Cisco AnyConnect VPN Client アドミニストレー タ ガイド v.2.0
CLI を使用した AnyConnect 機能の設定
CLI を使用した AnyConnect 機能の設定
発行日;2012/01/30 | 英語版ドキュメント(2010/05/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

CLI を使用した AnyConnect 機能の設定

AnyConnect(SSL)接続による Datagram Transport Layer Security(DTLS)のイネーブル化

特定のポートに対するグローバルな DTLS のイネーブル化

特定のグループまたはユーザに対する DTLS のイネーブル化

リモート ユーザへのプロンプト

IPv6 VPN アクセスのイネーブル化

追加の AnyConnect 機能で使用するモジュールのイネーブル化

その他の AnyConnect 機能の設定、イネーブル化、使用

証明書のみの認証の設定

圧縮の使用

セキュリティ アプライアンスのダイナミック アクセス ポリシーの設定

Cisco Secure Desktop のサポート

AnyConnect キーの再生成のイネーブル化

Dead Peer Detection のイネーブル化と調整

AnyConnect キープアライブのイネーブル化

CLI を使用した AnyConnect 機能の設定

AnyConnect クライアントには、セキュリティ アプライアンスで設定する次の機能が含まれています。

「AnyConnect(SSL)接続による Datagram Transport Layer Security(DTLS)のイネーブル化」

「リモート ユーザへのプロンプト」

「IPv6 VPN アクセスのイネーブル化」

「追加の AnyConnect 機能で使用するモジュールのイネーブル化」

「証明書のみの認証の設定」

「圧縮の使用」

「セキュリティ アプライアンスのダイナミック アクセス ポリシーの設定」

「Cisco Secure Desktop のサポート」

「AnyConnect キーの再生成のイネーブル化」

「Dead Peer Detection のイネーブル化と調整」

「AnyConnect キープアライブのイネーブル化」

AnyConnect(SSL)接続による Datagram Transport Layer Security(DTLS)のイネーブル化

Datagram Transport Layer Security では、AnyConnect 接続を含む一部の SSL だけの接続で発生する遅延と帯域幅の問題が防止され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。DTLS は、UDP を使用して遅延の少ないデータ パスを提供する標準ベースの SSL プロトコルです。DTLS の詳細については、RFC 4347(http://www.ietf.org/rfc/rfc4347.txt)を参照してください。

Datagram Transport Layer Security(DTLS)では、AnyConnect クライアントは、SSL トンネルと DTLS トンネルの 2 つの同時トンネルを使用する SSL VPN 接続を確立できます。DTLS を使用すると、一部の SSL 接続で発生する遅延と帯域幅の問題が防止され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

DTLS をイネーブルにしない場合、SSL VPN 接続は、SSL VPN トンネルだけで接続します。

特定のポートに対するグローバルな DTLS のイネーブル化

特定のポートに対して DTLS をグローバルにイネーブルにするには、 dtls port コマンドを使用します。

[no] dtls port port_number

次の例を参考にしてください。

hostname(config-webvpn)# dtls outside

特定のグループまたはユーザに対する DTLS のイネーブル化

特定のグループまたはユーザに対して DTLS をイネーブルにするには、グループ ポリシーの webvpn またはユーザ名の webvpn コンフィギュレーション モードで svc dtls enable コマンドを使用します。

[ no ] svc dtls enable

DTLS が設定済みで UDP が中断された場合、リモート ユーザの接続は自動的に DTLS から TLS にフォールバックします。デフォルトはイネーブルですが、DTLS は個々のインターフェイスではデフォルトでイネーブルになっていません。

DTLS をイネーブルにすると、AnyConnect クライアントで AnyConnect VPN 接続を確立して、SSL トンネルと DTLS トンネルの 2 つを同時に使用できます。DTLS を使用すると、一部の SSL 接続で発生する遅延と帯域幅の問題が防止され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

