ルータ : Cisco 3800 シリーズ サービス統合型ルータ

CCP による IOS ルータ上の AnyConnect VPN(SSL)クライアントの設定例

2010 年 12 月 22 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 8 月 28 日) | フィードバック


概要

このドキュメントでは、Cisco Configuration Professional(CCP)を使用して Cisco AnyConnect VPN クライアントと SSL VPN on a Stick を実行するために、Cisco IOS® ルータを設定する方法について説明します。この設定は、ルータでスプリット トンネリングが許可されない特定のケースに対して適用されます。ユーザはインターネットへの接続を許可される前に直接ルータに接続されます。

SSL VPN、または WebVPN テクノロジーは、次の IOS ルータ プラットフォームでサポートされています。

  • 870、1811、1841、2801、2811、2821、2851

  • 3725、3745、3825、3845、7200、および 7301

CCP とは GUI ベースのデバイス管理ツールであり、Cisco サービス統合型ルータ、Cisco 7200 シリーズ ルータ、Cisco 7301 ルータなどの Cisco IOS ベースのアクセス ルータを設定できます。CCP は PC にインストールされ、ルータ、セキュリティ、ユニファイド コミュニケーション、ワイヤレス、WAN、および基本的な LAN 設定を GUI ベースの使いやすいウィザードによって簡略化します。

CCP 付きで注文されたルータは、ルータ フラッシュ メモリに Cisco Configuration Professional Express(CCP Express)がインストールされた状態で出荷されます。CCP Express は CCP の簡略版です。CCP Express を使用すると、ルータの LAN と WAN のインターフェイスにある基本セキュリティ機能を設定できます。CCP Express はルータ フラッシュ メモリで利用可能になっています。



前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • Microsoft Windows 2000 または XP

  • SUN JRE 1.4 以降の環境での Web ブラウザまたは ActiveX コントロール対応ブラウザ

  • クライアント上のローカルな管理者権限

  • Advanced Security イメージ -12.4(20)T 以降がインストールされた Cisco IOS ルータ

  • Cisco Configuration Professional 1.3

    Cisco Configuration Professional がまだコンピュータにロードされていない状態の場合は、ソフトウェアのダウンロードからこのソフトウェアの無料コピーを取得して、.exe(cisco-config-pro-k9-pkg-1_3-en.zip)ファイルをインストールできます。CCP のインストールと設定の詳細は、『Cisco Configuration Professional クイック スタート ガイド』(英語)を参照してください。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 12.4(24)T の Cisco IOS シリーズ 1841 ルータ

  • Cisco Configuration Professional(CCP)1.3

  • Windows 2.3.2016 用のバージョンの Cisco AnyConnect SSL VPN Client

注:このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/110608/ssl-ios-01.gif



設定前の作業

  1. CCP 用にルータを設定する必要があります。

    ライセンスに適切なセキュリティがバンドルされているルータには、CCP アプリケーションがすでにフラッシュにロードされています。ソフトウェアを取得して設定するには、『Cisco Configuration Professional クイック スタート ガイド』(英語)を参照してください。

  2. Anyconnect VPN .pkg ファイルのコピーを管理 PC にダウンロードします。



IOS での Anyconnect VPN の設定

このセクションでは、このドキュメントに記載されている機能を設定するために必要な手順を示します。次の設定例では、IOS ルータで Anyconnect VPN の動作を有効にするために CCP ウィザードを使用しています。

次のステップを実行して、Cisco IOS ルータに Anyconnect VPN を設定します。

  1. Cisco IOS ルータに Anyconnect VPN ソフトウェアをインストールし、有効にする

  2. CCP ウィザードで SSL VPN コンテキストと SSL VPN ゲートウェイを設定する

  3. Anyconnect VPN ユーザのユーザ データベースを設定する

  4. ユーザに提示するリソースを設定する



ステップ 1:IOS ルータに Anyconnect VPN ソフトウェアをインストールし、有効にする

IOS ルータに Anyconnect VPN ソフトウェアをインストールし、有効にするには、次の手順を実行します。

  1. CCP アプリケーションを起動し、[Configure] > [Security] を順に選択し、[VPN] をクリックします。

  2. [SSLVPN] を展開し、[Packages] を選択します。

    /image/gif/paws/110608/ssl-ios-02.gif

  3. Cisco SSLVPN クライアント ソフトウェアで、[Browse] をクリックします。

    [Install SSL VPN Client Package] ダイアログボックスが表示されます。

    /image/gif/paws/110608/ssl-ios-03.gif

  4. Cisco Anyconnect VPN クライアント メッセージがある場所を指定します。

    • Cisco Anyconnect VPN クライアント イメージがルータのフラッシュ内にある場合は、[Router File System] オプション ボタンをクリックしてから、[Browse] をクリックします。

    • Cisco Anyconnect VPN クライアント イメージがルータのフラッシュ内にはない場合は、[My Computer] オプション ボタンをクリックしてから、[Browse] をクリックします。

    [File Selection] ダイアログボックスが表示されます。

    /image/gif/paws/110608/ssl-ios-04.gif

  5. インストールするクライアント イメージを選択し、[OK] をクリックします。

    /image/gif/paws/110608/ssl-ios-05.gif

  6. クライアント イメージの場所を指定してから、[Install] をクリックします。

  7. [Yes] をクリックし、次に [OK] をクリックします。

  8. クライアント イメージが正常にインストールされると、次のメッセージが表示されます。

    /image/gif/paws/110608/ssl-ios-06.gif

  9. [OK] をクリックして続行します。



ステップ 2:CCP ウィザードで SSL VPN コンテキストと SSL VPN ゲートウェイを設定する

次のステップを実行して、SSL VPN コンテキストと SSL VPN ゲートウェイを設定します。

  1. [Configure] > [Security] > [VPN] を順に選択してから、[SSL VPN] をクリックします。

  2. [SSL VPN Manager] をクリックし、[Create SSL VPN] タブをクリックします。

    /image/gif/paws/110608/ssl-ios-07.gif

  3. [Create a New SSL VPN] オプション ボタンにチェックマークを付け、次に [Launch the selected task] をクリックします。

    [SSL VPN Wizard] ダイアログボックスが表示されます。

    /image/gif/paws/110608/ssl-ios-08.gif

  4. [Next] をクリックします。

    /image/gif/paws/110608/ssl-ios-09.gif

  5. 新しい SSL VPN ゲートウェイの IP アドレスを入力し、この SSL VPN コンテキストの一意の名前を入力します。

    同じ IP アドレス(SSL VPN ゲートウェイ)に異なった SSL VPN コンテキストを作成することはできますが、それぞれの名前は一意にする必要があります。この例では、次の IP アドレスを使用します。https://172.16.1.1/

  6. [Next] をクリックし、ステップ 3 へ移ります。



ステップ 3:Anyconnect VPN ユーザのユーザ データベースを設定する

認証には、AAA サーバ、ローカル ユーザ、またはその両方を使用できます。この設定例では、ローカルに作成されたユーザを認証に使用しています。

Anyconnect VPN ユーザ用のユーザ データベースを設定するには、次のステップを実行します。

  1. ステップ 2 が完了したら、[SSL VPN Wizard] の [User Authentication] ダイアログボックスにある [Locally on this router] オプション ボタンをクリックします。

    /image/gif/paws/110608/ssl-ios-10.gif

    このダイアログ ボックスで、ユーザをローカル データベースに追加できます。

  2. [Add] をクリックして、ユーザ情報を入力します。

    /image/gif/paws/110608/ssl-ios-11.gif

  3. [OK] をクリックして、必要に応じてさらにユーザを追加します。

  4. 必要なユーザを追加したら、[Next] をクリックし、ステップ 4 へ移ります。



ステップ 4:Anyconnect フル トンネルを設定する

次のステップを実行して、Anyconnect フル トンネルとユーザ用の IP アドレスのプールを設定します。

  1. 企業イントラネット リソースへの直接アクセスは Anyconnect が提供するので、URL リストを設定する必要はありません。[Configure Intranet Websites] ダイアログボックスにある [Next] ボタンをクリックします。

    /image/gif/paws/110608/ssl-ios-12.gif

  2. [Enable Full Tunnel] チェック ボックスにチェックマークが入っていることを確認します。

    /image/gif/paws/110608/ssl-ios-17.gif

  3. この SSL VPN コンテキストのクライアントが使用できる IP アドレスのプールを作成します。

    アドレスのプールは、イントラネット上で利用可能でルーティング可能なアドレスと対応している必要があります。

  4. [IP Address Pool] フィールドの隣の省略記号([...])をクリックし、[Create a new IP Pool] を選択します。

  5. [Add IP Local Pool] ダイアログボックスで、プールの名前を入力し(新規など)、[Add] をクリックします。

    /image/gif/paws/110608/ssl-ios-18.gif

  6. [Add IP address range] ダイアログボックスで、Anyconnect VPN クライアントのアドレス プールの範囲を入力し、[OK] をクリックします。

    注:12.4(20)T よりも前の場合、IP アドレス プールは、直接ルータに接続しているインターフェイスの範囲内である必要があります。異なるプール範囲を使用する場合は、必要条件を満たすために、新しいプールに関連するループバック アドレスを作成できます。

  7. [OK] をクリックします。

  8. 必ず [Install Full Tunnel Client] チェック ボックスにチェックマークを付けます。

    /image/gif/paws/110608/ssl-ios-19.gif

  9. スプリット トンネリング、スプリット DNS、ブラウザのプロキシ設定、DNS サーバと WNS サーバなどの拡張トンネル オプションを設定します。

    注:Cisco では、最小限、DNS サーバと WINS サーバを設定することを推奨しています。

      拡張トンネル オプションを設定するには、次の手順を実行します。

    1. [Advanced Tunnel Options] ボタンをクリックします。

    2. [DNS and WINS Servers] タブをクリックし、DNS サーバと WINS サーバのプライマリ IP アドレスを入力します。

      /image/gif/paws/110608/ssl-ios-19a.gif

    3. スプリット トンネリングを設定するために、[Split Tunneling] タブをクリックします。

      /image/gif/paws/110608/ssl-ios-19b.gif

      同一のインターフェイス上でセキュリティで保護されたトラフィックと保護されていないトラフィックの両方を送信する機能は、スプリット トンネリングという名前で知られています。スプリット トンネリングでは、どのトラフィックがセキュリティで保護され、そのトラフィックの宛先はどこであるかをユーザが正確に指定する必要があります。それによって、指定されたトラフィックだけがトンネル内に入り、それ以外のトラフィックはパブリック ネットワーク(インターネット)経由で暗号化されずに送信されます。

      たとえば、『ASA 8.x:ASA で AnyConnect VPN Client のスプリット トンネリングを許可するための設定例』を参照すると、Cisco AnyConnect VPN クライアントが Cisco Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)8.0.2 にトンネリングされている場合に、これらのクライアントにインターネットへのアクセスを許可する方法の手順を確認できます。

  10. 必要なオプションを設定したら、[Next] をクリックします。

  11. SSL VPN ポータル ページをカスタマイズするか、またはデフォルト値を選択します。

    [Customize SSL VPN Portal Page] では、SSL VPN ポータル ページのお客様への表示方法をカスタマイズできます。

    /image/gif/paws/110608/ssl-ios-20.gif

  12. SSL VPN ポータル ページのカスタマイズが終了したら、[Next] をクリックします。

  13. [Finish] をクリックします。

    /image/gif/paws/110608/ssl-ios-21.gif

  14. [Deliver] をクリックして設定を保存してから、[OK] をクリックします。

    SSL VPN Wizard は、ルータへ一連のコマンドを発行します。

    /image/gif/paws/110608/ssl-ios-22.gif

    注:エラー メッセージが表示された場合は、SSL VPN ライセンスに誤りがある可能性があります。

    ライセンスの問題を解決するには、次の手順を実行します。

    1. [Configure] > [Security] > [VPN] を順に選択してから、[SSL VPN] をクリックします。

    2. [SSL VPN Manager] をクリックしてから、右側にある [Edit SSL VPN] タブをクリックします。

      /image/gif/paws/110608/ssl-ios-23.gif

    3. 新規作成したコンテキストを選択して、[Edit] ボタンをクリックします。

      /image/gif/paws/110608/ssl-ios-24.gif

    4. [Maximum Number of users] フィールドで、ライセンスの正確なユーザ数を入力します。

    5. [OK] をクリックしてから、[Deliver] をクリックします。

      コマンドがコンフィギュレーション ファイルに書き込まれます。



CLI による設定

CCP は次のコマンドライン設定を作成します。

ルータ

Router#show run
Building configuration...

