- このマニュアルについて
- サイトツーサイトおよび VPN クライアント
- IPsec および ISAKMP
- L2TP over IPsec
- 全般 VPN パラメータ
- 接続プロファイル、グループ ポリシー、およびユーザ
- VPN の IP アドレス
- リモート アクセス IPSec VPN
- ネットワーク アドミッション コントロール
- ASA 5505 上での Easy VPN サービス
- PPPoE クライアント
- LAN-to-LAN IPsec VPN
- AnyConnect VPN Client 接続
- AnyConnect ホスト スキャン
- 認可および認証用の外部サーバ
- クライアントレス SSL VPN
- クライアントレス SSL VPN の概要
- 基本的なクライアントレス SSL VPN のコンフィギュレーション
- 高度なクライアントレス SSL VPN のコンフィギュレーション
- ポリシー グループ
- クライアントレス SSL VPN リモート ユーザ
- クライアントレス SSL VPN ユーザ
- モバイル デバイスでのクライアントレス SSL VPN
- クライアントレス SSL VPN のカスタマイズ
- クライアントレス SSL VPN のトラブルシューティング
- クライアントレス SSL VPN ライセンス
Cisco ASA シリーズ VPN CLI コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: ASA 5505 上での Easy VPN サービス
ASA 5505 上での Easy VPN サービス
この章では、Easy VPN ハードウェア クライアントとして ASA 5505 を設定する方法について説明します。ここでは、 ASA 5505 のスイッチ ポートと VLAN インターフェイスを設定していることを前提としています(一般的な操作のコンフィギュレーション ガイドの「Starting Interface Configuration」を参照してください)。
(注) Easy VPN ハードウェア クライアントのコンフィギュレーションでは、プライマリとセカンダリ(バックアップ)の Easy VPN サーバの IP アドレスを指定します。ヘッドエンドとして設定した別の ASA 5505、VPN 3000 シリーズ コンセントレータ、IOS ベースのルータ、またはファイアウォールなどの任意の ASA は、Easy VPN サーバとして動作することができます。ただし ASA 5505 は、同時にクライアントとサーバの両方として機能できません。ASA 5505 をサーバとして設定するには、「Cisco ASA 5505 のクライアント/サーバの役割の指定」を参照してください。次に、 一般的な操作のコンフィギュレーション ガイド の「Getting Started」に記載されている他の ASA と同様に ASA 5505 を設定します。
•
「Cisco ASA 5505 のクライアント/サーバの役割の指定」
• 「モードの指定」
Cisco ASA 5505 のクライアント/サーバの役割の指定
Cisco ASA 5505 は、Cisco Easy VPN ハードウェア クライアント(「Easy VPN Remote」とも呼ばれる)またはサーバ(「ヘッドエンド」とも呼ばれる)として機能しますが、同時に両方を機能させることはできません。デフォルトの役割はありません。グローバル コンフィギュレーション モードで次のコマンドのいずれかを使用して、役割を指定します。
• vpnclient enable:ASA 5505 の役割を Easy VPN Remote として指定します。
• no vpnclient enable :ASA 5505 の役割をサーバとして指定します。
次の例では、ASA 5505 を Easy VPN ハードウェア クライアントとして指定する方法について示します。
hostname(config)# vpnclient enable
hostname(config)#
サーバからハードウェア クライアントに切り替える場合、該当の要素がコンフィギュレーションに存在するかどうかによって、特定のデータ要素を削除する必要があることを示すエラー メッセージが CLI に表示されます。 表 8-1 に、クライアントおよびサーバの両方のコンフィギュレーションで許可されていて、クライアント コンフィギュレーションで許可されていないデータ要素を示します。
|
|
|
|---|---|
Easy VPN ハードウェア クライアントとして設定された ASA 5505 は、コンフィギュレーション内の最初のカラムにリストされたコマンドを保持します。ただし、クライアントの役割が機能しないものもあります。
次の例では、ASA 5505 を Easy VPN サーバとして指定する方法を示します。
hostname(config)# no vpnclient enable
hostname(config)#
このコマンドの no 形式を入力したら、一般的な操作のコンフィギュレーション ガイド の「Getting Started」に記載されている別の ASA と同様に ASA 5505 を設定します。
プライマリおよびセカンダリ サーバの指定
