2020-04-07 02:25 PM 2020-04-07 02:29 PM 更新
このイベントは先週まで開催されていたAsk Me Anything イベント"Secure Remote Workers" の続編です。
Cisco Adaptive Security Appliances (ASA)とFirepower Threat Defense (FTD)およびそれらをシスコセキュリティポートフォリオデバイスとテクノロジと統合したISEやDuoにおける AnyConnect secure mobilityクライアントのためのコンフィグレーション、トラブルシューティング及びベストプラクティスについて質問できるチャンスです。
このセッションは、SSLと Ikev2を使ったAnyConnectの実行について様々な見地から学び質問出来る機会です。現在のような重大な局面において、所属する組織の安全を確実に守るのに役立つ 必要なセキュリティを提供するAnyConnectのエマージェンシーライセンス、コンフィグレーション、デプロイメントおよびトラブルシューティングなどが含まれます。
このイベントに 参加するには、 ボタンをクリックしてください。
4月6日(月)から17日(金)まで質問を投稿できます。
**役に立ったボタンをクリックして参加者を増やしましょう **
質問に対する回答に 必ず評価をお願いします。
2020-04-20 04:39 PM
WindowsとMacでFTDおよびAnyConnect 4.8.02042のプロファイルに問題があります。
スタンドアロンプロファイルエディターで変更を加え、ProgramDataのProfilesフォルダーに移動します。
HostEntryやAllowManualHostInputなどが認識され、適用されています。 ただし、AuthenticationTimeoutとEnableScriptingの変更は反映されていません。
変更を加えるたびに、AnyConnectクライアントを終了してサービスを再起動した後、念のためコンピューターの再起動もしました。
Event Viewerから適用されている設定を確認できます。
デフォルトの設定を使用しています。
ローカルプロファイルの使用が想定されている場合、一部の設定(証明書の照合など)は想定通りに機能しない可能性があります。
選択したホストがプロファイルのサーバーリストセクションにあり、プロファイルがセキュアゲートウェイで構成されていることを確認します。
Profilesフォルダーにファイルがダウンロードされないため、FTDにプロファイルが適用されているようには見えません。
また、バリデータを通じてXSDファイルと共にXMLファイルを送りました。
注)この質問は evan_stockton による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 09:43 AM
FTDデバイスにそれをアップロードしようとしていますか?そしてそれをユーザが接続しているグループポリシーに適用しようとしていますか?
注)この回答は jgrudierによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 09:48 AM
いえ、していません。ユーザーの接続後、FTDはプロファイルがないと想定しました。クライアントに何もダウンロードしていません。
注)この質問は evan_stockton による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 09:45 AM
それから、ローカルのユーザーにプロファイルを作成しようとしていますか。 サポートされているconfig設計ではありませんが、VPNヘッドエンドに接続する際、特定のパラメーターを有効にしたいのであれば、xmlプロファイルにserverlist、hostname、hostaddressセクションの作成が必要です。
パラメータは、デフォルトのグループポリシーの代わりに、残りのプロファイルをヘッドエンド接続にリンクするようになります。FTDに適用し、クライアントが接続時、クライアントにプッシュすることを推奨します。
注)この回答は jgrudierによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 09:49 AM
当方のプロファイルには、接続したいサーバーのserverlistセクションとhostentryセクションがあります。下記コメントに沿ってフォローしていました。
「OnConnectスクリプトが適切な場所にある状態で、XMLプロファイルを変更し、クライアントにプッシュすれば、機能します。」
https://community.cisco.com/t5/vpn/community-ask-me-anything-configuration-troubleshooting-and-best/m-p/4063991/highlight/true#M271759
GPO/MEMCMの組み合わせを用いて、クライアントにファイルをプッシュします。
注)この質問は evan_stockton による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 09:50 AM
接続時にクライアントがXMLプロファイルを認識するためには、XMLプロファイルにホスト名/ホストアドレスが必要です。
そうでない場合、デフォルトのプロファイルが使われ、変更したフィールドは有効になりません。
注)この回答は jgrudierによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 09:54 AM
はい。サーバリスト、ホストエントリ、ホスト名、ホストアドレス、ユーザグループセクションすべてあります。
注)この質問は evan_stockton による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 09:55 AM
FMC2500があり、VMware ESXでFTDvを使用するオプションを検討しています。ASAvではスループットライセンスの購入が必要であると認識していますが、FTDvも同じでしょうか。
自分が把握する限り、最低限必要なものは、
FTDv(展開イメージ)
Hardware(イメージを起動するためVMware ESXで必要)
Availability on the FMC(FMC2500のため、追加ライセンスの必要はなし)
Anyconnect license(接続ユーザー数に応じ、スマートアカウントで利用可能)
ESXがあるため、FMCとAnyconnectの購入を考えていますが、追加するものはない認識であっていますか。
追加の必要がある場合
Threat license(IPS and Security intelligence / geolocationのため)
Malware(転送中のファイルをAMPを介して分析するため)
URL(URLフィルタリングが必要な場合のため)
注)この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 09:57 AM
回答させていただきます。ASAvとは異なり、FTDvにはスループットライセンスは必要ありません。
貴殿の認識で仮想環境でのFTDvセットアップは十分です。
追加機能が必要であれば、ライセンスを購入し、インストールしてください。
注)この回答は Pulkit Saxena による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 10:02 AM
ありがとうございます。
Firepower Threat Defense Virtualのオーダー案内を拝見しています。少々疑問点があるため、ご教示いただければ幸いです。
基本ライセンスが適用されるため、FTDvはFMCで動作するファイアウォールに特定のライセンスは必要としない。当方の環境ではThreatとAnyconnectライセンスの購入が必要だと認識しています。
オーダー案内に下記の表がありました。
Cisco Commerceで見積もってみたところ、他のライセンスはゼロコストなのに、当方は要コストです。価格設定についてご教示いただければ幸いです。
Virtual appliance(Smartnetのほか)のゼロコスト、機能ライセンスは要コストと想定していました。
FMCを使用する場合、FPRTD-V-K9ライセンスは必要ですか。
注)この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 10:04 AM
このイベントに参加したいので登録リンクをシェアしてくださいますか。
注)この質問は sachinshenoy_511257076 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 10:10 AM
ご質問の投稿の仕方と同様にして、ここに投稿できます。
オープンプラットフォームとなっております。
イベントページは:
ディスカッションページは:
注)この回答は Pulkit Saxena による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 10:06 AM
ASAでcisco anyconnect vpn を利用して投稿したいです。
ASAとISEで必要なライセンスは何ですか。
注)この質問は bluesea2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 10:11 AM
Anyconnect ISEポスチャを設定します。
2つのライセンス要件があります。
・ISEでBASEとAPEX。BASEは、各セッションの基本ライセンスが消費されているため、必要不可欠。
・ASAでAnyConnectユーザーライセンス。ユーザー数に応じて要件ごとに。
下記URLで、ISEのライセンス情報をご参照ください。
構成とフローの理解に役立つドキュメントは下記をご参照ください。
注)この回答は Pulkit Saxena による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド