セキュリティ : Cisco AnyConnect セキュア モビリティ クライアント

ASA の分割トンネリングで AnyConnect セキュアな機動性 クライアントを設定して下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 6 月 19 日) | フィードバック

概要 

この資料に Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)の Cisco Adaptive Security Device Manager (ASDM)によって Cisco AnyConnect セキュア モビリティ クライアントを設定する方法をその実行ソフトウェア バージョン 9.3(2) 記述されています。

Rahul Govindan、支配者 Periyasamy、および Hamzah Kardame によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco AnyConnect セキュア モビリティ クライアント Web 配置パッケージは ASA への ASDM アクセスがあるローカル デスクトップにダウンロードする必要があります。 クライアント パッケージをダウンロードするために、Cisco AnyConnect セキュア モビリティ クライアント Webページを参照して下さい。 さまざまなオペレーティング システム(OS)のための Web 配置パッケージは ASA に同時にアップロードすることができます。

これらはさまざまな OS の Web 配備ファイル名です:

  • Microsoft Windows OSAnyConnect-win-<version>-k9.pkg

  • マッキントッシュ(MAC) OSAnyConnect-macosx-i386-<version>-k9.pkg

  • Linux OS – AnyConnect-linux-<version>-k9.pkg

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ASA バージョン 9.3(2)

  • ASDM バージョン 7.3(1)101

  • AnyConnect バージョン 3.1

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

この資料は方法についてのステップバイステップ詳細を AnyConnect クライアントを設定するために分割トンネリングを有効に するために ASDM によって Cisco AnyConnect コンフィギュレーション ウィザードを使用する提供したものです。

分割トンネリングは特定のトラフィックだけトンネル伝送する必要があるクライアント全員が VPN を渡るトラフィックフローをマシン生成したシナリオに反対されるシナリオで接続されたとき使用されます。 AnyConnect コンフィギュレーション ウィザードの使用は ASA のトンネルすべての設定という結果にデフォルトで終ります。 この資料のスプリットトンネル セクションの更に詳しい情報で説明される分割されたトンネリングは別々に設定する必要があります。 

この設定例では、ASA の後ろの LAN サブネットの意図は VPN トンネル上の 10.10.10.0/24 サブネットのためのトラフィックを送信 することであり、クライアントマシンからの他のトラフィックはすべて自身のインターネット 回線によって転送されます。

AnyConnect ライセンス 情報

Cisco AnyConnect セキュア モビリティ クライアント ライセンスについての有用な情報へのいくつかのリンクはここにあります:

設定

このセクションは ASA の Cisco AnyConnect セキュア モビリティ クライアントを設定する方法を記述します。

: このセクションで使用するコマンドに関する詳細を得るために Command Lookup Tool を登録ユーザ専用)使用して下さい。

ネットワーク図

これはこの資料で例のために使用するトポロジーです:

 

ASDM AnyConnect コンフィギュレーション ウィザード

AnyConnect コンフィギュレーション ウィザードは AnyConnect セキュアな機動性 クライアントを設定するために使用することができます。 続行する前に AnyConnect クライアント パッケージが ASA ファイアウォールのフラッシュする/ディスクにアップロードされたことを確認して下さい。

コンフィギュレーション ウィザードによって AnyConnect セキュアな機動性 クライアントを設定するためにこれらのステップを完了して下さい:

  1. ASDM にログイン し、コンフィギュレーション ウィザードを起動させ、『Next』 をクリック して下さい:



  2. 接続プロファイル名前を入力し、VPN が VPN アクセスインターフェイス廃棄メニューから終わる選択し、『Next』 をクリック して下さいインターフェイスを:



  3. Secure Sockets Layer (SSL)を有効に するために SSL チェックボックスをチェックして下さい。 デバイス 認証は信頼されたサード パーティ 認証局 (CA) 発された認証(Verisign、か Entrust のような)、または自己署名証明書のどれである場合もあります。 認証が ASA で既にインストールされている場合、によってメニュー廃棄選択することができます。

    : この認証は提供されるサーバ側の証明書です。 現在 ASA でインストールされる認証がないし自己署名証明書が生成する必要があったら場合『Manage』 をクリック して下さい。

    サード パーティ 認証をインストールするために、ASA 8.x手動でインストールする WebVPN 設定例 Ciscoドキュメントと併用するためのサード パーティ ベンダー 認証を説明があるステップを完了して下さい。



  4. 『Add』 をクリック して下さい:



  5. 適切な名前をトラストポイント Name フィールドにタイプし、追加を新しい Identity certificateオプション・ボタン クリックして下さい。 デバイスの Rivest シャミールAddleman (RSA)キーペアがない場合 1 つを生成するために『New』 をクリック して下さい:



  6. 使用 DEFAULT 鍵ペア名前オプション ボタンをクリックしか、または入力 New 鍵ペア名前オプション ボタンをクリックし、新しい名前を入力して下さい。 サイズをキーに選択し、次に『Generate』 をクリック して下さい:



  7. RSA キーペアが作成された後、キーを選択し、Generate Self-signed Certificate チェックボックスをチェックして下さい。 望ましい認証対象ドメイン名(DN)を認証 サブジェクト DN フィールドに入力し、次に認証を『Add』 をクリック して下さい:



  8. 次に登録が完了した、次に『OK, OK』 をクリック すれば:



  9. PC またはフラッシュするから AnyConnect クライアント イメージ(.pkg ファイル)を追加するために『Add』 をクリック して下さい。 フラッシュ ドライブからイメージを追加するためにフラッシュするを『Browse』 をクリック するかまたはホスト マシンからイメージを直接追加するために『Upload』 をクリック して下さい:





  10. イメージが追加されたら、『Next』 をクリック して下さい:



  11. ユーザ認証は認証、許可、アカウンティング(AAA) サーバグループによって完了することができます。 ユーザが既に設定されている場合、ローカルを選択し、『Next』 をクリック して下さい。

    : この例では、ローカル認証は設定されます、つまり ASA のローカルユーザデータベースが認証のために使用されることを意味します。



  12. VPN クライアントのためのアドレス プールは設定する必要があります。 1 つが既に設定されている場合、廃棄メニューからそれを選択して下さい。 そうでなかったら、新しいものを設定するために『New』 をクリック して下さい。 完全、『Next』 をクリック して下さい:



  13. Domain Name System (DNS)サーバおよび DN を DNS およびドメイン名フィールドに適切に入力し、次に『Next』 をクリック して下さい:



  14. このシナリオでは、目標は ASA の後ろの内部(か LAN)サブネットで設定される 10.10.10.0/24 ネットワークへ VPN 上のアクセスを制限することです。 クライアントと内部サブネット間のトラフィックはあらゆるダイナミックネットワークアドレス変換(NAT)から免除されている必要があります。

    ネットワークアドレス変換 チェックボックスからの免除されている VPN トラフィックをチェックし、免除のために使用する WANインターフェイスおよび LAN を設定して下さい:



  15. 免除されている必要があるローカルネットワークを選択して下さい:





  16. 次に『Next』 をクリック して下さい、および次に終えて下さい

AnyConnect クライアントコンフィギュレーションは現在完了しました。 ただし、コンフィギュレーション ウィザードによって AnyConnect を設定するとき、それは Tunnelallスプリットトンネル ポリシーをデフォルトで設定します。 特定のトラフィックだけをトンネル伝送するために、分割トンネリングは設定される必要があります。

: 分割トンネリングなら、スプリットトンネル ポリシー受継がれます Tunnelall にデフォルトで設定 されるデフォルト グループ ポリシー(DfltGrpPolicy)から設定されません これはクライアントが VPN に接続されれば、トラフィックすべてはトンネルに(トラフィックを Web に含むため)送信 されることを意味します。

トラフィックだけ ASA WAN (か外部) IP アドレスに向かうクライアントマシンのトンネリングをバイパスします。 これは Microsoft Windows マシンの route print コマンドの出力で見られる場合があります。

スプリットトンネル 設定

分割されたトンネリングは暗号化する必要があるホストまたはサブネットのためのトラフィックを定義するために使用できる機能です。 これはこの機能と関連付けられる Access Control List (ACL)の設定を含みます。 サブネットまたはホストのためのトラフィックは PC ルーティング テーブルでクライアントエンドからのトンネル、およびこれらのサブネットのためのルーティングにこの ACL で定義されるインストールされています暗号化されます。

