CSD、DAP および AnyConnect 4.0 の設定 ASA VPN ポスチャ

Similar documents
ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

設定 ISE 2.0 および暗号化 AnyConnect 4.2 ポスチャ BitlLocker 暗号化

証明書の検証による ASA AnyConnect の二重認証、マッピング、およびプレフィル コンフィギュレーション ガイド

Microsoft WSUS と ISE バージョン 1.4 ポスチャの設定

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

ISE と FirePOWER の統合 - 修復サービスの例

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

EAP-PEAP とネイティブ Windows クライアントによる ASA IKEv2 リモート アクセスの設定

VPN の IP アドレス

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

リモート アクセス VPN の ASA IKEv2 デバッグのトラブルシューティング

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

Catalyst 9800 ワイヤレス コントローラ AP 許可 リスト

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

LDAP サーバと統合するための ISE の設定

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

適応型セキュリティ アプライ アンスの設定

シナリオ:サイトツーサイト VPN の設定

CLI を使用するレガシー SCEP の設定例

VRF のデバイスへの設定 Telnet/SSH アクセス

CEM 用の Windows ドメイン コントローラ上の WMI の設定

IOS ゾーン ベースのポリシー ファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例

FQDN を使用した ACL の設定

はじめに 注意事項 本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 商標一覧 RSA RSA ロゴ SecurID については RSA Security Inc. の米国およびその他の国における商標

適応型セキュリティ アプライ アンスの設定

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

VPN 接続の設定

シナリオ:DMZ の設定

Catalyst 3750 シリーズ スイッチでの ISE トラフィック リダイレクション

ACI のファースト LACP タイマーを設定して下さい

Windows Phone 用 Cisco AnyConnect セキュアモビリティクライ アントユーザガイド(リリース 4.1.x)

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

Mobile Access IPSec VPN設定ガイド

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR /

CUCM と VCS 間のセキュア SIP トランクの設定例

Net'Attest EPS設定例

ローカル ポリシーでの FIPS の有効化

Crashinfo ファイルからの情報の取得

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

Microsoft Word - SSL-VPN接続サービスの使い方

UCS M シリーズ サーバでの Redhat/CentOS オペレーティング システムのインストール

8021.X 認証を使用した Web リダイレクトの設定

Mobile Access簡易設定ガイド

AW-PCS認証設定手順1805

Windows GPO のスクリプトと Cisco NAC 相互運用性

Juniper Networks Corporate PowerPoint Template

Si-R180 ご利用にあたって

VPN クライアントと AnyConnect クライアントからローカル LAN へのアクセスの設定例

ASA: ASDM 設定を使用したスマート トンネルの設定例

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 16 日ネットワールド 新規 I

障害およびログの表示

Aventail EX-2500/1600/750 STv(Ver.8.9) Sep 2007 c 2007 SonicWALL,Inc. All rights reserved.

Nexus 1000V による UCS の MAC アドレスのトレース

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

SQL Server または MSDE のバージョン、およびサービス パック レベルの確認

Oracle、MS Access または SQL DB と CVP スタンドアロン配備を統合方法

音声認識サーバのインストールと設定

RADIUS を使用した Windows 2008 NPS サーバ(Active Directory)に対する ASA VPN ユーザ認証の設定例

Cisco ISE ポート リファレンス

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

Web 認証拡張機能簡易ドキュメント

セキュリティ機能の概要

シングル サインオンとキャプティブ ポータル認証(On-Box Management)用に ASDM と Active Directory を設定する

Microsoft PowerPoint - APM-VE(install).pptx

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

R80.10_Distributed_Config_Guide_Rev1

UCCX ソリューションの ECDSA 証明書について

稼働環境 GXS インターネット VPN( クライアントアクセス ) を利用して IE/EX サービスに接続するには 以下の環境が必要です OS サポート プロトコル Windows10 Enterprise, Pro (32bit/64bit) IP 全銀 WEBIEAS, FTP(Passive

SRX IDP Full IDP Stateful Inspection 8 Detection mechanisms including Stateful Signatures and Protocol Anomalies Reassemble, normalize, eliminate ambi

