- はじめに
- ASDM の概要
- プリファレンスの定義プリファレンスの定義およびコンフィギュレーション、診断、ファイル管理ツールの使用
- はじめる前に
- Startup Wizard の使用
- インターフェイスの設定
- マルチ モードのインターフェイスの設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイスの設定値と管理の設定
- DHCP、DNS、および WCCP サービス
- AAA サーバおよびユーザ アカウントの設定
- 管理アクセスの設定
- ハイ アベイラビリティ
- ロギングの設定
- ダイナミック ルーティングおよびスタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの概要
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- アプリケーション レイヤ プロトコル インスペクションの設定
- NAT の設定
- ARP インスペクションおよびブリッジング パラメータの設定
- 高度なファイアウォール保護の設定
- QoS の設定
- VPN
- SSL VPN Wizard
- IKE
- General
- ダイナミック アクセス ポリシーの設定
- クライアントレス SSL VPN
- クライアントレス SSL VPN のエンド ユーザ設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- IPS の設定
- Trend Micro Content Security の設定
- ロギングのモニタリング
- Trend Micro Content Security のモニタリング
- フェールオーバー動作のモニタ
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 機能のライセンスと仕様
- 許可および認証用の外部サーバの設定
Cisco ASDM ユーザ ガイド バージョン 6.0(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: VPN のモニタリング
VPN のモニタリング
VPN のモニタリング セクションには、次のパラメータと統計情報が表示されます。
•
特定のリモート アクセス、LAN 間、クライアントレス SSL VPN、および電子メール プロキシ セッションの VPN 統計情報
VPN 接続グラフ
セキュリティ アプライアンスの VPN 接続データをグラフ形式または表形式で表示します。
IPSec Tunnels
このウィンドウを使用して、表示や、エクスポートまたは印刷の準備を行う IPSec トンネル タイプのグラフとテーブルを指定します。
• [Graph Window Title]:[Show Graphs] をクリックしたときに、ウィンドウに表示されるデフォルトのタイトルを表示します。この属性は、特に印刷またはエクスポートする前にウィンドウでデータを確認するときに便利です。タイトルを変更するには、ドロップダウン リストから他のタイトルを選択するか、またはタイトルを入力します。
• [Available Graphs]:表示できるアクティブなトンネルのタイプを示します。1 つのウィンドウにまとめて表示するタイプごとに、このボックスのエントリをクリックし、[Add] をクリックします。
• [Selected Graphs]:選択したトンネルのタイプを示します。
[Show Graphs] をクリックすると、ASDM は、このボックスにリストされているアクティブなトンネル タイプを 1 つのウィンドウに表示します。
強調表示されているエントリは、[Remove] をクリックした場合にリストから削除されるトンネルのタイプを示します。
• [Add]:[Available Graphs] ボックスから [Selected Graphs] ボックスに、選択したトンネル タイプを移動します。
• [Remove]:[Selected Graphs] ボックスから [Available Graphs] ボックスに、選択したトンネル タイプを移動します。
• [Show Graphs]:[Selected Graphs] ボックスに表示されるトンネル タイプのグラフで構成されるウィンドウを表示します。表示されるウィンドウ内の各タイプには、[Graph] タブと [Table] タブがあり、アクティブなトンネル データの表示をクリックして切り替えられます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
セッション
このパネルを使用して、表示や、エクスポートまたは印刷の準備を行う VPN セッション タイプのグラフとテーブルを指定します。
• [Graph Window Title]:[Show Graphs] をクリックしたときに、ウィンドウに表示されるデフォルトのタイトルを表示します。この属性は、特に印刷またはエクスポートする前にウィンドウでデータを確認するときに便利です。タイトルを変更するには、ドロップダウン リストから他のタイトルを選択するか、またはタイトルを入力します。
• [Available Graphs]:表示できるアクティブなセッションのタイプを示します。1 つのウィンドウにまとめて表示するタイプごとに、このボックスのエントリをクリックし、[Add] をクリックします。
• [Selected Graphs]:選択したアクティブなセッションのタイプを示します。
[Show Graphs] をクリックすると、ASDM は、このボックスにリストされているアクティブなセッション タイプを 1 つのウィンドウにすべて表示します。
強調表示されているエントリは、[Remove] をクリックするとリストから削除されるセッションのタイプを示します。
