セキュリティ : Cisco AnyConnect セキュア モビリティ クライアント

AnyConnect に関する FAQ: トンネル、再接続動作、および非アクティビティ タイマー

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 5 日) | フィードバック

目次

概要

このドキュメントでは、Cisco AnyConnect セキュア モビリティ クライアント(AnyConnect)トンネル、再接続の動作と Dead Peer Detection(DPD)、および非アクティブ タイマーに関する重要な点をいくつか説明します。

著者:Cisco TAC エンジニア。

背景説明

トンネルの種類

AnyConnect セッションの接続に使用する方法は、次の 2 種類です。

  • ポータルを使用(クライアントレス)
  • スタンドアロン アプリケーションを使用

接続方式に基づいて、それぞれ特定の目的で、異なる 3 つのトンネル(セッション)を ASA に作成します。

  1. クライアントレスまたは親トンネル: これは、ネットワーク接続の問題または休止状態が原因で再接続が必要になった場合に必要となるセッション トークンをセットアップするために、ネゴシエーションで作成される主要なセッションです。 接続メカニズムに基づいて、Cisco 適応型セキュリティ アプライアンス(ASA)は、クライアントレス(ポータル経由の WebLaunch)または親(スタンドアロン AnyConnect)としてセッションを示します。

    : AnyConnect 親は、クライアントがアクティブに接続されていない場合のセッションを表します。 実際には、cookie と同様に機能します。つまり、特定のクライアントから接続へのマッピングを行う、ASA のデータベース エントリです。 クライアント スリープ/冬眠する場合、トンネル(IPsec/インターネット キー エクスチェンジ(IKE)/Transport Layer Security (TLS)は /Datagram Transport Layer Security (DTLS)プロトコル)アイドルタイマーまで、親残ります中断 されますがまたは最大接続時間は実施されます。 これにより、ユーザは、再び認証を行わずに再接続することができます。



  2. Secure Sockets Layer(SSL)トンネル: まず、SSL トンネルが確立され、この接続をデータが通過すると同時に、DTLS 接続の確立が試行されます。 DTLS の接続が確立すると、クライアントは、SSL 接続ではなく、DTLS 接続を介してパケットを送信します。 一方、制御パケットは常に SSL 接続を通過します。

  3. DTLS トンネル: DTLS トンネルが完全に確立されると、すべてのデータが DTLS トンネルへと移動し、SSL トンネルは、散発的な制御チャネル トラフィックにだけ使用されます。 ユーザ データグラム プロトコル(UDP)に問題が発生した場合は、DTLS トンネルが削除され、すべてのデータは再び SSL トンネルを通過します。

ASA の出力例

2 つの接続方法の出力例を次に示します。

WebLaunch で接続された AnyConnect:

ASA5520-C(config)# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : walter Index : 1435
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : Clientless: (1)RC4 SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : Clientless: (1)SHA1 SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 335765 Bytes Rx : 31508
Pkts Tx : 214 Pkts Rx : 18
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : My-Network Tunnel Group : My-Network
Login Time : 22:13:37 UTC Fri Nov 30 2012
Duration : 0h:00m:34s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none

Clientless Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

Clientless:
Tunnel ID : 1435.1
Public IP : 172.16.250.17
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : Web Browser
Client Ver : Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0
Bytes Tx : 329671 Bytes Rx : 31508

SSL-Tunnel:
Tunnel ID : 1435.2
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 1241
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.01065
Bytes Tx : 6094 Bytes Rx : 0
Pkts Tx : 4 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 1435.3
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 Compression : LZS
UDP Src Port : 1250 UDP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : DTLS VPN Client
Client Ver : Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0
Bytes Tx : 0 Bytes Rx : 0
Pkts Tx : 0 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

スタンドアロン アプリケーションで接続された AnyConnect:

