セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

PIX/ASA: IPsec VPN Client 自動更新機能の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料に Cisco ASA 5500 シリーズ適応性があるセキュリティ アプライアンス モデルおよび Cisco PIX 500 シリーズ セキュリティ アプライアンスの Cisco VPN Client 自動アップデート 機能を設定する方法を記述されています。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA 5500 シリーズ適応性があるセキュリティ アプライアンス モデルはバージョン 7.x および それ 以降を実行します

  • Cisco PIX 500 シリーズ セキュリティ アプライアンス実行バージョン 7.x および それ 以降

  • Cisco Adaptive Security Device Manager (ASDM)バージョン 5.x および それ 以降

  • Cisco VPN Client 4.x およびそれ以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

CLI で Windows のためのクライアントアップデートの設定方法

クライアントアップデート 機能はセントラルロケーションでそれが VPN クライアント ソフトウェアおよび VPN 3002 Hardware Client イメージをアップデートする時間のとき管理者が VPN クライアント ユーザに通知することを自動的に可能にします。

クライアントアップデートを設定するためにトンネル グループ ipsec 属性コンフィギュレーションモードのクライアントアップデート コマンドを発行して下さい。 クライアントが既にリビジョン番号のリストのソフトウェア バージョンを実行している場合、ソフトウェアをアップデートする必要はありません。 クライアントがリストのソフトウェア バージョンを実行しない場合、アップデートする必要があります。 4 つまでのクライアントアップデート エントリを規定できます。

コマンドの構文は次のとおりです。

client-update type type {url url-string} {rev-nums rev-nums} 
no client-update [type]
  • revnums revnums —このクライアントのためのソフトウェアかファームウェアイメージを規定 します。 4 つまで、カンマで分けられて入力して下さい。

  • type — オペレーティング システムをクライアントアップデートの知らせるために規定 します。 オペレーティング システムのリストはこれらで構成します:

    • Microsoft Windows: すべての Windowsベース プラットフォーム

    • WIN9X: Windows 95、Windows 98 および Windows ME プラットフォーム

    • WinNT: Windows NT 4.0、Windows 2000 および Windows XP プラットフォーム

    • vpn3002: VPN 3002 Hardware Client

  • URL URLストリング—ソフトウェア/ファームウェアイメージのための URL を規定 します。 この URL はクライアントのために適切なファイルを指す必要があります。

この例は remotegrp と問い合わせられるリモートアクセス トンネル グループのためのクライアントアップデート パラメータを設定したものです。 それは https://support/updates であるアップデートの検索のためのリビジョン番号 4.6.1 および URL を指定します。

ASA
hostname(config)#tunnel-group remotegrp type ipsec_ra
hostname(config)#tunnel-group remotegrp ipsec-attributes
hostname(config-ipsec)#client-update type windows url 
https://support/updates/rev-nums 4.6.1

ASDM で Windows のためのクライアントアップデートの設定方法

このドキュメントは、インターフェイス設定などの基本設定がすでに行われていて適切に動作していることを前提としています。

ASDM のための HTTPS アクセスを ASA が ASDM によって設定されるように許可することを参照して下さい

ASDM は 2 種類のクライアントアップデートを取囲みます: トンネル グループを通して Windows クライアントおよび VPN 3002 Hardware Clients をサポートする 1 つ、および Auto Update Server として機能する ASA デバイスをサポートする他。

リモートユーザは旧式 VPN ソフトウェアかハードウェアクライアント バージョンを使用できます。 これらの機能をするためにクライアントアップデートをいつでも行うことができます:

  • クライアント 修正をアップデートするイネーブル。

  • アップデートが適用するクライアントの種類およびリビジョン番号を規定 して下さい。

  • アップデートを受け取るため IP アドレスか URL を提供します。

  • 任意で VPN クライアント バージョンをアップデートする必要があること Windows クライアント の ユーザに通知して下さい。

  • Windows クライアントの場合、ユーザ向けにアップデートを達成するためにメカニズムを提供できます。

  • VPN 3002 Hardware Client ユーザ向けに、アップデートは通知無しで、自動的に実行されます。

クライアントアップデートを設定するためにこれらのステップを完了して下さい:

  1. > 全般 > クライアントアップデート クライアントアップデート ウィンドウに行くために Configuration > VPN の順に選択 して下さい。 クライアントアップデート ウィンドウは開きます。