• [Add]:[Available Graphs] ボックスから [Selected Graphs] ボックスに、選択したセッション タイプを移動します。
• [Remove]:[Selected Graphs] ボックスから [Available Graphs] ボックスに、選択したセッション タイプを移動します。
• [Show Graphs]:[Selected Graphs] ボックスに表示されるセッション タイプのグラフで構成されるウィンドウを表示します。表示されるウィンドウ内の各タイプには、[Graph] タブと [Table] タブがあり、アクティブなセッション データの表示をクリックして切り替えられます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
VPN 統計情報
これらのパネルには、特定のリモート アクセス、LAN-to-LAN、クライアントレス SSL VPN、または電子メール プロキシ セッションの詳細なパラメータおよび統計情報が表示されます。パラメータと統計情報は、セッション プロトコルによって異なります。また、統計情報テーブルの内容は、選択した接続のタイプによって異なります。各詳細テーブルには、それぞれのセッションの関連パラメータがすべて表示されます。
セッション
このパネルを使用して、このサーバのセッション統計情報を表示します。
• [Session types](ラベルなし):各タイプの現在アクティブなセッションの数、合計制限および合計累積セッション数を一覧表示します。
– [Remote Access]:リモート アクセス セッションの数を示します。
– [Site-to-Site]:LAN 間セッションの数を示します。
– [SSL VPN-Clientless]:ブラウザベースのクライアントレス VPN セッションの数を示します。
– [SSL VPN-With Client]:リモート コンピュータにクライアント アプリケーションが必要な SSL VPN セッションの数を示します。
– [SSL VPN-Total]:クライアントベースおよびクライアントレスの SSL VPN セッションの数を示します。
– [E-mail Proxy]:電子メール プロキシ セッションの数を示します。
– [VPN Load Balancing]:ロードバランシングが行われている VPN セッションの数を示します。
– [Total]:アクティブな同時セッションの合計数を示します。
– [Total Cumulative]:最後にセキュリティ アプライアンスをリブートまたはリセットしたときからの累積セッション数を示します。
• [Filter By]:次のテーブル内の統計情報が示すセッションのタイプを指定します。
– [Session type](ラベルなし):監視するセッション タイプを指定します。デフォルトは [Remote Access] です。
– [Session filter](ラベルなし):次のテーブル内のフィルタをオンにするカラム ヘッダーを指定します。デフォルトは、--All Sessions-- です。
– [Filter name](ラベルなし):適用するフィルタの名前を指定します。Session filter リストに --All Sessions-- を指定した場合、このフィールドは使用できません。他の Session filter を選択した場合、このフィールドをブランクにできません。
– [Filter]:フィルタリング オペレーションを実行します。
このパネルの 2 番目のテーブル(これもラベルはありません)の内容は、[Filter By] リストの選択によって異なります。次のリストで、箇条書きの第 1 レベルは [Filter By] の選択を、第 2 レベルはこのテーブルのカラム ヘッダーを示します。
• [Remote Access]:このテーブルの値がリモート トラフィックに関連することを示します。
– [Username/Tunnel Group]:セッションのユーザ名またはログイン名、およびトンネル グループを示します。クライアントが認証にデジタル証明書を使用している場合、フィールドに証明書の Subject CN または Subject OU が表示されます。
– [Assigned IP Address/Public IP Address]:このセッションのリモート クライアントに割り当てられているプライベート(「割り当てられた」)IP アドレスが表示されます。これは「内部」または「仮想」IP アドレスとも呼ばれ、クライアントはプライベート ネットワーク上のホストとして表示されます。また、このリモート アクセス セッションのクライアントのパブリック IP アドレスも表示します。パブリック IP アドレスは、「外部」IP アドレスとも呼ばれます。通常、これは ISP によってクライアントに割り当てられます。このアドレスにより、クライアントは、パブリック ネットワーク上のホストとして機能することが可能となります。
– [Protocol/Encryption]:このセッションで使用しているプロトコルとデータ暗号化アルゴリズムがある場合に表示されます。
– [Login Time/Duration]:セッションがログインした日付と時刻(MMM DD HH:MM:SS)、 およびセッションの長さを表示します。時刻の表示は 24 時間表示です。
– [Client Type/Version]:ユーザ名でソートされた接続されたクライアントのソフトウェア バージョン番号(例:rel.7.0_int 50)を示します。
– [Bytes Tx/Bytes Rx]:セキュリティ アプライアンスとリモート ピアまたはクライアントの間で送受信される合計バイト数を表示します。
– [NAC Result and Posture Token]:セキュリティ アプライアンスでネットワーク アドミッション コントロールを設定している場合にだけ、このカラムに値が表示されます。