DTLS をイネーブルにしない場合、SSL VPN 接続を確立している AnyConnect クライアント ユーザは、SSL VPN トンネルだけで接続します。

次の例では、グループ ポリシー sales の webvpn コンフィギュレーション モードを開始し、DTLS をイネーブルにします。

 
hostname(config)# enable inside
hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc dtls enable
 

リモート ユーザへのプロンプト

グループ ポリシーの webvpn またはユーザ名の webvpn コンフィギュレーション モードで svc ask コマンドを使用すると、リモート AnyConnect VPN クライアント ユーザにクライアントのダウンロードを求めることを、セキュリティ アプライアンスでイネーブルにできます。

[ no ] svc ask { none | enable [ default { webvpn | svc } timeout value ]}

svc ask enable では、リモート ユーザにクライアントをダウンロードするか、または WebVPN ポータル ページに移動するようプロンプトを表示し、ユーザの応答を無期限に待機します。

svc ask enable default svc では、クライアントをすぐにダウンロードします。

svc ask enable default webvpn では、すぐにポータル ページに移動します。

svc ask enable default svc timeout value では、リモート ユーザにクライアントをダウンロードするか、または WebVPN ポータル ページに移動するようプロンプトを表示し、 value に指定された期間だけ待機してから、デフォルトのアクションであるクライアントのダウンロードを実行します。

svc ask enable default webvpn timeout value では、リモート ユーザにクライアントをダウンロードするか、または WebVPN ポータル ページに移動するようプロンプトを表示し、 value に指定された期間だけ待機してから、デフォルトのアクションである WebVPN ポータル ページの表示を実行します。

図 6-1 に、 default svc timeout value または default webvpn timeout value の場合に、リモート ユーザに表示されるプロンプトを示します。

図 6-1 リモート ユーザに表示される SSL VPN クライアント ダウンロードのプロンプト

 

次の例では、リモート ユーザにクライアントをダウンロードするか、または WebVPN ポータル ページに移動するようプロンプトを表示し、 ユーザの応答を 10 秒間 待機してからクライアントをダウンロードするよう、セキュリティ アプライアンスを設定します。

hostname(config-group-webvpn)# svc ask enable default svc timeout 10
 

IPv6 VPN アクセスのイネーブル化

AnyConnect クライアントでは、公衆 IPv4 接続から IPv6 リソースにアクセスできます(Windows XP SP2、Windows Vista、Mac OSX、および Linux のみ)。コマンドライン インターフェイスを使用して、IPv6 を設定する必要があります。ASDM では IPv6 がサポートされません。

SSL VPN 接続のイネーブル化の中で、 ipv6 enable コマンドを使用して IPv6 アクセスをイネーブルにします。次の例では、外部インターフェイスで IPv6 をイネーブルにする IPv6 接続を示します。

hostname(config)# interface GigabitEthernet0/0
hostname(config-if)# ipv6 enable
 

IPV6 SSL VPN をイネーブルにするには、次の一般的なアクションを実行します。

1. 外部インターフェイスで IPv6 をイネーブルにします。

2. 内部インターフェイスで IPv6 と IPv6 アドレスをイネーブルにします。

3. IP アドレスが割り当てられたクライアントの IPv6 アドレス ローカル プールを設定します。

4. IPv6 トンネルのデフォルト ゲートウェイを設定します。

この手順を実装するには、次の手順に従ってください。


ステップ 1 インターフェイスを設定します。

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 192.168.0.1 255.255.255.0
ipv6 enable ; Needed for IPv6.
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.0.1 255.255.0.0
ipv6 address 2001:DB8::1/32 ; Needed for IPv6.
ipv6 enable ; Needed for IPv6.
 

ステップ 2 「ipv6 ローカル プール」を設定します(AnyConnect Client IPv6 アドレスの割り当てに使用)。

 
ipv6 local pool ipv6pool 2001:DB8:1:1::5/32 100 ; Use your IPv6 prefix here
 

) IPv6 を使用する場合でも、IPv4 アドレスを設定する必要があります(ip local pool コマンドを使用)。


ステップ 3 Tunnel グループ ポリシー(またはグループ ポリシー)に ipv6 アドレス プールを追加します。

tunnel-group YourTunGrp1 general-attributes ipv6-address-pool ipv6pool
 

) もう一度、ここで(「address-pool」コマンドを使用して)IPv4 アドレス プールを設定する必要があります。


ステップ 4 IPv6 トンネルのデフォルト ゲートウェイを設定します。

ipv6 route inside ::/0 X:X:X:X::X tunneled
 


 

追加の AnyConnect 機能で使用するモジュールのイネーブル化

AnyConnect クライアント用に新しい機能がリリースされた場合、リモート ユーザが新しい機能を使用できるように、リモート ユーザの AnyConnect クライアントをアップデートする必要があります。ダウンロード時間を最小にするため、AnyConnect クライアントは、サポートする各機能に必要なモジュールの(セキュリティ アプライアンスからの)ダウンロードだけを要求します。新しい機能をイネーブルにするには、グループ ポリシーの webvpn またはユーザ名の webvpn コンフィギュレーション モードで svc modules コマンドを使用して、新しいモジュール名を指定する必要があります。

[no ] svc modules { none | value string }

複数の文字列を指定する場合は、カンマで区切ります。

各 AnyConnect クライアント機能に入力する値のリストについては、Cisco AnyConnect VPN Client のリリース ノートを参照してください。

次の例では、ネットワーク管理者がグループ ポリシー在宅勤務者用のグループポリシー属性モードを開始し、グループポリシーの webvpn コンフィギュレーション モードを開始して、AnyConnect クライアント機能 Start Before Login をイネーブルにする文字列 vpngina を指定します。

hostname(config)# group-policy telecommuters attributes
hostname(config-group-policy)# webvpn
hostame(config-group-webvpn)# svc modules value vpngina
 

その他の AnyConnect 機能の設定、イネーブル化、使用

次の項で、AnyConnect 機能の設定方法について説明します。Secure Desktop やダイナミック アクセス ポリシーなどの一部の機能では、AnyConnect クライアントをその機能と対話するように設定する必要があります。そうしない場合は、これらの機能のすべての設定を、セキュリティ アプライアンスまたはソフトウェア パッケージ自体で行います。

証明書のみの認証の設定

ユーザ名とパスワードを使用して AAA でユーザを認証するか、デジタル証明書で認証するか(または、その両方を使用するか)を指定する必要があります。証明書のみの認証を設定すると、ユーザはデジタル証明書で接続でき、ユーザ ID とパスワードを入力する必要がなくなります。CLI を使用して明書のみの認証を設定するには、トンネルグループの webvpn モードで authentication コマンドをキーワード certificate と一緒に使用します。次の例を参考にしてください。

hostname(config)# tunnel-group testgroup webvpn-attributes
asa2(config-tunnel-webvpn)# authentication ?
asa2(config-tunnel-webvpn)# authentication certificate
 

) このオプションを有効にするには、ssl certificate-authentication interface <interface> port <port> を設定する必要があります。


ASDM を使用して証明書のみの認証を設定するには、[Configuration] > [Remote Access] > [Network (Client) Access] > [SSL VPN Connection Profiles] を選択し、[Connection Profiles] 領域で [Add] または [Edit] を選択します。これによって、[Add SSL VPN Connect Profile] ダイアログボックスまたは [Edit SSL VPN Connect Profile] ダイアログボックスが、[Basic] オプションがオンになった状態で表示されます。[Authentication] 領域で方式として [Certificate] を指定します。

圧縮の使用

低帯域幅の接続では、圧縮によって転送されるパケットのサイズが削減され、セキュリティ アプライアンスとクライアントとの間の通信パフォーマンスが向上します。デフォルトでは、グローバル レベルと特定のグループまたはユーザ レベルの両方で、すべての SSL VPN 接続で圧縮がセキュリティ アプライアンスでイネーブルになっています。ブロードバンド接続では、圧縮によってパフォーマンスが低下することがあります。

