Cisco AnyConnect VPN Client アドミニストレータ ガイド リリース2.4
AnyConnect セッションの管理、モニタ リング、およびトラブルシューティング
AnyConnect セッションの管理、モニタリング、およびトラブルシューティング
発行日;2012/02/05 | 英語版ドキュメント(2010/05/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

AnyConnect セッションの管理、モニタリング、およびトラブルシューティング

すべての VPN セッションの接続解除

個別の VPN セッションの接続解除

詳細な統計情報の表示

Windows Mobile デバイスでの統計情報の表示

VPN 接続の問題の解決

MTU サイズの調整

圧縮の排除による VPN パフォーマンスの向上と Windows Mobile 接続の許可

DART を使用したトラブルシューティング情報の収集

DART ソフトウェアの入手

DART のインストール

AnyConnect を使用した DART のインストール

ホストへの DART の手動インストール

Windows PC での DART の実行

AnyConnect セッションの管理、モニタリング、およびトラブルシューティング

この章では、次のテーマおよびタスクについて説明します。

「すべての VPN セッションの接続解除」

「個別の VPN セッションの接続解除」

「詳細な統計情報の表示」

「VPN 接続の問題の解決」

「DART を使用したトラブルシューティング情報の収集」

すべての VPN セッションの接続解除

すべての AnyConnect クライアントと SSL VPN セッションをログオフするには、グローバル コンフィギュレーション モードで vpn-sessiondb logoff svc コマンドを使用します。

vpn-sessiondb logoff svc

これに応答して、システムが、VPN セッションをログオフすることの確認を要求します。Enter キーまたは y キーを押して確認します。ログオフをキャンセルするには、その他のキーを押します。

次の例は、すべての SSL VPN セッションをログオフします。

hostname# vpn-sessiondb logoff svc
INFO: Number of sessions of type "svc" logged off : 1
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions logged off : 6
hostname#

個別の VPN セッションの接続解除

name オプション、または index オプションを使用すると、個別にセッションをログオフできます。

vpn-sessiondb logoff name name

vpn-sessiondb logoff index index

たとえば、ユーザ tester をログオフさせるには、次のコマンドを入力します。

hostname# vpn-sessiondb logoff name tester
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions with name "tester" logged off : 1
hostname#

ユーザ名とインデックス番号(クライアント イメージの順に付与)は、どちらも show vpn-sessiondb svc コマンドの出力に表示されます。

次の例では、 vpn-sessiondb logoff コマンドの name オプションを使用して、セッションを終了しています。

hostname# vpn-sessiondb logoff name testuser
INFO: Number of sessions with name "testuser" logged off : 1

詳細な統計情報の表示

現在の AnyConnect クライアント セッションについての統計情報を表示するには、ユーザ GUI の [Details] ボタンをクリックします。

[Statistics Details] ダイアログが表示されます。このウィンドウの [Statistics] タブでは、統計情報のリセットとエクスポート、およびトラブルシューティング用のファイル収集を行えます。

図 8-1 AnyConnect VPN クライアントの [Statistics Details] ダイアログ

 

 

このウィンドウに表示されるオプションは、クライアント PC にロードされているパッケージによって異なります。オプションを使用できない場合は、ダイアログボックスでそのオプション ボタンがアクティブにならず、オプション名の横に「Not Installed」と表示されます。オプションは次のとおりです。

[Reset] をクリックすると、接続情報がゼロにリセットされます。AnyConnect による新しいデータの収集がすぐに開始されます。

[Export Stats...] をクリックすると、接続の統計情報がテキスト ファイルに保存され、あとから分析とデバッグを行えます。

[Troubleshoot...] をクリックすると、DART(Diagnostic AnyConnect Reporting Tool)ウィザードが起動されます。指定したログ ファイルと診断情報を結び付けることで、AnyConnect のクライアント接続の分析とデバッグに使用できます。DART パッケージの詳細については、「DART を使用したトラブルシューティング情報の収集」を参照してください。

Windows Mobile デバイスでの統計情報の表示

Windows Mobile デバイスの AnyConnect ユーザも、画面右下の [Menu] をクリックし、表示されたメニューから希望する機能を選択すると、統計情報の詳細のエクスポート機能とロギング機能を使用できます(図 8-2)。

図 8-2 Windows Mobile の [Logging] メニュー

 

[Logging] をクリックすると、ロギング設定ダイアログボックスが表示されます(図 8-3)。

図 8-3 Windows Mobile のロギング設定ダイアログボックス

 