Easy VPN ハードウェア クライアントとの接続を確立する前に、接続先の Easy VPN サーバの IP アドレスを指定する必要があります。ヘッドエンドとして設定した別の ASA 5505、VPN 3000 シリーズ コンセントレータ、IOS ベースのルータ、またはファイアウォールなどの任意の ASA は、Easy VPN サーバとして動作することができます。
ASA 5505 のクライアントは、ヘッドエンド プライマリ VPN サーバへのトンネルを設定するように常に試みます。プライマリ サーバへのトンネルを設定できない場合は、secondary_1 VPN サーバへの接続を試行し、その後は VPN サーバのリストの上から順に 8 秒間隔で接続を試行します。secondary_1 サーバへの設定済みトンネルに障害が発生すると、この間にプライマリがオンラインになり、ASA は secondary_2 VPN サーバへのトンネルを設定します。
次のように、グローバル コンフィギュレーション モードで vpnclient server コマンドを使用します。
[ no ] vpnclient server ip_primary [ ip_secondary_1 ... ip_secondary_10 ]
no を使用すると、実行コンフィギュレーションからこのコマンドが削除されます。
ip_primary_address は、プライマリ Easy VPN サーバの IP アドレスまたは DNS 名です。
ip_secondary_address_n (任意)は、最大 10 のバックアップ Easy VPN サーバの IP アドレスまたは DNS 名のリストです。スペースを使用して、リスト内の項目を区切ります。
たとえば、次のコマンドを入力して VPN クライアントを設定し、Easy VPN サーバ 10.10.10.15 をプライマリ サーバ、10.10.10.30 および 192.168.10.45 を代替サーバとしてそれぞれ使用します。
hostname(config)# vpnclient server 10.10.10.15 10.10.10.30 192.168.10.10
hostname(config)#
モードの指定
Easy VPN クライアントは、クライアント モードまたはネットワーク拡張モード(NEM)のいずれかの操作モードをサポートします。操作モードによって、Easy VPN クライアントに関連する内部ホストがトンネルを経由して企業ネットワークからアクセスできるかどうかが決まります。Easy VPN クライアントにはデフォルト モードがないため、接続前に動作モードを指定する必要があります。
クライアント モードは、ポート アドレス変換(PAT)モードとも呼ばれ、Easy VPN クライアント プライベート ネットワーク上のすべてのデバイスの IP アドレスを企業ネットワークの IP アドレスから分離します。Easy VPN クライアントは、内部ホストのすべての VPN トラフィックに対して PAT を実行します。Easy VPN クライアント内部インターフェイスまたは内部ホストで、IP アドレスの管理は必要ではありません。
NEM は、内部インターフェイスとすべての内部ホストに対して、トンネルを介して企業ネットワークをルーティングできるようにします。内部ネットワークのホストは、スタティック IP アドレスで事前設定されたアクセス可能なサブネット(スタティックまたは DHCP を介して)から IP アドレスを取得します。NEM では、PAT は VPN トラフィックに適用されません。このモードでは、各クライアントに VPN を設定する必要がありません。NEM モード用に設定された Cisco ASA 5505 では、自動トンネル起動をサポートしています。コンフィギュレーションには、グループ名、ユーザ名、およびパスワードを保存する必要があります。セキュア ユニット認証がイネーブルの場合は、トンネルの自動開始がディセーブルになります。
(注) Easy VPN ハードウェア クライアントが NEM を使用し、セカンダリ サーバに接続している場合は、各ヘッドエンド デバイスで crypto map set reverse-route コマンドを使用して、逆ルート注入(RRI)によるリモート ネットワークのダイナミック通知を設定します。
Easy VPN クライアントのモードを指定するには、コンフィギュレーション モードで次のコマンドを入力します。
[ no ] vpnclient mode { client-mode | network-extension-mode }
no を使用すると、実行コンフィギュレーションからこのコマンドが削除されます。
複数のインターフェイスでの NEM
ASA 5505 セキュリティ アプライアンス(バージョン 7.2(3) 以降)を、複数のインターフェイスが設定されているネットワーク拡張モードで Easy VPN クライアントとして設定した場合、セキュリティ アプライアンスは、セキュリティ レベルが最高のインターフェイスからだけ、ローカルに暗号化されたトラフィック用のトンネルを作成します。
たとえば、次のようなコンフィギュレーションがあるものとします。
