キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

リモート アクセス SSL VPN(Cisco AnyConnect)を設定する

21682
閲覧回数
5
いいね!
0
コメント

リモート アクセス SSL VPN を使用すると、自宅や外出先からインターネット経由で社内ネットワークに接続し、たとえば在宅勤務中でも、会社の共有フォルダにある資料をダウンロードできます。通信は暗号化されるため(SSL)、情報漏洩の心配はありません。
Cisco 841M J シリーズでは、シスコの VPN クライアント製品 Cisco AnyConnect でリモート アクセス SSL VPN をサポートします。

【注意】
Cisco AnyConnect を導入するためには、サブスクリプション ライセンスの契約が必要です。

Cisco AnyConnect によるリモート アクセス SSL VPN では、ビルトインのリモート アクセス IPsec VPN とは異なり、クライアント(PC やスマートフォンなど)で特別な事前設定が必要ありません。ルータを適切に設定することで、クライアントからルータへの初回アクセス時に、ブラウザ経由で簡単にクライアント ソフトウェア(Cisco AnyConnect セキュア モビリティ クライアント)をインストールできます(WebLaunch)。
ここでは、Cisco 841M J シリーズへの Cisco AnyConnect 設定例について紹介します。この設定例で想定しているシナリオは次のとおりです。


【注意】
前提条件として、Cisco 841M J シリーズを Cisco AnyConnect の SSL VPN ゲートウェイとして動作させるためには、EKU 属性をもつサーバ証明書が必要になります。自社で運用している CA(認証局)または公的 CA からサーバ証明書を取得している場合は、そのサーバ証明書をルータにインポートしてトラストポイントを設定してください。いずれでもない場合は、「サーバ証明書を作成する」を参考に、ルータのローカル CA 機能を利用してサーバ証明書を作成およびトラストポイントを設定してください。

ルータの設定

ステップ①:CLI にアクセスしてログイン、グローバル コンフィギュレーション モードに移行

Router#configure terminal

ステップ②:クライアントの認証方式を設定

Router(config)#aaa new-model
Router(config)#aaa authentication login AL_ANYCON local
Router(config)#username actest1 password cisco123

【メモ】
この設定例では、Cisco AnyConnect のクライアント認証方式として、ローカル認証を設定しています。

ステップ③:クライアントに割り当てる IP アドレス プールを設定

Router(config)#ip local pool AP_ANYCON 192.168.0.200 192.168.0.210

【メモ】
この設定例では、192.168.0.200 ~ 192.168.0.210 で 11 の同時アクセス数を確保しています。

ステップ④:Cisco AnyConnect セキュア モビリティ クライアントのパッケージ ファイルをルータにアップロード

Router(config)#crypto vpn anyconnect flash:/anyconnect-win-4.4.03034-webdeploy-k9.pkg sequence 1
SSLVPN Package SSL-VPN-Client (seq:1): installed successfully

【メモ】
この設定例では、Windows クライアントで WebLaunch をサポートするためのパッケージ ファイルをルータにアップロードしています。各種パッケージ ファイルはここからダウンロードできます。

ステップ⑤:WebVPN ゲートウェイを設定

Router(config)#webvpn gateway WG_ANYCON
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 0 seconds)

Router(config-webvpn-gateway)#ip address 1.178.100.128 port 443
Router(config-webvpn-gateway)#ssl trustpoint TP_SERVER_CERT
Router(config-webvpn-gateway)#inservice

【メモ】
この設定例では、ssl trustpoint コマンドで「サーバ証明書を作成する」で設定したトラストポイントを指定しています。

ステップ⑥:WebVPN コンテキストを設定

Router(config-webvpn-gateway)#webvpn context WC_ANYCON
Router(config-webvpn-context)#aaa authentication list AL_ANYCON
Router(config-webvpn-context)#gateway WG_ANYCON
Router(config-webvpn-context)#ssl authenticate verify all
Router(config-webvpn-context)#inservice
Router(config-webvpn-context)#policy group PG_ANYCON
Router(config-webvpn-group)#functions svc-enabled
Router(config-webvpn-group)#svc keep-client-installed
Router(config-webvpn-group)#svc dpd-interval gateway 30
Router(config-webvpn-group)#svc keepalive 300
Router(config-webvpn-group)#svc address-pool "AP_ANYCON" netmask 255.255.255.0
Router(config-webvpn-group)#svc split include 192.168.0.0 255.255.255.0

【メモ】
この設定例では、クライアントに割り当てる IP アドレス プールをステップ③で設定した AP_ANYCON(192.168.0.200 ~ 192.168.0.210)としています。また、svc split include コマンドで、クライアントから特定の宛先(192.168.0.0/24)への通信のみを VPN 通信の対象とするスプリット トンネルを設定しています。

Router(config-webvpn-group)#svc default-domain "company.com"
Router(config-webvpn-group)#svc dns-server primary 192.168.0.10
Router(config-webvpn-group)#svc dns-server secondary 192.168.0.11
Router(config-webvpn-group)#svc wins-server primary 192.168.0.10
Router(config-webvpn-group)#svc wins-server secondary 192.168.0.11

【メモ】
Cisco AnyConnect セキュア モビリティ クライアントの仮想アダプタに割り当てられるパラメータを指定しています。実際の環境に合わせて変更してください。

Router(config-webvpn-group)#default-group-policy PG_ANYCON

【メモ】
デフォルトのグループ ポリシーを設定しています。

ルータの設定が完了しました。続けて、Cisco AnyConnect の WebLaunch 機能を紹介します。

WebLaunch の紹介

Cisco AnyConnect がサポートする WebLaunch によって、あらかじめ Cisco AnyConnect セキュア モビリティ クライアントがインストールされていなくても、クライアントからルータへの初回接続時に、ブラウザ経由で簡単に Cisco AnyConnect セキュア モビリティ クライアントをインストールできます。

ステップ①:クライアントのブラウザから HTTPS でルータに接続

【メモ】
この設定例では、ブラウザのアドレス バーに https://1.178.100.128 を入力します。

ステップ②ルータの設定ステップ①で設定した[Username]を入力
ステップ③ルータの設定ステップ①で設定した[Password]を入力
ステップ④:[Login]をクリック


ステップ⑤:[Application Access]パネルの[Tunnel Connection (AnyConnect)]にある[Start]ボタンをクリック


ステップ⑥:自動的にインストールが開始/完了されて VPN に接続されるまで待機


ステップ⑦:[Connect Anyway]をクリック


【メモ】
信頼されない証明書の警告が表示されますが、[Connect Anyway]をクリックして続行します。ここで、たとえば Internet Explorer の場合、[Always trust this VPN server and import the certificate]にチェックしてから[Connect Anyway]をクリックすることで、サーバ証明書がクライアントに保存されて、次回接続から警告が表示されなくなります。

ステップ⑧ルータの設定ステップ①で設定した[Username]を入力
ステップ⑨ルータの設定ステップ①で設定した[Password]を入力
ステップ⑩:[OK]をクリック


VPN の接続が完了しました。次回の接続からは、クラインアントにインストールされた Cisco AnyConnect セキュア モビリティ クライアントから直接 VPN に接続できるようになります。

作成
推薦したいメンバーがいます
Content for Community-Ad