ASA5520-C(config)# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : walter Index : 1436
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 12244 Bytes Rx : 777
Pkts Tx : 8 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : My-Network Tunnel Group : My-Network
Login Time : 22:15:24 UTC Fri Nov 30 2012
Duration : 0h:00m:11s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 1436.1
Public IP : 172.16.250.17
Encryption : none Hashing : none
TCP Src Port : 1269 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : AnyConnect
Client Ver : 3.1.01065
Bytes Tx : 6122 Bytes Rx : 777
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 1436.2
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 1272
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.01065
Bytes Tx : 6122 Bytes Rx : 0
Pkts Tx : 4 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 1436.3
Assigned IP : 192.168.1.4 Public IP : 172.16.250.17
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 Compression : LZS
UDP Src Port : 1280 UDP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 2 Minutes Idle TO Left : 1 Minutes
Client Type : DTLS VPN Client
Client Ver : 3.1.01065
Bytes Tx : 0 Bytes Rx : 0
Pkts Tx : 0 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DPD および非アクティブ タイマー

セッションが非アクティブ セッションと見なされるのは、どんなときですか。

セッションは、SSL トンネルがセッションに存在しなくなったときにだけ、非アクティブと見なされます(タイマーの値が増加し始めます)。 したがって、各セッションには、SSL トンネルのドロップ時間のタイムスタンプが付けられます。

ASA5520-C# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : walter Index : 1336
Public IP : 172.16.250.17
Protocol : AnyConnect-Parent <- Here just the AnyConnect-Parent is active
but not SSL-Tunnel

License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none
Hashing : AnyConnect-Parent: (1)none
Bytes Tx : 12917 Bytes Rx : 1187
Pkts Tx : 14 Pkts Rx : 7
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : My-Network Tunnel Group : My-Network
Login Time : 17:42:56 UTC Sat Nov 17 2012
Duration : 0h:09m:14s
Inactivity : 0h:01m:06s <- So the session is considered Inactive
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none

ASA は SSL トンネルをドロップするのは、いつですか。

SSL トンネルの接続が切断される状況は、2 種類あります。

  1. DPD:DPD は、AnyConnect クライアントと ASA ヘッドエンドの間の通信の障害を検出するためにクライアントによって使用されます。 DPD は、ASA 上のリソースをクリーンアップするためにも使用されます。 これにより、エンドポイントが DPD の ping に応答しない場合に、ヘッドエンドがデータベースで接続を保持しないことが保証されます。 ASA がエンドポイントに DPD を送信し、DPD が応答した場合、アクションは実行されません。 エンドポイントが応答しない場合は、ASA がセッション データベースのトンネルを削除し、セッションを「再開の待機中」モードにします。 これは、ヘッドエンドからの DPD が起動し、ヘッドエンドがクライアントと通信しなくなっていることを意味します。 このような場合、ASA は、ユーザが各ネットワークをローミングし、スリープ状態にし、セッションを再確立できるように親トンネルを保留状態にします。 これらのセッションは、アクティブに接続されているセッションをカウントし、次の状況になるとクリアされます。
    • ユーザのアイドル タイムアウト
    • クライアントが元のセッションを再開し、正常にログアウトした

    DPD を設定するには、グループ ポリシーの設定の WebVPN 属性で anyconnect dpd-interval コマンドを使用します。 デフォルトでは、DPD が有効になっており、ASA(ゲートウェイ)とクライアントの両方について 30 秒に設定されています。

    注意: Cisco Bug ID CSCts66926(クライアント接続が失われた後に DPD が DTLS トンネルを終了しない)を確認してください。



  2. アイドル タイムアウト:SSL トンネルの接続が切断される 2 番目の状況は、このトンネルのアイドル タイムアウトの時間が経過した場合です。 ただし、SSL トンネルだけではなく、DTLS トンネルもアイドル状態である必要があることに注意してください。 DTLS セッションがタイムアウトしない限り、SSL トンネルはデータベースに保持されます。

DPD がすでに有効な場合は、キープアライブが有効である必要があるのはなぜですか。

すでに説明したように、DPD は、AnyConnect セッション自体を強制終了しません。 DPD は、クライアントがトンネルを再確立できるよう、そのセッション内のトンネルを強制終了するだけです。 クライアントがトンネルを再確立できない場合は、ASA でアイドル タイマーの時間が切れるまで、セッションが残ります。 DPD はデフォルトで有効であるため、Network Address Translation(NAT)、ファイアウォール、プロキシの各デバイスでの 1 方向のフローが閉じることが原因で、お客様の接続が切断される可能性があります。 20 秒などの短い間隔でキープアライブを有効にすると、これを防止できます。

キープアライブは、anyconnect ssl keepalive コマンドで、特定のグループ ポリシーの WebVPN 属性で有効になっています。 デフォルトでは、タイマーが 20 秒に設定されています。

再接続の場合の AnyConnect クライアントの動作

接続が中断された場合、AnyConnect による再接続が試行されます。 これは設定可能ではなく、自動的に行われます。 ASA での VPN セッションが有効である限り、AnyConnect による物理的な接続の再確立が可能である場合は VPN セッションが再開されます。

再接続機能は、セッション タイムアウトまたは接続切断タイムアウト(実際はアイドル タイムアウト)の期限が切れるまで(タイムアウトが設定されていない場合は 30 分)続きます。 期限が切れた後は ASA が VPN セッションを廃棄してしまうため、続行しないでください。 クライアントは、ASA に VPN セッションが残っていると考えられる限り続行します。

AnyConnect は、ネットワーク インターフェイスがどれだけ変更されても再接続します。 ネットワーク インターフェイス カード(NIC)の IP アドレスが変わっても、異なる NIC(無線から有線、またはその逆)に接続が切り替えられても問題ありません。

AnyConnect の再接続プロセスを検討する場合、注意が必要なセッションのレベルが 3 つあります。 また、これらの各セッションの再接続動作は、弱く結合されており、あらゆる動作は、前のレイヤのセッション要素に依存せずに再確立できます。

  1. TCP または UDP 再接続 [OSI レイヤ 3]
  2. TLS、DTLS、または IPsec(IKE+ESP)[OSI レイヤ 4]:TLS の再起動はサポートされていません。
  3. VPN [OSI レイヤ 7]:VPN セッション トークンが認証トークンとして使用され、中断時に、安全なチャネル上で VPN セッションが再確立されます。 これは、独自のメカニズムであり、Kerberos トークンまたはクライアント証明書が認証に使用される方法に概念上、非常に似ています。 トークンは一意で、ヘッドエンドにより暗号化されて生成されます。これには、セッション ID の他に、暗号化されて生成された任意のペイロードが含まれます。 ヘッドエンドへの安全なチャネルが確立された後に、トークンは、最初の VPN 確立の一部としてクライアントに渡されます。 トークンは、ヘッドエンドでのセッションのライフタイム中は有効であり、クライアントのメモリに保存されます。これは特権プロセスです。

    ヒント: ASA リリース 9.1(3) および 8.4(7.1) 以降には、より強力に暗号化されたセッション トークンが 含まれています。

実際のプロセス

接続切断タイムアウトのタイマーは、ネットワーク接続が中断されるとすぐに開始されます。 AnyConnect クライアントは、このタイマーの時間が切れるまでは再接続を試みます。 接続切断タイムアウトは、グループ ポリシーのアイドル タイムアウトおよび最大接続時間のうち、最小の値に設定されます。

このタイマーの値は、ネゴシエーションの AnyConnect セッションのイベント ビューアに表示されます。

この例では、セッションが 2 分(120 秒)後に接続を切断されるます。これは、AnyConnect のメッセージ履歴で確認できます。

ヒント: ASA が、再接続しようとするクライアントに応答するには、親トンネルのセッションが引き続き、ASA データベースに存在している必要があります。 フェールオーバーの場合、再接続動作が機能するには、DPD が有効である必要があります。

前のメッセージに表示されているように、再接続は失敗しました。 ただし、再接続が正常に完了すると、次の状況が発生します。

  1. 親トンネルは同じままです。 このトンネルは、セッションが再接続されるために必要なセッション トークンを保持するため、再ネゴシエートされません。
  2. 新しい SSL および DTLS セッションが生成され、別のソース ポートが再接続で使用されます。
  3. すべてのアイドル タイムアウト値が復元されます。
  4. 非アクティブ タイムアウトが復元されます。

注意: Cisco Bug ID CSCtg33110 を確認してください。 VPN セッション データベースは、AnyConnect の再接続時に、ASA セッション データベースにあるパブリック IP アドレスを更新しません。

このように再接続が失敗する場合は、次のメッセージが表示されます。

: 機能拡張要求、 Cisco Bug ID CSCsl52873(AnyConnect 用の設定可能な接続切断タイムアウトが ASA にない)には、より詳細に記載されています。

システムが一時停止した場合の AnyConnect クライアントの動作

PC がスリープ状態になった後に AnyConnect による再接続を可能にするローミング機能が用意されています。 クライアントは、アイドル タイムアウトまたはセッション タイムアウトの期限が切れるまで試行し続けます。システムが休止状態やスタンバイ状態になったとき、クライアントがただちにトンネルを削除することはありません。 この機能を必要としないお客様は、スリープ状態を回避するか、再接続を再開するために、セッション タイムアウトを低い値に設定してください。

: Cisco Bug ID CSCso17627(バージョン 2.3(111) 以降)の修正後、再開機能にこの再接続を無効にするための制御ノブが導入されました。 

AnyConnect の自動再接続の動作は、次の設定を含む AnyConnect XML プロファイルによって制御できます。

       <AutoReconnect UserControllable="true">true
<AutoReconnectBehavior>ReconnectAfterResume</AutoReconnectBehavior>
</AutoReconnect>

この変更により、AnyConnect はコンピュータがスリープ状態から復帰するときに再接続を試行します。 AutoReconnectBehavior プリファレンスのデフォルトは DisconnectOnSuspend です。 この動作は、AnyConnect クライアント リリース 2.2 の動作とは異なります。 再開後の再接続については、ネットワーク管理者がプロファイルで ReconnectAfterResume を設定するか、プロファイルで AutoReconnect および AutoReconnectBehavior プリファレンスをユーザ制御可能にしてユーザが設定できるようにする必要があります。

よく寄せられる質問(FAQ)

Q1. Anyconnect DPD に間隔がありますが、再試行が行われません。受信できないパケットの数がいくつになると、リモート エンドに障害があるとマークされるのですか。

A. 再試行に 3 回、または 4 個のパケットの受信に失敗する必要があります。

Q2. DPD の処理は、IKEv2 を使用する AnyConnect では異なりますか。

A. はい、IKEv2 では、再試行数が固定されています(6 回の再試行/7 パケット)。

Q3. AnyConnect の親トンネルには、他の目的がありますか。

A. ASA でのマッピングであることに加えて、親トンネルは、AnyConnect イメージのアップグレードを ASA からクライアントにプッシュするために使用されます。これは、クライアントはアップグレード プロセスではアクティブに接続されていないためです。

Q4. 非アクティブのセッションだけをフィルタリングし、ログオフできますか。

A. show vpn-sessiondb anyconnect filter inactive コマンドを使用すると、非アクティブ セッションをフィルタリングできます。 ただし、非アクティブ セッションだけをログオフするコマンドはありません。 代わりに、特定のセッションをログオフするか、ユーザ(インデックス - 名前)、プロトコル、またはトンネル グループごとにすべてのセッションをログオフする必要があります。 機能拡張要求、Cisco Bug ID CSCuh55707 には、非アクティブ セッションだけをログオフするオプションの追加について記載されています。

Q5. DTLS または TLS トンネルのアイドル タイムアウトの時間が切れると、親トンネルはどうなりますか。

A. AnyConnect 親セッションの「残りのアイドル TO」タイマーは、SSL トンネルまたは DTLS トンネルが削除された後にリセットされます。 これにより「アイドルタイムアウト」を「接続切断」タイムアウトととして機能させることができます。 実質的に、これはクライアントが再接続に使用できる時間になります。 クライアントがタイマーの時間内に再接続しないと、親トンネルは終了されます。

Q6. DPD タイマーによってセッションの接続が切断された後もセッションを保持することに、どんな意義があるのですか。なぜ、ASA は IP アドレスを解放しないのですか。

A. ヘッドエンドは、クライアントの状態を認識していません。 この場合、ASA は、セッションがアイドル タイマーでタイムアウトするまで、クライアントの再接続を期待して待機します。 DPD は、AnyConnect セッションを強制終了しません。 クライアントがトンネルを再確立できるよう、そのセッション内のトンネルを強制終了するだけです。 クライアントがトンネルを再確立しない場合は、アイドル タイマーの時間が切れるまでセッションが残ります。

セッションが使い果されることが心配な場合は、1 のような低い値に同時ログインを設定します。 この設定にすると、セッション データベースにセッションがあるユーザが再度ログインすると、それらの既存のセッションが削除されます。