このシナリオでは、セキュリティ アプライアンスはセキュリティ レベルが最高のインターフェイスである vlan1 に対してだけトンネルを作成します。vlan12 からのトラフィックを暗号化するには、インターフェイス vlan1 のセキュリティ レベルを、vlan12 より低い値に変更する必要があります。
自動 Xauth 認証の設定
Easy VPN ハードウェア クライアントとして設定された ASA 5505 は、次の条件がすべて真である場合、Easy VPN サーバへの接続を自動的に認証します。
• サーバ上で、セキュア ユニット認証がディセーブルになっている。
• サーバが IKE 拡張認証(Xauth)クレデンシャルを要求する。
Xauth には、TACACS+ または RADIUS を使用して IKE 内のユーザを認証する機能があります。Xauth は、RADIUS または別のサポートされているユーザ認証プロトコルを使用して、ユーザを認証します(この場合、Easy VPN ハードウェア クライアント)。
• クライアント コンフィギュレーションには、Xauth ユーザ名とパスワードが含まれる。
グローバル コンフィギュレーション モードで次のコマンドを入力して Xauth ユーザ名とパスワードを設定します。
vpnclient username xauth_username password xauth password
たとえば、次のコマンドを使用して Easy VPN ハードウェア クライアントを設定し、XAUTH ユーザ名として testuser、パスワードとして ppurkm1 を使用します。
hostname(config)# vpnclient username testuser password ppurkm1
hostname(config)#
実行コンフィギュレーションからユーザ名とパスワードを削除するには、次のコマンドを入力します。
hostname(config)# no vpnclient username
hostname(config)#
IPsec Over TCP の設定
デフォルトでは、Easy VPN ハードウェア クライアントとサーバは IPSec をユーザ データグラム プロトコル(UDP)パケット内でカプセル化します。一部の環境(特定のファイアウォール ルールが設定されている環境など)または NAT デバイスや PAT デバイスでは、UDP を使用できません。そのような環境で標準のカプセル化セキュリティ プロトコル(ESP、プロトコル 50)またはインターネット キー交換(IKE、UDP 500)を使用するには、TCP パケット内に IPSec をカプセル化してセキュアなトンネリングをイネーブルにするようにクライアントとサーバを設定します。ただし、UDP が許可されている環境では、IPSec over TCP を設定すると不要なオーバーヘッドが発生します。
Easy VPN ハードウェア クライアントが TCP カプセル化 IPSec を使用するように設定するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。
vpnclient ipsec-over-tcp [ port tcp_port ]
Easy VPN ハードウェア クライアントは、コマンドがポート番号を指定しない場合、ポート 10000 を使用します。
TCP カプセル化 IPSec を使用するように ASA 5505 を設定する場合は、次のコマンドを入力して、outside インターフェイスを介して大きなパケットを送信できるようにします。
このコマンドは、Don't Fragment(DF)ビットをカプセル化されたヘッダーからクリアします。DF ビットは、パケットを断片化できるかどうかを決定する IP ヘッダー内のビットです。このコマンドを使用すると、Easy VPN ハードウェア クライアントは MTU サイズよりも大きいパケットを送信できます。
次に、デフォルト ポート 10000 を使用して TCP カプセル化 IPSec を使用するように Easy VPN ハードウェア クライアントを設定し、outside インターフェイスを介して大きなパケットを送信できるようにする例を示します。
hostname(config)# vpnclient ipsec-over-tcp
hostname(config)#
次に、ポート 10501 を使用して TCP カプセル化 IPSec を使用するように Easy VPN ハードウェア クライアントを設定し、outside インターフェイスを介して大きなパケットを送信できるようにする例を示します。
hostname(config)# vpnclient ipsec-over-tcp port 10501
hostname(config)#
この属性を実行コンフィギュレーションから削除するには、次のように、このコマンドの no 形式を使用します。
hostname(config)# no vpnclient ipsec-over-tcp
hostname(config)#
トンネリング オプションの比較
Easy VPN ハードウェア クライアントとして設定された Cisco ASA 5505 が設定するトンネル タイプは、次の要素の組み合わせによって異なります。