トンネルすべての設定から分割トンネル 設定に移るためにこれらのステップを完了して下さい:

  1. 設定 > リモートアクセス VPN > グループ ポリシーへのナビゲート:



  2. 『Edit』 をクリック し、高度にナビゲート するためにナビゲーション ツリーを > 分割トンネリング使用して下さい。 ポリシー セクション受継チェックボックスのチェックを外し、廃棄メニューから下記のトンネル ネットワーク リストを選択して下さい:



  3. ネットワークリスト セクションの受継チェックボックスのチェックを外し、クライアント必要がアクセスする LAN ネットワークを規定 する ACL を選択するために『Manage』 をクリック して下さい:



  4. 次に標準 ACL をクリックして下さい、ACL および ACL 名前を追加して下さい追加して下さい:



  5. ルールを追加するために『Add ACE』 をクリック して下さい:



  6. [OK] をクリックします。



  7. [Apply] をクリックします。

接続されて、サブネットのためのルーティングか分割 ACL にホストはクライアントマシンのルーティング テーブルに追加されます。 Microsoft Windows マシンで、これは route print コマンドの出力で表示することができます。 これらのルーティングのためのネクスト ホップはクライアントIP プール サブネット(通常サブネットの最初の IP アドレス)からの IP アドレスです:

C:\Users\admin>route print
IPv4 Route Table
======================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.106.44.1 10.106.44.243 261
10.10.10.0 255.255.255.0 10.10.11.2 10.10.11.1 2

!! This is the split tunnel route
.

10.106.44.0 255.255.255.0 On-link 10.106.44.243 261
172.16.21.1  255.255.255.255 On-link 10.106.44.243 6

!! This is the route for the ASA Public IP Address
.

MAC OS マシンで、PC ルーティング テーブルを表示するために netstat を- r コマンド入力して下さい:

$ netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default hsrp-64-103-236-1. UGSc 34 0 en1
10.10.10/24 10.10.11.2 UGSc 0 44 utun1

!! This is the split tunnel route.

10.10.11.2/32 localhost UGSc 1 0 lo0
172.16.21.1/32 hsrp-64-103-236-1. UGSc 1 0 en1

!! This is the route for the ASA Public IP Address
.

AnyConnect クライアントをダウンロードし、インストールして下さい

ユーザ マシンの Cisco AnyConnect セキュア モビリティ クライアントを展開するために使用できる 2 つのメソッドがあります:

  • Web 配備

  • スタンドアロン配備

両方のメソッドは続くセクションでさらに詳しく説明されます。

Web 配備

Web 展開方法を使用するために、WebVPN ポータル ページに連れて来るクライアントマシンのブラウザに https:// <ASA FQDN>or<ASA IP> URL を入力して下さい。

: Internet Explorer (IE)が使用される場合、インストールは ActiveX によって Java を使用させる、大抵完了します。 他のブラウザはすべて Java を使用します。

ログイン されて ページはクライアントマシンで、インストール始まりインストールが完了する後クライアントは ASA に接続する必要があります。

: 権限が ActiveX か Java を実行することができるようにプロンプト表示されるかもしれません。 これはインストールを続行することを許可する必要があります。 

スタンドアロン配備 

スタンドアロン展開方法を使用するためにこれらのステップを完了して下さい:

  1. Cisco Webサイトから AnyConnect クライアント イメージをダウンロードして下さい。 ダウンロードのための正しいイメージを選択するために、Cisco AnyConnect セキュア モビリティ クライアント Webページを参照して下さい。 ダウンロード リンクはこのページで提供されます。 Download ページにナビゲート し、適切なバージョンを選択して下さい。 完全なインストール パッケージのための検索を-ウィンドウ/スタンドアロン インストーラ(ISO)行って下さい。

    : ISO インストーラ イメージはそれからダウンロードされます(anyconnect-win-3.1.06073-pre-deploy-k9.iso のような)。