Q7. ASA がアクティブからスタンバイにフェールオーバーする場合は、どのように動作しますか。

A. まず、セッションが確立されると、3 種類のトンネル(親、SSL、および DTLS)がスタンバイ ユニットに複製されます。 ASA がフェールオーバーすると、DTLS および TLS セッションは、スタンバイ ユニットに同期されていないため、再確立されます。ただし、AnyConnect セッションが再確立された後は、トンネルを通過するデータ フローはすべて、中断せずに動作します。

SSL/DTLS セッションはステートフルではないため、SSL の状態とシーケンス番号が保持されず、かなりの負担となる場合があります。 したがって、これらのセッションは最初の状態から再確立する必要があります。これは、親セッションとセッション トークンで実行されます。

ヒント: フェールオーバー イベントの場合は、キープアライブが無効になっていると、SSL VPN クライアント セッションがスタンバイ デバイスに引き継がれません。

Q8. 両方が同じ値なのに、なぜ、アイドル タイムアウトと接続切断タイムアウトという 2 種類のタイムアウトがあるのですか。

A. プロトコルが開発されたときに、2 台のタイムアウトが提供されました。

  • アイドル タイムアウト:データが接続経由で渡されない場合のタイムアウトです。
  • 接続切断タイムアウト:接続が失われ、再確立できないために、VPN セッションを断念した場合のタイムアウトです。

接続切断タイムアウトは、ASA には実装されていません。 その代わりに、ASA はクライアントに、接続切断タイムアウトとアイドル タイムアウトの両方の値としてタイムアウト値を送信します。

クライアントは、ASA がアイドル タイムアウトを処理するため、アイドル タイムアウトを使用しません。 クライアントは、アイドル タイムアウト値と同じである接続切断タイムアウト値を使用して、ASA がセッションを削除しているために再接続の試行を断念するタイミングを認識します。 

クライアントにアクティブには接続していませんが、ASA はアイドル タイムアウトを使用してセッションをタイムアウトします。 ASA に接続切断タイムアウトが実装されていない主な理由は、VPN セッションのたびにタイマーを追加したり、ASA のオーバーヘッドが増加したりすることを避けるためです(ただし、両方のインスタンスで異なるタイムアウト値で同じタイマーを使用できます。これは、2 つの状況が相互に排他的であるためです)。

接続切断タイムアウトで追加された唯一の値で、管理者は、クライアントがアイドル状態ではないが、アクティブには接続されていない場合のための別のタイムアウトを指定することができます。 すでに述べたように、これについては、Cisco Bug ID CSCsl52873 に記載されています。

Q9. クライアント マシンが一時停止されるとどうなりますか。

A. デフォルトでは、接続が失われると AnyConnect は VPN 接続の再確立を試行します。 デフォルトで、システムの復帰後は VPN 接続の再確立を試行しません。 詳細については、「システムが一時停止した場合の AnyConnect クライアントの動作」参照してください。

Q10. 再接続が発生すると、AnyConnect Virtual Adapter でフラップが発生するのですか。また、ルーティング テーブルが変更されるのですか。

A. トンネルレベルでの再接続では、どちらも発生しません。 これは、SSL または DTLS だけでの再接続です。 放棄されるまで、これらは約 30 秒間続きます。 DTLS が失敗すると、これが単に廃棄されます。 SSL が失敗すると、セッションレベルでの再接続が行われます。 セッションレベルでの再接続では、ルーティングが完全に再実行されます。 再接続に割り当てられたクライアント アドレス、または仮想アダプタ(VA)に影響を与える他の設定パラメータを変更しない場合、VA は無効になりません。 ASA から受信した設定パラメータに変更が加えられる可能性はほとんどありませんが、VPN 接続に使用される物理インターフェイスでの変更(アンドックして有線から Wi-Fi に切り替えた場合など)は、VPN 接続の最大伝送ユニット(MTU)値が異なる原因になる可能性があります。 MTU 値は VA に影響するため、変更を加えると VA が無効化されてから再度有効化されます。

Q11. 自動再接続 ではセッションの持続性が提供されますか。 提供される場合、AnyConnect クライアントに追加される別の機能はありますか。

A. AnyConnect では、アプリケーションのセッションの持続性に対応する便利な機能が追加されることはありません。 ただし、ASA に設定されているアイドル タイムアウトとセッション タイムアウトの期限が切れていなければ、VPN 接続はセキュア ゲートウェイへのネットワーク接続の再開直後に自動的に復元されます。 また IPsec クライアントの場合とは異なり、同じクライアント IP アドレスに自動再接続されます。 AnyConnect が再接続を試行する間、AnyConnect 仮想アダプタは有効で接続状態のままになるため、クライアント IP アドレスが全体の時間を通してクライアント PC で有効なまま残り、クライアント IP アドレスの持続性が提供されることになります。 ただし、VPN 接続の復元に非常に時間がかかる場合、クライアント PC アプリケーションは企業ネットワークのサーバにまだ接続されていない可能性があります。

Q12. この機能は Microsoft Windows(Vista 32 ビットおよび 64 ビット、XP)のすべてのバリアントで動作します。 Macintosh ではどうですか。 OS X 10.4 で動作しますか。

A. この機能は Mac および Linux で動作します。 Mac および Linux では問題がありましたが、特に Mac 向けに新たな改善が行われました。 Linux では引き続き追加のサポートが必要ですが(CSCsr16670CSCsm69213)、基本機能は同じです。 Linux の場合、AnyConnect は一時停止または再開(スリープまたは復帰)が発生したことを認識しません。 これによる基本的な影響は次の 2 つです。

  • AutoReconnectBehavior のプロファイルとプリファレンスの設定は、一時停止/再開のサポートがない Linux では対応できません。そのため、一時停止または再開後は常に再接続が発生します。
  • Microsoft Windows と Macintosh の場合は、再開後すぐにセッション レベルで再接続が実行され、別の物理インターフェイスに迅速に切り替えることができます。 Linux では、AnyConnect が一時停止/再開をまったく認識しないため、再接続は最初にトンネルレベル(SSL および DTLS)で行われます。つまり、再接続にかかる時間が若干長くなる場合があるということです。 ただし、Linux でも再接続は実行されます。

Q13. 接続(有線、Wi-Fi、3G など)に関する機能に制限はありますか。 異なるモードへの移行(Wi-Fi から 3G、3G から有線など)はサポートされますか。

A. VPN 接続中は AnyConnect が特定の物理インターフェイスに関連付けられることはありません。 VPN 接続に使用される物理インターフェイスが失われたり、再接続が特定の障害しきい値を超えて試行されたりした場合、AnyConnect はそのインターフェイスを使用しなくなり、アイドル タイマーまたはセッション タイマーの時間が切れるまで、使用可能なインターフェイスがあるセキュア ゲートウェイへの接続を試行します。 物理インターフェイスの変更は VA の MTU 値が異なる原因になる可能性があるので注意してください。この結果、VA の無効化と再有効化が必要になります。ただしクライアント IP アドレスは変わりません。

ネットワーク障害(インターフェイスのダウン、ネットワーク変更、インターフェイス変更)があると、AnyConnect は再接続を試行します。 再接続時に再認証は必要ありません。 これは物理インターフェイスを切り替えた場合にも適用されます。

例:

1. wireless off, wired on: AC connection established
2. disconnect wired physically, turn wired on: AC re-established connection in
30 seconds
3. connect wired, turn off wireless: AC re-established connection in 30 secs

Q14. 再開操作はどのように認証されますか。

A. 再開では、セッションのライフタイムの間維持される認証済みトークンを再送信すると、セッションが再確立されます。

Q15. 再接続時には LDAP 認可も実行されますか。それとも認証のみですか。

A. LDAP 認可は最初の接続時にのみ実行されます。

Q16. 再開時に PreLogin や Hostscan は実行されますか。

A. いいえ、これらは最初の接続時にのみ実行されます。 類似機能が、将来の定期的ポスチャ アセスメントの機能で予定されています。

Q17. VPN ロード バランシング(LB)と接続再開に関して、クライアントは、以前に接続していたクラスタ メンバに直接再接続しますか。

A: はい、そのとおりです。既存のセッションの再確立のために DNS を介してホスト名を再解決しないためです。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116312