• ヘッドエンド上で split-tunnel-network-list コマンドと split-tunnel-policy コマンドを使用して、スプリット トンネリングを許可、制限、または禁止します (「スプリット トンネリング用のネットワーク リストの指定」および 「スプリット トンネリング ポリシーの設定」をそれぞれ参照してください)。
スプリット トンネリングは、リモートアクセス クライアントがセキュアな VPN トンネルを経由して暗号化して送信するネットワークを判別します。また、そのままインターネットに送信するトラフィックも判別します。
• vpnclient management コマンドを使用して、次の自動トンネル起動オプションのいずれかを指定します。
– tunnel は、特定のホストまたは企業側のネットワークによるクライアント側への管理アクセスを制限し、IPSec を使用して、すでに存在している HTTPS または SSH 暗号化を介して暗号化レイヤを管理セッションに追加します。
– clear は、管理セッションが使用する HTTPS または SSH 暗号化を使用して管理アクセスを許可します。
• vpnclient mode コマンドを使用して、次の操作モードのいずれかを指定します。
– client は、ポート アドレス変換(PAT)モードを使用して、クライアントに関連する内部ホストのアドレスを企業ネットワークから分離します。
– network-extension-mode は、このようなアドレスを企業ネットワークからアクセス可能にします。
図 8-1 に、ユーザが入力したコマンドの組み合わせに基づいて Easy VPN クライアントが起動するトンネルのタイプを示します。
図 8-1 Cisco ASA 5505 用の Easy VPN ハードウェア クライアント トンネリング オプション
「All-Or-Nothing」という用語は、スプリット トンネリングの ACL の有無を意味します。ACL(「ST list」)は、トンネリングを必要とするネットワークと必要としないネットワークを識別します。
トンネル グループまたはトラストポイントの指定
Cisco ASA 5505 を Easy VPN ハードウェア クライアントとして設定する場合、Easy VPN サーバのコンフィギュレーションに応じて、Easy VPN サーバ上に設定されるトンネル グループまたはトラストポイントを指定することができます。次の項で、使用するオプションを確認してください。
トンネル グループの指定
グローバル コンフィギュレーション モードで次のコマンドを入力し、Easy VPN クライアントがサーバに接続するための VPN トンネル グループの名前とパスワードを指定します。
vpnclient vpngroup group_name password preshared_key
group_name は、Easy VPN サーバ上に設定された VPN トンネル グループの名前です。接続を確立する前に、このトンネル グループをサーバ上に設定する必要があります。
preshared_key は、Easy VPN サーバ上の認証に使用される IKE 事前共有キーです。
たとえば、次のコマンドを入力して、TestGroup1 と呼ばれる VPN トンネル グループと IKE 事前共有キー my_key123 を指定します。
hostname(config)# vpnclient vpngroup TestGroup1 password my_key123
hostname(config)#
実行コンフィギュレーションからこの属性を削除するには、次のコマンドを入力します。
Easy VPN クライアントとして動作している ASA 5505 のコンフィギュレーションでトンネル グループが指定されていない場合、クライアントは RSA 証明書を使用しようとします。
hostname(config)# no vpnclient vpngroup
hostname(config)#
トラストポイントの指定
トラストポイントは、CA が発行する証明書に基づいた CA のアイデンティティとデバイスのアイデンティティを表します。これらのパラメータはASAが CA から証明書を取得する方法を指定し、CA が発行するユーザ証明書の認証ポリシーを定義します。
crypto ca trustpoint コマンドを使用してトラストポイントを最初に定義します。次に、グローバル コンフィギュレーション モードで次のコマンドを入力して、認証に使用する RSA 証明書を識別するトラストポイントを指定します。
vpnclient trustpoint trustpoint_name [ chain ]
trustpoint_name は、認証に使用する RSA 証明書を識別するトラストポイントを指定します。
たとえば、次のコマンドを入力して central という名前の証明書を指定し、証明書チェーン全体を送信します。
hostname(config)# vpnclient trustpoint central chain
hostname(config)#
実行コンフィギュレーションからこの属性を削除するには、次のコマンドを入力します。
hostname(config)# no vpnclient trustpoint
hostname(config)#
スプリット トンネリングの設定
