Cisco AnyConnect VPN Client アドミニストレー タ ガイド v.2.0
AnyConnect クライアントのインストールと ASDM でのセキュリティ アプライアンスの設定
AnyConnect クライアントのインストールと ASDM でのセキュリティ アプライアンスの設定
発行日;2012/01/30 | 英語版ドキュメント(2010/05/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

AnyConnect クライアントのインストールと ASDM でのセキュリティ アプライアンスの設定

AnyConnect クライアントのインストールと ASDM でのセキュリティ アプライアンスの設定

セキュリティ アプライアンスへのクライアントのインストールでは、セキュリティ アプライアンスにクライアント イメージをコピーし、そのファイルをセキュリティ アプライアンスにクライアント イメージとして識別させます。複数クライアントの場合には、セキュリティ アプライアンスがクライアントをリモート PC にロードする順番も割り当てる必要があります。


) AnyConnect クライアントの設定では、SSL VPN クライアントと同じパラメータを使用します。ファイル名、パネル名、および ASDM ナビゲーション要素の多く、および大部分の CLI コマンドにはプレフィクス svc が付くことで、この類似性を示しています。


次の手順を実行して、クライアントをインストールします。


ステップ 1 AnyConnect クライアント イメージを、セキュリティ アプライアンスにロードします。[ASDM] ツールバーで、[Configuration] をクリックします。ナビゲーション ペインに、設定する機能が表示されます。

ステップ 2 ナビゲーション ペインで、[Remote Access VPN] をクリックします。ナビゲーション ペインに VPN 機能が表示されます。

ステップ 3 [Choose Network (Client) Access] > [Advanced] > [SSL VPN] > [Client Settings] の順に選択します。[SSL VPN Client Settings] パネルが表示されます(図 3-1)。

このパネルには、AnyConnect クライアント イメージとして認識されたすべての AnyConnect クライアント ファイルが一覧表示されます。この表に表示される順序は、リモート コンピュータにダウンロードされる順番を反映しています。

図 3-1 [SSL VPN Client] パネル

 

AnyConnect クライアント イメージを追加するには、[SSL VPN Client Images] 領域で [Add] をクリックします。[Add SSL VPN Client Image] ダイアログが表示されます(図 3-2)。

図 3-2 [Add SSL VPN Client Image] ダイアログ

 

セキュリティ アプライアンスのフラッシュ メモリにすでにイメージが格納されている場合は、そのイメージの名前を [Flash SVC Image] フィールドに入力して、 [OK] をクリックします。これで、識別された AnyConnect イメージが [SSL VPN Client Settings] パネルに表示されます(図 3-3)。

図 3-3 AnyConnect クライアント イメージの表示された [SSL VPN Client] パネル

 


) セキュリティ アプライアンスは、リモート PC のオペレーティング システムと一致するまで、指定した順序で各クライアントの一部をダウンロードしていきます。したがって、最も多く使用されているオペレーティング システムで使用されるイメージを先頭位置に割り当てる必要があります。


ステップ 4 イメージ名をクリックし、[Move Up] ボタンまたは [Move Down] ボタンを使用して、リスト内のイメージの位置を変更してください。

これにより、セキュリティ アプライアンスがイメージをリモート コンピュータにロードする順序を設定できます。セキュリティ アプライアンスは、イメージのリストの先頭にある AnyConnect クライアント イメージを最初にロードします。したがって、最も多く使用されているオペレーティング システムによって使用されるイメージを、リストの先頭に移動する必要があります。

ステップ 5 セキュリティ アプライアンスが AnyConnect クライアントをリモート ユーザにダウンロードできるようにします。[Network (Client) Access] > [SSL VPN Connection Profiles] に移動します。[SSL VPN Connection Profiles] パネルが表示されます(図 3-4)。[Enable Cisco AnyConnect VPN Client or legacy SSL VPN client access on the interfaces selected in the table below] をオンにします。

図 3-4 [Enable SSL VPN Client] チェックボックス

 

ステップ 6 アドレスの割り当て方式を設定します。DHCP や、ユーザが割り当てたアドレス指定を使用できます。ローカル IP アドレス プールを作成し、そのプールをトンネル グループに割り当てる方法もあります。

IP アドレスのプールを作成するには、[Network (Client) Access] > [Address Management] > [Address Pools] の順に選択します。[Add] をクリックします。[Add IP Pool] ダイアログが表示されます(図 3-5)。

図 3-5 [Add IP Pool] ダイアログ

 

新しい IP アドレス プールの名前を入力します。開始および終了 IP アドレスを入力し、サブネット マスクを入力して [OK] をクリックします。

ステップ 7 IP アドレス プールを接続(トンネル グループ)に割り当てます。このためには、[Network (Client) Access] > [SSL VPN Connection Profiles] の順に選択します。[SSL VPN Connection Profiles] パネルが表示されます(図 3-6)。

図 3-6 クライアント アドレス プールの割り当て

 

既存の接続プロファイルを編集するには、表内の接続を強調表示し、[Edit] をクリックします。[Edit SSL VPN Connection] > [Basic] ダイアログボックスが表示されます。新しい接続プロファイルを追加するには、[Add] をクリックします。[Add SSL VPN Connection] > [Basic] ダイアログボックスが表示されます。このダイアログボックスは、接続プロファイルの名前を指定する必要がある点を除いて、[Edit] ダイアログボックスと同じです。次のように進みます。

[Client Address Assignment] 領域で、[Select] をクリックします。[Select Address Pool] ダイアログボックスが表示され(図 3-7)、使用可能なアドレス プールが表示されます。プールを選択すると、[Assigned Address Pools] 領域の [Assign] フィールドに、選択したプールが表示されます。[OK] をクリックします。

図 3-7 [Select Address Pool] ダイアログ

 

ステップ 8 グループまたはユーザ用に許可された VPN トンネリング プロトコルとして、SSL VPN を識別します。

ナビゲーション ペインで、[Network (Client) Access] > [Group Policies] を選択します。[Group Policy] テーブルでグループ ポリシーを強調表示し、[Edit] をクリックします。

[Edit Internal Group Policy] ダイアログが表示されます(図 3-8)。

図 3-8 [Edit Internal Group Policy]、[General] タブ

 

[SSL VPN Client] をオンにして、SSL VPN をトンネリング プロトコルとして含めます

ステップ 9 ユーザまたはグループの SSL VPN アトリビュートを設定します。グループの SSL VPN 機能を表示するには、[Internal Group Policy] ダイアログのナビゲーション ペインで、[Advanced] > [SSL VPN Client] を選択します。SSL VPN Client 機能で図 3-9 が表示されます。

図 3-9 SSL VPN Client 機能

 

[SSL VPN Client] タブで、次の機能を設定します。

[Keep Installer on Client System]:リモート コンピュータ上で永続的なクライアントのインストールを可能にします。これをイネーブルにすることにより、クライアントの自動的なアンインストール機能がディセーブルになります。クライアントは、それ以降の接続に対してリモート コンピュータ上でインストールされたままとなり、リモート ユーザの接続時間が短縮します。

[Compression]:圧縮によって転送されるパケットのサイズを縮小することにより、セキュリティ アプライアンスとクライアント間の低帯域幅リンクの通信パフォーマンスが向上します。ブロードバンド接続では、圧縮によってパフォーマンスが低下することがあります。

[Datagram TLS]:Datagram Transport Layer Security(DTLS)では、AnyConnect クライアントは、SSL トンネルと DTLS トンネルの 2 つの同時トンネルを使用する SSL VPN 接続を確立できます。DTLS を使用すると、SSL 接続で発生する遅延と帯域幅の問題が防止され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。


) 圧縮と DTLS は相互に排他的です。両方を有効にすると、クライアント接続に対して DTLS が非アクティブになります。


[Keepalive Messages]:[Interval] フィールドに 15 秒から 600 秒までの数を入力することにより、接続がアイドルの時間がデバイスによって制限されている場合でも、キープアライブ メッセージの間隔を有効および調整して、プロキシ、ファイアウォール、または NAT デバイスを通した接続を確実に開いたままにすることができます。また、間隔を調整することにより、リモート ユーザが、Microsoft Outlook や Microsoft Internet Explorer などのソケット ベースのアプリケーションを実際に実行していないときでも、クライアントが切断と再接続を行わないことが保証されます。

[MTU]:Maximum Transmission Unit(MTU; 最大伝送ユニット)を、256 バイトから 1406 バイトまで、バイト単位で調整します。この設定は、DTLS を使用する場合も、また使用しない場合も、SSL で確立された AnyConnect クライアント接続だけに影響します。デフォルトでは、MTU サイズは、接続に使用するインターフェイスの MTU から IP/UDP/DTLS オーバーヘッドを減算して、自動的に調整されます。

[Client Profile to Download]:フラッシュ上のファイルをクライアント プロファイルとして指定します。プロファイルは設定パラメータのグループであり、AnyConnect クライアントによって、ホスト コンピュータの名前やアドレスを含めて、クライアント ユーザ インターフェイスに表示される接続エントリの設定に使用されます。

[Optional Client Module to Download]:Start Before Logon(SBL)など、AnyConnect クライアントがより一層の機能を有効にするためにダウンロードする必要のある任意のモジュールを指定します。ダウンロード時間を最小にするため、AnyConnect クライアントは、サポートする各機能に必要なコア モジュールの(セキュリティ アプライアンスからの)ダウンロードだけを要求します。


 

[Group Policies] > [Advanced] > [SSL VPN Client] ダイアログボックスで設定するアトリビュートによって、AnyConnect クライアントのプロファイルが設定されます。