この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
AnyConnect 機能の AutoReconnect 機能の IOS IKEv2 サポートは、Cisco AnyConnect でユーザーが操作しない、IKEv2 ネゴシエーションの再確立に役立ちます。
<BypassDownloader> 値を true に設定して、AnyConnectLocalPolicy ファイルで BypassDownloader 関数を有効にする必要があります。デバイスで SSL がサポートされていない場合、BypassDownloader 関数は動作しないため、<BypassDownloader> 値を false に設定して、この関数を無効にする必要があります。そうしないと、接続が失敗します。
設定された IKEv2 フラグメンテーションに関する情報
Cisco AnyConnect クライアントの自動再接続機能によって、Cisco AnyConnect VPN クライアントは一定の期間セッションを記憶し、セキュアなチャネルの確立後に接続を再開することができます。Cisco AnyConnect クライアントはインターネット キー エクスチェンジ バージョン 2(IKEv2)と共に幅広く使用されるため、IKEv2 では Cisco IOS ソフトウェアでの自動再接続機能のサポートを AnyConnect の自動再接続機能に対する IOS IKEv2 サポートにまで拡大しています。
Cisco AnyConnect クライアントでの自動再接続は、次のシナリオで発生します。
Dead Peer Detection(DPD:デッドピア検出)は、ピアにクエリを送信することによって送信されるピアの可用性を確認するように設定されます。ピアから応答がない場合、そのピアのために作成されたセキュリティ アソシエーションは削除されます。両方の設定シナリオで目的は同じため、DPD が FlexVPN サーバーで設定された場合に再接続プロファイルに DPD を設定する必要はありません。ただし、機能が有効な場合、DPD は IKEv2 でオン デマンド DPD としてキューイングされ、SA の削除時にプラットフォーム固有のハンドルも格納します。
Cisco AnyConnect クライアントは、セキュリティ アソシエーション(SA)を確立するために、Cisco IOS ゲートウェイに問い合わせます。認証または AUTH 交換(IKE_AUTH 要求の CFGMODE_REQ ペイロード)中、IKEv2 は、reconnect コマンドを使用して、AnyConnect 機能の自動再接続機能に対する IOS IKEv2 サポートが IKEv2 プロファイルで有効かどうかを確認します。また、選択された IKEv2 プロファイルの IKEv2 ポリシーを選択し、セッション ID とセッション トークン属性を、IKE_AUTH 応答の CFGMODE_REPLY ペイロードで Cisco AnyConnect クライアントに送信します。認証方式は、SA 用のクライアントと Cisco IOS ソフトウェア間の事前共有キーです。
IKEv2 は、Dead Peer Detection(DPD:デッドピア検出)メッセージを Cisco AnyConnect クライアントに定期的に送信して、クライアントがアクティブかどうかを確認します。Cisco AnyConnect クライアントは、Cisco IOS ゲートウェイがアクティブ クライアントとして解釈し、そのクライアントとセキュリティ アソシエーション(SA)を作成する、DPD メッセージに応答します。ただし、クライアントがデフォルトの再接続タイムアウト期間である 30 分以内に再接続されない場合、Cisco IOS ゲートウェイはそのクライアントが非アクティブであるとみなし、そのクライアントの SA を削除します。Cisco AnyConnect クライアントは、新しい接続を開始する必要があります。
show crypto ikev2 stats reconnect コマンドを使用して接続の統計情報を表示し、clear crypto ikev2 session コマンドを使用してクライアントとの SA を削除します。
IKEv2 再接続の設定方法
このタスクを実行して、AnyConnect 機能の AutoReconnect 機能の IOS IKEv2 サポートを有効にします。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
|
|
Step 2 |
configure terminal Example: |
|
|
Step 3 |
crypto ikev2 profile profile-name Example: |
|
|
Step 4 |
reconnect [ timeout seconds] Example: |
|
|
Step 5 |
end Example: |
|
AnyConnect 機能設定の AutoReconnect 機能の IOS IKEv2 サポートを確認またはクリアするには、次のコマンドを使用します。
|
ステップ 1 |
enable
例: |
|
ステップ 2 |
show crypto ikev2 stats reconnect 例: |
IKEv2 再接続の設定例
次の例は、AnyConnect 機能の AutoReconnect 機能の IOS IKEv2 サポートを有効にする方法を示します。
Device> enable
Device# configure terminal
Device(config)# crypto ikev2 profile profile1
Device(config-ikev2-profile)# reconnect timeout 600
Device(config-ikev2-profile)# end|
関連項目 |
マニュアル タイトル |
|---|---|
|
Cisco IOS コマンド |
|
|
セキュリティ コマンド |
|
|
Cisco AnyConnect VPN クライアントに関する情報 |
『Cisco AnyConnect VPN Client Administrator Guide, Release 2.4』 |
|
説明 |
リンク |
|---|---|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
AnyConnect の AutoReconnect 機能の IOS IKEv2 サポート |
AnyConnect 機能の AutoReconnect 機能の IOS IKEv2 サポートは、Cisco AnyConnect でユーザーが操作しない、IKEv2 ネゴシエーションの再確立に役立ちます。 次のコマンドが導入または変更されました。 clear crypto ikev2 stats, reconnect, show crypto ikev2 stats. |
フィードバック