AnyConnect VPN 接続オプション
AnyConnect クライアントには、自動的に VPN セッションを接続、再接続、または切断するための多数のオプションが用意されています。これらのオプションは、ユーザが VPN に接続するために便利な方法を提供し、同時にネットワーク セキュリティの要件をサポートします。
AnyConnect 接続の開始とリスタート
VPN 接続サーバの設定を行い、ユーザが手動で接続するセキュア ゲートウェイの名前とアドレスを提供します。
便利な自動 VPN 接続を提供するための AnyConnect 機能を次から選択します。
また、強力なネットワーク セキュリティを適用したり、ネットワーク アクセスを VPN のみに制限したりするために、次の自動 VPN ポリシー オプションの使用を検討してください。
AnyConnect 接続の再ネゴシエートと維持
アクティビティが発生していない場合でも、ASA がユーザに対して AnyConnect VPN 接続を維持する長さを制限できます。VPN セッションがアイドルになった場合、接続を終了するか、または接続を再ネゴシエートできます。
-
キープアライブ:ASA はキープアライブ メッセージを定期的に送信します。これらのメッセージは、ASA によって無視されますが、クライアントと ASA の間の、デバイスを使用した接続の維持に役立ちます。
ASDM または CLI でキープアライブを設定する手順については、『Cisco ASA Series VPN Configuration Guide』の「Enable Keepalive」の項を参照してください。
-
デッド ピア検出:ASA および AnyConnect クライアントは、「R-U-There」メッセージを送信します。これらのメッセージは、IPsec のキープアライブ メッセージよりも少ない頻度で送信されます。ASA(ゲートウェイ)および AnyConnect クライアントの両方で DPD メッセージの送信を有効にして、タイムアウト間隔を設定できます。
-
クライアントが ASA の DPD メッセージに応答しない場合、ASA はもう 1 回試行してから、セッションを「再開待機」モードに移行します。このモードでは、ユーザはネットワークをローミングしたり、スリープ モードに移行してから後で接続を回復したりできます。アイドル タイムアウトが発生する前にユーザが再接続しなかった場合、ASA はトンネルを終了します。推奨されるゲートウェイ DPD 間隔は 300 秒です。
-
ASA がクライアントの DPD メッセージに応答しない場合、クライアントはもう 1 回試行してから、トンネルを終了します。推奨されるクライアント DPD 間隔は 30 秒です。
ASDM 内で DPD を設定する手順については、適切なリリースの『Cisco ASA Series VPN Configuration Guide』の「Configure Dead Peer Detection」の項を参照してください。
-
-
ベスト プラクティス:
-
クライアント DPD を 30 秒に設定します([グループ ポリシー(Group Policy)] > [詳細(Advanced)] > [AnyConnect 接続(AnyConnect Client)] > [デッド ピア検出(Dead Peer Detection)])。
-
サーバ DPD を 300 秒に設定します([グループ ポリシー(Group Policy)] > [詳細(Advanced)] > [AnyConnect 接続(AnyConnect Client)] > [デッド ピア検出(Dead Peer Detection)])。
-
SSL および IPsec の両方のキー再生成を 1 時間に設定します([グループ ポリシー(Group Policy)] > [詳細(Advanced)] > [AnyConnect 接続(AnyConnect Client)] > [キー再作成(Key Regeneration)])。
-
AnyConnect 接続の終了
AnyConnect 接続を終了するには、ユーザはセキュア ゲートウェイに対してエンドポイントを再認証し、新しい VPN 接続を作成する必要があります。
次の接続パラメータは、タイムアウトに基づいて、VPN セッションを終了します。
-
最大接続時間:ユーザの最大接続時間を分単位で設定します。ここで指定した時間が経過すると、システムは接続を終了します。また、無制限の接続時間(デフォルト)を許可することもできます。
-
VPN アイドル タイムアウト:セッションが指定した時間非アクティブである場合は、ユーザのセッションを終了します。VPN アイドル タイムアウトを設定しない場合は、デフォルトのアイドル タイムアウトが使用されます。
-
デフォルト アイドル タイムアウト:セッションが指定した時間非アクティブである場合は、ユーザのセッションを終了します。デフォルト値は 30 分(1800 秒)です。
これらのパラメータを設定するには、適切なリリースの『Cisco ASA Series VPN Configuration Guide』の「Specify a VPN Session Idle Timeout for a Group Policy」の項を参照してください。