こんにちは、
ASA5540+OS:9.1系+AnyConnect 3.1系を使用してエンドユーザーにSSL-VPNサービスを提供している者です。
(Clientless SSL-VPN機能は使用していません。)
今回、ASA5545X+OS:9.6系+AnyConnect 4.5系の構成でリプレースを計画しています。
(エンドユーザーへの提供サービスは、変更ありません。)
Configを作成するにあたり、気になったのがwebvpnコンフィギュレーションモードのコマンドです。
どなたか、ご回答いただけますでしょうか。
■コンフィグについて
--- コンフィグ抜粋(OS:9.6系) ---
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.5.02033-webdeploy-k9.pkg 1
anyconnect profiles [Client Profile名] disk0:/[Client Profileのxmlファイル名]
keepout "Service out temporarily."
cache
disable ←これ
error-recovery disable ←これ
-----------------------------------
コマンドcacheとerror-recoveryについて
9.5以前は、show runでは非表示、デフォルト値:cache enable, no error-recovery disable(つまりrecovery有効)
9.5以降は、show runでは表示、 デフォルト値:cache disable, error-recovery disable(つまりrecovery無効)
となっています。(show run all webvpnで、はっきり分かる。)
今まで、OS:9.1系の機器では、全く意識せずにデフォルト値を使っていました。
cacheコマンドは、コマンドリファレンスによると、キャッシングを有効にすることにより、
「WebVPNとリモートサーバおよびエンドユーザのブラウザの両方の間のトラフィックが削減されて、
多くのアプリケーションの実行効率が大幅に向上します」
とあります。一方で
「コンテンツキャッシングをイネーブルにすると、一部のシステムの信頼性が低下します。
コンテンツキャッシングをイネーブルにした後にランダムクラッシュが発生した場合は、
コンテンツキャッシングをディセーブルにします。」
ともあります。
この辺がデフォルト値変更の理由と思います。
■質問内容
1.キャッシング機能について
AnyConnectで接続したSSL-VPN通信上でのブラウザアクセスも
キャッシング機能の適用範囲である。と考えてよろしいでしょうか。
2.error-recoveryコマンドについて
error-recoveryは、下記の情報によると、webvpnを起因するASA自体のクラッシュを回避しようとする機能、クラッシュしたときのcrashinfoへの出力内容に影響がある機能のようですが、この理解で良いでしょうか。
そうすると有効化したほうが望ましいといえるでしょうか?
「 Query regarding webvpn error-recovery」
https://supportforums.cisco.com/t5/vpn/query-regarding-webvpn-error-recovery/td-p/1487515
error-recoveryコマンドはキャッシング機能と関係はありますでしょうか。
3.設定について
新規構築ではなくリプレースで、同じユーザーが使い、同等の機能・パフォーマンスを提供するという目的の場合、OS:9.6系のデフォルト値を変更して、OS:9.1系での設定値に合わせたほうが良いのでしょうか。
よろしくお願いします。
