Cisco VPN Client ユーザ ガイド Linux/Solaris 版 Release 4.0
コマンドライン インターフェイスの使 用
コマンドライン インターフェイスの使用
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

コマンドライン インターフェイスの使用

コマンド一覧の表示

接続の確立

認証プロンプト

キーの再生成について

DNS サーバ設定

VPN Client の接続解除

VPN Client 統計値の表示

オプションなし

reset オプション

traffic オプション

tunnel オプション

route オプション

イベント ロギング

ロギング機能の有効化

ログ ファイルの表示

Client 自動更新メッセージ

コマンドライン インターフェイスの使用

この章では、CLI(コマンドライン インターフェイス)を使用した一般的な操作について説明します。日常業務でよく行うタスク(たとえば、企業サーバに接続し、レポートを実行した後、そのサーバとの接続を解除する)を実行するために、CLI コマンドを使用する独自のスクリプト ファイルを作成できます。

VPN Client のコマンドライン インターフェイスの使用の詳細は、『Cisco VPN Client アドミニストレータ ガイド』を参照してください。

コマンド一覧の表示

VPN Client で使用可能なコマンドを一覧表示するには、VPN Client ソフトウェアが格納されているディレクトリに移動し、コマンドライン プロンプトで vpnclient コマンドを入力します。

次の例は、vpnclient コマンドに対して表示される情報を示しています。

[root@Linux7_1 unity]# vpnclient
Cisco Systems VPN Client Version 4.0 (int_84)
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s):Linux
Running on:Linux 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 2001 i686
 
Usage:
vpnclient connect <profile> [user <username>] [eraseuserpwd | pwd <password>]
[nocertpwd]
vpnclient disconnect
vpnclient stat [reset] [traffic] [tunnel] [route] [repeat]
vpnclient notify
 

接続の確立

ここでは、vpnclient connect コマンドとオプションのコマンド パラメータを使用して、VPN 接続を確立する方法について説明します。


) Telnet または SSH を使用して VPN 装置に接続する場合は、その VPN 装置でスプリット トンネリングが許されているか確認してください。スプリット トンネルが許されていない場合は、VPN 接続の実行後、その VPN 装置への接続は解除されてしまいます。


接続を確立するには、次のコマンドを入力します。

vpnclient connect <profile> [user <username>] [eraseuserpwd | pwd <password>]
[nocertpwd]
 

表 4-1 では、vpnclient connect コマンドのパラメータについて説明します。

 

表 4-1 vpnclient connect コマンドのパラメータ

パラメータ
説明

<profile> (必須)

接続エントリに設定するユーザ プロファイルの名前を指定します(.pcf ファイル)。プロファイル名は、.pcf ファイル拡張子を付けないで入力してください。プロファイル名にスペースが含まれている場合は、コマンドラインでそのプロファイル名を二重引用符で囲んでください。

user <username> (オプション)

接続エントリに設定するユーザ名を指定します。このオプションを pwdオプションと共に使用すると、ユーザ名の入力を求めるプロンプトが認証ダイアログボックスに表示されません。

{ eraseuserpassword | pwd <password> } (オプション)

eraseuserpassword を指定すると、VPN Client ワークステーションに保存されているユーザ パスワードが削除され、接続を確立するたびにパスワードの入力を求めるプロンプトが表示されます。

pwd <password> を指定すると、パスワードの入力を求めるプロンプトが認証ダイアログボックスに表示されません。

nocertpwd (オプション)

証明書パスワードの入力を求めるプロンプトを非表示にして、パスワードを空白に指定します。このオプションを使用すると、証明書のパスワードを設定できません。詳細は、「証明書パスワード」を参照してください。


ユーザ プロファイルの SaveUserPassword キーワードがデフォルトに設定されている場合は、パスワードはローカルに保存されます。


プロファイルの詳細は、「ユーザ プロファイル」を参照してください。

認証プロンプト

ユーザ プロファイルに設定されているパラメータに応じて、次のパスワードの入力を求めるプロンプトが表示されます。

グループ パスワード

ユーザ名

ユーザ パスワード

証明書パスワード

VPN Client が SecurID または RADIUS 認証を使用するように設定されている場合も、上記のパスワードの入力を求めるプロンプトが表示されます。

