はじめに 本ドキュメントでは、主にAnyConnect接続を ASAで収容時の、VPNセッションの接続状況のコマンドラインやSNMPポーリングでの確認方法を紹介します。 本ドキュメントは、ASAバージョン 9.12(3)9を用いて確認、作成しております。 コマンドラインでのVPN接続数の確認方法 show vpn … 8.4(1) AnyConnect Secure Mobility Client に対する IPSec IKEv2 サポートが追加されました。 リモート アクセス VPN の自動 mobike サポート。 9.8(1) IPsec IKEv2 RA VPN … セキュリティ アソシエーション(SA)のエンドポイント IP アドレスが削除されるのではなく更新できることを意味します。, Mobike はバージョン 9.8(1) 以降は ASA でデフォルトにより利用可能です。つまり、Mobike は「常にオン」になります。Mobike は、クライアントがそれを提案し、ASA が受け入れるときにだけ、各 SA に対して有効になります。このネゴシエーションは、IKE_AUTH セットの最大数 11 を指定できます。有効な暗号化方式と認証方式をリストしたテーブルなど、さらに詳細な情報については、IKEv1 トランスフォーム セットまたは IKEv2 プロポーザルの作成 を参照してください。, AnyConnect クライアントに IPv4 アドレスと IPv6 アドレスの一方または両方を割り当てるように ASA を設定できます。このようにするには、ASA 上で内部的なアドレス プールを作成するか、ASA 上のローカル ユーザに専用アドレスを割り当てます。, エンドポイントに両方のタイプのアドレスを割り当てるには、エンドポイントのオペレーティング システムの中でデュアル スタック プロトコルが実装されている必要があります。どちらのシナリオでも、IPv6 アドレス プールは残っていないが IPv4 アドレスが使用できる場合や、IPv4 DefaultL2Lgroup です。これらのグループは変更できますが、削除はできません。トンネル ネゴシエーションで識別された特定のトンネル グループがない場合は、ASA は、これらのグループを使用して、リモート アクセスおよび LAN-to-LAN 本ドキュメントでは、主にAnyConnect接続を ASAで収容時の、VPNセッションの接続状況のコマンドラインやSNMPポーリングでの確認方法を紹介します。, 本ドキュメントは、ASAバージョン 9.12(3)9を用いて確認、作成しております。, show vpn-sessiondb summary コマンドで、接続状況の概要を可能です。以下は3台のActiveセッションと 1台のInactiveセッションがある場合の出力例です。以下例の場合、VPNセッション数(Total Active and Inactive)が4つ、利用機器の最大アクセス可能数(Device Total VPN Capacity)が 250 であるため、VPNセッション数の使用率(Device Load)は 2% であることがわかります。, show vpn-sessiondb license-summary コマンドで、ライセンスの使用状況を確認できます。例えば、ASAv10の場合 250セッションまで収容可能なため、そのうち 4セッション(※Active/Inactive含む)を利用していることを確認できます。, SNMPを利用した監視の場合、簡単な情報の取得しか対応しておりませんが、以下のオブジェクト名とOIDで、最大のVPN接続可能数と、現在のセッション数を確認できます。MIBは CISCO-REMOTE-ACCESS-MONITOR-MIB です。, 以下は Activeセッション2つ Inactiveセッション1つの合計3セッション時のコマンドライン確認例と、SNMPポーリング確認結果例です。, 以下は Activeセッション4つの合計4セッション時の コマンドライン確認例と、SNMPポーリング確認結果例です。, 複数のトンネルグループを利用時、"show vpn-sessiondb anyconnect | count : [Tunnel-Group-Name]"コマンドで 指定トンネルグループの接続セッション数の確認をできます。以下は、Tunnel Group 「AnyConnect-01」の利用状況の確認例となり、4セッションあることが確認できます。なお、"count"オプションの利用は、ASAバージョン 9.9以降が必要です。, AnyConectで接続するユーザ名と利用するトンネルグループを出力したい場合は、"show vpn-sessiondb anyconnect | in Username|Tunnel Group"コマンドでの確認が便利です。以下はその実行例となり、全ユーザが Tunnel Group 「AnyConnect-01」に接続していることがわかります。, ASA: リモートアクセスVPN パフォーマンス最適化のためのベストプラクティス (AnyConnect)https://community.cisco.com/t5/-/-/ta-p/4061565, VPN トラブルシューティングhttps://community.cisco.com/t5/-/-/ta-p/3161734, Community will be on READ-ONLY mode from Sunday Nov. 15 at 7 pm PST to Monday at 11 pm PST and notifications will be off until Wednesday Nov. 18 at 5 pm PST - LEARN MORE, 自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。, Active数を確認することで、データ交換中のセッションがどの程度 現在あるか確認できます。 Peak Concurを確認することで、ピーク時のAnyConnect接続数を確認できます。 Inactive数は、AnyConnect端末がネットワークから切り離されてたりスタンバイなどの理由で一時的にASAに接続できない端末数を表してます。これら端末はネットワーク状態が改善されると 素早く再接続(リコネクト)してくるため、リモートアクセスVPNを利用中のユーザとみなされます。, AnyConnect 4.9.00564 (Android)をWi-Fi経由で接続しているとき、Android画面をMiracastで外部モニターに投影したいのですが、Miracastへの接続に失敗するようです。AnyConnect利用時は、Miracastは利用できないのでしょうか?- Android画面でMiracastの接続先の選択には、該当する機器名称は表示されます- 機器選択をするのですが、接続確立ができないように見えます。. 