スプリット トンネリングを使用すると、リモート アクセス IPSec クライアントは、条件に応じて、パケットを暗号化された形式で IPSec トンネルを介して誘導したり、クリア テキスト形式でネットワーク インターフェイスに誘導したりすることができます。
Easy VPN サーバは、グループ ポリシーからスプリット トンネリング属性を、ワーク ゾーンだけで使用するために Easy VPN クライアントに配信します。Cisco ASA 5505 にスプリット トンネリングを設定するには、「AnyConnect トラフィックに対するスプリット トンネリングの設定」を参照してください。
グローバル コンフィギュレーション モードで次のコマンドを入力して、NEM とスプリット トンネリングの設定時に IPSec トンネルの自動起動をイネーブルにします。
[ no ] vpnclient nem-st-autoconnect
no を使用すると、実行コンフィギュレーションからこのコマンドが削除されます。
hostname(config)# vpnclient nem-st-autoconnect
hostname(config)#
デバイス パススルーの設定
Cisco IP Phone、無線アクセス ポイント、およびプリンタなどのデバイスは認証を実行できません。個々のユーザの認証がイネーブルになっている場合、グローバル コンフィギュレーション モードで次のコマンドを入力し、このようなデバイスの認証を免除してネットワーク アクセスを可能にします。
[ no ] vpnclient mac-exempt mac_addr_1 mac_mask_1 [ mac_addr_2 mac_mask_2...mac_addr_n mac_mask_n ]
no を使用すると、実行コンフィギュレーションからこのコマンドが削除されます。
mac_addr は、個々のユーザ認証をバイパスするデバイスのドット付き 16 進数表記の MAC アドレスです。
mac_mask は、対応する MAC アドレスのネットワーク マスクです。MAC マスク ffff.ff00.0000 は、同一の製造業者が製造したすべてのデバイスに対応します。MAC マスク ffff.ffff.ffff は 1 つのデバイスに対応します。
(注) mac-exempt リストで 15 を超えることはできません。
MAC マスク ffff.ff00.0000 を使用して同一の製造業者が製造したすべてのデバイスを指定する場合、特定の MAC アドレスの最初の 6 文字だけが必要です。たとえば、Cisco IP Phone に製造業者 ID 00036b が設定されている場合、次のコマンドでは、将来的に追加される可能性があるものも含め、すべての Cisco IP Phone が免除されます。
hostname(config)# vpnclient mac-exempt 0003.6b00.0000 ffff.ff00.0000
hostname(config)#
次に、1 つの特定の Cisco IP Phone を免除する例を示します。このようにすると、セキュリティは向上しますが、柔軟性が低くなります。
hostname(config)# vpnclient mac-exempt 0003.6b54.b213 ffff.ffff.ffff
hostname(config)#
(注) ヘッドエンド デバイス上で設定された個別ユーザ認証およびユーザ バイパスがあることを確認します。たとえば、ヘッドエンド デバイスとして ASA がある場合は、グループ ポリシーに従って次のように設定します。
hostname(config-group-policy)#user-authentication enable
hostname(config-group-policy)#ip-phone-bypass enable
リモート管理の設定
Easy VPN ハードウェア クライアントとして動作する Cisco ASA 5505 は、レイヤ 2 の暗号化の有無にかかわらず、SSH または HTTPS を使用して管理アクセスをサポートします。SSH または HTTPS 暗号化で IPSec 暗号化を要求するように Cisco ASA 5505 を設定できます。
グローバル コンフィギュレーション モードで vpnclient management clear コマンドを使用して、通常のルーティングにより企業ネットワークから ASA 5505 の外部インターフェイスに管理アクセスを提供します(トンネリング管理パケットなし)。
IPSec トンネルの作成を自動化して、企業ネットワークから ASA 5505 の outside インターフェイスに管理アクセスを提供する場合、グローバル コンフィギュレーション モードで vpnclient management tunnel コマンドを使用します。Easy VPN ハードウェア クライアントとサーバは、 vpnclient server コマンドの実行後にトンネルを自動的に作成します。vpnclient management tunnel コマンドの構文は次のとおりです。
vpnclient management tunnel ip_addr_1 ip_mask_1 [ip_addr_2 ip_mask_2...ip_addr_n ip_mask_n]