  2. ISO パッケージのコンテンツを得るために WinRar か 7 Zip を使用して下さい:



  3. コンテンツが得られたら、Setup.exe ファイルを実行し、Cisco AnyConnect セキュア モビリティ クライアントと共にインストールする必要があるモジュールを選択して下さい。

ヒント: VPN の追加設定を行うために、CLI、8.4 および 8.6 を使用して Cisco ASA 5500 シリーズ コンフィギュレーション ガイド設定 AnyConnect VPNクライアント接続 セクションを参照して下さい。

CLI 設定

このセクションは参照の目的の Cisco AnyConnect セキュア モビリティ クライアントに CLI 設定を提供します。

ASA Version 9.3(2)
!
hostname PeerASA-29
enable password 8Ry2YjIyt7RRXU24 encrypted
ip local pool SSL-Pool 10.10.11.1-10.10.11.20 mask 255.255.255.0
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.21.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
boot system disk0:/asa932-smp-k8.bin
ftp mode passive
object network NETWORK_OBJ_10.10.10.0_24
subnet 10.10.10.0 255.255.255.0
object network NETWORK_OBJ_10.10.11.0_27
subnet 10.10.11.0 255.255.255.224

access-list all extended permit ip any any

!***********Split ACL configuration***********

access-list Split-ACL standard permit 10.10.10.0 255.255.255.0
no pager
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-721.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected

!************** NAT exemption Configuration *****************
!This will exempt traffic from Local LAN(s) to the
!Remote LAN(s) from getting NATted on any dynamic NAT rule.

nat (inside,outside) source static NETWORK_OBJ_10.10.10.0_24 NETWORK_OBJ_10.10.10.0_24
destination static NETWORK_OBJ_10.10.11.0_27 NETWORK_OBJ_10.10.11.0_27 no-proxy-arp
route-lookup

access-group all in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.21.2 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact

!********** Trustpoint for Selfsigned certificate***********
!Genarate the key pair and then configure the trustpoint
!Enroll the trustpoint genarate the self-signed certificate

crypto ca trustpoint SelfsignedCert
enrollment self
subject-name CN=anyconnect.cisco.com
keypair sslcert

crl configure
crypto ca trustpool policy
crypto ca certificate chain SelfsignedCert
certificate 4748e654
308202f0 308201d8 a0030201 02020447 48e65430 0d06092a 864886f7 0d010105
0500303a 311d301b 06035504 03131461 6e79636f 6e6e6563 742e6369 73636f2e
636f6d31 19301706 092a8648 86f70d01 0902160a 50656572 4153412d 3239301e
170d3135 30343032 32313534 30375a17 0d323530 33333032 31353430 375a303a
311d301b 06035504 03131461 6e79636f 6e6e6563 742e6369 73636f2e 636f6d31
19301706 092a8648 86f70d01 0902160a 50656572 4153412d 32393082 0122300d
06092a86 4886f70d 01010105 00038201 0f003082 010a0282 010100f6 a125d0d0
55a975ec a1f2133f 0a2c3960 0da670f8 bcb6dad7 efefe50a 482db3a9 7c6db7c4
ed327ec5 286594bc 29291d8f 15140bad d33bc492 02f5301e f615e7cd a72b60e0
7877042b b6980dc7 ccaa39c8 c34164d9 e2ddeea1 3c0b5bad 5a57ec4b d77ddb3c
75930fd9 888f92b8 9f424fd7 277e8f9e 15422b40 071ca02a 2a73cf23 28d14c93
5a084cf0 403267a6 23c18fa4 fca9463f aa76057a b07e4b19 c534c0bb 096626a7
53d17d9f 4c28a3fd 609891f7 3550c991 61ef0de8 67b6c7eb 97c3bff7 c9f9de34
03a5e788 94678f4d 7f273516 c471285f 4e23422e 6061f1e7 186bbf9c cf51aa36
19f99ab7 c2bedb68 6d182b82 7ecf39d5 1314c87b ffddff68 8231d302 03010001
300d0609 2a864886 f70d0101 05050003 82010100 d598c1c7 1e4d8a71 6cb43296
c09ea8da 314900e7 5fa36947 c0bc1778 d132a360 0f635e71 400e592d b27e29b1
64dfb267 51e8af22 0a6a8378 5ee6a734 b74e686c 6d983dde 54677465 7bf8fe41
daf46e34 bd9fd20a bacf86e1 3fac8165 fc94fe00 4c2eb983 1fc4ae60 55ea3928
f2a674e1 8b5d651f 760b7e8b f853822c 7b875f91 50113dfd f68933a2 c52fe8d9
4f9d9bda 7ae2f750 313c6b76 f8d00bf5 1f74cc65 7c079a2c 8cce91b0 a8cdd833
900a72a4 22c2b70d 111e1d92 62f90476 6611b88d ff58de5b fdaa6a80 6fe9f206
3fe4b836 6bd213d4 a6356a6c 2b020191 bf4c8e3d dd7bdd8b 8cc35f0b 9ad8852e
b2371ee4 23b16359 ba1a5541 ed719680 ee49abe8
quit
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
management-access inside
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl server-version tlsv1-only
ssl encryption des-sha1 3des-sha1 aes128-sha1 aes256-sha1

