Cisco AnyConnect VPN Client アドミニストレー タ ガイド v.2.0
CLI を使用したセキュリティ アプライアンスへ の AnyConnect クライアントのインストール
CLI を使用したセキュリティ アプライアンスへの AnyConnect クライアントのインストール
発行日;2012/01/30 | 英語版ドキュメント(2010/05/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

CLI を使用したセキュリティ アプライアンスへの AnyConnect クライアントのインストール

CLI を使用した AnyConnect クライアントの SSL VPN 接続のイネーブル化

永続的なクライアント インストールのディセーブル化

CLI を使用したセキュリティ アプライアンスへの AnyConnect クライアントのインストール

セキュリティ アプライアンスへの AnyConnect クライアントのインストールでは、セキュリティ アプライアンスにクライアント イメージをコピーし、そのファイルをクライアント イメージとして識別させます。複数クライアントの場合には、セキュリティ アプライアンスがクライアントをリモート PC にダウンロードする順番も割り当てる必要があります。


) AnyConnect クライアントの設定では、SSL VPN クライアントと同じパラメータを使用します。大部分の CLI コマンドおよび多くのファイル名には、プレフィクス svc が付くことで、この類似性を示しています。


次の手順を実行して、クライアントをインストールします。


ステップ 1 特権 EXEC モードで copy コマンドを使用するか、別の方法を使用して、クライアント イメージ パッケージをセキュリティ アプライアンスにコピーします。次の例では、 copy tftp コマンドを使用して、イメージを tftp サーバからコピーしています。

hostname# copy tftp flash
Address or name of remote host []? 209.165.200.226
Source filename []? anyconnect-win-2.0.0.0343.pkg
Destination filename []? anyconnect-win-2.0.0.0343.pkg
Accessing tftp://209.165.200.226/anyconnect-win-2.0.0.0343.pkg...!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/cdisk71...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
319662 bytes copied in 3.695 secs (86511 bytes/sec)
 

ステップ 2 webvpn コンフィギュレーション モードで svc image コマンドを使用して、フラッシュ上のファイルを SSL VPN クライアント パッケージとして識別します。

svc image filename order

セキュリティ アプライアンスは、リモート PC へのダウンロードのためにキャッシュ メモリ内のファイルを展開します。複数のクライアントが存在する場合には、order 引数を使用して、クライアント イメージに順序を指定します。

セキュリティ アプライアンスは、リモート PC のオペレーティング システムと一致するまで、指定した順序で各クライアントの一部をダウンロードしていきます。したがって、最も多く使用されているオペレーティング システムによって使用されるイメージに最も小さい番号を割り当てる必要があります。次の例を参考にしてください。

hostname(config-webvpn)# svc image anyconnect-win-2.0.0343-k9.pkg 1
hostname(config-webvpn)# svc image anyconnect-macosx-i386-2.0.0343-k9.pkg 2
hostname(config-webvpn)# svc image anyconnect-linux-2.0.0343-k9.pkg 3

) セキュリティ アプライアンスは、キャッシュ メモリ内の SSL VPN クライアントと Cisco Secure Desktop イメージを展開します。エラー メッセージ「ERROR: Unable to load SVC image - increase disk space via the 'cache-fs' command」が表示された場合は、cache-fs limit コマンドを使用してキャッシュ メモリのサイズを調整してください。


ステップ 3 show webvpn svc コマンドを使用して、クライアントのステータスを調べます。

hostname(config-webvpn)# show webvpn svc
1. disk0:/anyconnect-win-2.0.0343-k9.pkg 1
CISCO STC win2k+
2,0,0343
Tue 03/27/2007 4:16:21.09
 
2. disk0:/anyconnect-macosx-i386-2.0.0343-k9.pkg 2
CISCO STC Darwin_i386
2,0,0
Tue Mar 27 05:09:16 MDT 2007
 
3. disk0:/anyconnect-linux-2.0.0343-k9.pkg 3
CISCO STC Linux
2,0,0
Tue Mar 27 04:06:53 MST 2007
 
3 SSL VPN Client(s) installed

CLI を使用した AnyConnect クライアントの SSL VPN 接続のイネーブル化

クライアントをインストールした後、次の手順を実行することにより、セキュリティ アプライアンスをイネーブルにして AnyConnect VPN クライアントの SSL VPN 接続を可能にします。


ステップ 1 webvpn モードで enable コマンドを使用して、インターフェイス上で WebVPN をイネーブルにします。

enable interface

次の例を参考にしてください。

hostname(config)# webvpn
hostname(config-webvpn)# enable outside
 

DTLS をイネーブルにする前に、インターフェイス上で WebVPN をイネーブルにする必要があります。

ステップ 2 webvpn コンフィギュレーション モードで svc enable コマンドを使用して、SSL VPN をグローバルにイネーブル化します。

次の例を参考にしてください。

hostname(config-webvpn)# svc enable
 

ステップ 3 webvpn モードで dtls enable コマンドを使用して、インターフェイス上で DTLS をイネーブル化します。次の例を参考にしてください。

