are presently no active sessions
  3. debug webvpn svc <1-255>:セッションを確立するために、リアルタイムの webvpn イベントを提供します。

    Ciscoasa#debug webvpn svc 7 
    
    ATTR_CISCO_AV_PAIR: got SVC ACL: -1
    webvpn_rx_data_tunnel_connect
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 172.16.1.1'
    Processing CSTP header line: 'Host: 172.16.1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4, 179'
    Processing CSTP header line: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4,
    179'
    Setting user-agent to: 'Cisco Systems SSL VPN Client 1, 1, 4, 179'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: tacweb'
    Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
    Setting hostname to: 'tacweb'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486
    D5BC554D2'
    Processing CSTP header line: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1
    CF236DB5E8BE70B1486D5BC554D2'
    Found WebVPN cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1
    486D5BC554D2'
    WebVPN Cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486D5B
    C554D2'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0
    CSTP state = HAVE_ADDRESS
    No subnetmask... must calculate it
    SVC: NP setup
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    SVC ACL ID: -1
    vpn_put_uauth success!
    SVC: adding to sessmgmt
    SVC: Sending response
    CSTP state = CONNECTED
    
  4. ASDM で、[Monitoring] > [Logging] > [Real-time Log Viewer] > [View] を選択してリアルタイム イベントを表示します。 これらの例は ASA 172.16.1.5 を通ってインターネットで SVC 192.168.10.1 および Webサーバ 10.2.2.2 間のセッション情報について示したものです。

    asa7x-svc-config29.gif

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 100925