Navbar-jp

Toolbar-jp

PDFGetAcro

コマンドライン インターフェイスの使用

この章では、CLI(コマンドライン インターフェイス)を使用した一般的な操作について説明します。日常業務でよく行うタスク(たとえば、企業サーバに接続し、レポートを実行した後、そのサーバとの接続を解除する)を実行するために、CLI コマンドを使用する独自のスクリプト ファイルを作成できます。

VPN Client のコマンドライン インターフェイスの使用の詳細は、『Cisco VPN Client アドミニストレータ ガイド』を参照してください。

コマンド一覧の表示

VPN Client で使用可能なコマンドを一覧表示するには、VPN Client ソフトウェアが格納されているディレクトリに移動し、コマンドライン プロンプトで vpnclient コマンドを入力します。

次の例は、vpnclient コマンドに対して表示される情報を示しています。

[root@Linux7_1 unity]# vpnclient

Cisco Systems VPN Client Version 4.0 (int_84)

Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.

Client Type(s):Linux

Running on:Linux 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 2001 i686

Usage:

vpnclient connect <profile> [user <username>] [eraseuserpwd | pwd <password>]

[nocertpwd]

vpnclient disconnect

vpnclient stat [reset] [traffic] [tunnel] [route] [repeat]

vpnclient notify

接続の確立

ここでは、vpnclient connect コマンドとオプションのコマンド パラメータを使用して、VPN 接続を確立する方法について説明します。

Telnet または SSH を使用して VPN 装置に接続する場合は、その VPN 装置でスプリット トンネリングが許されているか確認してください。スプリット トンネルが許されていない場合は、VPN 接続の実行後、その VPN 装置への接続は解除されてしまいます。

接続を確立するには、次のコマンドを入力します。

vpnclient connect <profile> [user <username>] [eraseuserpwd | pwd <password>]

[nocertpwd]

vpnclient connect コマンドのパラメータ では、vpnclient connect コマンドのパラメータについて説明します。

vpnclient connect コマンドのパラメータ

パラメータ

説明

(必須)

接続エントリに設定するユーザ プロファイルの名前を指定します(.pcf ファイル)。プロファイル名は、.pcf ファイル拡張子を付けないで入力してください。プロファイル名にスペースが含まれている場合は、コマンドラインでそのプロファイル名を二重引用符で囲んでください。

user (オプション)

接続エントリに設定するユーザ名を指定します。このオプションを pwdオプションと共に使用すると、ユーザ名の入力を求めるプロンプトが認証ダイアログボックスに表示されません。

{ eraseuserpassword | pwd } (オプション)
  • eraseuserpassword を指定すると、VPN Client ワークステーションに保存されているユーザ パスワードが削除され、接続を確立するたびにパスワードの入力を求めるプロンプトが表示されます。
  • pwd を指定すると、パスワードの入力を求めるプロンプトが認証ダイアログボックスに表示されません。

nocertpwd (オプション)

証明書パスワードの入力を求めるプロンプトを非表示にして、パスワードを空白に指定します。このオプションを使用すると、証明書のパスワードを設定できません。詳細は、 証明書パスワード を参照してください。

ユーザ プロファイルの SaveUserPassword キーワードがデフォルトに設定されている場合は、パスワードはローカルに保存されます。

プロファイルの詳細は、 ユーザ プロファイル を参照してください。

認証プロンプト

ユーザ プロファイルに設定されているパラメータに応じて、次のパスワードの入力を求めるプロンプトが表示されます。

VPN Client が SecurID または RADIUS 認証を使用するように設定されている場合も、上記のパスワードの入力を求めるプロンプトが表示されます。

セキュリティ情報については、システム管理者に問い合わせてください。

キーの再生成について

接続が確立されると、VPN Client ウィンドウがフォアグラウンドに表示され、VPN 装置によるキーの再生成中の VPN Client の再認証が可能になります。VPN Client ウィンドウをバックグラウンドに移動するには、Ctrl キーを押した状態で Z キーを押して、コマンドライン プロンプトで bg コマンドを入力します。

接続先の VPN 装置がキーの再生成をサポートするように設定されている場合、VPN Client ウィンドウをバックグラウンドに送ると、最初のキーの再生成時にトンネル接続が解除されます。