索引

Microsoft Word - PCOMM V6.0_FAQ.doc

WeChat 認証ベースのインターネット アクセス

Lync Server 2010 Lync Server Topology Builder BIG-IP LTM Topology Builder IP Lync 2010 BIG IP BIG-IP VE Virtual Edition BIG-IP SSL/TLS BIG-IP Edge Web

ASA ネットワーク アドレス変換構成のトラブルシューティング

Net'Attest EPS設定例

BIG-IP APM ネットワークアクセスかんたんセットアップガイド (v 対応 ) View Proxy 編 F5 Networks Japan V1.1

1 はじめに Android OS での KDDI Flex Remote Access のご利用 Android OS 接続について 接続環境について 接続設定について 端末設定方法 インストール権

コンフィギュレーション ファイルのバックアップと復元

Transcription:

CSD DAP および AnyConnect 4.0 の設定 ASA VPN ポスチャ 目次 はじめに前提条件要件使用するコンポーネント設定ネットワーク図 ASA ステップ 1. 基本 SSL VPN 設定ステップ 2. CSD インストールステップ 3. DAP ポリシー ISE 確認 CSD および AnyConnect プロビジョニングポスチャの AnyConnect VPN セッション - 非対応ポスチャの AnyConnect VPN セッション - 対応トラブルシューティング AnyConnect 投げ矢関連情報 概要 この資料に適応型セキュリティアプライアンス (ASA) ソフトウェアで終了されるリモート VPN セッションのためのポスチャを行う方法を記述されています (ASA) ポスチャは HostScan モジュールが付いている Cisco Secure Desktop (CSD) の使用の ASA によってローカルで実行された VPN セッションが設定された後 対応ステーションは不適合なステーションがネットワークアクセスを制限した一方完全なネットワークアクセスを許可されます また CSD および AnyConnect は 4.0 提供フロー示されます 前提条件 要件 次の項目に関する知識が推奨されます Cisco ASA VPN 設定 Cisco AnyConnect セキュアモビリティクライアント 使用するコンポーネント

このドキュメントの情報は 次のソフトウェアとハードウェアのバージョンに基づくものです Microsoft Windows 7 Cisco ASA バージョン 9.3 またはそれ以降 Cisco Identity Services Engine (ISE) ソフトウェア バージョン 1.3 およびそれ以降 Cisco AnyConnect セキュアモビリティクライアント バージョン 4.0 およびそれ以降 CSD バージョン 3.6 またはそれ以降本書の情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは 初期 ( デフォルト ) 設定の状態から起動しています 対象のネットワークが実稼働中である場合には どのような作業についても その潜在的な影響について確実に理解しておく必要があります 設定 ネットワーク図 団体ポリシーは次の通りです : リモート VPN ユーザはファイル c:\test.txt がある ( 対応 ) 内部会社リソースへの完全なネットワークアクセスがなければなりません ファイル c:\test.txt を持っていないリモート VPN ユーザは ( 不適合な ) 内部会社リソースへのネットワークアクセスを制限したにちがいありません : 治療サーバ 1.1.1.1 へのアクセスだけ提供されます ファイルプロシージャは簡単な例です 他のどの条件 ( ウイルス対策 antispyware プロセス

アプリケーション レジストリ ) 使用することができます フローは次の通りです : リモートユーザに AnyConnect がインストールしましたありません 彼らは CSD および AnyConnect プロビジョニングのための ASA Webページにアクセスします (VPN プロファイルと共に ) 限られたネットワークアクセスを用いる AnyConnect による接続が 不適合なユーザ許可されれば ダイナミックアクセスポリシー (DAP) 呼出された FileNotExists は一致します ユーザは治療を ( 手動でファイル c:\test.txt をインストールして下さい ) 行い AnyConnect と再度接続します 今回 完全なネットワークアクセスは提供されます (FileExists と呼ばれる DAP ポリシーは一致します ) HostScan モジュールはエンドポイントで手動でインストールすることができます サンプルファイル (hostscan-win-4.0.00051-pre-deploy-k9.msi) は共用 on Cisco 接続オンライン (CCO) です しかし それはまた ASA から押すことができます HostScan は ASA から提供できる CSD の一部です 第 2 アプローチはこの例で利用すること AnyConnect のより古いバージョンに関しては (3.1 およびより早い ) CCO ( 例で利用可能な別途のパッケージがありました : hostscan_3.1.06073-k9.pkg は ) 別々に設定され 提供されたかもしれないかどれが ASA で (csd hostscan イメージコマンドと ) - そのオプションが AnyConnect バージョン 4.0 のためにもう存在しません ASA ステップ 1. 基本 SSL VPN 設定 ASA は基本的な遠隔 VPN アクセス (Secure Sockets Layer (SSL)) と前もって構成されます : webvpn enable outside no anyconnect-essentials anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1 anyconnect enable tunnel-group-list enable group-policy AllProtocols internal group-policy AllProtocols attributes vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless tunnel-group TAC type remote-access tunnel-group TAC general-attributes address-pool POOL authentication-server-group ISE3 default-group-policy AllProtocols tunnel-group TAC webvpn-attributes group-alias TAC enable ip local pool POOL 192.168.1.10-192.168.1.20 mask 255.255.255.0 aaa-server ISE3 protocol radius aaa-server ISE3 (inside) host 10.1.1.100 key *****

AnyConnect パッケージはダウンロードされ 使用されました ステップ 2. CSD インストール それに続く設定は Adaptive Security Device Manager (ASDM) と行われます CSD は点滅し イメージに示すように設定からの参照を引き継ぐためにダウンロードされる必要があります実装します Secure Desktop を有効にすることなしでイメージに示すように DAP ポリシーで CSD 属性を利用することはできません

CSD を有効にした後 Secure Desktop マネージャの下の複数のオプションは現われます 注 : そのうちのいくつかが既に非難されていること知識のあってであって下さい 非推奨機能に関する詳細は見つけることができます : Secure Desktop ( 地下 ) キャッシュ洗剤 キーストロークロガー検出およびホストエミュレーション検出のための機能非推奨表記 HostScan はまだ ルールが追加される新しい基本的な HostScan フルサポートされます c:\test.txt のプロシージャはイメージに示すように確認されます また 追加高度エンドポイントアセスメントルールはイメージに示すように追加されます

は Symantec ノートン アンチウイルス 20.x および Microsoft Windows ファイアウォール 7. ポスチャモジュール (HostScan) の存在があるように確認することこれらの値をチェックしますしかし施行がありません (DAP ポリシーはそれを確認しません ) ステップ 3. DAP ポリシー DAP ポリシーは責任があります条件として HostScan によって収集されるデータを使用し その結果 VPN セッションに仕様属性を適用するために ASDM から DAP ポリシーを 移動 > ダイナミックアクセスポリシーイメージに示すように設定 > リモートアクセス VPN > Clientless SSL VPN アクセスに作成するため 最初ポリシー (FileExists) は設定された VPN プロファイル (VPN プロファイルによって設定使用されるグループ名を明確にするために省略されましたチェックします ) それから 追加ファイル c:\test.txt があるように実行されたイメージに示すように確認して下さい

その結果 操作はデフォルト設定割り当て接続と実行された ACL は使用されません - 完全なネットワークアクセスは提供されます ファイルチェックのための詳細はイメージに示すようにあります 第 2 ポリシー (FileNotExists) は類似したですが - 今回状態はファイルがイメージに示すように

存在しない場合です 結果に設定される access-list ACL1 があります それは限られたネットワークアクセスのプロビジョニングするの不適合な VPN ユーザ向けに適用します DAP ポリシーは両方ともイメージに示すように AnyConnect クライアントアクセスのために押します ISE ISE はユーザ認証のために使用されます ネットワークデバイス (ASA) および正しいユーザー名だけ (cisco) 設定する必要があります その一部はこの技術情報でカバーされません 確認

