セキュリティ : Cisco Adaptive Security Device Manager

ASA の同じインターフェイスで有効に なる ASDM および WebVPN

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

両方適応性があるセキュリティ アプライアンス モデル(ASA)の同じインターフェイスで Cisco 5500 シリーズ 有効に なるときこの資料に Cisco Adaptive Security Device Manager (ASDM)および WebVPN ポータルにアクセスする方法を記述されています。

: このドキュメントは Cisco 500 シリーズ PIX ファイアウォールには適用されません(Cisco 500 シリーズ PIX ファイアウォールは WebVPN をサポートしていないため)。

著者:Cisco TAC エンジニア、Atri Basu

前提条件

要件

次の項目に関する知識があることが推奨されます。

使用するコンポーネント

このドキュメントの情報は、Cisco 5500 シリーズ ASA に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

問題

先の ASA バージョン バージョン 8.0(2)よりでは、ASDM および WebVPN は ASA の同じインターフェイスでので同じ ポートの両方のリッスン 有効に することができません(443)デフォルトで。 バージョン 8.0(2) および それ 以降では、ASA は outside インターフェイスのポート 443 で同時の両方の clientless Secure Sockets Layer (SSL) VPN (WebVPN)セッションおよび ASDM 管理上のセッションをサポートします。 ただし、サービスが両方とも一緒に有効に なるとき、ASA の特定のインターフェイスのためのデフォルト URL は WebVPN サービスに常にデフォルトで設定されます。 たとえば、この ASA 設定 data&colon を考慮して下さい;

rtpvpnoutbound6# show run ip
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.150.172.46 255.255.252.0
!
interface Vlan3
 nameif dmz
 security-level 50
 ip address dhcp
!
interface Vlan5
 nameif test
 security-level 0
 ip address 1.1.1.1 255.255.255.255 pppoe setroute
!
rtpvpnoutbound6# show run web
webvpn
 enable outside
 enable dmz
 anyconnect image disk0:/anyconnect-win-3.1.06078-k9.pkg 1
 anyconnect image disk0:/anyconnect-macosx-i386-3.1.06079-k9.pkg 2
 anyconnect enable
 tunnel-group-list enable
 tunnel-group-preference group-url

rtpvpnoutbound6#  show run http
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 dmz
http 0.0.0.0 0.0.0.0 outside

rtpvpnoutbound6# show run tun
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool ap_fw-policy
 authentication-server-group ldap2
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 group-url https://rtpvpnoutbound6.cisco.com/admin enable
 without-csd

解決策

この問題を解決するために、それぞれサービスにアクセスするか、またはサービスがアクセスされるポートを変更するために適切な URL を使用できます。

: 後のソリューションの 1 つの短所はポートがグローバルに変更される、従って各インターフェイスは変更から影響を受けますことです。

適切な URL を使用して下さい

Problem セクションで提供される設定例 データでは ASA の outside インターフェイスはこれら二つの URL によって HTTPS によって達することができます:

https://<ip-address> <=> https://10.150.172.46
https://<domain-name> <=> https://rtpvpnoutbound6.cisco.com

ただし WebVPN サービスが有効に なる間、これらの URL にアクセスするように試みれば、ASA は WebVPN ポータルにリダイレクトします:

https://rtpvpnoutbound6.cisco.com/+CSCOE+/logon.html

ASDM にアクセスするために、この URL を使用できます:

https://rtpvpnoutbound6.cisco.com/admin

: 設定例 データに示すように、ASDM アクセスと競合する必要があるグループ URL https://rtpvpnoutbound6.cisco.com/admin enable コマンドの使用と定義されるデフォルト トンネル グループはグループ URL があります。 ただし、URL https:// <ip-address/domain>/admin は ASDM アクセスのために予約済みであり、トンネル グループの下でそれを設定 したら、効果がありません。 https:// <ip-address/domain>/admin/public/index.html に常にリダイレクトされます

各サービスが受信するポートを変更して下さい

このセクションは ASDM および WebVPN サービス両方のためのポートを変更する方法を記述します。

HTTPS サーバサービスのためのポートをグローバルに変更して下さい

ASDM サービスのためのポートを変更するためにこれらのステップを完了して下さい:

  1. ASA の ASDM サービスと関連している異なるポートでここに示されているように設定を、変更するために受信するように HTTPS サーバをイネーブルに設定して下さい:
    ASA(config)#http server enable <1-65535>

    configure mode commands/options:
    <1-65535> The management server's SSL listening port. TCP port 443 is the
    default.
    次に例を示します。
    ASA(config)#http server enable 65000
  2. デフォルトポート 設定を変更した後、セキュリティ アプライアンス モデル ネットワークのサポートされた Webブラウザから ASDM を起動させるためにこの形式を使用して下さい:
    https://interface_ip_address:<customized port number>
    次に例を示します。
    https://192.168.1.1:65000

WebVPN サービスのためのポートをグローバルに変更して下さい

WebVPN サービスのためのポートを変更するためにこれらのステップを完了して下さい:

  1. WebVPN が ASA の WebVPN サービスと関連している異なるポートで設定を変更するために受信するようにして下さい:

    1. ASA の WebVPN 機能を有効に して下さい:
      ASA(config)#webvpn
    2. ASA の outside インターフェイスのための WebVPN サービスを有効に して下さい:
      ASA(config-webvpn)#enable outside
    3. ASA がカスタマイズされたポート番号の WebVPN トラフィックを受信するようにして下さい:
      ASA(config-webvpn)#port <1-65535>

      webvpn mode commands/options:
      <1-65535> The WebVPN server's SSL listening port. TCP port 443 is the
      default.
    次に例を示します。
    ASA(config)#webvpn
    ASA(config-webvpn)#enable outside
    ASA(config-webvpn)#port 65010
  2. デフォルトポート 設定を変更した後、サポートされた Webブラウザを開き、WebVPN サーバに接続するためにこの形式を使用して下さい:
    https://interface_ip_address:<customized port number>
    次に例を示します。
    https://192.168.1.1:65010

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118842