VPN Client では、キーの再生成のトリガーに対してデータではなく時間に基づいて応答します。VPN Client 接続でキーの再生成が実行されるようにする場合、VPN Concentrator で、IKE プロポーザルをキーの再生成が 1800 秒ごとに実行されるように設定し、IPSec パラメータをキーの再生成が 600 秒ごとに実行されるように設定する必要があります。

DNS サーバ設定

VPN Concentrator では、トンネル セッション時に使用する DNS サーバの IP アドレスを VPN Client に送信するように設定できます。

VPN Client は、DNS サーバの設定値を受信すると、/etc/resolv.conf ファイルを /etc/resolv.conf.vpnbackup バックアップ ファイルにコピーします。トンネルがクローズすると、/etc/resolv.conf の元の内容が復元されます。

DNS サーバの設定値については、VPN 装置の構成ガイドを参照してください。

VPN Client の接続解除

ここでは、VPN Client の接続を解除する方法について説明します。

セッションの接続を解除するには、次のいずれかの方法を使用します。

vpnclient disconnect

次の例は、セキュア接続を解除するコマンドと表示されるプロンプトを示しています。

[root@Linux7_1 clients]# vpnclient disconnect

Cisco Systems VPN Client Version 4.0 (int_84)

Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.

Client Type(s):Linux

Running on:Linux 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 2001 i686

Disconnecting the VPN connection.

Your VPN connection has been terminated.

VPN Client 統計値の表示

ここでは、VPN Client 統計値コマンド vpnclient stat と、そのオプション パラメータについて説明します。

接続についてのステータス情報を生成するには、次のコマンドを入力します。

vpnclient stat [reset][traffic][tunnel][route][repeat]

vpnclient stat コマンドをオプション パラメータを指定しないで入力すると、すべてのステータス情報が表示されます。 vpnclient stat コマンドのオプション パラメータ では、オプション パラメータについて説明します。

vpnclient stat コマンドのオプション パラメータ

パラメータ

説明

reset

すべての接続カウントをゼロから再開します。

traffic

入力バイト数と出力バイト数、暗号化パケット数と復号化パケット数、およびバイパス パケット数と廃棄パケット数の一覧を表示します。

tunnel

IPSec トンネリング情報を表示します。

route

設定されているルートを表示します。

repeat

連続して表示し、数秒ごとに画面を更新します。連続表示を終了するには、Ctrl キーを押した状態で C キー を押します。

ここでは、vpnclient stat コマンドでさまざまなオプションを指定した場合の出力例を示します。

オプションなし

次の例は、vpnclient stat コマンドでオプションを指定しない場合の出力を示しています。

[root@Linux7_1 clients]# vpnclient stat

Cisco Systems VPN Client Version 4.0 (int_84)

Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.

Client Type(s):Linux

Running on:Linux 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 2001 i686

VPN tunnel information.

Connection Entry:basic

Client address: 10.10.11.214

Server address: 10.200.20.21

Encryption:168-bit 3-DES

Authentication:HMAC-SHA

IP Compression:None

NAT passthrough is inactive

Local LAN Access is disabled

VPN traffic summary.

Time connected:0 day(s), 00:00.01

Bytes in: 0

Bytes out: 0

Packets encrypted: 0

Packets decrypted: 0

Packets bypassed: 17

Packets discarded: 0

Configured routes.

Secured Network Destination Netmask

0.0.0.0 0.0.0.0

reset オプション

すべての接続カウンタをリセットするには、vpnclient stat reset コマンドを使用します。

vpnclient stat reset

Tunnel statistics have been reset.

traffic オプション

次の例は、vpnclient stat コマンドで traffic オプションを指定した場合の出力を示しています。

vpnclient stat traffic

VPN traffic summary

Time connected:0 day<s>, 00:30:04

Bytes out: 5460

Bytes in: 6090

Packets encrypted: 39

Packets decrypted: 91

Packets bypassed: 159

Packets discarded: 1608

tunnel オプション

次の例は、vpnclient stat コマンドで tunnel オプションを指定した場合の出力を示しています。vpnclient stat tunnel コマンドでは、トンネリング情報だけが表示されます。

vpnclient stat tunnel

IPSec tunnel information.

