セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 8.x:公衆インターネット VPN on a Stick のための AnyConnect VPN Client の設定例

2011 年 3 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 4 月 7 日) | フィードバック


概要

このドキュメントでは、Cisco AnyConnect VPN Client と SSL VPN on a Stick を実行するために、Adaptive Security Appliance (ASA) 8.0.2 を設定する方法について説明します。この設定は、ASA でスプリット トンネリングが許可されない特定のケースに対して適用されます。ユーザはインターネットへの接続許可が得される前に直接 ASA に接続されます。

注:ネットワークでの IP アドレスのオーバーラップを避けるために、IP アドレスの完全に異なるプールを VPN Client に割り当ててください(たとえば、10.x.x.x、172.16.x.x および 192.168.x.x)。この IP アドレッシング方式は、ネットワークのトラブルシューティングに役立ちます。

ヘアピニングまたは U ターン

この機能は、あるインターフェイスに着信した後に同じインターフェイスからルーティングされる VPN トラフィックに対して便利な機能です。たとえば、ハブ アンド スポークの VPN ネットワークを構築していて、セキュリティ アプライアンスがハブであり、リモート VPN ネットワークがスポークであるとします。あるスポークが他のスポークと通信するためには、トラフィックがセキュリティ アプライアンスに着信した後、他のスポーク宛てに再び発信される必要があります。

トラフィックが同じインターフェイスから発着信できるようにするには、same-security-traffic コマンドを使用します。

securityappliance(config)#same-security-traffic permit intra-interface


前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • ハブ ASA セキュリティ アプライアンスはバージョン 8.x を稼働する必要があります。

  • Cisco AnyConnect VPN Client 2.x

    注:シスコの「ソフトウェア ダウンロード」ページ(登録ユーザ専用)から、AnyConnect VPN Client パッケージ(anyconnect-win*.pkg)をダウンロードします。AnyConnect VPN Client を ASA のフラッシュ メモリにコピーします。これは、ASA との SSL VPN 接続を確立するためにリモート ユーザ コンピュータにダウンロードされます。詳細は、ASA のコンフィギュレーション ガイドの「AnyConnect Client のインストール」セクションを参照してください。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 8.0(2) が稼働している Cisco 5500 シリーズ ASA

  • Windows 2.0.0343 用のバージョンの Cisco AnyConnect SSL VPN Client

  • Microsoft Windows Vista、Windows XP、または Windows 2000 Professional が稼働している PC

  • Cisco Adaptive Security Device Manager(ASDM)バージョン 6.0(2)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景説明

Cisco AnyConnect VPN Client は、リモート ユーザのためにセキュリティ アプライアンスへのセキュアな SSL 接続を提供しています。以前にインストールしたクライアントがない場合、リモート ユーザは SSL VPN 接続を受け入れるように設定したインターフェイスのブラウザに IP アドレスを入力します。セキュリティ アプライアンスが http:// 要求を https:// にリダイレクトするように設定されていない場合、ユーザは https://<address> の形式で URL を入力する必要があります。

URL を入力した後、ブラウザは、そのインターフェイスに接続し、ログイン画面を表示します。ユーザがログインと認証を満たし、セキュリティ アプライアンスがそのユーザをクライアントを要求しているものと認識した場合、セキュリティ アプライアンスはリモート コンピュータのオペレーティング システムに一致するクライアントをダウンロードします。ダウンロード後、クライアントは自身をインストールして設定し、セキュアな SSL 接続を確立して、接続が終了したときに自身を残すか、アンインストールします(これは、セキュリティ アプライアンスの設定に従います)。

以前にインストールされているクライアントの場合、ユーザが認証を行うと、セキュリティ アプライアンスはクライアントのリビジョンを調査して、必要に応じてクライアントをアップグレードします。

クライアントは、セキュリティ アプライアンスと SSL VPN 接続をネゴシエートすると、Transport Layer Security(TLS)を使って接続し、オプションで Datagram Transport Layer Security(DTLS)に接続します。DTLS は、SSL 接続の一部に関連する遅延と帯域幅の問題を回避し、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスを向上させます。

AnyConnect クライアントは、セキュリティ アプライアンスからダウンロードすることも、システム管理者がリモートの PC に手動でインストールすることもできます。クライアントを手動でインストールする方法の詳細については、『Cisco AnyConnect VPN Client アドミニストレータ ガイド』を参照してください。

セキュリティ アプライアンスは、グループ ポリシーや接続を確立するユーザのユーザ名属性に基づいてクライアントをダウンロードします。セキュリティ アプライアンスは、クライアントを自動的にダウンロードするように設定することも、クライアントをダウンロードするかどうかをユーザにプロンプトで表示してから設定することもできます。後者の場合、ユーザが応答しないときには、タイムアウト期間が経過した後にクライアントをダウンロードするか、ログイン ページを表示するか、いずれかを実行するようにセキュリティ アプライアンスを設定できます。



設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。



ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/100918/asa8x-anyconnect-vpn-config1.gif

注:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。これらは、ラボ環境で使用された RFC 1918 leavingcisco.com のアドレスです。



ASDM 6.0(2) を使用した ASA 8.0(2) の設定

このドキュメントは、インターフェイス設定などの基本設定がすでに行われていて適切に動作していることを前提としています。

注:ASA を ASDM で設定できるようにするには、「ASDM で HTTPS アクセスを許可する」を参照してください。

注:ASA はバージョン 8.0(2) から、クライアントレス SSL VPN(WebVPN)セッションと ASDM 管理セッションを同時に outside インターフェイスのポート 443 でサポートします。8.0(2) よりも前のバージョンでは、WebVPN と ASDM は、ポート番号を変更しない限り、同じ ASA インターフェイス上でイネーブルにはできません。詳細は、「ASA の同じインターフェイスでイネーブルになる ASDM および WebVPN」を参照してください。

ASA 上で SSL VPN on a stick を設定するには、次の手順を実行します。

  1. [Configuration] > [Device Setup] > [Interfaces] を選択し、[Enable traffic between two or more hosts connected to the same interface] チェックボックスにチェック マークを付けて、SSL VPN トラフィックが同じインターフェイスに発着信できるようにします。[Apply] をクリックします。

    asa8x-anyconnect-vpn-config2.gif

    同等の CLI 設定:

    Cisco ASA 8.0(2)

    ciscoasa(config)#same-security-traffic permit intra-interface
    

  2. [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Management] > [Address Pools] > [Add] を選択し、IP アドレス プール vpnpool を作成します。

    asa8x-anyconnect-vpn-config3.gif

  3. [Apply] をクリックします。

    同等の CLI 設定:

    Cisco ASA 8.0(2)

    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
    

  4. WebVPN をイネーブルにします。

    1. [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [SSL VPN Connection Profiles] を選択し、[Access Interfaces] の下で、Outside インターフェイスに対して [Allow Access] と [Enable DTLS] のチェックボックスにチェックマークを付けます。また、[Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interface selected in the table below] チェックボックスにチェック マークを付けて、Outside インターフェイスで SSL VPN をイネーブルにします。

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config4.gif

    2. [Apply] をクリックします。

    3. [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [SSL VPN] > [Client Settings] > [Add] を選択し、次に示すように Cisco AnyConnect VPN のクライアント イメージを ASA のフラッシュ メモリから追加します。

      asa8x-anyconnect-vpn-config5.gif

    4. [OK] をクリックします。

      asa8x-anyconnect-vpn-config6.gif

    5. [OK] をクリックします。

      asa8x-anyconnect-vpn-config7.gif

      同等の CLI 設定:

      Cisco ASA 8.0(2)

      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#svc enable
      

  5. グループ ポリシーを設定します。

    1. [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択し、内部グループ ポリシー clientgroup を作成します。[General] タブの下で、[SSL VPN Client] チェックボックスにチェック マークを付けて、トンネリング プロトコルとして WebVPN をイネーブルにします。

      asa8x-anyconnect-vpn-config8.gif

    2. [Advanced] > [Split Tunneling] で、ポリシーのドロップ ダウン リストから [Tunnel All Networks] を選択し、リモート PC からのすべてのパケットが、セキュア トンネルを通過できるようにします。

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config9.gif

    3. グループ ポリシー モードで SSL VPN を設定します。

      1. [Keep Installer on Client System] オプションで、[Inherit] チェックボックスをオフにして、[Yes] オプション ボタンにチェックマークを付けます。

        この操作によって、SVC ソフトウェアはクライアント マシン上に留まります。これにより、ASA は接続が確立するたびに SVC ソフトウェアをクライアントにダウンロードする必要がなくなります。このオプションは、社内のネットワークに頻繁にアクセスするリモート ユーザにとってはよい選択です。

        asa8x-anyconnect-vpn-config10.gif

      2. [Login Setting] をクリックして、次に示すように [Post Login Setting] と [Default Post Login Selection] を設定します。

        asa8x-anyconnect-vpn-config11.gif

      3. [Renegotiation Interval] オプションでは、[Inherit] チェックボックスと [Unlimited] チェックボックスをオフにして、再入力までの分数を入力します。

        セキュリティは、キーが有効である時間に制限を設けることで強化されます。

      4. [Renegotiation Method] オプションで、[Inherit] チェックボックスをオフにして、[SSL] オプション ボタンにチェックマークを付けます。

        再ネゴシエーションは、現在の SSL トンネルまたは再ネゴシエーション用に明示的に作成された新しいトンネルを使用できます。

        asa8x-anyconnect-vpn-config12.gif

    4. [OK] をクリックし、次に [Apply] をクリックします。

      asa8x-anyconnect-vpn-config13.gif

      同等の CLI 設定:

      Cisco ASA 8.0(2)

      ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policyclientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelall
      ciscoasa(config-group-policy)#webvpn
      ciscoasa(config-group-webvpn)#svc ask none default svc
      ciscoasa(config-group-webvpn)#svc keep-installer installed
      ciscoasa(config-group-webvpn)#svc rekey time 30
      ciscoasa(config-group-webvpn)#svc rekey method ssl
      

  6. [Configuration] > [Remote Access VPN] > [AAA Setup] > [Local Users] > [Add] を選択し、新しいユーザ アカウント ssluser1 を作成します。[OK] をクリックし、次に [Apply] をクリックします。

    asa8x-anyconnect-vpn-config14.gif

    同等の CLI 設定:

    Cisco ASA 8.0(2)

    ciscoasa(config)#username ssluser1 password asdmASA@

  7. [Configuration] > [Remote Access VPN] > [AAA Setup] > [AAA Servers Groups] > [Edit] を選択し、[Enable Local User Lockout] チェックボックスにチェック マークを付けて最大試行値の 16 に設定することで、デフォルトのサーバ グループ LOCAL を変更します。

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config15.gif

  8. [OK] をクリックし、次に [Apply] をクリックします。

    同等の CLI 設定:

    Cisco ASA 8.0(2)

    ciscoasa(config)#aaa local authentication attempts max-fail 16
    

  9. トンネル グループを設定します。

    1. [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [SSL VPN Connection Profiles Connection Profiles] > [Add] を選択し、新しいトンネル グループ sslgroup を作成します。

    2. [Basic] タブで、次に示すように設定のリストを実行できます。

      • トンネル グループに sslgroup という名前を付けます。

      • [Client Address Assignment] の下でドロップダウン リストからアドレス プール vpnpool を選択します。

      • [Default Group Policy] の下でドロップダウン リストからグループ ポリシー clientgroup を選択します。

      asa8x-anyconnect-vpn-config16.gif

    3. [SSL VPN] > [Connection Aliases] タブの下で、グループ エイリアス名に sslgroup_users と指定して [OK] をクリックします。

      asa8x-anyconnect-vpn-config17.gif

    4. [OK] をクリックし、次に [Apply] をクリックします。

      同等の CLI 設定:

      Cisco ASA 8.0(2)

      ciscoasa(config)#tunnel-group sslgroup type remote-access
      ciscoasa(config)#tunnel-group sslgroup general-attributes
      ciscoasa(config-tunnel-general)#address-pool vpnpool
      ciscoasa(config-tunnel-general)#default-group-policy clientgroup
      ciscoasa(config-tunnel-general)#exit
      ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
      ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable
      

  10. NAT を設定します。

    1. [Configuration] > [Firewall] > [NAT Rules] > [Add Dynamic NAT Rule] を選択し、Inside ネットワークからのトラフィックが Outside IP アドレス 172.16.1.5 で変換できるようにします。

      asa8x-anyconnect-vpn-config18.gif

    2. [OK] をクリックします。

    3. [Configuration] > [Firewall] > [NAT Rules] > [Add Dynamic NAT Rule] を、ネットワーク外部からのトラフィックに対して選択します。192.168.10.0 は、外部 IP アドレス 172.16.1.5 を使用して変換されます。

      asa8x-anyconnect-vpn-config19.gif

    4. [OK] をクリックします。

      asa8x-anyconnect-vpn-config20.gif

    5. [Apply] をクリックします。

      同等の CLI 設定:

      Cisco ASA 8.0(2)

      ciscoasa(config)#global (outside) 1 172.16.1.5
      ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0
      ciscoasa(config)#nat (outside) 1 192.168.10.0 255.255.255.0
      



CLI を使用した ASA 8.0(2) の設定

Cisco ASA 8.0(2)

ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
 domain-name default.domain.invalid
same-security-traffic permit intra-interface


!--- 同じインターフェイスでの SSL VPN トラフィックの発着信を許可するコマンド。


pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- Cisco AnyConnect SSL VPN Client 用のアドレス プール。


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- VPN Client で使用されるインターネット アクセス用のグローバル アドレス。 
!--- 注:ラボ設定用には RFC 1918 範囲が使用されています。 
!--- ISP から提供されるパブリック範囲からのアドレスを適用してください。


nat (inside) 1 0.0.0.0 0.0.0.0


!--- 暗号化対象(VPN プールからのアドレス)を定義する NAT 設定。


nat (outside) 1 192.168.10.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- 外部インターフェイスで Web VPN をイネーブルにします。


 svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1


!--- AnyConnect SSL VPN Client イメージに順序を割り当てます。

 
svc enable


!--- SVC イメージをリモート コンピュータにダウンロードするように、セキュリティ アプライアンスをイネーブルにします。

 
tunnel-group-list enable


!--- WebVPN の [Login] ページでの tunnel-group リストの表示をイネーブルにします。


group-policy clientgroup internal


!--- 内部グループ ポリシー「clientgroup」を作成します。


group-policy clientgroup attributes
 vpn-tunnel-protocol svc


!--- 許可された VPN トンネリング プロトコルとして SSL を指定します。


split-tunnel-policy tunnelall


!--- SSL VPN Client からのすべてのトラフィックを暗号化します。


 webvpn
  svc keep-installer installed


!--- セキュリティ アプライアンスと SVC は、鍵の再生成を行った場合、 
!--- 暗号キーと初期ベクトルを再ネゴシエートし、接続のセキュリティを向上させます。

  
 svc rekey time 30


!--- セッションの開始時から鍵の再生成が行われるまでにかかる分数を 
!--- 1 〜 10080(1 週間)で指定するコマンド。


 svc rekey method ssl


!--- SVC 鍵の再生成の間に SSL 再ネゴシエーションが行われることを指定するコマンド。


  svc ask none default svc

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- ユーザ アカウント「ssluser1」を作成します。


tunnel-group sslgroup type remote-access


!--- タイプをリモート アクセスとしてトンネル グループ「sslgroup」を作成します。


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- 作成されたアドレス プール vpnpool を関連付けます。


 default-group-policy clientgroup


!--- 作成されたグループ ポリシー「clientgroup」を関連付けます。


tunnel-group sslgroup webvpn-attributes
 group-alias sslgroup_users enable


!--- sslgroup-users としてグループ エイリアスを設定します。

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#



SVC との SSL VPN 接続の確立

次の手順を実行して、ASA との SSL VPN 接続を確立します。

  1. 次に示す形式で、Web ブラウザ内で ASA の WebVPN インターフェイスの URL または IP アドレスを入力します。

    https://url

    または

    https://<IP address of the ASA WebVPN interface>

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config21.gif

  2. ユーザ名とパスワードを入力します。また、次に示すようにドロップダウン リストからそれぞれのグループを選択します。

    asa8x-anyconnect-vpn-config22.gif

    SSL VPN 接続が確立される前に次のウィンドウが表示されます。

    asa8x-anyconnect-vpn-config23.gif

    注:SVC をダウンロードする前に ActiveX ソフトウェアをコンピュータにインストールしておく必要があります。

    接続が確立されると、このウィンドウが表示されます。

    asa8x-anyconnect-vpn-config24.gif

  3. コンピュータのタスクバーに表示される錠をクリックします。

    SSL 接続についての情報を提供するウィンドウが表示されます。たとえば、192.168.10.1 は ASA によって割り当てられた IP であるなどです。

    asa8x-anyconnect-vpn-config25.gif

    asa8x-anyconnect-vpn-config26.gif

    asa8x-anyconnect-vpn-config27.gif



確認

このセクションでは、設定が正常に動作していることを確認します。

特定の show コマンドが、Output Interpreter Tool登録ユーザ専用)(OIT; アウトプット インタープリタ ツール)でサポートされています。OIT を使用して、show コマンド出力の分析を表示できます。

  • show webvpn svc:ASA フラッシュ メモリに格納された SVC イメージを表示します。

    ciscoasa#show webvpn svc
    1. disk0:/anyconnect-win-2.0.0343-k9.pkg 1
      CISCO STC win2k+
      2,0,0343
      Mon 04/23/2007  4:16:34.63
    
    1 SSL VPN Client(s) installed
    
  • show vpn-sessiondb svc:現在の SSL 接続についての情報を表示します。

    ciscoasa#show vpn-sessiondb svc
    
    Session Type: SVC
    
    Username     : ssluser1               Index        : 12
    Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
    Protocol     : Clientless SSL-Tunnel DTLS-Tunnel
    Encryption   : RC4 AES128             Hashing      : SHA1
    Bytes Tx     : 194118                 Bytes Rx     : 197448
    Group Policy : clientgroup            Tunnel Group : sslgroup
    Login Time   : 17:12:23 IST Mon Mar 24 2008
    Duration     : 0h:12m:00s
    NAC Result   : Unknown
    VLAN Mapping : N/A                    VLAN         : none
  • show webvpn group-alias:さまざまなグループに対する設定済みのエイリアスを表示します。

    ciscoasa#show webvpn group-alias
    Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
    
  • ASDM で、[Monitoring] > [VPN] > [VPN Statistics] > [Sessions] を選択すると、ASA の現在の WebVPN セッションがわかります。

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config28.gif



トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

  1. vpn-sessiondb logoff name<username>:特定のユーザ名の SSL VPN セッションをログオフするコマンドです。

    ciscoasa#vpn-sessiondb logoff name ssluser1
    Do you want to logoff the VPN session(s)? [confirm] Y
    INFO: Number of sessions with name "ssluser1" logged off : 1
    
    ciscoasa#Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xB000)
    

    同様に、vpn-sessiondb logoff svc コマンドを使用すると、すべての SVC セッションを終了できます。

    注:PC がスタンバイ モードまたは休止状態モードになった場合、SSL VPN 接続を終了することができます。

    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got message
    SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, e
    tc)
    Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xA000)
    
    ciscoasa#show vpn-sessiondb svc
    INFO: There are presently no active sessions
  2. debug webvpn svc <1-255>:セッションを確立するために、リアルタイムの webvpn イベントを提供します。

    Ciscoasa#debug webvpn svc 7
    
    webvpn_rx_data_tunnel_connect
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 172.16.1.1'
    Processing CSTP header line: 'Host: 172.16.1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343'
    Processing CSTP header line: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343
    '
    Setting user-agent to: 'Cisco AnyConnect VPN Client 2, 0, 0343'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=16885952@40960@1206357612@08DBFFD6EEFA5BBA8DDF8001877A
    0C1345E2ECC7'
    Processing CSTP header line: 'Cookie: webvpn=16885952@40960@1206357612@08DBFFD6E
    EFA5BBA8DDF8001877A0C1345E2ECC7'
    Found WebVPN cookie: 'webvpn=16885952@40960@1206357612@08DBFFD6EEFA5BBA8DDF80018
    77A0C1345E2ECC7'
    WebVPN Cookie: 'webvpn=16885952@40960@1206357612@08DBFFD6EEFA5BBA8DDF8001877A0C1
    345E2ECC7'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: tacweb'
    Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
    Setting hostname to: 'tacweb'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-MTU: 1206'
    Processing CSTP header line: 'X-CSTP-MTU: 1206'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Address-Type: IPv4'
    Processing CSTP header line: 'X-CSTP-Address-Type: IPv4'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Master-Secret: 3C5E24D19C79486C5122F18E06C247F1B593DAC338D4A11
    1C34B83E620AEA28444B08F190AA5EA766B423A4B54FAB1B5'
    Processing CSTP header line: 'X-DTLS-Master-Secret: 3C5E24D19C79486C5122F18E06C2
    47F1B593DAC338D4A111C34B83E620AEA28444B08F190AA5EA766B423A4B54FAB1B5'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
    Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3
    -SHA:DES-CBC-SHA'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.10.1/255.255.255.0
    CSTP state = HAVE_ADDRESS
    SVC: NP setup
    np_svc_create_session(0xA000, 0xD41611E8, TRUE)
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    SVC ACL ID: -1
    vpn_put_uauth success!
    SVC IPv6 ACL Name: NULL
    SVC IPv6 ACL ID: -1
    SVC: adding to sessmgmt
    SVC: Sending response
    Unable to initiate NAC, NAC might not be enabled or invalid policy
    CSTP state = CONNECTED
    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got internal message
    Unable to initiate NAC, NAC might not be enabled or invalid policy
  3. ASDM で、[Monitoring] > [Logging] > [Real-time Log Viewer] > [View] を選択してリアルタイム イベントを表示します。次に、ASA 172.16.1.5 経由のインターネットにおける、SVC 192.168.10.1 と Webserver 10.2.2.2 の間のセッション情報の例を示します。

    asa8x-anyconnect-vpn-config29.gif




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 100918