このセクションでは 設定が正常に機能していることを確認します CSD および AnyConnect プロビジョニング 最初に ユーザは AnyConnect クライアントと提供されません ユーザはまたポリシーと対応しません ( ファイル c:\test.txt はありません ) https://10.62.145.45 を入力すればユーザはイメージに示すように CSD インストールのためにすぐにリダイレクトされます それは Java か ActiveX とすることができます CSD がインストールされていれば イメージに示すように報告されます

それからユーザはイメージに示すように認証のためにリダイレクトされます AnyConnect は設定されたプロファイルと共に正常なら展開されます - 再度 ActiveX か Java はイメージに示すように使用することができます

そして VPN 接続はイメージに示すように確立されます AnyConnect のための第一歩はポスチャチェック (HostScan) を行い イメージに示すように ASA へレポートを送ることです

それから AnyConnect は VPN セッションを認証し 終えます ポスチャの AnyConnect VPN セッション - 非対応 AnyConnect の新しい VPN セッションを設定するとき 第一歩はスクリーンショットで先に示されるようにポスチャ (HostScan) です それから 認証は行われ VPN セッションはイメージに示すように設定されます

ASA は HostScan レポートが受け取られることを報告します : %ASA-7-716603: Received 4 KB Hostscan data from IP <10.61.87.251> それからユーザ認証を行います : %ASA-6-113004: AAA user authentication Successful : server = 10.62.145.42 : user = cisco そしてその VPN セッションのための許可を開始します 有効になるデバッグ DAP トレース 255" があるとき c:\test.txt ファイルのプロシージャに関する情報は返されます : DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].exists="false" DAP_TRACE: endpoint.file["1"].exists = "false" DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].path="c:\test.txt" DAP_TRACE: endpoint.file["1"].path = "c:\\test.txt" また Microsoft Windows ファイアウォールに関する情報 : DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].exists="false" DAP_TRACE: endpoint.fw["mswindowsfw"].exists = "false" DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].description="microsoft Windows Firewall" DAP_TRACE: endpoint.fw["mswindowsfw"].description = "Microsoft Windows Firewall" DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].version="7" DAP_TRACE: endpoint.fw["mswindowsfw"].version = "7" DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].enabled="failed" DAP_TRACE: endpoint.fw["mswindowsfw"].enabled = "failed" そして Symantec ウイルス対策 (HostScan によって先に設定されたエンドポイントアセスメントルールを進めました ) その結果 DAP ポリシーは一致します : DAP_TRACE: Username: cisco, Selected DAPs:,FileNotExists ユーザ向けに制限ネットワークアクセスを提供する AnyConnect を使用するポリシー強制はまたおよび access-list ACL1 を適用すること ( 団体ポリシーと対応 ): DAP_TRACE:The DAP policy contains the following attributes for user: cisco DAP_TRACE:-------------------------------------------------------------------------- DAP_TRACE:1: tunnel-protocol = svc DAP_TRACE:2: svc ask = ask: no, dflt: svc DAP_TRACE:3: action = continue DAP_TRACE:4: network-acl = ACL1 DAP ポリシーによって使用することができる ACIDEX 現在の拡張機能をまた記録します ( また更に ISE に RADIUS 要求で通じて条件として許可ルールで使用され ): endpoint.anyconnect.clientversion = "4.0.00051"; endpoint.anyconnect.platform = "win"; endpoint.anyconnect.devicetype = "innotek GmbH VirtualBox"; endpoint.anyconnect.platformversion = "6.1.7600 "; endpoint.anyconnect.deviceuniqueid = "A1EDD2F14F17803779EB42C281C98DD892F7D34239AECDBB3FEA69D6567B2591"; endpoint.anyconnect.macaddress["0"] = "08-00-27-7f-5f-64";