Client address: 220.111.22.30

Server address: 10.10.10.1

Encryption:168-bit 3-DES

Authentication:HMAC-MD5

IP Compression:None

NAT passthrough is active on port 5000

route オプション

次の例は、vpnclient stat コマンドで route オプションを指定した場合の出力を示しています。

vpnclient stat route

Configured routes

Secured Network Destination Netmask Bytes

* 10.10.02.02 255.255.255.255 17638

* 0.0.0.0 0.0.0.0 18998

イベント ロギング

ここでは、ロギング情報を取り込む方法、またその情報を表示する方法など、イベント ロギングについて説明します。

ロギング機能の有効化

ロギング機能を有効にできるのは、システム管理者またはグローバル プロファイル(vpnclient.ini)へのアクセス権限があるユーザに限られます。

ロギング機能を有効にするには、EnableLog=1 を設定します。ロギング機能を無効にするには、EnableLog=0 を設定します。

/etc/CiscoSystemsVPNClient/vpnclient.ini ディレクトリに格納されているグローバル プロファイルには、次のパラメータが設定されている必要があります。

[main]

BinDirPath=/usr/local/bin

EnableLog=1

[LOG.IKE]

LogLevel=15

[LOG.CM]

LogLevel=3

[LOG.CVPND]

LogLevel=3

[LOG.XAUTH]

LogLevel=3

[LOG.CERT]

LogLevel=3

[LOG.IPSEC]

LogLevel=15

[LOG.CLI]

LogLevel=3

[LOG.PPP]

LogLevel=1

[LOG.DIALER]

LogLevel=1

[LOG.FIREWALL]

LogLevel=1

[LOG.GUI]

LogLevel=1

VPN Client Linux/Solaris 版は、ログ レベル 1(最低)から 15(最高)をサポートします。

グローバル プロファイルの詳細は、『Cisco VPN Client アドミニストレータ ガイド』を参照してください。

ログ ファイルの表示

ロギング情報を表示するには、次のコマンドを入力します。

/usr/local/bin/ipseclog /directory/clientlog.txt

インストール中にデフォルトの /usr/local/bin ディレクトリを使用しなかった場合は、インストール中に選択したパスを使用してロギング コマンドを入力してください。

ipseclog アプリケーションを起動すると、以前の ipseclog ファイルが追加されます。

ロギング情報をリアルタイムで表示するには、ipseclog を起動した後に次のコマンドを入力します。

tail -f /directory/clientlog.txt

ipseclog は、自動的にバックグラウンドに移りません。ipseclog をバックグラウンドに移すには、Ctrl キーを押した状態で Z キーを押した後、コマンドラインで bg と入力します。または、次の例のように、view コマンドの最後にアンパーサンド記号(&)を入力します。

/usr/local/bin/ipseclog /directory/clientlog.txt &

ipseclog がバックグラウンドで動作している場合は、VPN Client を終了する前に、ipseclog をフォアグラウンドに移す必要があります。ipseclog をフォアグラウンドに移すには、コマンドラインで fg と入力します。

Client 自動更新メッセージ

VPN Client が VPN リモート アクセス装置から自動更新の通知を受信すると、その通知はログに記録されますが、ログの記録以外のアクションは実行されません。

自動更新メッセージおよびその他の通知をネットワーク管理者から受信するには、vpnclient no tify コマンドを使用します。

次の例は、vpnclient の通知コマンドおよび VPN 装置からの自動更新通知の例を示しています。

[root@Linux8 vpnclient]# vpnclient notify

Cisco Systems VPN Client Version 3.7 (Rel)

Copyright (C) 1998-2002 Cisco Systems, Inc. All Rights Reserved.

Client Type(s):Linux

Running on:Linux 2.4.18-14 #1 Wed Sep 4 13:35:50 EDT 2002 i686

Notification:

Your network administrator has placed an update of the Cisco Systems VPN

Client at the following location:

http://fake.cisco.com/

[root@Linux8 vpnclient]

Toolbar-jp

All contents copyright (C) 1992--2003 Cisco Systems K.K.