[NAC Result] には、次の値のいずれかが表示されます。
[Accepted]:ACS は正常にリモート ホストのポスチャを検証しました。
[Rejected]:ACS はリモート ホストのポスチャの検証に失敗しました。
[Exempted]:セキュリティ アプライアンスに設定されたポスチャ検証免除リストに従って、リモート ホストはポスチャ検証を免除されました。
[Non-Responsive]:リモート ホストは EAPoUDP Hello メッセージに応答しませんでした。
[Hold-off]:ポスチャ検証に成功した後、セキュリティ アプライアンスとリモート ホストの EAPoUDP 通信が途絶えました。
[N/A]:VPN NAC グループ ポリシーに従い、リモート ホストの NAC はディセーブルにされています。
ポスチャ トークンは、Access Control Server で設定可能な情報文字列です。ACS は情報提供のためにセキュリティ アプライアンスにポスチャ トークンをダウンロードし、システム モニタリング、レポート、デバッグ、およびロギングを支援します。[NAC Result] フィールドに続く [Posture Token] フィールドの一般的な値は、[Healthy]、[Checkup]、[Quarantine]、[Infected] または [Unknown] です。
• [Site-toSite]:このテーブルの値が LAN-to-LAN トラフィックに関連することを示します。
– [Tunnel Group/IP Address]:トンネル グループの名前とピアの IP アドレスを示します。
– [Protocol/Encryption]:このセッションで使用しているプロトコルとデータ暗号化アルゴリズムがある場合に表示されます。
– [Login Time/Duration]:セッションがログインした日付と時刻(MMM DD HH:MM:SS)、 およびセッションの長さを表示します。時刻の表示は 24 時間表示です。
– [Bytes Tx/Bytes Rx]:セキュリティ アプライアンスとリモート ピアまたはクライアントの間で送受信される合計バイト数を表示します。
• [Clientless SSL VPN]:このテーブルの値がクライアントレス SSL VPN トラフィックに関連することを示します。
– [Username/IP Address]:セッションのユーザ名またはログイン名、およびクライアントの IP アドレスを示します。
– [Protocol/Encryption]:このセッションで使用しているプロトコルとデータ暗号化アルゴリズムがある場合に表示されます。
– [Login Time/Duration]:セッションがログインした日付と時刻(MMM DD HH:MM:SS)、 およびセッションの長さを表示します。時刻の表示は 24 時間表示です。
– [Client Type/Version]:ユーザ名でソートされた接続されたクライアントのソフトウェア バージョン番号(例:rel.7.0_int 50)を示します。
– [Bytes Tx/Bytes Rx]:セキュリティ アプライアンスとリモート ピアまたはクライアントの間で送受信される合計バイト数を表示します。
• [E-Mail Proxy]:このテーブルの値がクライアントレス SSL VPN セッションのトラフィックに関連することを示します。
– [Username/IP Address]:セッションのユーザ名またはログイン名、およびクライアントの IP アドレスを示します。
– [Protocol/Encryption]:このセッションで使用しているプロトコルとデータ暗号化アルゴリズムがある場合に表示されます。
– [Login Time/Duration]:セッションがログインした日付と時刻(MMM DD HH:MM:SS)、 およびセッションの長さを表示します。時刻の表示は 24 時間表示です。
– [Client Type/Version]:ユーザ名でソートされた接続されたクライアントのソフトウェア バージョン番号(例:rel.7.0_int 50)を示します。
– [Bytes Tx/Bytes Rx]:セキュリティ アプライアンスとリモート ピアまたはクライアントの間で送受信される合計バイト数を表示します。
この項の残りの部分では、テーブルの近くや下にあるボタンおよびフィールドについて説明します。
• [Details]:選択したセッションの詳細を表示します。パラメータと値は、セッションのタイプによって異なります。
• [Ping]:ネットワークの接続テストのために、ICMP ping(Packet Internet Groper)パケットを送信します。具体的には、セキュリティ アプライアンスは、選択したホストに ICMP Echo Request メッセージを送信します。ホストが到達可能な場合、Echo Reply メッセージを返し、セキュリティ アプライアンスはテストしたホストの名前が記された Success メッセージ、および要求を送信して応答を受信するまでの経過時間を表示します。何らかの理由でシステムが到達不可能な場合(ホストがダウンしている、ICMP がホストで実行していない、ルートが設定されていない、中間ルータがダウンしている、ネットワークがダウンまたは輻輳しているなど)、セキュリティ アプライアンスには、テストしたホストの名前が記された [Error] 画面が表示されます。
• [Logout By]:ログアウトするセッションのフィルタリングに使う基準を選択します。--All Sessions-- 以外を選択した場合、[Logout By] リストの右側のボックスがアクティブになります。値に Protocol for Logout By を選択した場合、ボックスがリストに変わり、ログアウト フィルタとして使用するプロトコル タイプを選択できます。このリストのデフォルト値は IPSec です。Protocol 以外の値を選択した場合は、このボックスに適切な値を入力する必要があります。
• [Logout Sessions]:指定した Logout By 基準に合うすべてのセッションを終了します。
• [Refresh]:画面とそのデータを更新します。日付と時刻は、画面が最後に更新された日時を示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Sessions Details
[Session Details] ウィンドウには、選択したセッションのコンフィギュレーション設定、統計情報およびステート情報が表示されます。
[Session Details] ウィンドウの一番上にある [Remote Detailed] テーブルには、次のカラムが表示されます。
• [Username]:セッションに関連付けられているユーザ名またはログイン名を示します。リモート ピアが認証にデジタル証明書を使用している場合、フィールドに証明書の Subject CN または Subject OU が表示されます。
• [Group Policy and Tunnel Group]:セッションに割り当てられているグループ ポリシーとセッションが確立されたトンネル グループの名前。
• [Assigned IP Address and Public IP Address]:このセッションのリモート ピアに割り当てられているプライベート IP アドレス。内部または仮想 IP アドレスとも呼ばれ、割り当てられている IP アドレスによって、リモート ピアはプライベート ネットワーク上にあるように見えます。2 番目のフィールドには、このセッションのリモート コンピュータのパブリック IP アドレスが表示されます。外部 IP アドレスとも呼ばれ、通常、パブリック IP アドレスは ISP によってリモート コンピュータに割り当てられます。これによって、リモート コンピュータはパブリック ネットワークのホストとして機能できます。
• [Protocol/Encryption]:このセッションで使用しているプロトコルとデータ暗号化アルゴリズム(ある場合)。
• [Login Time and Duration]:セッションの開始日時とセッションの長さ。セッションの開始時刻は、24 時間表記で表示されます。
• [Client Type and Version]:リモート コンピュータのクライアントのタイプおよびソフトウェア バージョン番号(例:rel.7.0_int 50)。
• [Bytes Tx and Bytes Rx]:セキュリティ アプライアンスとリモート ピアの間で送受信される合計バイト数を示します。
• [NAC Result and Posture Token]:ASDM では、セキュリティ アプライアンスでネットワーク アドミッション コントロールを設定している場合にだけ、このカラムに値が表示されます。
[NAC Result] には、次の値のいずれかが表示されます。
– [Accepted]:ACS は正常にリモート ホストのポスチャを検証しました。
– [Rejected]:ACS はリモート ホストのポスチャの検証に失敗しました。
– [Exempted]:セキュリティ アプライアンスに設定されたポスチャ検証免除リストに従って、リモート ホストはポスチャ検証を免除されました。
– [Non-Responsive]:リモート ホストは EAPoUDP Hello メッセージに応答しませんでした。
– [Hold-off]:ポスチャ検証に成功した後、セキュリティ アプライアンスとリモート ホストの EAPoUDP 通信が途絶えました。
– [N/A]:VPN NAC グループ ポリシーに従い、リモート ホストの NAC はディセーブルにされています。
ポスチャ トークンは、Access Control Server で設定可能な情報文字列です。ACS は情報提供のためにセキュリティ アプライアンスにポスチャ トークンをダウンロードし、システム モニタリング、レポート、デバッグ、およびロギングを支援します。NAC Result に続く一般的なポスチャ トークンは、Healthy、Checkup、Quarantine、Infected または Unknown です。
[Session Details] ウィンドウの [Details] タブには、次のカラムが表示されます。
• [ID]:セッションにダイナミックに割り当てられた一意の ID。ID は、セッションへのセキュリティ アプライアンスのインデックスとして機能します。このインデックスを使用して、セッションに関する情報を維持および表示します。
• [Type]:セッションのタイプ。IKE、IPSec または NAC。
• [Local Addr., Subnet Mask, Protocol, Port, Remote Addr., Subnet Mask, Protocol, and Port]:実際の(ローカル)ピアの両方に割り当てられているアドレスとポートと外部ルーティングのためにそのピアに割り当てられているアドレスとポート。
• [Encryption]:このセッションで使用しているデータ暗号化アルゴリズム(ある場合)。
• [Assigned IP Address and Public IP Address]:このセッションのリモート ピアに割り当てられているプライベート IP アドレスを示します。内部または仮想 IP アドレスとも呼ばれ、割り当てられている IP アドレスによって、リモート ピアはプライベート ネットワーク上にあるように見えます。2 番目のフィールドには、このセッションのリモート コンピュータのパブリック IP アドレスが表示されます。外部 IP アドレスとも呼ばれ、通常、パブリック IP アドレスは ISP によってリモート コンピュータに割り当てられます。これによって、リモート コンピュータはパブリック ネットワークのホストとして機能できます。
