Cisco AnyConnect VPN Client アドミニストレー タ ガイド v.2.0
AnyConnect クライアントのモニタリングと メンテナンス
AnyConnect クライアントのモニタリングとメンテナンス
発行日;2012/01/30 | 英語版ドキュメント(2010/05/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

AnyConnect クライアントのモニタリングとメンテナンス

AnyConnect クライアントと SSL VPN セッションの表示

ASDM の使用による MTU サイズの調整

CLI の使用による MTU サイズの調整

AnyConnect クライアント セッションのログオフ

AnyConnect クライアントと SSL VPN クライアント イメージの更新

AnyConnect クライアントのモニタリングとメンテナンス

この章では、ネットワーク管理者が Cisco AnyConnect クライアントを管理するための一般的なメンテナンスとモニタリングの手順について説明します。セキュリティ アプライアンスで次の手順を実行します。

「AnyConnect クライアントと SSL VPN セッションの表示」

「ASDM の使用による MTU サイズの調整」

「AnyConnect クライアント セッションのログオフ」

「AnyConnect クライアントと SSL VPN クライアント イメージの更新」

AnyConnect クライアントと SSL VPN セッションの表示

特権 EXEC モードで show vpn-sessiondb コマンドを使用すると、アクティブなセッションについての情報を表示できます。

show vpn-sessiondb svc

show vpn-sessiondb svc コマンドの出力例を次に示します。

hostname# show vpn-sessiondb svc
 
Session Type: SVC
 
Username : testuser Index : 17
Assigned IP : 209.165.200.224 Public IP : 192.168.23.45
Protocol : Clientless SSL-Tunnel DTLS-Tunnel
Encryption : RC4 AES128 Hashing : SHA1
Bytes Tx : 17457 Bytes Rx : 69502
Group Policy : GroupPolicy Tunnel Group : CertGroup
Login Time : 15:19:57 EDT Fri May 25 2007
Duration : 0h:04m:27s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
 

AnyConnect(SSL VPN)トンネル、DTLS トンネル、および Clientless トンネルの数を含めて詳細情報を表示するには、 show vpn-sessiondb detail svc コマンドを使用します。

ASDM の使用による MTU サイズの調整

AnyConnect クライアントが確立する SSL VPN 接続の最大伝送ユニット サイズ(256 ~ 1406 バイト)を調整するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add] または [Edit] を選択します。[Edit Internal Group Policy] ダイアログボックスが表示されます(図)。

図 9-1 [Edit Internal Group Policy] ダイアログボックス

 

[Advanced] > [SSL VPN Client] の順に選択します。[Inherit] チェックボックスをオフにして、MTU フィールドで適切な値を指定します。デフォルトのグループ ポリシーでは、このコマンドのデフォルトのサイズが 1406 です。MTU サイズは、接続に使用するインターフェイスの MTU から IP/UDP/DTLS オーバーヘッドを減算して、自動的に調整されます。

この設定は、AnyConnect クライアントだけに適用されます。Cisco SSL VPN Client(SVC)では MTU サイズを調整できません。この設定が影響を与えるのは、SSL で確立された AnyConnect クライアント接続と、SSL with DTLS で確立された AnyConnect クライアント接続です。

CLI の使用による MTU サイズの調整

AnyConnect クライアントが確立する SSL VPN 接続の最大伝送ユニット サイズ(256 ~ 1406 バイト)を調整するには、グループ ポリシーの webvpn またはユーザ名の webvpn コンフィギュレーション モードで svc mtu コマンドを使用します。

[no] svc mtu size

このコマンドは、AnyConnect クライアントだけに適用されます。Cisco SSL VPN Client(SVC)では MTU サイズを調整できません。

デフォルトのグループ ポリシーでは、このコマンドのデフォルトのサイズが 1406 です。MTU サイズは、接続に使用するインターフェイスの MTU から IP/UDP/DTLS オーバーヘッドを減算して、自動的に調整されます。