グローバルに圧縮を設定するには、グローバル コンフィギュレーション モードから compression svc コマンドを使用します。グループポリシーおよびユーザ名の webvpn モードで svc compression コマンドを使用して、特定のグループまたはユーザに対して圧縮を設定することもできます。グローバル設定によって、グループポリシーおよびユーザ名の設定が上書きされます。

圧縮のグローバルな変更

グローバル圧縮設定を変更するには、グローバル コンフィギュレーション モードで compression svc コマンドを使用します。

compression svc

no compression svc

設定からコマンドを削除するには、コマンドの no 形式を使用します。

次の例では、すべての SSL VPN 接続に対してグローバルに圧縮がディセーブルになっています。

hostname(config)# no compression svc

グループやユーザに対する圧縮の変更

特定のグループまたはユーザの圧縮を変更するには、グループポリシーおよびユーザ名の webvpn モードで svc compression コマンドを使用します。

svc compression {deflate | none}

no svc compression {deflate | none}

デフォルトでは、グループやユーザに対して、SSL 圧縮が deflate (イネーブル)に設定されます。

設定から svc compression コマンドを削除し、グローバル設定から値が継承されるようにするには、コマンドの no 形式を使用します。

次の例では、グループポリシー sales の圧縮をディセーブルにします。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc compression none
 

) 圧縮を機能させるには、(グローバル コンフィギュレーション モードで設定された)compression svc コマンドと、(グループポリシーとユーザ名の webvpn モードで設定された)svc compression コマンドの方法をイネーブルにする必要があります。どちらかが none またはコマンドの no 形式に設定されている場合、圧縮はディセーブルになります。


セキュリティ アプライアンスのダイナミック アクセス ポリシーの設定

セキュリティ アプライアンスで、VPN 接続の複数のグループ メンバシップおよびエンドポイント セキュリティを解決する認可を設定できます。ダイナミック アクセス ポリシーを使用する必要がある AnyConnect の設定はありません。ダイナミック アクセス ポリシーの設定の詳細については、 『Cisco ASDM User Guide Cisco Security Appliance Command Line Configuration Guide または『 Cisco Security Appliance Command Reference を参照してください。

Cisco Secure Desktop のサポート

Cisco Secure Desktop は SSL VPN へのアクセスを要求しているクライアント コンピュータのセキュリティを確認し、接続中のセキュリティを確保し、接続の解除後にセッションの痕跡を削除しようとします。Cisco AnyConnect VPN Client では、Windows 2000 および Windows XP 用の Cisco Secure Desktop の Secure Desktop 機能がサポートされます。Secure Desktop を使用するために必要な AnyConnect の設定はありません。Cisco Secure Desktop の設定の詳細については、『 Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administrators (Software Release 3.2) 』を参照してください。

AnyConnect キーの再生成のイネーブル化

AnyConnect キーの再生成を設定すると、キーの再生成中に SSL 再ネゴシエーションを実行するように指定されます。

セキュリティ アプライアンスと SSL VPN クライアントはキーの再生成を実行し、暗号キーや初期ベクトルの再ネゴシエーションを行い、接続のセキュリティが向上します。

クライアントで特定のグループまたはユーザに対して SSL VPN 接続でキーの再生成の実行をイネーブルにするには、グループポリシーおよびユーザ名の webvpn モードで svc rekey コマンドを使用します。

[no] svc rekey { method { new-tunnel | none | ssl } | time minutes }

method new-tunnel は、クライアントがキーの再生成中に新しいトンネルを確立するように指定します。

method none はキーの再生成をディセーブルにします。

ethod ssl は、キーの再生成中に SSL 再ネゴシエーションを実行するように指定します。

time minutes は、セッションの開始時から、または最後にキーの再生成が行われてから、次にキーの再生成が行われるまでの時間を分単位で、1~10080(1 週間)の範囲内で指定します。

次の例では、クライアントがキーの再生成中に SSL との再ネゴシエーションを行うように設定されます。これは既存のグループポリシー sales のセッション開始後、30 分後に実行されます。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-policy)# svc rekey method ssl
hostname(config-group-policy)# svc rekey time 30
 