• [Other]:セッションに関連付けられているその他の属性。
– [Revalidation Time Interval]:成功した各ポスチャ検証間に必要とされる間隔(秒数)。
– [Time Until Next Revalidation]:最後のポスチャ検証試行が成功しなかった場合は 0 です。それ以外の場合は、Revalidation Time Interval と、正常に完了した直前のポスチャ確認からの経過秒数との差です。
– [Status Query Time Interval]:成功したポスチャ検証またはステータス クエリーの応答と次のステータス クエリーの応答との間に許容される時間(秒数)。ステータス クエリーは、直前のポスチャ確認以降にホストでポスチャが変化したかどうかを確認するために、セキュリティ アプライアンスがリモート ホストに発行する要求です。
– [EAPoUDP Session Age]:最後に成功したポスチャ検証から経過した秒数。
– [Hold-Off Time Remaining]:最後のポスチャ検証が成功した場合は 0 秒です。それ以外の場合は、次回のポスチャ確認試行までの秒数です。
– [Posture Token]:Access Control Server で設定可能な情報文字列。ACS は情報提供のためにセキュリティ アプライアンスにポスチャ トークンをダウンロードし、システム モニタリング、レポート、デバッグ、およびロギングを支援します。一般的なポスチャ トークンは、Healthy、Checkup、Quarantine、Infected、または Unknown です。
– [Redirect URL]:ポスチャ検証またはクライアントなしの認証が終わると、ACS はセッション用のアクセス ポリシーをセキュリティ アプライアンスにダウンロードします。Redirect URL は、アクセス ポリシー ペイロードのオプションの一部です。セキュリティ アプライアンスは、リモート ホストのすべての HTTP(ポート 80)要求および HTTPS(ポート 443)要求を Redirect URL(存在する場合)にリダイレクトします。アクセス ポリシーに Redirect URL が含まれていない場合、セキュリティ アプライアンスはリモート ホストからの HTTP 要求および HTTPS 要求をリダイレクトしません。
Redirect URL は、IPSec セッションが終了するか、ポスチャ再検証が実行されるまで有効です。ACS は、異なる Redirect URL が含まれるか、Redirect URL が含まれない新しいアクセス ポリシーをダウンロードします。
[More]:このボタンを押して、セッションやトンネル グループを再検証または初期化します。
ACL タブには、セッションに一致した ACE が含まれる ACL が表示されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
サブセッション詳細:[NAC Details]
[NAC Details] ウィンドウでは、NAC セッションの統計情報およびステート情報を表示したり、セッションやトンネル グループを再検証または初期化することができます。
このウィンドウの統計情報およびステート情報の属性は次のとおりです。
• [Reval Int (T)]:再検証の時間間隔。正常に完了した各ポスチャ確認間に、設ける必要のある間隔(秒単位)。
• [Reval Left (T)]:次の再検証までの時間。直前のポスチャ確認試行が正常に完了しなかった場合は 0 です。それ以外の場合は、Revalidation Time Interval と、正常に完了した直前のポスチャ確認からの経過秒数との差です。
• [SQ Int (T)]:ステータス クエリーの時間間隔。正常に完了した各ポスチャ確認またはステータス クエリー応答から、次回のステータス クエリー応答までの間に空けることができる秒数です。ステータス クエリーは、直前のポスチャ確認以降にホストでポスチャが変化したかどうかを確認するために、セキュリティ アプライアンスがリモート ホストに発行する要求です。
• [EoU Age (T)]:EAPoUDP セッション経過時間。正常に完了した直前のポスチャ確認からの経過秒数。
• [Hold Left (T)]:残りの遅延時間。直前のポスチャ確認が正常に完了した場合は、0 秒です。それ以外の場合は、次回のポスチャ確認試行までの秒数です。
• [Posture Token]:Access Control Server で設定可能な情報文字列。ACS は情報提供のためにセキュリティ アプライアンスにポスチャ トークンをダウンロードし、システム モニタリング、レポート、デバッグ、およびロギングを支援します。一般的なポスチャ トークンは、Healthy、Checkup、Quarantine、Infected、または Unknown です。
• [Redirect URL]:ポスチャ検証またはクライアントなしの認証が終わると、ACS はセッション用のアクセス ポリシーをセキュリティ アプライアンスにダウンロードします。Redirect URL は、アクセス ポリシー ペイロードのオプションの一部です。セキュリティ アプライアンスは、リモート ホストのすべての HTTP(ポート 80)要求および HTTPS(ポート 443)要求を Redirect URL(存在する場合)にリダイレクトします。アクセス ポリシーに Redirect URL が含まれていない場合、セキュリティ アプライアンスはリモート ホストからの HTTP 要求および HTTPS 要求をリダイレクトしません。