このコマンドが影響を与えるのは、SSL で確立された AnyConnect クライアント接続と、SSL with DTLS で確立された AnyConnect クライアント接続です。

次の例では、グループ ポリシー telecommuters の MTU サイズを 1200 バイトに設定します。

hostname(config)# group-policy telecommuters attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc mtu 1200
 

多くの家庭用エンド ユーザ終端装置(ホーム ルータなど)は、IP フラグメントの作成またはアセンブリを適切に処理しません。特に UDP の場合はそうなります。DTLS は UDP ベースのプロトコルであるため、場合によってはフラグメンテーションを防止するため、MTU を小さくする必要があります。MTU パラメータは、クライアントとセキュリティ アプライアンスの両方で、トンネルで転送するパケットの最大サイズを設定するために使用されます。エンド ユーザで大量のパケット損失が発生している場合、または Microsoft Outlook などのアプリケーションがトンネル経由で機能しない場合は、フラグメンテーションの問題が発生している可能性があります。ユーザまたはユーザのグループの MTU を減らすことで、問題を解決できることがあります。

クライアントは、セキュリティ アプライアンスへの SSL 接続および DTLS 接続に使用される物理アダプタの MTU よりも 94 バイト少ない MTU 値を提示します。セキュリティ アプライアンスは、設定された MTU またはクライアントによって提示された値よりも少ない値を受け入れます。クライアントとセキュリティ アプライアンスの両方で、セキュリティ アプライアンスで選択された値を使用します。

たとえば、PC 上の物理アダプタが 1300 の MTU を使用するように変更された場合、クライアントは MTU として 1206 をセキュリティ アプライアンスに提示します。セキュリティ アプライアンスが 1206 よりも小さい値に設定されている場合は、MTU コンフィギュレーション コマンドを使用して設定された 1206 よりも小さい値が、クライアントとセキュリティ アプライアンスの両方で使用されます。

AnyConnect クライアント セッションのログオフ

すべての AnyConnect クライアントと SSL VPN セッションをログオフするには、グローバル コンフィギュレーション モードで vpn-sessiondb logoff svc コマンドを使用します。

vpn-sessiondb logoff svc

これに応答して、システムが、VPN セッションをログオフすることの確認を要求します。Enter キーまたは y キーを押して確認します。ログオフをキャンセルするには、その他のキーを押します。

次の例は、すべての SSL VPN セッションをログオフします。

hostname# vpn-sessiondb logoff svc
INFO: Number of sessions of type "svc" logged off : 1
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions logged off : 6
hostname#
 

name オプション、または index オプションを使用すると、個別にセッションをログオフできます。

vpn-sessiondb logoff name name

vpn-sessiondb logoff index index

たとえば、ユーザ tester をログオフさせるには、次のコマンドを入力します。

hostname# vpn-sessiondb logoff name tester
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions with name "tester" logged off : 1
hostname#
 

ユーザ名とインデックス番号(クライアント イメージの順に付与)は、どちらも show vpn-sessiondb svc コマンドの出力に表示されます(「AnyConnect クライアントと SSL VPN セッションの表示」を参照)。

次の例では、 vpn-sessiondb logoff コマンドの name オプションを使用して、セッションを終了しています。

hostname# vpn-sessiondb logoff name testuser
INFO: Number of sessions with name "tesstuser" logged off : 1
 

AnyConnect クライアントと SSL VPN クライアント イメージの更新

セキュリティ アプライアンスのクライアント イメージは、次の手順を使用していつでも更新できます。


ステップ 1 特権 EXEC モードから copy コマンドを使用するか、別の方法を使用して、新しいクライアント イメージをセキュリティ アプライアンスにコピーします。

ステップ 2 新しいクライアント イメージ ファイルの名前が、すでにロードされているファイルと同じ場合は、設定内の svc image コマンドを再入力します。新しいファイル名が異なる場合は、 no svc image コマンドを使用して古いファイルをアンインストールします。次に、 svc image コマンドを使用して、イメージに順序を割り当て、セキュリティ アプライアンスで新しいイメージをロードします。