PIX/ASA:IPsec VPNクライアント自動更新機能の設定例

ダウンロードオプション

PDF (426.8 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (180.7 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (195.6 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2008 年 4 月 10 日

Document ID:105606

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

前提条件

要件

使用するコンポーネント

表記法

CLIを使用してWindows用のクライアントアップデートを設定する方法

ASDMでWindows用のクライアントアップデートを設定する方法

確認

はじめに

このドキュメントでは、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco PIX 500シリーズセキュリティアプライアンスでCisco VPN Client自動更新機能を設定する方法について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

バージョン7.x以降が稼働するCisco ASA 5500シリーズ適応型セキュリティアプライアンス
バージョン7.x以降が稼働するCisco PIX 500シリーズセキュリティアプライアンス
Cisco Adaptive Security Device Manager(ASDM)バージョン5.x以降
Cisco VPN Client 4.x以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコテクニカルティップスの表記法』を参照してください。

CLIを使用してWindows用のクライアントアップデートを設定する方法

クライアントアップデート機能を使用すると、中央の場所にいる管理者は、VPNクライアントソフトウェアとVPN 3002ハードウェアクライアントイメージをアップデートする時点で、VPNクライアントユーザに自動的に通知されます。

クライアント更新を設定するには、tunnel-group ipsec-attributes設定モードでclient-updateコマンドを発行します。クライアントでリビジョン番号のリストに記載されているソフトウェアバージョンがすでに実行されている場合は、そのソフトウェアをアップデートする必要はありません。クライアントがリストのソフトウェアバージョンを実行していない場合は、更新する必要があります。最大4つのクライアント更新エントリを指定できます。

コマンドの構文は、次のとおりです。

client-update type type {url url-string} {rev-nums rev-nums} 
no client-update [type]

rev-nums rev-nums：このクライアントのソフトウェアまたはファームウェアイメージを指定します。最大4つまでカンマで区切って入力します。
type：クライアントのアップデートを通知するオペレーティングシステムを指定します。オペレーティングシステムのリストは、次の項目で構成されています。
- Microsoft Windows：すべてのWindowsベースのプラットフォーム
- WIN9X:Windows 95、Windows 98、およびWindows MEプラットフォーム
- WinNT:Windows NT 4.0、Windows 2000、およびWindows XPプラットフォーム
- vpn3002:VPN 3002ハードウェアクライアント
url url-string：ソフトウェア/ファームウェアイメージのURLを指定します。このURLは、クライアントに適したファイルを指している必要があります。

この例では、remotegrpという名前のリモートアクセストンネルグループのクライアント更新パラメータを設定します。これは、リビジョン番号4.6.1と、更新を取得するためのURL(https://support/updates)を指定します。

ASA
hostname(config)#tunnel-group remotegrp type ipsec_ra hostname(config)#tunnel-group remotegrp ipsec-attributes hostname(config-ipsec)#client-update type windows url https://support/updates/rev-nums 4.6.1

ASA

hostname(config)#tunnel-group remotegrp type ipsec_ra
hostname(config)#tunnel-group remotegrp ipsec-attributes
hostname(config-ipsec)#client-update type windows url 
https://support/updates/rev-nums 4.6.1

ASDMでWindows用のクライアントアップデートを設定する方法

このドキュメントは、インターフェイス設定などの基本設定がすでに行われていて適切に動作していることを前提としています。

ASAをASDMで設定できるようにするには、『ASDMでのHTTPSアクセスの許可』を参照してください

ASDMには、トンネルグループを介してWindowsクライアントとVPN 3002ハードウェアクライアントをサポートするクライアントアップデートと、自動更新サーバとして機能するASAデバイスをサポートするクライアントアップデートの2種類があります。

リモートユーザは、古いバージョンのVPNソフトウェアまたはハードウェアクライアントを使用できます。クライアントアップデートは、次の機能を実行するためにいつでも実行できます。

クライアントリビジョンの更新を有効にします。
更新を適用するクライアントのタイプとリビジョン番号を指定します。
更新を取得するURLまたはIPアドレスを指定します。
必要に応じて、WindowsクライアントユーザにVPNクライアントのバージョンを更新する必要があることを通知します。
Windowsクライアントの場合は、ユーザーが更新を実行するためのメカニズムを提供できます。
VPN 3002 Hardware Clientユーザの場合、アップデートは通知なしで自動的に行われます。

クライアントアップデートを設定するには、次の手順を実行します。

Configuration > VPN > General > Client Updateの順に選択し、クライアント更新ウィンドウに移動します。[クライアントの更新]ウィンドウが開きます。
1. Enable Client Updateチェックボックスにチェックマークを付けて、クライアントのアップデートを有効にします。
2. クライアントアップデートを適用するクライアントのタイプを選択します。使用できるクライアントタイプは、すべてのWindowsベース、Windows 95、98またはME、Windows NT 4.0、2000またはXP、およびVPN 3002 Hardware Clientです。
  
  クライアントでリビジョン番号のリストに記載されているソフトウェアバージョンがすでに実行されている場合は、そのソフトウェアをアップデートする必要はありません。クライアントがリストのソフトウェアバージョンを実行していない場合は、更新する必要があります。これらのクライアント更新エントリは3つまで指定できます。All Windows Basedを選択すると、許可されているすべてのWindowsプラットフォームが対象になります。これを選択した場合は、個々のWindowsクライアント・タイプを指定しないでください。
3. Editをクリックして、許容可能なクライアントリビジョンと、クライアントアップデート用のアップデート済みソフトウェアまたはファームウェアイメージのソースを指定します。
Edit Client Update Entryウィンドウが開き、クライアントタイプの選択が表示されます。
セキュリティアプライアンス全体で、選択したタイプのすべてのクライアントに適用するクライアント更新を指定します。つまり、クライアントのタイプ、更新されたイメージを取得するURLまたはIPアドレス、およびそのクライアントの許容されるリビジョン番号を指定します。最大4つのリビジョン番号をカンマで区切って指定できます。OKをクリックすると、入力した情報がClient Upgradeウィンドウの該当する列に表示されます。

クライアントのリビジョン番号が、指定されたリビジョン番号のいずれかに一致する場合、クライアントを更新する必要はありません。

注：すべてのWindowsクライアントで、URLのプレフィックスとしてプロトコルhttp://またはhttps://を使用する必要があります。VPN 3002ハードウェアクライアントでは、代わりにプロトコルtftp://を指定する必要があります。

4.6.1より前のリビジョンが実行されているリモートアクセストンネルグループに対するすべてのWindowsクライアントに対してクライアント更新を開始し、更新を取得するためのURLをhttps://support/updatesとして指定します。

また、すべてのWindowsクライアントではなく、個々のクライアントタイプに対してのみクライアントアップデートを設定することもできます。これは、手順1 ～ cで確認できます。

VPN 3002クライアントはユーザの介入なしでアップデートされ、ユーザは通知メッセージを受信しません。

URLの最後にアプリケーション名(https://support/updates/vpnclient.exeなど)を含めると、ブラウザが自動的にアプリケーションを起動するようにできます。
オプションで、クライアントを更新する必要がある古いWindowsクライアントを持つアクティブユーザーに通知を送信できます。この通知を送信するには、Client UpdateウィンドウのLive Client Update領域を使用します。トンネルグループ（またはAll）を選択して、Update Nowをクリックします。図に示すダイアログボックスが表示され、接続されたクライアントにアップグレードを通知するかどうかを確認するメッセージが表示されます。

指定されたユーザには、ポップアップウィンドウが表示されます。このウィンドウで、ブラウザを起動し、URLで指定したサイトから更新されたソフトウェアをダウンロードできます。このメッセージで設定できるのはURLだけです（ステップ1-bまたは1-cを参照）。アクティブでないユーザは、次回ログオン時に通知メッセージを受け取ります。この通知は、すべてのトンネルグループ上のすべてのアクティブなクライアントに送信することも、特定のトンネルグループ上のクライアントに送信することもできます。

クライアントのリビジョン番号が、指定されたリビジョン番号のいずれかに一致する場合、クライアントを更新する必要はなく、通知メッセージはユーザに送信されません。VPN 3002クライアントはユーザの介入なしでアップデートされ、ユーザは通知メッセージを受信しません。