Redirect URL は、IPSec セッションが終了するか、ポスチャ再検証が実行されるまで有効です。ACS は、異なる Redirect URL が含まれるか、Redirect URL が含まれない新しいアクセス ポリシーをダウンロードします。
(注) ポスチャ検証の対象のセッションをすべて再検証または初期化する場合は、[Monitoring] > [VPN] > [VPN Statistics] > [NAC Session Summary] を選択します。
• [Revalidate Session]:ピアのポスチャまたは割り当てられているアクセス ポリシー(ある場合にはダウンロードされた ACL)が変更された場合にクリックします。このボタンをクリックすると、新しい無条件のポスチャ検証を開始します。このボタンをクリックするまで有効だったポスチャ検証と割り当てられているアクセス ポリシーは、新しいポスチャ検証が成功または失敗するまで有効のままとなります。セッションがポスチャ検証から免除されている場合、このボタンをクリックしてもセッションに影響はありません。
• [Initialize Session]:ピアのポスチャ、または割り当てられているアクセス ポリシー(ある場合にはダウンロードされた ACL)が変更され、セッションに割り当てられているリソースをクリアする場合にクリックします。このボタンをクリックすると、EAPoUDP アソシエーションをパージし、新しい無条件のポスチャ検証を開始します。再検証中には NAC のデフォルトの ACL が有効となるため、セッションを初期化するとユーザ トラフィックに影響する場合があります。セッションがポスチャ検証から免除されている場合、このボタンをクリックしてもセッションに影響はありません。
• [Revalidate Tunnel Group]:選択したセッション、または割り当てられているアクセス ポリシー(ダウンロードされた ACL)の専用のトンネル グループにあるピアのポスチャが変更された場合にクリックします。このボタンをクリックすると、新しい無条件のポスチャ検証を開始します。このボタンをクリックするまでトンネル グループの各セッションに対して有効だったポスチャ検証と割り当てられているアクセス ポリシーは、新しいポスチャ検証が成功または失敗するまで有効のままとなります。ポスチャ検証から免除されているセッションには、このボタンをクリックしても影響はありません。
• [Initialize Tunnel Group]:選択したセッションまたは割り当てられているアクセス ポリシー(ダウンロードされた ACL)の専用のトンネル グループにあるピアのポスチャが変更され、セッションに割り当てられているリソースをクリアする場合にクリックします。このボタンをクリックすると、選択したセッションの専用のトンネル グループにあるポスチャ検証で使用される EAPoUDP アソシエーションと、アクセス ポリシー(ある場合にはダウンロードされた ACL)をパージし、有効なピアの新しい無条件のポスチャ検証を開始します。再検証中には NAC のデフォルトの ACL が有効となるため、セッションを初期化するとユーザ トラフィックに影響する場合があります。ポスチャ検証から免除されているセッションには、このボタンをクリックしても影響はありません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Encryption Statistics
このパネルには、セキュリティ アプライアンスで、現在アクティブなユーザおよび管理者セッションによって使用されるデータ暗号化アルゴリズムが表示されます。テーブルの各行は、1 つの暗号化アルゴリズム タイプを表します。
• [Show Statistics For]:特定のサーバやグループ、またはすべてのトンネル グループを選択します。
• [Encryption Statistics]:現在アクティブなセッションで使用中のすべてのデータ暗号化アルゴリズムの統計情報を示します。
– [Encryption Algorithm]:この行の統計情報が適用される暗号化アルゴリズムを一覧表示します。
– [Sessions]:このアルゴリズムを使用するセッションの数を一覧表示します。
– [Percentage]:アクティブなセッションの合計に対する、このアルゴリズムを使用しているセッションの割合を数値で示します。このカラムの合計は 100 % になります(端数は処理)。
• [Total Active Sessions]:現在アクティブなセッションの数を示します。
• [Cumulative Sessions]:セキュリティ アプライアンスを最後にブートまたはリセットしたときからのセッションの合計数を示します。
• [Refresh]:[Encryption Statistics] テーブルに表示される統計情報を更新します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
NAC Session Summary
[Monitoring] > [VPN] > [VPN Statistics] > [NAC Session Summary]
[NAC Session Summary] ウィンドウでは、アクティブな累積ネットワーク アドミッション コントロール セッションを表示できます。
• [Active NAC Sessions]:ポスチャ検証の対象のリモート ピアに関する一般的な統計情報。
• [Cumulative NAC Sessions]:現在ポスチャ検証の対象か、または以前から対象だったリモート ピアに関する一般的な統計情報。
• [Accepted]:ポスチャ検証に成功し、Access Control Server によってアクセス ポリシーが与えられたピアの数。
• [Rejected]:ポスチャ検証に失敗し、Access Control Server によってアクセス ポリシーが与えられなかったピアの数。
• [Exempted]:セキュリティ アプライアンスで設定された [Posture Validation Exception] リストのエントリに一致するため、ポスチャ検証の対象になっていないピアの数。
• [Non-responsive]:Extensible Authentication Protocol(EAP)over UDP のポスチャ検証要求に応答しないピアの数。CTA が実行されていないピアは、この要求に応答しません。セキュリティ アプライアンスのコンフィギュレーションがクライアントレス ホストをサポートする場合、Access Control Server は、クライアントレス ホストに関連付けられているアクセス ポリシーをこれらのピアのセキュリティ アプライアンスにダウンロードします。クライアントレス ホストをサポートしない場合、セキュリティ アプライアンスは NAC デフォルト ポリシーを割り当てます。
• [Hold-off]:ポスチャ検証が成功した後に、セキュリティ アプライアンスが EAPoUDP 通信を失ったピアの数。NAC Hold Timer 属性([Configuration] > [VPN] > [NAC])は、このタイプのイベントと次のポスチャ検証試行との間の遅延時間を判定します。
• [N/A]:VPN NAC グループ ポリシーに従って NAC が無効になっているピアの数。
• [Revalidate All]:ピアのポスチャまたは割り当てられているアクセス ポリシー(ダウンロードされた ACL)が変更された場合にクリックします。このボタンをクリックすると、セキュリティ アプライアンスによって管理されるすべての NAC セッションの新しい無条件のポスチャ検証を開始します。このボタンをクリックするまで各セッションに対して有効だったポスチャ検証と割り当てられているアクセス ポリシーは、新しいポスチャ検証が成功または失敗するまで有効のままとなります。ポスチャ検証から免除されているセッションには、このボタンをクリックしても影響はありません。
• [Initialize All]:ピアのポスチャまたは割り当てられているアクセス ポリシー(ダウンロードされた ACL)が変更され、セッションに割り当てられているリソースをクリアする場合にクリックします。このボタンをクリックすると、セキュリティ アプライアンスによって管理されるすべての NAC セッションのポスチャ検証で使用される EAPoUDP アソシエーションと割り当てられているアクセス ポリシーをパージし、新しい無条件のポスチャ検証を開始します。再検証中には NAC のデフォルトの ACL が有効となるため、セッションを初期化するとユーザ トラフィックに影響する場合があります。ポスチャ検証から免除されているセッションには、このボタンをクリックしても影響はありません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Protocol Statistics
このパネルには、セキュリティ アプライアンスで現在アクティブなユーザおよび管理者セッションによって使用されるプロトコルが表示されます。テーブルの各行は、1 つのプロトコル タイプを表します。
• [Show Statistics For]:特定のサーバやグループ、またはすべてのトンネル グループを選択します。
• [Protocol Statistics]:現在アクティブなセッションで使用中のすべてのプロトコルの統計情報を示します。
– [Protocol]:この行の統計情報が適用されるプロトコルを一覧表示します。
– [Sessions]:このプロトコルを使用するセッションの数を一覧表示します。
– [Percentage]:アクティブなセッションの合計に対する、このプロトコルを使用しているセッションの割合を数値で示します。このカラムの合計は 100 % になります(端数は処理)。
• [Total Active Sessions]:現在アクティブなセッションの数を示します。
• [Cumulative Sessions]:セキュリティ アプライアンスを最後にブートまたはリセットしたときからのセッションの合計数を示します。
• [Refresh]:[Protocol Statistics] テーブルに表示される統計情報を更新します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
VLAN Mapping Sessions
このパネルには、使用中の各グループ ポリシーの Restrict Access to VLAN パラメータの値で判別された、出力 VLAN に割り当てられているセッション数が表示されます。セキュリティ アプライアンスはすべてのトラフィックを指定された VLAN に転送します。
• [Active VLAN Mapping Sessions]:出力 VLAN に割り当てられている VPN セッションの数。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Global IKE/IPSec Statistics
このパネルには、セキュリティ アプライアンスで現在アクティブなユーザおよび管理者セッションのグローバル IKE/IPSec 統計情報が表示されます。テーブルの各行は、1 つのグローバル統計情報を表します。
• [Show Statistics For]:特定のプロトコル、[IKE Protocol](デフォルト)または [IPSec Protocol] を選択します。
• [Global IKE/IPSec Statistics]:現在アクティブなセッションで使用中のすべてのプロトコルの統計情報を示します。
– [Statistic]:統計変数の名前を一覧表示します。このカラムの内容は、Show Statistics For パラメータで選択した値によって異なります。