以下の登録ページは、シスコの有効なサービス契約に紐付かれたエンドユーザ様、パートナー様の Cisco.com ID でログインすることでアクセスが可能です。 交換の一部として行われます。, mobike サポートが有効な状態で SA が確立された後、クライアントはいつでもアドレスを変更して、新しいアドレスを示す UPDATE_SA_ADDRESS ペイロードを含む情報交換を使用して ASA に通知できます。ASA はこのメッセージを処理し、新しいクライアント Community Live: pxGrid による Stealthwatch - ISE 連携の仕組みとトラブルシュー... https://community.cisco.com/t5/-/-/ta-p/4061565, https://community.cisco.com/t5/-/-/ta-p/3161734, Firepower System / Firepower Threat Defense (FTD). トンネル グループのデフォルト トンネル パラメータを設定します。, IPsec リモート アクセス トンネル グループ(接続プロファイルとも呼ばれます)を作成します。, トンネル グループ一般属性モードに入ります。このモードでは、認証方式を入力できます。, address-pool [(interface name)] address_pool1 [...address_pool6], トンネル グループ ipsec 属性モードに入ります。このモードでは、IKEv1 接続のための IPsec 固有の属性を入力できます。, (任意) 事前共有キー(IKEv1 のみ)を設定します。キーには、1 ~ 128 文字の英数字文字列を指定できます。, 適応型セキュリティ アプライアンスとクライアントのキーは同じである必要があります。事前共有キーのサイズが異なる Cisco VPN Client が接続しようとすると、ピアの認証に失敗したことを示すエラー メッセージがクライアントによってログに記録されます。, ikev1 もし、上記に該当する方で登録ページにアクセスできない場合は、csc-events@external.cisco.com まで、契約番号、Cisco.com ID と共にご連絡ください。 は IKE とも呼ばれ、リモート PC の IPsec クライアントと ASA で、IPsec セキュリティ アソシエーションの構築方法を一致させるためのネゴシエーション プロトコルです。各 ISAKMP ネゴシエーションは、フェーズ 1 とフェーズ を使用した IPsec リモート アクセス VPN および IKEv1 または IKEv2 を使用した IPsec サイト間 VPN では、基本ライセンスに付属の Other VPN ライセンスが使用されます。すべてのタイプの組み合わせ VPN セッションの最大数は、この表に示す最大セッション数を越えることはできません。, IKEv2 を使用した IPsec リモート アクセス VPN:50 セッション。, IKEv1 を使用した IPsec リモート アクセス VPN および IKEv1 または IKEv2 を使用した IPsec サイトツーサイト VPN:, ファイアウォール モード ガイドライン:ルーテッド ファイアウォール モードでのみサポートされます。トランスペアレント モードはサポートされていません。, フェールオーバー ガイドライン IPsec-VPN セッションは、アクティブ/スタンバイ フェールオーバー コンフィギュレーションでのみ複製されます。アクティブ/アクティブ フェールオーバー コンフィギュレーションはサポートされません。, ASA には、少なくとも 2 つのインターフェイスがあり、これらをここでは外部および内部と言います。一般に、外部インターフェイスはパブリック インターネットに接続されます。一方、内部インターフェイスはプライベート ネットワークに接続され、一般のアクセスから保護されます。, 最初に、ASA の 2 つのインターフェイスを設定し、イネーブルにします。次に、名前、IP アドレス、およびサブネット マスクを割り当てます。オプションで、セキュリティ レベル、速度、およびセキュリティ アプライアンスでの二重操作を設定します。, グローバル コンフィギュレーション モードからインターフェイス コンフィギュレーション モードに入ります。, ip address ip_address [mask] [standby ip_address], インターフェイスの名前(最大 48 文字)を指定します。この名前は、設定した後での変更はできません。, インターフェイスをイネーブルにします。デフォルトで、インターフェイスはディセーブルです。shutdown, IKEv1 ネゴシエーション中に使用する認証方式とパラメータのセットを指定します。, Priority は、インターネット キー交換(IKE)ポリシーを一意に識別し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。, crypto ikev1 policy priorityencryption 
{aes | aes-192 | aes-256 | des | 3des }, IKE ポリシーのハッシュ アルゴリズム(HMAC バリアントとも呼ばれます)を指定します。, crypto ikev1 policy priorityhash {md5 | sha }, IKE ポリシーの Diffie-Hellman グループ(IPsec クライアントと ASA が共有秘密キーを確立できる暗号化プロトコル)を指定します。, crypto ikev1 policy prioritygroup 
{1 | 2 | 5 }, 暗号キーのライフタイム(各セキュリティ アソシエーションが有効期限まで存在する秒数)を指定します。, crypto ikev1 policy prioritylifetime {seconds}, 限定されたライフタイムの範囲は、120 ~ 2147483647 秒です。無制限のライフタイムの場合は、0 秒を使用します。, ASA では、ユーザに IP アドレスを割り当てる方式が必要です。この項では、例としてアドレス プールを使用します。, IP アドレスの範囲を使用してアドレス プールを作成します。ASA は、このアドレス プールのアドレスをクライアントに割り当てます。, ip local pool poolname first-address—last-address [mask mask], アドレス マスクはオプションです。ただし、VPN クライアントに割り当てられた IP アドレスが非標準のネットワークに属し、デフォルトのマスクを使用するとデータが誤ってルーティングされる可能性があるときは、マスク値を指定する必要があります。典型的な例が、IP