概要
このドキュメントでは、Cisco 適応型セキュリティ アプライアンス(ASA)で終端するクライアント ベースの VPN への AnyConnect Web セキュリティ モジュールの導入について説明します。
前提条件
要件
このドキュメントに特有の要件はありません。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
- ASA で AnyConnect(v4.1+ を推奨)イメージをアップロードします

- 図に示すように、ASA で VPN プロファイルを有効にします

設定
ASA を通じた AnyConnect Web セキュリティの導入
設定に含まれる手順は次のとおりです。
- Anyconnect Web セキュリティ クライアント プロファイルを設定する
- Anyconnect VPN グループ ポリシーを編集する
- Web セキュリティのスプリット除外を設定し、Web セキュリティ クライアント モジュールのダウンロードを選択する
- Anyconnect VPN グループ ポリシーを編集し、Web セキュリティ クライアント プロファイルを選択する
手順 1:Anyconnect Web セキュリティ クライアント プロファイルを設定する
[Configuration] > [Remove Access VPN] > [Network (Client) Access] > [Anyconnect Client Profile] を選択します。
[Add] をクリックし、[AnyConnect Web Security Client Profile] を選択します。
注:クライアント側の Profile Name はハードコードされているため、設定した名前に関係なく、ASA は常に Websecurity_serviceprofile.wso をクライアントにプッシュします。
注:これは、認証ライセンス キーのないデフォルト プロファイルです。

手順 2:新しく作成したプロファイルを編集し、認証ライセンス キーを追加し、設定をカスタマイズする。



手順 3:Web セキュリティのスプリット除外を設定し、Web セキュリティ クライアント モジュールのダウンロードを選択する
図に示すように、Anyconnect VPN グループ ポリシーを編集します。

図に示すように、Web セキュリティのスプリット除外を設定します。


図に示すように、Web セキュリティ クライアント モジュールのダウンロードを選択します。

手順 4:Web セキュリティ クライアント プロファイルをダウンロードする
[Anyconnect VPN group policy] > [Client Profiles to Download] > [Add] を編集し、(手順 1 で)作成したプロファイルを選択します

[OK] をクリックし、変更を適用します。
確認
Anyconnect VPN に接続すると、図に示すように、ASA は VPN 経由で、Anyconnect Web セキュリティ モジュールをプッシュします。



すでにログインしている場合、この機能が有効になるよう、ログオフして、ログインすることを推奨します。
Anyconnect バージョンのアップグレード/ダウングレード
バージョンがアップグレードされた場合、導入機能は変更ありません。ただしダウングレードすることはできません。したがって、4.1.x の現在の例では、バージョン 4.2 にアップグレードできます
含まれる手順は次のとおりです。
手順 1:最新の Anyconnect パッケージ 4.2 をフラッシュにアップロードし、4.1 を最新のファイルで置き換える。
[Anyconnect Client Software] > [Replace] で最新のイメージ ファイルを選択します。

ステップ 2: Anyconnect VPN に再接続した際、Web セキュリティ プロファイルは変更されず、ASA が VPN 経由で最新の Anyconnect モジュールをプッシュする。


注:ダウングレードはサポートされません。
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
DART を使用したトラブルシューティング情報の収集:
DART は AnyConnect Diagnostics and Reporting Tool の略で、AnyConnect のインストールと接続に関する問題のトラブルシューティングに役立つデータの収集に使用できます。DART は、Windows 7、Windows Vista、Windows XP、Mac バージョン 10.5 と 10.6、および Linux Redhat をサポートします。DART ウィザードは、AnyConnect を実行するコンピュータ上で実行されます。これによってログ、ステータス、および診断情報が収集され、それを Cisco Technical Assistance Center(TAC)での分析に使用でき、管理者権限は不要です。
DART は、AnyConnect ソフトウェアのコンポーネントに依存せずに機能しますが、AnyConnect から起動可能で、AnyConnect ログ ファイル(存在する場合)の収集を行います。現在のところ、DART はスタンドアロン インストールを実行できます。または、管理者は AnyConnect ダイナミック ダウンロード インフラストラクチャの一部として、このアプリケーションをクライアント PC にプッシュできます。インストールしたら、[Start] ボタンを通して、Cisco フォルダからウィザードを起動できます。