セキュリティ情報については、システム管理者に問い合わせてください。

キーの再生成について

接続が確立されると、VPN Client ウィンドウがフォアグラウンドに表示され、VPN 装置によるキーの再生成中の VPN Client の再認証が可能になります。VPN Client ウィンドウをバックグラウンドに移動するには、Ctrl キーを押した状態で Z キーを押して、コマンドライン プロンプトで bg コマンドを入力します。

接続先の VPN 装置がキーの再生成をサポートするように設定されている場合、VPN Client ウィンドウをバックグラウンドに送ると、最初のキーの再生成時にトンネル接続が解除されます。

VPN Client では、キーの再生成のトリガーに対してデータではなく時間に基づいて応答します。VPN Client 接続でキーの再生成が実行されるようにする場合、VPN Concentrator で、IKE プロポーザルをキーの再生成が 1800 秒ごとに実行されるように設定し、IPSec パラメータをキーの再生成が 600 秒ごとに実行されるように設定する必要があります。

DNS サーバ設定

VPN Concentrator では、トンネル セッション時に使用する DNS サーバの IP アドレスを VPN Client に送信するように設定できます。

VPN Client は、DNS サーバの設定値を受信すると、/etc/resolv.conf ファイルを /etc/resolv.conf.vpnbackup バックアップ ファイルにコピーします。トンネルがクローズすると、/etc/resolv.conf の元の内容が復元されます。


) DNS サーバの設定値については、VPN 装置の構成ガイドを参照してください。


VPN Client の接続解除

ここでは、VPN Client の接続を解除する方法について説明します。

セッションの接続を解除するには、次のいずれかの方法を使用します。

次のコマンドを入力します。

vpnclient disconnect
 

次の例は、セキュア接続を解除するコマンドと表示されるプロンプトを示しています。

[root@Linux7_1 clients]# vpnclient disconnect
Cisco Systems VPN Client Version 4.0 (int_84)
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s):Linux
Running on:Linux 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 2001 i686
 
Disconnecting the VPN connection.
Your VPN connection has been terminated.
 

VPN Client ウィンドウ内で Crtl キーを押した状態で C キーを押します。

VPN Client 統計値の表示

ここでは、VPN Client 統計値コマンド vpnclient stat と、そのオプション パラメータについて説明します。

接続についてのステータス情報を生成するには、次のコマンドを入力します。

vpnclient stat [reset][traffic][tunnel][route][repeat]
 

vpnclient stat コマンドをオプション パラメータを指定しないで入力すると、すべてのステータス情報が表示されます。 表 4-2 では、オプション パラメータについて説明します。

 

表 4-2 vpnclient stat コマンドのオプション パラメータ

パラメータ
説明

reset

すべての接続カウントをゼロから再開します。

traffic

入力バイト数と出力バイト数、暗号化パケット数と復号化パケット数、およびバイパス パケット数と廃棄パケット数の一覧を表示します。

tunnel

IPSec トンネリング情報を表示します。

route

設定されているルートを表示します。

repeat

連続して表示し、数秒ごとに画面を更新します。連続表示を終了するには、Ctrl キーを押した状態で C キー を押します。

ここでは、vpnclient stat コマンドでさまざまなオプションを指定した場合の出力例を示します。

オプションなし

次の例は、vpnclient stat コマンドでオプションを指定しない場合の出力を示しています。

[root@Linux7_1 clients]# vpnclient stat
Cisco Systems VPN Client Version 4.0 (int_84)
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s):Linux
Running on:Linux 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 2001 i686
 
VPN tunnel information.
Connection Entry:basic
Client address: 10.10.11.214
Server address: 10.200.20.21
Encryption:168-bit 3-DES
Authentication:HMAC-SHA
IP Compression:None
NAT passthrough is inactive
Local LAN Access is disabled
 
VPN traffic summary.
Time connected:0 day(s), 00:00.01
Bytes in: 0
Bytes out: 0
Packets encrypted: 0
Packets decrypted: 0
Packets bypassed: 17
Packets discarded: 0
 
Configured routes.
Secured Network Destination Netmask
0.0.0.0 0.0.0.0
 

reset オプション

すべての接続カウンタをリセットするには、vpnclient stat reset コマンドを使用します。

vpnclient stat reset
Tunnel statistics have been reset.
 

traffic オプション

次の例は、vpnclient stat コマンドで traffic オプションを指定した場合の出力を示しています。

vpnclient stat traffic
 
VPN traffic summary
Time connected:0 day<s>, 00:30:04
Bytes out: 5460
Bytes in: 6090
Packets encrypted: 39
Packets decrypted: 91
Packets bypassed: 159
Packets discarded: 1608
 

tunnel オプション

次の例は、vpnclient stat コマンドで tunnel オプションを指定した場合の出力を示しています。vpnclient stat tunnel コマンドでは、トンネリング情報だけが表示されます。

vpnclient stat tunnel
 
IPSec tunnel information.
Client address: 220.111.22.30
Server address: 10.10.10.1
Encryption:168-bit 3-DES
Authentication:HMAC-MD5
IP Compression:None
NAT passthrough is active on port 5000
 

route オプション

次の例は、vpnclient stat コマンドで route オプションを指定した場合の出力を示しています。

vpnclient stat route
 
Configured routes
Secured Network Destination Netmask Bytes
* 10.10.02.02 255.255.255.255 17638
* 0.0.0.0 0.0.0.0 18998
 

イベント ロギング

ここでは、ロギング情報を取り込む方法、またその情報を表示する方法など、イベント ロギングについて説明します。

ロギング機能の有効化

ロギング機能を有効にできるのは、システム管理者またはグローバル プロファイル(vpnclient.ini)へのアクセス権限があるユーザに限られます。

ロギング機能を有効にするには、EnableLog=1 を設定します。ロギング機能を無効にするには、EnableLog=0 を設定します。

/etc/CiscoSystemsVPNClient/vpnclient.ini ディレクトリに格納されているグローバル プロファイルには、次のパラメータが設定されている必要があります。

[main]
BinDirPath=/usr/local/bin
EnableLog=1
[LOG.IKE]
LogLevel=15
[LOG.CM]
LogLevel=3
[LOG.CVPND]
LogLevel=3
[LOG.XAUTH]
LogLevel=3
[LOG.CERT]
LogLevel=3
[LOG.IPSEC]
LogLevel=15
[LOG.CLI]
LogLevel=3
[LOG.PPP]
LogLevel=1
[LOG.DIALER]
LogLevel=1
[LOG.FIREWALL]
LogLevel=1
[LOG.GUI]
LogLevel=1
 

VPN Client Linux/Solaris 版は、ログ レベル 1(最低)から 15(最高)をサポートします。

グローバル プロファイルの詳細は、『Cisco VPN Client アドミニストレータ ガイド』を参照してください。

ログ ファイルの表示

ロギング情報を表示するには、次のコマンドを入力します。

/usr/local/bin/ipseclog /directory/clientlog.txt

) インストール中にデフォルトの /usr/local/bin ディレクトリを使用しなかった場合は、インストール中に選択したパスを使用してロギング コマンドを入力してください。


ipseclog アプリケーションを起動すると、以前の ipseclog ファイルが追加されます。

ロギング情報をリアルタイムで表示するには、ipseclog を起動した後に次のコマンドを入力します。

tail -f /directory/clientlog.txt
 

ipseclog は、自動的にバックグラウンドに移りません。ipseclog をバックグラウンドに移すには、Ctrl キーを押した状態で Z キーを押した後、コマンドラインで bg と入力します。または、次の例のように、view コマンドの最後にアンパーサンド記号(&)を入力します。

/usr/local/bin/ipseclog /directory/clientlog.txt &
 

ipseclog がバックグラウンドで動作している場合は、VPN Client を終了する前に、ipseclog をフォアグラウンドに移す必要があります。ipseclog をフォアグラウンドに移すには、コマンドラインで fg と入力します。

Client 自動更新メッセージ

VPN Client が VPN リモート アクセス装置から自動更新の通知を受信すると、その通知はログに記録されますが、ログの記録以外のアクションは実行されません。

自動更新メッセージおよびその他の通知をネットワーク管理者から受信するには、vpnclient notify コマンドを使用します。

次の例は、vpnclient の通知コマンドおよび VPN 装置からの自動更新通知の例を示しています。

[root@Linux8 vpnclient]# vpnclient notify
Cisco Systems VPN Client Version 3.7 (Rel)
Copyright (C) 1998-2002 Cisco Systems, Inc. All Rights Reserved.
Client Type(s):Linux
Running on:Linux 2.4.18-14 #1 Wed Sep 4 13:35:50 EDT 2002 i686
 
 
Notification:
Your network administrator has placed an update of the Cisco Systems VPN
Client at the following location:
http://fake.cisco.com/
 
[root@Linux8 vpnclient]