!******** Bind the certificate to the outside interface********
ssl trust-point SelfsignedCert outside

!********Configure the Anyconnect Image and enable Anyconnect***
webvpn
enable outside

anyconnect image disk0:/anyconnect-win-3.1.06073-k9.pkg 1
anyconnect enable
tunnel-group-list enable

!*******Group Policy configuration*********
!Tunnel protocol, Spit tunnel policy, Split
!ACL, etc. can be configured.

group-policy GroupPolicy_SSLClient internal
group-policy GroupPolicy_SSLClient attributes
wins-server none
dns-server value 10.10.10.23
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Split-ACL
default-domain value Cisco.com

username User1 password PfeNk7qp9b4LbLV5 encrypted
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15

!*******Tunnel-Group (Connection Profile) Configuraiton*****
tunnel-group SSLClient type remote-access
tunnel-group SSLClient general-attributes
address-pool SSL-Pool
default-group-policy GroupPolicy_SSLClient
tunnel-group SSLClient webvpn-attributes
group-alias SSLClient enable

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:8d492b10911d1a8fbcc93aa4405930a0
: end

確認

クライアント接続をおよびさまざまなパラメータを確認するためにその接続に関連付けられるこれらのステップを完了して下さい:

  1. モニタリングへのナビゲート ASDM の VPN:



  2. オプションによって VPN の種類をフィルタリングするためにフィルタを使用できます。 廃棄メニューおよび AnyConnect クライアントセッション全員から AnyConnect クライアントを選択して下さい。

    ヒント: セッションはユーザ名および IP アドレスのような他の基準のそれ以上のフィルタ処理された、である場合もあります。



  3. その特定 の セッションについての更に詳しい情報を取得するためにセッションをダブルクリックして下さい:



  4. セッション 詳細を取得するために CLI に提示 VPNsessiondb anyconnect コマンドを入力して下さい:

    # show vpn-sessiondb anyconnect
    Session Type : AnyConnect
    Username : cisco Index : 14
    Assigned IP : 10.10.11.1 Public IP : 172.16.21.1
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)3DES DTLS-Tunnel: (1)DES
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
    Bytes Tx : 11472 Bytes Rx : 39712
    Group Policy : GroupPolicy_SSLClient Tunnel Group : SSLClient
    Login Time : 16:58:56 UTC Mon Apr 6 2015
    Duration : 0h:49m:54s
    Inactivity : 0h:00m:00s
    NAC Result : Unknown
    VLAN Mapping : N/A VLAN : none
  5. 結果を精製するために他のフィルタオプションを使用できます:

    # show vpn-sessiondb detail anyconnect filter name cisco

    Session Type: AnyConnect Detailed

    Username : cisco Index : 19
    Assigned IP : 10.10.11.1 Public IP : 10.106.44.243
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)3DES DTLS-Tunnel: (1)DES
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
    Bytes Tx : 11036 Bytes Rx : 4977
    Pkts Tx : 8 Pkts Rx : 60
    Pkts Tx Drop : 0 Pkts Rx Drop : 0
    Group Policy : GroupPolicy_SSLClient Tunnel Group : SSLClient
    Login Time : 20:33:34 UTC Mon Apr 6 2015
    Duration : 0h:01m:19s

    AnyConnect-Parent Tunnels: 1
    SSL-Tunnel Tunnels: 1
    DTLS-Tunnel Tunnels: 1

    AnyConnect-Parent:
    Tunnel ID : 19.1
    Public IP : 10.106.44.243
    Encryption : none Hashing : none
    TCP Src Port : 58311 TCP Dst Port : 443
    Auth Mode : userPassword
    Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
    Client OS : Windows
    Client Type : AnyConnect
    Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.06073
    Bytes Tx : 5518 Bytes Rx : 772
    Pkts Tx : 4 Pkts Rx : 1
    Pkts Tx Drop : 0 Pkts Rx Drop : 0

    SSL-Tunnel:
    Tunnel ID : 19.2
    Assigned IP : 10.10.11.1 Public IP : 10.106.44.243
    Encryption : 3DES Hashing : SHA1
    Encapsulation: TLSv1.0 TCP Src Port : 58315
    TCP Dst Port : 443 Auth Mode : userPassword
    Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
    Client OS : Windows
    Client Type : SSL VPN Client
    Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.06073
    Bytes Tx : 5518 Bytes Rx : 190
    Pkts Tx : 4 Pkts Rx : 2
    Pkts Tx Drop : 0 Pkts Rx Drop : 0

    DTLS-Tunnel:
    Tunnel ID : 19.3
    Assigned IP : 10.10.11.1 Public IP : 10.106.44.243
    Encryption : DES Hashing : SHA1
    Encapsulation: DTLSv1.0 UDP Src Port : 58269
    UDP Dst Port : 443 Auth Mode : userPassword
    Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
    Client OS : Windows
    Client Type : DTLS VPN Client
    Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.06073
    Bytes Tx : 0 Bytes Rx : 4150
    Pkts Tx : 0 Pkts Rx : 59
    Pkts Tx Drop : 0 Pkts Rx Drop : 0

トラブルシューティング

データを収集するために AnyConnect インストールおよび接続に関する問題を解決するために役立つ AnyConnect 診断およびレポーティング ツール(投げ矢)を使用できます。 投げ矢ウィザードは AnyConnect を実行するコンピュータで使用されます。 投げ矢は Cisco Technical Assistance Center (TAC) 分析のためのログ、ステータスおよび診断情報をアセンブルし、クライアントマシンで動作するアドミニストレーター特権を必要としません。

投げ矢をインストールして下さい

投げ矢をインストールするためにこれらのステップを完了して下さい:

  1. Cisco Webサイトから AnyConnect クライアント イメージをダウンロードして下さい。 ダウンロードのための正しいイメージを選択するために、Cisco AnyConnect セキュア モビリティ クライアント Webページを参照して下さい。 ダウンロード リンクはこのページで提供されます。 Download ページにナビゲート し、適切なバージョンを選択して下さい。 完全なインストール パッケージのための検索を-ウィンドウ/スタンドアロン インストーラ(ISO)行って下さい。

    : ISO インストーラ イメージはそれからダウンロードされます(anyconnect-win-3.1.06073-pre-deploy-k9.iso のような)。

  2. ISO パッケージのコンテンツを得るために WinRar か 7 Zip を使用して下さい:



  3. コンテンツが得られたフォルダに参照して下さい。

  4. Setup.exe ファイルを実行し、AnyconnectDiagnostic およびレポーティング ツールだけ選択して下さい:

投げ矢を実行して下さい

投げ矢を実行する前に考慮するべき重要な情報はここにあります:

  • 問題は投げ矢を実行する前に少なくとも一度作り直す必要があります。

  • ユーザ マシンの日時は問題が作り直されるとき注目される必要があります。

クライアントマシンの Start メニューから投げ矢を実行して下さい:

デフォルトカスタム モードは選択することができます。 Cisco は情報すべてがワン ショットでキャプチャ することができるようにデフォルトモードの投げ矢を実行することを推奨します。

完了されて、ツールはクライアント デスクトップに投げ矢バンドル .zip ファイルを保存します。 バンドルは更なる分析のための TAC にそれから(TAC ケースをオープンした後) E-メールを送ることができます。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 119006