• [Refresh]:[Global IKE/IPSec Statistics] テーブルに表示される統計情報を更新します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Crypto Statistics
このパネルには、セキュリティ アプライアンスで現在アクティブなユーザおよび管理者セッションの暗号統計情報が表示されます。テーブルの各行は、1 つの暗号統計情報を表します。
• [Show Statistics For]:特定のプロトコル、IKE Protocol(デフォルト)、IPSec Protocol、SSL Protocol、または他のプロトコルを選択します。
• [Crypto Statistics]:現在アクティブなセッションで使用中のすべてのプロトコルの統計情報を示します。
– [Statistic]:統計変数の名前を一覧表示します。このカラムの内容は、Show Statistics For パラメータで選択した値によって異なります。
• [Refresh]:[Crypto Statistics] テーブルに表示される統計情報を更新します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Compression Statistics
このパネルには、セキュリティ アプライアンスで現在アクティブなユーザおよび管理者セッションの圧縮統計情報が表示されます。テーブルの各行は、1 つの圧縮統計情報を表します。
• [Show Statistics For]:クライアントレス SSL VPN または SSL VPN クライアント セッションの圧縮統計情報を選択できます。
• [Statistics]:選択した VPN タイプの統計情報をすべて表示します。
– [Statistic]:統計変数の名前を一覧表示します。このカラムの内容は、Show Statistics For パラメータで選択した値によって異なります。
• [Refresh]:[Compression Statistics] テーブルに表示される統計情報を更新します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Cluster Loads
このパネルを使用して、VPN ロードバランシング クラスタ内のサーバ間における現在のトラフィックの負荷分散を表示します。サーバがクラスタの一部でない場合、このサーバが VPN ロードバランシング クラスタに参加していない旨を伝える情報メッセージが表示されます。
• [VPN Cluster Loads]:VPN ロードバランシング クラスタの現在の負荷分散を表示します。カラム ヘッダーをクリックすると、選択したカラムをソート キーとしてテーブルがソートされます。
– [Public IP Address]:外部から可視となっているサーバの IP アドレスを表示します。
– [Role]:このサーバが、クラスタ内のマスター デバイスかバックアップ デバイスかを示します。
– [Priority]:クラスタ内のこのサーバに割り当てられているプライオリティを示します。プライオリティは、1(最低)~ 10(最高)の範囲の整数である必要があります。プライオリティは、VPN ロード バランシング クラスタ内でクラスタのマスターまたはプライマリ デバイスになるデバイスを決定する方法の 1 つとして、マスター選出プロセスで使用されます。
– [Model]:このサーバのセキュリティ アプライアンスのモデル名と番号を示します。
– [Load %]:サーバの容量に基づいて、サーバの合計容量のうち使用中の割合を示します。
– [Sessions]:現在アクティブなセッションの数を示します。
• [Refresh]:テーブルに更新後の統計情報をロードします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
SSO Statistics for Clientless SSL VPN Session
このパネルには、セキュリティ アプライアンスに設定されている現在アクティブな SSO サーバのシングル サインオン統計情報が表示されます。
(注) これらの統計情報は、SiteMinder サーバおよび SAML Browser Post Profile サーバの SSO に関するものだけです。
• [Show Statistics For SSO Server]:SSO サーバを選択します。
• [SSO Statistics]:選択した SSO サーバで現在アクティブなセッションの統計情報を示します。
– 認証スキームのバージョン(SiteMinder サーバ)
– Web エージェントの URL(SiteMinder サーバ)
– アサーション コンシューマの URL(SAML POST サーバ)
• [Refresh]:[SSO Statistics] テーブルに表示される統計情報を更新します。
• [Clear SSO Server Statistics]:表示されているサーバの統計情報をリセットします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
VPN Connection Status
このパネルを使用して、Easy VPN クライアントとして設定されているセキュリティ アプライアンスのステータスを表示します。この機能は ASA 5505 だけに適用されます。
[VPN Client Detail]:Easy VPN クライアントとして設定されている ASA 5505 の設定情報を表示します。
[Refresh]:[VPN Client Detail] パネルに表示されている情報をリフレッシュします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フィードバック