    1. クライアントアップデートを有効に するためにイネーブル クライアントアップデート チェックボックスをチェックして下さい。

    2. クライアントアップデートを加えたいと思うクライアントの種類を選択して下さい。 利用可能 な クライアント の タイプすべて Windowsベース、Windows 95、98 または ME、Windows NT 4.0、2000 年または XP および VPN 3002 Hardware Client はです

      クライアントが既にリビジョン番号のリストのソフトウェア バージョンを実行している場合、ソフトウェアをアップデートする必要はありません。 クライアントがリストのソフトウェア バージョンを実行しない場合、アップデートする必要があります。 これらのクライアントアップデート エントリの 3 まで規定できます。 すべての Windows ベースの選択は正当な Windows プラットフォームすべてをカバーします。 これを選択する場合、個々の Windows クライアント の タイプを規定 しない で下さい。

    3. 更新済ソフトウェアにおける受諾可能なクライアント 修正およびソースまたはクライアントアップデートのためのファームウェアイメージを規定 するために『Edit』 をクリック して下さい。

      /image/gif/paws/105606/vpn-client-auto-update01.gif

  2. 編集クライアントアップデート エントリ ウィンドウはクライアント の タイプ選択を現われ、表示します。

    /image/gif/paws/105606/vpn-client-auto-update02.gif

  3. 全体のセキュリティ アプライアンス モデルを渡る選択されたタイプのすべてのクライアントに加えたいと思うクライアントアップデートを規定 して下さい。 すなわち、更新済イメージを表示するため、およびそのクライアントのための受諾可能なリビジョン番号または数クライアントの種類、URL または IP アドレス 規定 して下さい。 カンマで分かれる 4 つまでのリビジョン番号を規定できます。 エントリは適切なカラムに『OK』 をクリック した後クライアント Upgrade ウィンドウの表を現われます。

    クライアント リビジョン番号が規定 された リビジョン番号の 1 つと一致する場合、クライアントをアップデートする必要がありません。

    注: すべての Windows クライアントに関しては、URL のためにプレフィクスとしてプロトコル http:// か https:// を使用して下さい。 VPN 3002 Hardware Client に関しては、プロトコル tftp:// を代りに規定 して下さい。

    それは古い修正を実行しているリモートアクセス トンネル グループのすべての Windows クライアントのためのクライアントアップデートをより 4.6.1 始め、https://support/updates としてアップデートの検索のための URL を規定 します:

    /image/gif/paws/105606/vpn-client-auto-update03.gif

    また、かどうかステップ 1-c 表示できるすべての Windows クライアントのよりもむしろ個々のクライアント の タイプのためのクライアントアップデートをちょうど、設定できます。

    ユーザ 介入のない VPN 3002 クライアント アップデートおよびユーザは通知 メッセージを受け取りません。

    URL の終わりにアプリケーション 名を含んでいる場合ブラウザをアプリケーションを開始して自動的にもらうことができます; 例: https://support/updates/vpnclient.exe。

  4. 任意で、クライアントをアップデートする必要がある旧式 Windows クライアントを持つアクティブユーザに表記を送信できます。 この注意を送信 するためにクライアントアップデート ウィンドウのライブ クライアントアップデート エリアを使用して下さい。 トンネル グループ(またはすべてを)選択し、『Update now』 をクリック して下さい。 ダイアログボックスは図に示され、アップグレードについての接続されたクライアントを知らせたいと思うことを確認するように頼みます。

    /image/gif/paws/105606/vpn-client-auto-update04.gif

    指定ユーザはそれらにブラウザを起動させ、URL で規定 した サイトから更新済ソフトウェアをダウンロードする機会を提供するポップアップ ウィンドウを見ます。 設定できるこのメッセージの唯一の一部は URL です。 (ステップ 1-b か 1-c を参照して下さい。) 非アクティブであるユーザは通知 メッセージを得ます次にログオンする。 すべてのトンネル グループのすべてのアクティブなクライアントにこの表記を送信できますまたは特定 の トンネル グループのクライアントにそれを送信できます。

    クライアント リビジョン番号が規定 された リビジョン番号の 1 つと一致する場合、クライアントをアップデートする必要がないし通知 メッセージはユーザに送信 されません。 ユーザ 介入のない VPN 3002 クライアント アップデートおよびユーザは通知 メッセージを受け取りません。

確認

現在、この設定に使用できる確認手順はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 105606