endpoint.anyconnect.useragent = "AnyConnect Windows 4.0.00051"; その結果 VPN セッションはしかし制限ネットワークアクセスと稼働しています : ASAv2# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 4 Assigned IP : 192.168.1.10 Public IP : 10.61.87.251 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 11432 Bytes Rx : 14709 Pkts Tx : 8 Pkts Rx : 146 Group Policy : AllProtocols Tunnel Group : TAC Login Time : 11:58:54 UTC Fri Dec 26 2014 Duration : 0h:07m:54s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add006400004000549d4d7e Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 4.1 Public IP : 10.61.87.251 Encryption : none Hashing : none TCP Src Port : 49514 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes Client OS : win Client OS Ver: 6.1.7600 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051 Bytes Tx : 5716 Bytes Rx : 764 Pkts Tx : 4 Pkts Rx : 1 SSL-Tunnel: Tunnel ID : 4.2 Assigned IP : 192.168.1.10 Public IP : 10.61.87.251 Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : 49517 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051 Bytes Tx : 5716 Bytes Rx : 2760 Pkts Tx : 4 Pkts Rx : 12 Filter Name : ACL1 DTLS-Tunnel: Tunnel ID : 4.3 Assigned IP : 192.168.1.10 Public IP : 10.61.87.251 Encryption : AES128 Hashing : SHA1

Encapsulation: DTLSv1.0 UDP Src Port : 52749 UDP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 24 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051 Bytes Tx : 0 Bytes Rx : 11185 Pkts Tx : 0 Pkts Rx : 133 Filter Name : ACL1 ASAv2# show access-list ACL1 access-list ACL1; 1 elements; name hash: 0xe535f5fe access-list ACL1 line 1 extended permit ip any host 1.1.1.1 (hitcnt=0) 0xe6492cbf AnyConnect 履歴はポスチャプロセスのための詳細な手順を示します : 12:57:47 Contacting 10.62.145.45. 12:58:01 Posture Assessment: Required for access 12:58:01 Posture Assessment: Checking for updates... 12:58:02 Posture Assessment: Updating... 12:58:03 Posture Assessment: Initiating... 12:58:13 Posture Assessment: Active 12:58:13 Posture Assessment: Initiating... 12:58:37 User credentials entered. 12:58:43 Establishing VPN session... 12:58:43 The AnyConnect Downloader is performing update checks... 12:58:43 Checking for profile updates... 12:58:43 Checking for product updates... 12:58:43 Checking for customization updates... 12:58:43 Performing any required updates... 12:58:43 The AnyConnect Downloader updates have been completed. 12:58:43 Establishing VPN session... 12:58:43 Establishing VPN - Initiating connection... 12:58:48 Establishing VPN - Examining system... 12:58:48 Establishing VPN - Activating VPN adapter... 12:58:52 Establishing VPN - Configuring system... 12:58:52 Establishing VPN... 12:58:52 Connected to 10.62.145.45. ポスチャの AnyConnect VPN セッション - 対応 c:\test.txt ファイルを作成した後 フローは類似したです AnyConnect 新しいセッションが始められれば ログはファイルのプロシージャを示します : %ASA-7-734003: DAP: User cisco, Addr 10.61.87.251: Session Attribute endpoint.file["1"].exists="true" %ASA-7-734003: DAP: User cisco, Addr 10.61.87.251: Session Attribute endpoint.file["1"].path="c:\test.txt" そしてその結果別の DAP ポリシーは使用されます : DAP_TRACE: Username: cisco, Selected DAPs:,FileExists ポリシーはネットワークトラフィックのための制限として ACL を課しません そしてセッションは ACL ( 完全なネットワークアクセス ) なしに稼働しています :

ASAv2# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 5 Assigned IP : 192.168.1.10 Public IP : 10.61.87.251 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 11432 Bytes Rx : 6298 Pkts Tx : 8 Pkts Rx : 38 Group Policy : AllProtocols Tunnel Group : TAC Login Time : 12:10:28 UTC Fri Dec 26 2014 Duration : 0h:00m:17s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add006400005000549d5034 Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 5.1 Public IP : 10.61.87.251 Encryption : none Hashing : none TCP Src Port : 49549 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : win Client OS Ver: 6.1.7600 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051 Bytes Tx : 5716 Bytes Rx : 764 Pkts Tx : 4 Pkts Rx : 1 SSL-Tunnel: Tunnel ID : 5.2 Assigned IP : 192.168.1.10 Public IP : 10.61.87.251 Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : 49552 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051 Bytes Tx : 5716 Bytes Rx : 1345 Pkts Tx : 4 Pkts Rx : 6 DTLS-Tunnel: Tunnel ID : 5.3 Assigned IP : 192.168.1.10 Public IP : 10.61.87.251 Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : 54417 UDP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes Client OS : Windows

Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051 Bytes Tx : 0 Bytes Rx : 4189 Pkts Tx : 0 Pkts Rx : 31 また Anyconnect は報告しま HostScan がであることをアイドル状態および次のスキャン要求を 待っています : ASAv2# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 5 Assigned IP : 192.168.1.10 Public IP : 10.61.87.251 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 11432 Bytes Rx : 6298 Pkts Tx : 8 Pkts Rx : 38 Group Policy : AllProtocols Tunnel Group : TAC Login Time : 12:10:28 UTC Fri Dec 26 2014 Duration : 0h:00m:17s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add006400005000549d5034 Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 5.1 Public IP : 10.61.87.251 Encryption : none Hashing : none TCP Src Port : 49549 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : win Client OS Ver: 6.1.7600 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051 Bytes Tx : 5716 Bytes Rx : 764 Pkts Tx : 4 Pkts Rx : 1 SSL-Tunnel: Tunnel ID : 5.2 Assigned IP : 192.168.1.10 Public IP : 10.61.87.251 Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : 49552 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051 Bytes Tx : 5716 Bytes Rx : 1345 Pkts Tx : 4 Pkts Rx : 6

DTLS-Tunnel: Tunnel ID : 5.3 Assigned IP : 192.168.1.10 Public IP : 10.61.87.251 Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : 54417 UDP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051 Bytes Tx : 0 Bytes Rx : 4189 Pkts Tx : 0 Pkts Rx : 31 注 : 再査定に関しては ISE と統合ポスチャモジュールを使用することを 助言します トラブルシューティング このセクションでは 設定のトラブルシューティングに役立つ情報を提供します AnyConnect 投げ矢 AnyConnect はイメージに示すように診断を提供します

AnyConnect すべてのログを収集し 保存するかどれがデスクトップで ZIP ファイルに ZIP ファイルは含まれていること Cisco AnyConnect セキュアモビリティクライアント /Anyconnect.txt をログオンします それは ASA についての情報を提供し データを収集するように HostScan を要求します : Date : 12/26/2014 Time : 12:58:01 Type : Information Source : acvpnui Description : Function: ConnectMgr::processResponseString File:.\ConnectMgr.cpp Line: 10286 Invoked Function: ConnectMgr::processResponseString Return Code: 0 (0x00000000) Description: HostScan request detected. それから 倍数は他のログ CSD がインストールされていることを明らかにします これはポスチャと共に AnyConnect CSD プロビジョニングおよびそれに続く接続のための例です : CSD detected, launching CSD Posture Assessment: Required for access Gathering CSD version information. Posture Assessment: Checking for updates... CSD version file located Downloading and launching CSD Posture Assessment: Updating... Downloading CSD update CSD Stub located Posture Assessment: Initiating... Launching CSD Initializing CSD Performing CSD prelogin verification. CSD prelogin verification finished with return code 0 Starting CSD system scan. CSD successfully launched Posture Assessment: Active CSD launched, continuing until token is validated. Posture Assessment: Initiating... Checking CSD token for validity Waiting for CSD token validity result CSD token validity check completed CSD Token is now valid CSD Token validated successfully Authentication succeeded Establishing VPN session... ASA と AnyConnect 間の通信はそれを行えます ASA 要求特定のチェックだけ行うために - AnyConnect ダウンロード追加データ最適化されます ( たとえば特定のウイルス対策確認 ) TAC のケースをオープンするとき 付加投げ矢は show tech および ASA からのデバッグ DAP トレース 255" と共に記録します 関連情報

ホストスキャンおよびポスチャモジュールの設定 - Cisco AnyConnect セキュアモビリティクライアント管理者ガイド ホストスキャンの設定 - Cisco Secure Desktop コンフィギュレーションガイド Cisco ISE コンフィギュレーションガイドのポスチャサービス Cisco ISE 1.3 アドミニストレータガイド テクニカルサポートとドキュメント Cisco Systems

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック