|
◆ SSL-VPNの設定
Cisco ASAのリモートアクセスVPNには以下の2種類があります。※ ASAではSSL-VPNをWebVPNと表記。
◆ Cisco ASAのSSL-VPN - 現在の方式
| Cisco SSL-VPNの種類 |
いわゆる |
説明 |
| クライアントレスSSL-VPN |
リバースプロキシ |
クライアントにはWebブラウザがさえあればOK。このアクセス方式で
CIFSでのWindowsファイルのブラウズとWebアクセス、FTPが利用可。
|
| AnyConnect VPN |
L2ポート
フォワーディング |
クライアントがWebブラウザでSSL-VPN接続時に、ブラウザ経由で
SSL-VPN専用のクライアントソフトウェア(Any Connect VPN)を
自動的にダウンロードし、IPsec-VPNライクに完全なアクセスが可能
|
Cisco Any Connect VPNのソフトウェアは、WebブラウザでSSL-VPN接続時にJavaアプレットやActive-Xの
ブログラムを利用して、自動的にダウンロードされてPCにインストールできます。また、Javaアプレットや
Active-X等のプログラムを無効にしていた場合でもダウンロードリンク表示で、PCはインストールできます。
ダウンロードされたソフトウェアは、VPN接続後にインストールさせたままにすることも、自動的に削除する
ことも可能です。Any Connect VPNでは、SSL-VPN接続時に動的にクライアントに利用する各種IPアドレス
の割り当てや、セキュリティポリシーを割り当てます。リモートアクセスIPsec-VPNと同じ形式となります。
◇ Step 1 : フラッシュのファイルをAnyConnectクライアントパッケージファイルとして指定
◆ AnyConnectクライアントパッケージファイルとして指定
(config)# webvpn
(config-webvpn)# anyconnect image filename order
⇒ 複数のクライアントがある場合、order 引数を使用して、クライアントイメージに順序を割り当てる。
⇒ ASAはリモートクライアントPCのOSと一致するまで、指定されている順で各クライアントの一部をダウンロードする。
◆ 設定例 : WindowsPC用のパッケージファイルを 1 、Linux用のパッケージファイルを 2 としてAnyconnect を指定
(config)# webvpn
(config-webvpn)# anyconnect image anyconnect-win-x.x.xxxxx-k9.pkg 1
(config-webvpn)# anyconnect image anyconnect-linux-x.x.xxxxx-k9.pkg 2
|
◇ Step 2 : インターフェース上のSSL-VPN(クライアントレスまたはAnyConnect)の有効化
◆ クライアントレスまたはAnyConnect SSL接続を行うインターフェースでSSLをイネーブル
(config)# webvpn
(config-webvpn)# enable interface
◆ 設定例 : outside インターフェースでSSL-VPNを有効化
(config)# webvpn
(config-webvpn)# enable outside
|
◆ AnyConnect SSL-VPNの有効化
(config)# webvpn
(config-webvpn)# anyconnect enable
◆ 設定例 : AnyConnect SSL-VPNを有効化
(config)# webvpn
(config-webvpn)# anyconnect enable
|
◆ トンネルグループ リストの表示をイネーブル設定
(config)# webvpn
(config-webvpn)# tunnel-group-list enable
◆ 設定例 : トンネルグループリスト表示のを有効化
(config)# webvpn
(config-webvpn)# tunnel-group-list enable
|
◇ Step 3 : アドレスプールの設定、認証ユーザの設定
◆ アドレスプールの設定
(config)# ip local pool name ip-address-ip-address mask mask
◆ 設定例 : 192.168.5.50 〜 192.168.5.60 までをアドレスプールとする設定
| (config)# ip local pool SSLPOOL 192.168.1.50-192.168.1.60 mask 255.255.255.0 |
◆ 認証ユーザの設定
(config)# username name password password [ mschap | encrypted | nt-encrypted ]
◆ 設定例 : ユーザ名 “ TEST1 ” パスワード “ cisco123 ” とする設定
| (config)# username TEST1 password TEST123 |
|