キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
2802
閲覧回数
0
いいね!
1
返信

AnyConnectのwebvpn用コマンドのデフォルト値の変更について

athirano1
Level 1
Level 1

こんにちは、
ASA5540+OS:9.1系+AnyConnect 3.1系を使用してエンドユーザーにSSL-VPNサービスを提供している者です。
(Clientless SSL-VPN機能は使用していません。)

今回、ASA5545X+OS:9.6系+AnyConnect 4.5系の構成でリプレースを計画しています。
(エンドユーザーへの提供サービスは、変更ありません。)

Configを作成するにあたり、気になったのがwebvpnコンフィギュレーションモードのコマンドです。
どなたか、ご回答いただけますでしょうか。

■コンフィグについて
--- コンフィグ抜粋(OS:9.6系) ---
webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.5.02033-webdeploy-k9.pkg 1
 anyconnect profiles [Client Profile名] disk0:/[Client Profileのxmlファイル名]
 keepout "Service out temporarily."
 cache
  disable  ←これ
 error-recovery disable  ←これ
-----------------------------------
コマンドcacheとerror-recoveryについて
9.5以前は、show runでは非表示、デフォルト値:cache enable,  no error-recovery disable(つまりrecovery有効)
9.5以降は、show runでは表示、 デフォルト値:cache disable,    error-recovery disable(つまりrecovery無効)
となっています。(show run all webvpnで、はっきり分かる。)
今まで、OS:9.1系の機器では、全く意識せずにデフォルト値を使っていました。

cacheコマンドは、コマンドリファレンスによると、キャッシングを有効にすることにより、
「WebVPNとリモートサーバおよびエンドユーザのブラウザの両方の間のトラフィックが削減されて、
 多くのアプリケーションの実行効率が大幅に向上します」
とあります。一方で
「コンテンツキャッシングをイネーブルにすると、一部のシステムの信頼性が低下します。
 コンテンツキャッシングをイネーブルにした後にランダムクラッシュが発生した場合は、
 コンテンツキャッシングをディセーブルにします。」
ともあります。
この辺がデフォルト値変更の理由と思います。


■質問内容
1.キャッシング機能について
AnyConnectで接続したSSL-VPN通信上でのブラウザアクセスも
キャッシング機能の適用範囲である。と考えてよろしいでしょうか。

2.error-recoveryコマンドについて
error-recoveryは、下記の情報によると、webvpnを起因するASA自体のクラッシュを回避しようとする機能、クラッシュしたときのcrashinfoへの出力内容に影響がある機能のようですが、この理解で良いでしょうか。
そうすると有効化したほうが望ましいといえるでしょうか?
「 Query regarding webvpn error-recovery」
https://supportforums.cisco.com/t5/vpn/query-regarding-webvpn-error-recovery/td-p/1487515

error-recoveryコマンドはキャッシング機能と関係はありますでしょうか。

3.設定について
 新規構築ではなくリプレースで、同じユーザーが使い、同等の機能・パフォーマンスを提供するという目的の場合、OS:9.6系のデフォルト値を変更して、OS:9.1系での設定値に合わせたほうが良いのでしょうか。
 
よろしくお願いします。

1件の返信1

Akira Muranaka
Level 8
Level 8

こんばんは!

まず、キャッシングは 調べて頂いている通り、設定ガイドに エンドユーザのブラウザのトラフィックを減らすと記載あるので、読んでその通りなのかなぁと思います。なお、設定ガイドによると、キャッシュは9.5(2)以降でデフォルト無効に変更されたようです。
https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/c1.html

 

次に、error-recovery disableについては、以下ディスカッションの方が詳しいかもしれません。以下によると、仮にenableにした場合は、WebVPNクラッシュ時のより詳細な情報を残すのかな?と思います。ただ、通常利用時はデフォルトのまま(=disable)でいいと思います。EnableかDisableかは、通常の運用で気にする必要はないと思うので。。トラブルが仮に頻発したら、サポートに連絡して、解析のため有効化必要と指示うけたら デフォルト無効から変更する、くらいでいいのでは、と思います。
https://community.cisco.com/t5/firewalls/anyconnect-vpn/td-p/2870470

抜粋:
- When error-recovery is enabled, and there is failure in webvpn application, it will create a minidump file each time one of the recovery event occurs, and those minidump output can be viewed using the "show crashinfo webvpn detailed" command.
- When error-recovery is disabled and there is failure in webvpn application, it will not create the above advised minidump, and hence, you will not be able to view the webvpn specific recovery event dump using the "show crashinfo webvpn detailed" command.

 

最後に 9.1系と9.5系のどちらのデフォルトを使うか、ですが、これは意見がわかれますが、私はシスコさんのデフォルトに合わせたほうがいいと思います。古い不具合になりますが、ざっと探しただけでも、Webvpn cache機能は以下のような不具合がちらほらあります。
CSCtu33448: webvpn cache command missing
CSCuh49686: slow memory leak due to webvpn cache

 

デフォルト設定=多くのユーザが使う設定、かつ シスコさん推奨、という位置づけなのかなぁとも、私は考えてます。

 

あと、キャッシュ無効化の理由は私なりに考察すると、私は古いシスコ製品も触ってたこともあるユーザで、ASAのリモートVPN機能は、VPN3000という旧製品(十数年前の製品です)の機能がベースだったのですが、キャッシング機能は当時のインターネット回線がとても遅かったので その効率処理用にサポートされてた、とうろ覚えです。 ここからは妄想ですが、以前はインターネットが非常に遅かったので、キャッシングによる不安定化に比べたら 帯域効率活用できるほうが用途として勝っていたが、最近はインターネットはどこも高速 かつ 様々なタイプの通信が増えたので キャッシングの必要性が薄れ 不安定化のデメリットの方が勝って、デフォルト無効に変更したんじゃないかなー、と想像してます。(どうなんでしょうね。。)

 

ただ、基本的には その利用バージョンのデフォルト設定を使うのが、グローバルの膨大なユーザがその設定を現在and/or今後も使うことを表しており、推奨に準拠すること、及び 安定性のうえでもいいかと思います。でないと、膨大なユーザが影響をうけるようなデフォルト設定の変更を シスコがあえてすることは無いと思うので。(そして、この変更に問題あれば、またシスコさんがキャッシュを有効に戻すでしょうし。。。)

 

ので、デフォルト設定の変更は、推奨設定の変更、及びさらに良くなる修正と受け止めて、そのまま利用が 1番 低リスクかと思います。問題があっても、グローバルで多数のユーザさんが利用されていれば、すぐ不具合も見つかって改修されるでしょうしね。逆にあまりレアな設定を使うのに突き進むのは危険な道だと私は思ってます。

 

1ユーザの意見ですが、ご参考になれば!