このダイアログボックスのスライダーを動かすと、ログ ファイルの総数と、1 つのログ ファイルの容量を制御し、タスクの実行タイミングをイネーブルにできます。

[Browse Logs] をクリックすると、別のブラウザ ウィンドウにログ メッセージの HTML リストが表示されます。

VPN 接続の問題の解決

次の項は、VPN 接続の問題を解決するために参照してください。

MTU サイズの調整

多くの家庭用エンド ユーザ終端装置(ホーム ルータなど)は、IP フラグメントの作成またはアセンブリを適切に処理しません。特に UDP の場合はそうなります。DTLS は UDP ベースのプロトコルであるため、場合によってはフラグメンテーションを防止するため、MTU を小さくする必要があります。MTU パラメータでは、クライアントとセキュリティ アプライアンスにトンネルで転送するパケットの最大サイズが設定されます。VPN ユーザで大量のパケット損失が発生している場合、または Microsoft Outlook などのアプリケーションがトンネル経由で機能しない場合は、フラグメンテーションの問題が発生している可能性があります。ユーザまたはユーザのグループの MTU を減らすことで、問題を解決できることがあります。

AnyConnect クライアントが確立する SSL VPN 接続の最大伝送ユニット サイズ(256 ~ 1406 バイト)を調整するには、次の手順に従ってください。


ステップ 1 ASDM インターフェイスで、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add] または [Edit] の順に選択します。

[Edit Internal Group Policy] ダイアログボックスが表示されます。

ステップ 2 [Advanced] > [SSL VPN Client] の順に選択します。

ステップ 3 [Inherit] チェックボックスをオフにして、MTU フィールドで適切な値を指定します。

デフォルトのグループ ポリシーでは、このコマンドのデフォルトのサイズが 1406 です。MTU サイズは、接続に使用するインターフェイスの MTU から IP/UDP/DTLS オーバーヘッドを減算して、自動的に調整されます。

この設定が影響を与えるのは、SSL で確立された AnyConnect クライアント接続と、SSL with DTLS で確立された AnyConnect クライアント接続だけです。


 

圧縮の排除による VPN パフォーマンスの向上と Windows Mobile 接続の許可

低帯域幅の接続では、圧縮によって転送されるパケットのサイズが削減され、セキュリティ アプライアンスとクライアントとの間の通信パフォーマンスが向上します。デフォルトでは、グローバル レベルと特定のグループまたはユーザ レベルの両方で、すべての SSL VPN 接続で圧縮がセキュリティ アプライアンスでイネーブルになっています。ブロードバンド接続では、圧縮によってパフォーマンスが低下することがあります。


) Windows Mobile 用の AnyConnect クライアントは、圧縮をサポートしていません。


グローバルに圧縮を設定するには、グローバル コンフィギュレーション モードから CLI コマンド compression svc コマンドを使用します。

DART を使用したトラブルシューティング情報の収集

DART は Diagnostic AnyConnect Reporting Tool の略で、AnyConnect のインストールと接続に関する問題のトラブルシューティングに役立つデータの収集に使用できます。DART は、Windows 7、Windows Vista、および Windows XP をサポートしています。

DART ウィザードは、AnyConnect クライアントが稼動するコンピュータ上で実行されます。DART によってログ、状態情報、および診断情報が収集され、それを Cisco Technical Assistance Center(TAC)での分析に使用できます。DART の実行に管理者権限は不要です。

DART は、AnyConnect ソフトウェアのコンポーネントに依存せずに機能しますが、AnyConnect から起動可能で、AnyConnect ログ ファイル(ある場合)の収集を行います。

どのバージョンの DART も、すべてのバージョンの AnyConnect に使用できます。それぞれのバージョン番号は同期していません。DART を最適化するためには、使用する AnyConnect のバージョンにかかわらず、AnyConnect VPN Client ソフトウェア ダウンロード サイトにある最新のバージョンをダウンロードするようにしてください。

現在のところ、DART は単独でインストールできますが、AnyConnect ダイナミック ダウンロード インフラストラクチャの一部として、このアプリケーションを管理者がクライアント PC にプッシュすることもできます。インストールされると、[Start] ボタンにある Cisco フォルダから、DART ウィザードを起動できます。


) シスコがお客様に DART を提供しているのは、重要なトラブルシューティング情報を簡単に収集できるようにするためですが、DART はリリース サイクルの「ベータ」フェーズであることに注意してください。


DART ソフトウェアの入手

DART は、AnyConnect クライアントのダウンロードおよびインストール パッケージに含まれ、単体の .msi ファイルとしても入手できます。

どのバージョンの DART も、すべてのバージョンの AnyConnect に使用できます。それぞれのバージョン番号は同期していません。DART を最適化するためには、使用する AnyConnect のバージョンにかかわらず、AnyConnect VPN Client ソフトウェア ダウンロード サイトにある最新のバージョンをダウンロードするようにしてください。

Cisco.com にある、DART ファイルを含む AnyConnect ダウンロード ファイルは次のとおりです。最新のバージョン番号については、『Release Notes for Cisco AnyConnect VPN Client』を参照してください。

anyconnect-all-packages-2.4.version-k9.zip:すべての AnyConnect パッケージが含まれています。

anyconnect-dart-win-2.4.version-k9.pkg:DART のインストール パッケージだけが含まれ、AnyConnect または vpngina ソフトウェアは含まれていません。DART を単体のアプリケーションとしてインストールする場合は、これを使用してください。

DART のインストール

管理者は、DART を AnyConnect インストレーションの一部として含めることができます。または、Cisco.com の登録ユーザがDART ソフトウェアの入手の説明に従って


http://www.cisco.com/cgi-bin/tablebuild.pl/anyconnect からファイルをダウンロードし、PC に手動でインストールすることもできます。

ユーザが AnyConnect クライアントをダウンロードすると、新しいバージョンの DART がある場合はそれも、自動的にユーザの PC にダウンロードされます。新しいバージョンの AnyConnect クライアントが、自動アップグレードの中でダウンロードされると、新しいバージョンの DART がある場合は、それもダウンロード ファイルに含まれます。


) グループ ポリシー設定(svc modules コマンドまたは対応する ASDM ダイアログで設定)に dart キーワードがない場合は、DART がパッケージに含まれていても、AnyConnect は DART をインストールしません。


AnyConnect を使用した DART のインストール

この手順では、次回リモート ユーザが接続するときに、そのユーザのマシンに DART がダウンロードされます。


ステップ 1 他のシスコのソフトウェア パッケージと同様に、DART を含む AnyConnect パッケージをセキュリティ アプライアンスにロードします。

ステップ 2 DART を含む AnyConnect の .pkg ファイルをセキュリティ アプライアンスにインストール後、AnyConnect と一緒に DART をインストールするには、グループ ポリシーで DART を指定する必要があります。これは、次のように ASDM または CLI を使用して実行します。

ASDM を使用する場合は、[Configuration] をクリックしてから、[Remote Access VPN] > [Network (Client) Access] > [Group Policy] の順にクリックします。

新しいグループ ポリシーを追加するか、既存のグループ ポリシーを編集します。グループ ポリシーのダイアログボックスで、[Advanced] を展開し、[SSL VPN Client] をクリックします。

[SSL VPN Client] ダイアログボックスで、[Optional Client Modules to Download] オプションの [Inherit] をオフにします。このオプションのドロップダウン リストから dart モジュールを選択します。

使用するバージョンの ASDM に、DART オプションのチェックボックスがない場合は、フィールドにキーワード dart を入力します。DART と Start Before Logon の両方をイネーブルにするには、 dart vpngina の両方を任意の順序でカンマで区切ってフィールドに入力します。

[OK] をクリックしてから、[Apply]をクリックします。

CLI を使用する場合は、 svc modules value dart コマンドを使用します。


 


) あとで svc modules none に変更したり、[Optional Client Modules to Download] フィールドの DART の選択を解除しても、DART はインストールされたままになります。セキュリティ アプライアンスからは DART をアンインストールできません。DART を削除するには、Windows のコントロール パネルの、[Add/Remove Programs] を使用してください。この方法で DART を削除しても、ユーザが AnyConnect クライアントを使用して再接続すると、自動的に再インストールされます。上位バージョンの DART を含んだ AnyConnect パッケージがセキュリティ アプライアンスにアップロードされ、設定されている場合は、ユーザが接続すると DART が自動的にアップグレードされます。


DART の実行方法については、「Windows PC での DART の実行」を参照してください。

ホストへの DART の手動インストール


ステップ 1 Cisco.com から DART ソフトウェアを入手します。「DART ソフトウェアの入手」を参照して、anyconnect-dart-win-2.4.version-k9.pkg をローカルにインストールします。

ステップ 2 WinZip ® などのファイル圧縮ユーティリティを使用して、anyconnect-dart-win-2.4.version-k9.pkg の内容を、ディレクトリ構造を維持した状態で展開します。

ステップ 3 anyconnect-dart-win-2.4.version-k9.pkg ファイルの内容を展開して作成された binaries ディレクトリを開きます。

ステップ 4 anyconnect-dart-win-2.4.version-k9.msi ファイルをダブルクリックして、[DART Setup Wizard] を起動します。

ステップ 5 初期画面で [Next] をクリックします。

ステップ 6 [I accept the terms in the License Agreement] を選択して、エンド ユーザのライセンス契約に同意し、[Next] をクリックします。

ステップ 7 [Install] をクリックして、DART をインストールします。インストール ウィザードによって、DartOffline.exe が <System Drive>:¥Program Files¥Cisco¥Cisco DART ディレクトリにインストールされます。

ステップ 8 [Finish] をクリックして、インストールを完了します。


 

DART の実行方法については、「Windows PC での DART の実行」を参照してください。

Windows PC での DART の実行

Windows PC で DART ウィザードを実行して DART バンドルを作成するには、次の手順に従ってください。


ステップ 1 AnyConnect クライアント GUI を起動します。

ステップ 2 [Statistics] タブをクリックしてから、ダイアログボックス下部の [Details] ボタンをクリックします。[Statistics Details] ダイアログボックスが表示されます。

ステップ 3 [Statistics Details] ウィンドウ下部の [Troubleshoot] をクリックします。

ステップ 4 初期画面で [Next] をクリックします。[Bundle Creation Option] ダイアログボックスが表示されます。

ステップ 5 [Bundle Creation Option] エリアで、[Default] または [Custom] を選択します。

[Default] オプションでは、代表的なログ ファイルと診断情報が含まれます。たとえば、AnyConnect ログ ファイルや Cisco Secure Desktop ログ ファイル、コンピュータの一般情報、DART が実行した内容と実行しなかった内容についての要約などが含まれます。

[Default] を選択してから、ダイアログボックス下部の [Next] をクリックすると、DART のバンドル作成が開始されます。バンドルのデフォルト名は DARTBundle.zip で、ローカル デスクトップに保存されます。

[Custom] を選択した場合は、[Next] をクリックすると、DART ウィザードによってさらにダイアログボックスが表示され、バンドルに含めるファイルや、バンドルの保存場所を指定します。


ヒント [Custom] を選択すると、バンドルに含めるファイルはデフォルトのままにして、ファイルの保存場所だけは別の場所を指定するということもできます。


ステップ 6 DART バンドルを暗号化するには、[Encryption Option] エリアで [Enable Bundle Encryption] にチェックを入れてから、[Encryption Password] フィールドにパスワードを入力します。オプションで [Mask Password] を選択すると、[Encryption Password] フィールドおよび [Reenter Password] フィールドに入力したパスワードが、アスタリスク(*)でマスクされるようになります。

ステップ 7 [Next] をクリックします。[Default] を選択した場合、DART はバンドルの作成を開始します。[Custom] を選択した場合は、ウィザードが次のステップに進みます。

ステップ 8 [Log File Selection] ダイアログボックスで、バンドルに含めるログ ファイルと設定ファイルを選択します。DART が通常状態で収集するファイルのリストをデフォルトに戻すには、[Restore Default] をクリックします。[Next] をクリックします。

ステップ 9 [Diagnostic Information Selection] ダイアログボックスで、バンドルに含める診断情報を選択します。DART が通常状態で収集するファイルのリストをデフォルトに戻すには、[Restore Default] をクリックします。[Next] をクリックします。

ステップ 10 [Comments and Target Bundle Location] ダイアログボックスで、次のフィールドを設定します。

[Comments] エリアに、バンドルに含めるコメントを入力します。入力したコメントは、DART のバンドルに含められる comments.txt ファイルに保存されます。

[Target Bundle Location] フィールドで、バンドルの保存場所を参照します。

[Next] をクリックします。

ステップ 11 [Summary] ダイアログボックスでカスタマイズの内容を確認し、[Next] をクリックしてバンドルを作成するか、[Back] をクリックしてカスタマイズの内容に変更を加えます。

ステップ 12 DART のバンドル作成が終了したら、[Finish] をクリックします。


 


ヒント 状況によっては、DART の実行に数分以上かかったという報告を受けることがあります。デフォルト リストのファイル収集に長い時間を要している思われる場合は、[Cancel] をクリックしてからウィザードを再実行し、カスタム DART バンドルを作成して必要なファイルだけを選択してください。