Current configuration : 4110 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging buffered
enable password cisco
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-1951692551
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1951692551
 revocation-check none
 rsakeypair TP-self-signed-1951692551
!
!
crypto pki certificate chain TP-self-signed-1951692551
 certificate self-signed 02
  3082023E 308201A7 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31393531 36393235 3531301E 170D3039 30383037 31303538
  33345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39353136
  39323535 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100CD40 156E21C4 4F84401A F5674319 CC05B708 72A79C69 90997D30 6F556A37
  75FC53DA AB0B43AF 70E7DBC2 C9416C4B 009C3695 67C20847 4F0BC7B0 715F0518
  5E558DFC 13A20167 5D169C47 3BC083C9 A2B66790 79B83814 5008EBF6 169FA897
  6D955F46 2BDADBB0 5275F07E C124CCF3 64DD9CE1 1B6F5744 282E4EA5 A0840385
  5FD90203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603
  551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 05F279A9
  C556AF46 C5F7A1F0 2ADD2D22 F75BF7B7 301D0603 551D0E04 16041405 F279A9C5
  56AF46C5 F7A1F02A DD2D22F7 5BF7B730 0D06092A 864886F7 0D010104 05000381
  81004886 D666121E 42862509 CA7FDACC 9C57C8BE EB6745FC 533A8C08 FEF2C007
  274374EE 803823FB 79CFD135 2B116544 88B5CFB1 B7BB03E2 F3D65A62 B0EE050A
  924D3168 98357A5B E1F15449 5C9C22D0 577FB036 A3D8BB08 5507C574 18F2F48F
  0694F21C 0983F254 6620FCD7 8E460D29 B09B87E8 ADC3D589 F4D74659 A5CEA30F 1A9C
        quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
!
multilink bundle-name authenticated
!
!
!
username test privilege 15 password 0 test
username tsweb privilege 15 password 0 tsweb
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.77.241.111 255.255.255.192
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description $ES_LAN$
 ip address 172.16.1.1 255.255.255.0
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface ATM0/0/0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Vlan1
 no ip address
!
ip local pool new 192.168.10.1 192.168.10.10
ip forward-protocol nd
ip route 10.20.10.0 255.255.255.0 172.16.1.2
ip route 10.77.233.0 255.255.255.0 10.77.241.65
ip http server
ip http authentication local
ip http secure-server
!
!
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
 transport input telnet ssh
 transport output telnet
!
scheduler allocate 20000 1000
!
webvpn gateway gateway_1
 ip address 172.16.1.1 port 443
 http-redirect port 80
 ssl trustpoint TP-self-signed-1951692551
 inservice
 !
webvpn install svc flash:/webvpn/svc_1.pkg sequence 1
 !
webvpn context sales
 secondary-color white
 title-color #CCCC66
 text-color black
 ssl authenticate verify all

 !
 !
 policy group policy_1
   
   functions svc-enabled
   
   svc address-pool "new"
   svc dns-server primary 10.1.1.1
   svc wins-server primary 10.1.1.2
 default-group-policy policy_1
 aaa authentication list ciscocp_vpn_xauth_ml_1
 gateway gateway_1
 max-users 10
 inservice
!
end



AnyConnect VPN Client 接続の確立

次の手順を実行して、ルータとの AnyConnect VPN 接続を確立します。

注:Internet Explorer の信頼済みサイトのリストにルータを追加します。詳細は、「信頼済みサイトのリスト(IE)にセキュリティ アプライアンス/ルータを追加する」(英語)を参照してください。

  1. 次に示す形式で、Web ブラウザ内でルータの WebVPN インターフェイスの URL または IP アドレスを入力します。

    https://<url>

    または

    https://<IP address of the Router WebVPN interface>

    /image/gif/paws/110608/ssl-ios-25.gif

  2. ユーザ名とパスワードを入力します。

    /image/gif/paws/110608/ssl-ios-26.gif

  3. [Start] ボタンをクリックして、Anyconnect VPN トンネル接続を開始します。

    /image/gif/paws/110608/ssl-ios-27.gif

  4. SSL VPN 接続が確立される前に次のウィンドウが表示されます。

    /image/gif/paws/110608/ssl-ios-28.gif

    注:Anyconnect VPN をダウンロードする前に ActiveX ソフトウェアをコンピュータにインストールしておく必要があります。

    クライアントが正常に接続すると、[Connection Established] メッセージが表示されます。

    /image/gif/paws/110608/ssl-ios-29.gif

  5. 接続が正常に確立されたら、[Statistics] タブをクリックします。

    [Statistics] タブに SSL 接続についての情報が表示されます。

    /image/gif/paws/110608/ssl-ios-30.gif

  6. [Details] をクリックします。

    [Cisco AnyConnect VPN Client:Statistics Detail] ダイアログボックスが表示されます。

    /image/gif/paws/110608/ssl-ios-31.gif

    [Statistics Details] ダイアログボックスには、トンネル状態とモード、接続期間、送受信されたバイトとフレームの数、アドレス情報、転送情報、Cisco Secure Desktop ポスチャ評価ステータスなどの詳細な接続統計情報が表示されます。このタブの [Reset] ボタンを押すと、送信統計情報がリセットされます。[Export] ボタンを押すと、現在の統計情報、インターフェイス、ルーティング テーブルをテキスト ファイルにエクスポートできます。AnyConnect クライアントからテキスト ファイルの名前と格納場所を入力するように要求されます。デフォルト名は AnyConnect-ExportedStats.txt であり、デフォルトの格納場所はデスクトップです。

  7. [Cisco AnyConnect VPN Client] ダイアログ ボックスで、[About] タブをクリックします。

    このタブは、Cisco AnyConnect VPN Client バージョンの情報を表示します。

    /image/gif/paws/110608/ssl-ios-32.gif



確認

このセクションでは、設定が正常に動作していることを確認します。



コマンド

いくつかの show コマンドが WebVPN に関連付けられています。これらのコマンドをコマンドライン インターフェイス(CLI)で実行して、統計情報や他の情報を表示できます。show コマンドの詳細は、『WebVPN 設定の確認』(英語)を参照してください。

注:特定の show コマンドが、アウトプットインタープリタ ツール登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

  • Router#show webvpn session context all
    WebVPN context name: sales
    Client_Login_Name  Client_IP_Address  No_of_Connections  Created  Last_Used
    test               10.20.10.2                 3         00:03:10  00:02:56
  • Router#show webvpn session user test context sales
    WebVPN user name = test ; IP address = 10.20.10.2 ; context = sales
        No of connections: 0
        Created 00:26:05, Last-used 00:25:24
        User Policy Parameters
          Group name = policy_1
        Group Policy Parameters
          url list name = "webserver"
          idle timeout = 2100 sec
          session timeout = Disabled
          functions =
                    mask-urls
                    svc-enabled
    
          citrix disabled
          address pool name = "new"
          dpd client timeout = 300 sec
          dpd gateway timeout = 300 sec
          keepalive interval = 30 sec
          SSLVPN Full Tunnel mtu size = 1406 bytes
          keep sslvpn client installed = enabled
          rekey interval = 3600 sec
          rekey method =
          lease duration = 43200 sec
  • Router#show webvpn stats
    User session statistics:
        Active user sessions     : 1          AAA pending reqs         : 0
        Peak user sessions       : 2          Peak time                : 00:00:52
        Active user TCP conns    : 0          Terminated user sessions : 2
        Session alloc failures   : 0          Authentication failures  : 1
        VPN session timeout      : 0          VPN idle timeout         : 0
        User cleared VPN sessions: 0          Exceeded ctx user limit  : 0
        Exceeded total user limit: 0
        Client process rcvd pkts : 108        Server process rcvd pkts : 0
        Client process sent pkts : 589        Server process sent pkts : 0
        Client CEF received pkts : 76         Server CEF received pkts : 0
        Client CEF rcv punt pkts : 0          Server CEF rcv punt pkts : 0
        Client CEF sent pkts     : 0          Server CEF sent pkts     : 0
        Client CEF sent punt pkts: 0          Server CEF sent punt pkts: 0
    
        SSLVPN appl bufs inuse   : 0          SSLVPN eng  bufs inuse   : 0
        Active server TCP conns  : 0
    
    Mangling statistics:
        Relative urls            : 0          Absolute urls            : 0
        Non-http(s) absolute urls: 0          Non-standard path urls   : 0
        Interesting tags         : 0          Uninteresting tags       : 0
        Interesting attributes   : 0          Uninteresting attributes : 0
        Embedded script statement: 0          Embedded style statement : 0
        Inline scripts           : 0          Inline styles            : 0
        HTML comments            : 0          HTTP/1.0 requests        : 0
        HTTP/1.1 requests        : 9          Unknown HTTP version     : 0
        GET requests             : 9          POST requests            : 0
        CONNECT requests         : 0          Other request methods    : 0
        Through requests         : 0          Gateway requests         : 9
        Pipelined requests       : 0          Req with header size >1K : 0
        Processed req hdr bytes  : 2475       Processed req body bytes : 0
        HTTP/1.0 responses       : 0          HTTP/1.1 responses       : 0
        HTML responses           : 0          CSS responses            : 0
        XML responses            : 0          JS responses             : 0
        Other content type resp  : 0          Chunked encoding resp    : 0
        Resp with encoded content: 0          Resp with content length : 0
        Close after response     : 0          Resp with header size >1K: 0
        Processed resp hdr size  : 0          Processed resp body bytes: 0
        Backend https response   : 0          Chunked encoding requests: 0
    
    HTTP Authentication stats :
        Successful NTLM Auth     : 0          Failed NTLM Auth         : 0
        Successful Basic Auth    : 0          Failed Basic Auth        : 0
        Unsupported Auth         : 0          Unsup Basic HTTP Method  : 0
        NTLM srv kp alive disabld: 0          NTLM Negotiation Error   : 0
        Oversize NTLM Type3 cred : 0          Internal Error           : 0
        Num 401 responses        : 0          Num non-401 responses    : 0
        Num Basic forms served   : 0          Num NTLM forms served    : 0
        Num Basic Auth sent      : 0          Num NTLM Auth sent       : 0
    
    CIFS statistics:
      SMB related Per Context:
        TCP VC's                 : 0          UDP VC's                 : 0
        Active VC's              : 0          Active Contexts          : 0
        Aborted Conns            : 0
      NetBIOS related Per Context:
        Name Queries             : 0          Name Replies             : 0
        NB DGM Requests          : 0          NB DGM Replies           : 0
        NB TCP Connect Fails     : 0          NB Name Resolution Fails : 0
      SMB related Global:
        Sessions in use          : 0          Mbufs in use             : 0
        Mbuf Chains in use       : 0          Active VC's              : 0
        Active Contexts          : 0          Browse Errors            : 0
        Empty Browser List       : 0          NetServEnum Errors       : 0
        Empty Server List        : 0          NBNS Config Errors       : 0
        NetShareEnum Errors      : 0
      HTTP related Per Context:
        Requests                 : 0          Request Bytes RX         : 0
        Request Packets RX       : 0          Response Bytes TX        : 26286
        Response Packets TX      : 33         Active Connections       : 0
        Active CIFS context      : 0          Requests Dropped         : 0
      HTTP related Global:
        Server User data         : 0          CIFS User data           : 0
        Net Handles              : 0          Active CIFS context      : 0
        Authentication Fails     : 0          Operations Aborted       : 0
        Timers Expired           : 0          Pending Close            : 0
        Net Handles Pending SMB  : 0          File Open Fails          : 0
        Browse Network Ops       : 0          Browse Network Fails     : 0
        Browse Domain Ops        : 0          Browse Domain Fails      : 0
        Browse Server Ops        : 0          Browse Server Fails      : 0
        Browse Share Ops         : 0          Browse Share Fails       : 0
        Browse Dir Ops           : 0          Browse Network Fails     : 0
        File Read Ops            : 0          File Read Fails          : 0
        File Write Ops           : 0          File Write Fails         : 0
        Folder Create Ops        : 0          Folder Create Fails      : 0
        File Delete Ops          : 0          File Delete Fails        : 0
        File Rename Ops          : 0          File Rename Fails        : 0
        URL List Access OK       : 0          URL List Access Fails    : 0
    
    Socket statistics:
        Sockets in use           : 1          Sock Usr Blocks in use   : 1
        Sock Data Buffers in use : 0          Sock Buf desc in use     : 0
        Select timers in use     : 1          Sock Select Timeouts     : 0
        Sock Tx Blocked          : 0          Sock Tx Unblocked        : 0
        Sock Rx Blocked          : 0          Sock Rx Unblocked        : 0
        Sock UDP Connects        : 0          Sock UDP Disconnects     : 0
        Sock Premature Close     : 0          Sock Pipe Errors         : 12
        Sock Select Timeout Errs : 0
    
    Port Forward statistics:
      Client                                Server
        proc pkts                : 0          proc pkts                 : 0
        proc bytes               : 0          proc bytes                : 0
        cef pkts                 : 0          cef pkts                  : 0
        cef bytes                : 0          cef bytes                 : 0
    
    WEBVPN Citrix statistics:
    
                   Server                   Client
      Packets in  : 0                        0
      Packets out : 0                        0
      Bytes in    : 0                        0
      Bytes out   : 0                        0
    
    ACL statistics:
        Permit web request       : 0          Deny web request         : 0
        Permit cifs request      : 0          Deny cifs request        : 0
        Permit without ACL       : 0          Deny without match ACL   : 0
        Permit with match ACL    : 0          Deny with match ACL      : 0
    
    Single Sign On statistics:
        Auth Requests            : 0          Pending Auth Requests    : 0
        Successful Requests      : 0          Failed Requests          : 0
        Retranmissions           : 0          DNS Errors               : 0
        Connection Errors        : 0          Request Timeouts         : 0
        Unknown Responses        : 0
    
    URL-rewrite splitter statistics:
        Direct access request    : 0          Redirect request         : 0
        Internal request         : 0
    
    Tunnel Statistics:
        Active connections       : 0
        Peak connections         : 1          Peak time                : 00:34:51
        Connect succeed          : 3          Connect failed           : 0
        Reconnect succeed        : 0          Reconnect failed         : 0
        DPD timeout              : 0
      Client                                Server
        in  CSTP frames          : 32         out IP pkts              : 5
        in  CSTP data            : 5
        in  CSTP control         : 27
        in  CSTP bytes           : 1176       out IP bytes             : 805
        out CSTP frames          : 4          in  IP pkts              : 0
        out CSTP data            : 0
        out CSTP control         : 4
        out CSTP bytes           : 32         in  IP bytes             : 0
        cef in CSTP data frames  : 0          cef out forwarded pkts   : 0
        cef in CSTP data bytes   : 0          cef out forwarded bytes  : 0
        cef out CSTP data frames : 0          cef in forwarded pkts    : 0
        cef out CSTP data bytes  : 0          cef in forwarded bytes   : 0
  • CCP で [Monitoring] > [Security] > [VPN Status] > [SSL VPN] > [Users] を順に選択して、ルータの現在の SSL VPN ユーザ リストを表示します。

    /image/gif/paws/110608/ssl-ios-33.gif

  • [Monitoring] > [Security] > [VPN Status] > [SSL VPN] > [Sales] を選択して、ルータの現在の SSL VPN セッション情報を表示します。

    /image/gif/paws/110608/ssl-ios-34.gif



トラブルシューティング

このセクションは、設定のトラブルシューティングを行う際に参照してください。



SSL の接続の問題

問題:SSL VPN クライアントがルータに接続できない。

解決策:IP アドレス プール内に IP アドレスが足りない場合、この問題が引き起こされる可能性があります。この問題を解決するには、ルータの IP アドレスのプールで、IP アドレスの数を増やしてください。

AnyConnect VPN Client のトラブルシューティングについての詳細は、『AnyConnect VPN Client に関する FAQ』を参照してください。



エラー:SSLVPN Package SSL-VPN-Client :installed Error:Disk

問題:ルータに SVC パッケージをインストールするときに、「SSLVPN Package SSL-VPN-Client :installed Error:Disk」というエラー メッセージが表示されます。

解決策:このエラーは、フラッシュを再フォーマットすることによって解決することがあります。



トラブルシューティングのためのコマンド

いくつかの clear コマンドは、WebVPN に関連しています。これらのコマンドの詳細については、『WebVPN の Clear コマンドの使用』(英語)を参照してください。

いくつかの debug コマンドは、WebVPN に関連しています。これらのコマンドの詳細については、『WebVPN Debug コマンドの使用』(英語)を参照してください。

注:debug コマンドを使用すると、Cisco デバイスに悪影響が及ぶ可能性があります。debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 110608