Cisco ASA - SSL-VPN Part 1



 ◆ SSL-VPNの設定

 Cisco ASAのリモートアクセスVPNには以下の2種類があります。※ ASAではSSL-VPNをWebVPNと表記。

 
◆ Cisco ASAのSSL-VPN - 現在の方式
Cisco SSL-VPNの種類 いわゆる 説明
クライアントレスSSL-VPN リバースプロキシ


 クライアントにはWebブラウザがさえあればOK。このアクセス方式で
 CIFSでのWindowsファイルのブラウズとWebアクセス、FTPが利用可。

AnyConnect VPN L2ポート
フォワーディング


 クライアントがWebブラウザでSSL-VPN接続時に、ブラウザ経由で
 SSL-VPN専用のクライアントソフトウェア(Any Connect VPN)を
 自動的にダウンロードし、IPsec-VPNライクに完全なアクセスが可能


 Cisco Any Connect VPNのソフトウェアは、WebブラウザでSSL-VPN接続時にJavaアプレットやActive-Xの
 ブログラムを利用して、自動的にダウンロードされてPCにインストールできます。また、Javaアプレットや
 Active-X等のプログラムを無効にしていた場合でもダウンロードリンク表示で、PCはインストールできます。

 ダウンロードされたソフトウェアは、VPN接続後にインストールさせたままにすることも、自動的に削除する
 ことも可能です。Any Connect VPNでは、SSL-VPN接続時に動的にクライアントに利用する各種IPアドレス
 の割り当てや、セキュリティポリシーを割り当てます。リモートアクセスIPsec-VPNと同じ形式となります。


 ◇ Step 1 : フラッシュのファイルをAnyConnectクライアントパッケージファイルとして指定

 
◆ AnyConnectクライアントパッケージファイルとして指定
 (config)#
webvpn
 (config-webvpn)#
anyconnect image filename order
 
⇒ 複数のクライアントがある場合、order 引数を使用して、クライアントイメージに順序を割り当てる。
 
⇒ ASAはリモートクライアントPCのOSと一致するまで、指定されている順で各クライアントの一部をダウンロードする。

 
◆ 設定例 : WindowsPC用のパッケージファイルを 1 、Linux用のパッケージファイルを 2 としてAnyconnect を指定

 
(config)#
webvpn
 (config-webvpn)# anyconnect image anyconnect-win-x.x.xxxxx-k9.pkg 1
 (config-webvpn)# anyconnect image anyconnect-linux-x.x.xxxxx-k9.pkg 2




 ◇ Step 2 : インターフェース上のSSL-VPN(クライアントレスまたはAnyConnect)の有効化

 
◆ クライアントレスまたはAnyConnect SSL接続を行うインターフェースでSSLをイネーブル
 (config)#
webvpn
 (config-webvpn)#
enable interface

 
◆ 設定例 : outside インターフェースでSSL-VPNを有効化

 
(config)#
webvpn
 (config-webvpn)# enable outside



 ◆ AnyConnect SSL-VPNの有効化
 (config)#
webvpn
 (config-webvpn)#
anyconnect enable

 
◆ 設定例 : AnyConnect SSL-VPNを有効化

 (config)#
webvpn
 (config-webvpn)# anyconnect enable



 ◆  トンネルグループ リストの表示をイネーブル設定
 (config)#
webvpn
 (config-webvpn)#
tunnel-group-list enable

 
◆ 設定例 : トンネルグループリスト表示のを有効化

 (config)#
webvpn
 (config-webvpn)# tunnel-group-list enable




 ◇ Step 3 : アドレスプールの設定、認証ユーザの設定

 
◆ アドレスプールの設定
 (config)#
ip local pool name ip-address-ip-address mask mask

 
◆ 設定例 : 192.168.5.50 〜 192.168.5.60 までをアドレスプールとする設定
 (config)# ip local pool SSLPOOL 192.168.1.50-192.168.1.60 mask 255.255.255.0


 ◆ 認証ユーザの設定
 (config)#
username name password password [ mschap | encrypted | nt-encrypted ]

 
◆ 設定例 : ユーザ名 “ TEST1 ” パスワード “ cisco123 ” とする設定
 (config)# username TEST1 password TEST123



Cisco ASA - コンフィグ設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.