(注) コンフィギュレーションにかかわらず、DHCP 要求(更新メッセージを含む)は IPSec トンネル上を流れません。vpnclient management tunnel を使用しても、DHCP トラフィックは許可されません。
たとえば、次のコマンドを入力して IPSec トンネルの作成を自動化し、IP アドレス 192.168.10.10 のホストに管理アクセスを提供します。
hostname(config)# vpnclient management tunnel 192.198.10.10 255.255.255.0
hostname(config)#
このコマンドの no 形式は、 split-tunnel-policy コマンドと split-tunnel-network-list コマンドに従って管理トンネル用の IPSec を設定します。
hostname(config)# no vpnclient management
hostname(config)#
Easy VPN サーバの設定用ガイドライン
次の項では、Easy VPN サーバに適用される Easy VPN ハードウェア クライアントに関する注意事項を説明します。
• 認証のオプション
クライアントに配信されるグループ ポリシーとユーザ属性
トンネルの確立後、Easy VPN サーバは、そのコンフィギュレーションに保存されているグループ ポリシーまたはユーザ属性の値を Easy VPN ハードウェア クライアントに配信します。したがって、Easy VPN ハードウェア クライアントに配信された特定の属性を変更するには、プライマリおよびセカンダリ Easy VPN サーバとして設定されているASA上で、それらの属性を変更する必要があります。この項では、Easy VPN ハードウェア クライアントに配信されたグループ ポリシーとユーザ属性について説明します。
(注) この項は参照用です。グループ ポリシーとユーザの設定手順については、「接続プロファイル、グループ ポリシー、およびユーザ」を参照してください。
表 8-2 は、グループ ポリシーまたはユーザ属性を変更するためのコマンドを指定するガイドとして使用してください。
(注) IPSec NAT-T 接続は、Cisco ASA 5505 のホーム VLAN 上でサポートされる唯一の IPSec 接続タイプです。IPSec over TCP およびネイティブ IPSec 接続はサポートされていません。
認証のオプション
ASA 5505 は、Easy VPN サーバ上に格納されたグループ ポリシーから取得する次の認証メカニズムをサポートします。次のリストは、Easy VPN ハードウェア クライアントでサポートされる認証オプションを示します。ただし、それらのオプションは Easy VPN サーバ上で設定する必要があります。
• セキュア ユニット認証(SUA、対話型ユニット認証とも呼ばれる)
vpnclient username Xauth コマンド(「自動 Xauth 認証の設定」を参照)を無視し、ユーザにパスワードを入力して ASA 5505 を認証するように要求します。デフォルトでは、SUA はディセーブルになっています。グループ ポリシー コンフィギュレーション モードで secure-unit-authentication enable コマンドを使用して、SUA をイネーブルにすることができます。「セキュア ユニット認証の設定」を参照してください。
ASA 5505 の背後のユーザに対して、企業 VPN ネットワークにアクセスする前に認証を要求します。デフォルトでは、IUA はディセーブルになっています。グループ ポリシー コンフィギュレーション モードで user-authentication enable コマンドを使用して、IUA をイネーブルにすることができます。「ユーザ認証の設定」を参照してください。
セキュリティ アプライアンスは NAT デバイスの背後から正常に動作していて、また、ASA 5505 が NAT モードに設定されている場合、(すべての PAT のクライアントに)プロビジョニングされた IP は中央サイトのデバイス上のルーティング テーブルに注入されます。
user-authentication-idle-timeout コマンドを使用して、Easy VPN サーバがクライアントのアクセスを終了するまでのアイドル タイムアウト時間を設定したり、削除したりします。「アイドル タイムアウトの設定」を参照してください。
Cisco Easy VPN サーバは HTTP トラフィックを代行受信し、次のいずれかが真の場合、ユーザをログイン ページにリダイレクトします。
– SUA またはユーザ名とパスワードが、Easy VPN ハードウェア クライアント上で設定されていない。
HTTP リダイレクションが自動で、Easy VPN サーバ上のコンフィギュレーションが必要ない。
ASA 5505 は、ユーザ認証で、事前共有キー、トークンベース(SDI ワンタイム パスワードなど)、および「非ユーザ認証」をサポートしています。 (注) Cisco Easy VPN サーバでは、ユーザ認証の一環としてデジタル証明書を使用できます。手順については、「IPsec および ISAKMP」を参照してください。
フィードバック