はじめに
本ドキュメントでは、主にAnyConnect接続を ASAで収容時の、VPNセッションの接続状況のコマンドラインやSNMPポーリングでの確認方法を紹介します。
本ドキュメントは、ASAバージョン 9.12(3)9を用いて確認、作成しております。
コマンドラインでのVPN接続数の確認方法
show vpn-sessiondb summary コマンドで、接続状況の概要を可能です。以下は3台のActiveセッションと 1台のInactiveセッションがある場合の出力例です。以下例の場合、VPNセッション数(Total Active and Inactive)が4つ、利用機器の最大アクセス可能数(Device Total VPN Capacity)が 250 であるため、VPNセッション数の使用率(Device Load)は 2% であることがわかります。
ASAv10(config)# show vpn-sessiondb summary
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 3 : 36 : 4 : 1
SSL/TLS/DTLS : 3 : 36 : 4 : 1
Clientless VPN : 0 : 2 : 2
Browser : 0 : 2 : 2
---------------------------------------------------------------------------
Total Active and Inactive : 4 Total Cumulative : 38
Device Total VPN Capacity : 250
Device Load : 2%
---------------------------------------------------------------------------
Active数を確認することで、データ交換中のセッションがどの程度 現在あるか確認できます。 Peak Concurを確認することで、ピーク時のAnyConnect接続数を確認できます。 Inactive数は、AnyConnect端末がネットワークから切り離されてたりスタンバイなどの理由で一時的にASAに接続できない端末数を表してます。これら端末はネットワーク状態が改善されると 素早く再接続(リコネクト)してくるため、リモートアクセスVPNを利用中のユーザとみなされます。
show vpn-sessiondb license-summary コマンドで、ライセンスの使用状況を確認できます。例えば、ASAv10の場合 250セッションまで収容可能なため、そのうち 4セッション(※Active/Inactive含む)を利用していることを確認できます。
ASAv10(config)# show vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 250 : 250 : NONE
AnyConnect Essentials : DISABLED : 250 : 0 : NONE
Other VPN (Available by Default) : ENABLED : 250 : 250 : NONE
Shared License Server : DISABLED
Shared License Participant : DISABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
All : Peak : Eff. :
In Use : In Use : Limit : Usage
---------------------------------
AnyConnect Premium : : 4 : 4 : 250 : 2%
Anyconnect Client : : 4 : 4 : 250 : 2%
Clientless VPN : : 0 : 2 : 250 : 0%
Other VPN : : 0 : 0 : 250 : 0%
L2TP Clients
---------------------------------------------------------------------------
SNMPポーリングでのVPN接続数の確認方法
SNMPを利用した監視の場合、簡単な情報の取得しか対応しておりませんが、以下のオブジェクト名とOIDで、最大のVPN接続可能数と、現在のセッション数を確認できます。MIBは CISCO-REMOTE-ACCESS-MONITOR-MIB です。
| OID |
オブジェクト名 |
説明 |
| 1.3.6.1.4.1.9.9.392.1.1.1 |
crasMaxSessionsSupportable |
サポート可能な最大セッション数 |
| 1.3.6.1.4.1.9.9.392.1.3.1 |
crasNumSessions |
セッション数 |
以下は Activeセッション2つ Inactiveセッション1つの合計3セッション時のコマンドライン確認例と、SNMPポーリング確認結果例です。
ASAv10(config)# show vpn-sessiondb summary
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 2 : 35 : 4 : 1
SSL/TLS/DTLS : 2 : 35 : 4 : 1
Clientless VPN : 0 : 2 : 2
Browser : 0 : 2 : 2
---------------------------------------------------------------------------
Total Active and Inactive : 3 Total Cumulative : 37
Device Total VPN Capacity : 250
Device Load : 1%
---------------------------------------------------------------------------
cisco@ubuntu:~$ snmpwalk -v 2c -c cisco 1.150.0.169 1.3.6.1.4.1.9.9.392.1.1.1
iso.3.6.1.4.1.9.9.392.1.1.1.0 = INTEGER: 250
cisco@ubuntu:~$
cisco@ubuntu:~$ snmpwalk -v 2c -c cisco 1.150.0.169 1.3.6.1.4.1.9.9.392.1.3.1
iso.3.6.1.4.1.9.9.392.1.3.1.0 = Gauge32: 3
cisco@ubuntu:~$
以下は Activeセッション4つの合計4セッション時の コマンドライン確認例と、SNMPポーリング確認結果例です。
ASAv10(config)# show vpn-sessiondb summary
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
Active : Cumulative : Peak Concur : Inactive
----------------------------------------------
AnyConnect Client : 4 : 37 : 4 : 0
SSL/TLS/DTLS : 4 : 37 : 4 : 0
Clientless VPN : 0 : 2 : 2
Browser : 0 : 2 : 2
---------------------------------------------------------------------------
Total Active and Inactive : 4 Total Cumulative : 39
Device Total VPN Capacity : 250
Device Load : 2%
---------------------------------------------------------------------------
cisco@ubuntu:~$ snmpwalk -v 2c -c cisco 1.150.0.169 1.3.6.1.4.1.9.9.392.1.1.1
iso.3.6.1.4.1.9.9.392.1.1.1.0 = INTEGER: 250
cisco@ubuntu:~$
cisco@ubuntu:~$ snmpwalk -v 2c -c cisco 1.150.0.169 1.3.6.1.4.1.9.9.392.1.3.1
iso.3.6.1.4.1.9.9.392.1.3.1.0 = Gauge32: 4
cisco@ubuntu:~$
トンネルグループごとのVPN接続数の確認方法
複数のトンネルグループを利用時、"show vpn-sessiondb anyconnect | count : [Tunnel-Group-Name]"コマンドで 指定トンネルグループの接続セッション数の確認をできます。以下は、Tunnel Group 「AnyConnect-01」の利用状況の確認例となり、4セッションあることが確認できます。なお、"count"オプションの利用は、ASAバージョン 9.9以降が必要です。
ASAv10(config)# show vpn-sessiondb anyconnect | count : AnyConnect-01
Number of lines which match regexp = 4
AnyConectで接続するユーザ名と利用するトンネルグループを出力したい場合は、"show vpn-sessiondb anyconnect | in Username|Tunnel Group"コマンドでの確認が便利です。以下はその実行例となり、全ユーザが Tunnel Group 「AnyConnect-01」に接続していることがわかります。
ASAv10(config)# show vpn-sessiondb anyconnect | in Username|Tunnel Group
Username : cisco Index : 42
Tunnel Group : AnyConnect-01
Username : satsuki Index : 46
Tunnel Group : AnyConnect-01
Username : nakamura Index : 47
Tunnel Group : AnyConnect-01
Username : cisco Index : 55
Tunnel Group : AnyConnect-01