hostname(config-webvpn)# dtls enable outside
 

特定のポートに対して DTLS をグローバルにイネーブル化するには、webvpn モードで dtls port コマンドを使用します。次の例では、webvpn コンフィギュレーション モードを開始し、DTLS 用にポート 444 を指定しています。

hostname(config)# webvp4
hostname(config-webvpn)# dtls port 445
 

ステップ 4 アドレスの割り当て方式を設定します。DHCP や、ユーザが割り当てたアドレス指定を使用できます。また、グローバル コンフィギュレーション モードで ip local pool コマンドを使用して、ローカル IP アドレス プールを作成することもできます。

ip local pool poolname startaddr-endaddr mask mask

次の例では、ローカル IP アドレス プール vpn_users を作成します。

hostname(config)# ip local pool vpn_users 209.165.200.225-209.165.200.254
mask 255.255.255.224
 

ステップ 5 トンネル グループに IP アドレスを割り当てます。これを実行する 1 つの方法は、一般アトリビュート モードで address-pool コマンドを使用してローカル IP アドレスを割り当てることです。

address-pool poolname

これを実行するためには、まず tunnel-group name general-attributes コマンドを入力して、一般アトリビュート モードを開始します。次に、 address-pool コマンドを使用して、ローカル IP アドレス プールを指定します。

次の例では、既存のトンネル グループ telecommuters を設定して、ステップ 3 で作成したアドレス プール vpn_users を使用します。

hostname(config)# tunnel-group telecommuters general-attributes
hostname(config-tunnel-general)# address-pool vpn_users
 

ステップ 6 トンネル グループ一般アトリビュート モードで default-group-policy コマンドを使用して、トンネル グループにデフォルトのグループ ポリシーを割り当てます。

default-group-policy name

次の例では、グループ ポリシー sales をトンネル グループ telecommuters に割り当てます。

hostname(config-tunnel-general)# default-group-policy sales
 

ステップ 7 トンネル グループ アトリビュート モードで group-alias コマンドを使用して、WebVPN ログイン ページのグループ リストに表示されるグループ エイリアスを作成し、イネーブルにします。

group-alias name enable

まず、グローバル コンフィギュレーション モードに戻り、次に tunnel-group name webvpn-attributes コマンドを入力してトンネル グループ アトリビュート モードを開始します。

次の例では、トンネル グループ telecommuters の webvpn アトリビュート コンフィギュレーション モードを開始して、グループ エイリアス sales_department を作成します。

hostname(config)# tunnel-group telecommuters webvpn-attributes
hostname(config-tunnel-webvpn)# group-alias sales_department enable
 

ステップ 8 webvpn モードで、WebVPN ログインページのトンネル グループ リストの表示をイネーブルにします。

tunnel-group-list enable

まず、グローバル コンフィギュレーション モードに戻り、次に webvpn モードを開始します。

次の例では、webvpn モードを開始してから、トンネル グループ リストをイネーブルにします。

hostname(config)# webvpn
hostname(config-webvpn)# tunnel-group-list enable
 

ステップ 9 グループ ポリシー モードまたはユーザ名モードで vpn-tunnel-protocol svc コマンドを使用して、SSL を、グループまたはユーザに対して許可された VPN トンネリング プロトコルとして指定します。

vpn-tunnel-protocol svc

また、このコマンドにプロトコルの名前を追加して、別のプロトコルを指定して許可することもできます。vpn-tunnel-protocol コマンドの詳細については、『 Cisco Security Appliance Command Reference 』のコマンド説明を参照してください。

SSL を許可されたトンネリング プロトコルとして指定するには、まずグローバル コンフィギュレーション モードに戻り、 group-policy name attributes コマンドを入力してグループ ポリシー モードを開始するか、または username name attributes コマンドを入力してユーザ名モードを開始してから、 webvpn コマンドを入力して webvpn モードを開始して、グループまたはユーザの WebVPN 設定を変更します。

次の例では、SSL をグループ ポリシー sales に対して許可された唯一のトンネリング プロトコルとして識別します。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# vpn-tunnel-protocol svc
 


 

グループ ポリシーへのユーザの割り当ての詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』の「Configuring Tunnel Groups, Group Policies, and Users」を参照してください。

永続的なクライアント インストールのディセーブル化

永続的な AnyConnect クライアントのインストールをディセーブルにすると、クライアントの自動アンインストール機能がイネーブルになります。リモート コンピュータ上のクライアントは、すべてのセッションの終了時にアンインストールされます。

特定のグループまたはユーザに対する永続的な AnyConnect クライアント インストールを無効にするには、グループ ポリシー モードまたはユーザ名 webvpn モードで svc keep-installer コマンドを使用します。

svc keep-installer none

デフォルトでは、クライアントの永続的なインストールがイネーブルになっています。リモート コンピュータ上のクライアントは各セッションの終了時にリモート コンピュータ上でインストールされたままとなり、それ以降の接続の接続時間を短縮します。次の例では、セッションの終了時にリモート コンピュータ上でクライアントのインストールを維持 しない ように、既存のグループ ポリシー sales を設定しています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-policy)# svc keep-installer none