) 現在、セキュリティ アプライアンスではインライン DTLS キーの再生成がサポートされていません。したがって、AnyConnect クライアントはすべての DTLS キーの再生成イベントを、インライン ssl タイプ(CSC93610)の代わりの新しいトンネル方式であるかのように扱います。


Dead Peer Detection のイネーブル化と調整

Dead Peer Detection(DPD)では、セキュリティ アプライアンス(ゲートウェイ)またはクライアントがピアが応答していないことや、接続に障害が発生していることをすばやく検出できます。


) セキュリティ アプライアンスで DTLS と AnyConnect クライアントを組み合せて使用する場合は、ASA のグループ ポリシーで Dead Peer Detection をイネーブルにして、必要に応じて AnyConnect クライアントを TLS にフォールバックできるようにする必要があります。TLS へのフォールバックは、AnyConnect クライアントが UPD/DTLS セッションを介してデータを送信できない場合に発生します。フォールバックが発生するためには、DPD メカニズムが必要です。


セキュリティ アプライアンスまたはクライアントで特定のグループまたはユーザに対して DPD をイネーブルにして、セキュリティ アプライアンスまたはクライアントが DPD を実行する頻度を設定するには、グループポリシーまたはユーザ名の webvpn モードで svc dpd-interval コマンドを使用します。

svc dpd-interval {[ gateway { seconds | none }] | [ client { seconds | none }] }

no svc dpd-interval {[ gateway { seconds | none }] | [ client { seconds | none }] }

上記で

gateway seconds は、セキュリティ アプライアンス(ゲートウェイ)による DPD の実行をイネーブルにし、セキュリティ アプライアンス(ゲートウェイ)が DPD を実行する頻度を 30~3600 秒の範囲内で指定します。

gateway none はセキュリティ アプライアンスで実行される DPD をディセーブルにします。

client seconds は、クライアントによる DPD の実行をイネーブルにし、クライアントが DPD を実行する頻度を 30~3600 秒の範囲内で指定します。

client none は、クライアントで実行される DPD をディセーブルにします。

設定から svc dpd-interval コマンドを削除するには、コマンドの no 形式を使用します。

次の例では、セキュリティ アプライアンスによって DPD が実行される頻度を 30 秒に設定し、クライアントによって既存のグループポリシー sales に対して実行される DPD の頻度を 10 秒に設定します。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-policy)# svc dpd-interval gateway 30
hostname(config-group-policy)# svc dpd-interval client 10

AnyConnect キープアライブのイネーブル化

キープアライブ メッセージの頻度を調整して、デバイスで接続をアイドル状態にできる時間が制限されている場合でも、プロキシ、ファイアウォールまたは NAT デバイスを介した AnyConnect クライアントまたは SSL VPN 接続が開かれた状態を維持できます。また、頻度を調整すると、リモート ユーザが Microsoft Outlook や Microsoft Internet Explorer などのソケットベースのアプリケーションをアクティブに実行していない場合に、クライアントが接続を解除されて再接続されることがなくなります。

キープアライブ メッセージの頻度を設定するには、グループ ポリシーの webvpn またはユーザ名の webvpn コンフィギュレーション モードで svc keepalive コマンドを使用します。

[no] svc keepalive {none | seconds }

none はクライアント キープアライブ メッセージをディセーブルにします。

seconds はクライアントによるキープアライブ メッセージの送信をイネーブルにし、メッセージの頻度を 15~600 秒の範囲内で指定します。

デフォルトでは、キープアライブ メッセージはディセーブルになっています。

コマンドの no 形式を使用すると、設定からコマンドが削除され、値が継承されます。

次の例では、セキュリティ アプライアンスによる既存のグループポリシー sales に対する 300 秒(5 分)の頻度でのキープアライブ メッセージの送信をイネーブルにするように設定されます。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn

hostname(config-group-webvpn)# svc keepalive 300