Cisco ASA 5580 スタート ガイド Version 8.1

必要な情報

AnyConnect SSL VPN 接続を受け入れるための適応型セキュリティ アプライアンスの設定を開始する前に、次の情報を用意してください。

• リモート ユーザが接続する適応型セキュリティ アプライアンスのインターフェイスの名前。

• デジタル証明書。

ASA 5580 は、デフォルトで自己署名証明書を生成します。ただし、セキュリティを強化するために、システムを実稼働環境に設置する前に、公的に信頼されている SSL VPN 証明書を購入することもできます。

• IP プールに使用する IP アドレスの範囲。これらのアドレスは、正常に接続されると、SSL AnyConnect VPN クライアントに割り当てられます。

• ローカル認証データベースを作成するときに使用するユーザのリスト（認証に AAA サーバを使用している場合を除く）。

• 認証に AAA サーバを使用している場合：

–AAA サーバ グループ名

–使用する認証プロトコル（TACACS、SDI、NT、Kerberos、LDAP）

–AAA サーバの IP アドレス

–認証に使用する適応型セキュリティ アプライアンスのインターフェイス

–AAA サーバで認証を行うための秘密鍵

ASDM の起動

この項では、ASDM Launcher ソフトウェアを使用して ASDM を起動する方法について説明します。ASDM Launcher ソフトウェアがインストールされていない場合は、「ASDM Launcher のインストール」を参照してください。

Web ブラウザまたは Java を使用して ASDM に直接アクセスする場合は、「Web ブラウザでの ASDM の起動」を参照してください。

ASDM Launcher ソフトウェアを使用して ASDM を起動するには、次の手順を実行します。

ステップ 1 デスクトップから Cisco ASDM Launcher ソフトウェアを起動します。

ダイアログボックスが表示されます。

ステップ 2 適応型セキュリティ アプライアンスの IP アドレスまたはホスト名を入力します。

ステップ 3 Username フィールドと Password フィールドを空のままにします。

（注） デフォルトでは、Cisco ASDM Launcher に Username と Password は設定されていません。

ステップ 4 OK をクリックします。

ステップ 5 証明書の受け入れを求めるセキュリティ警告が表示された場合は、 Yes をクリックします。

ASA 5580 は最新ソフトウェアが存在するかどうかを調べ、存在する場合は自動的にダウンロードします。

ASDM のメイン ウィンドウが表示されます。

Cisco AnyConnect VPN クライアント用の ASA 5580 の設定

設定プロセスを開始するには、次の手順を実行します。

ステップ 1 ASDM のメイン ウィンドウで、Wizards ドロップダウン メニューから SSL VPN Wizard を選択します。SSL VPN Wizard Step 1 画面が表示されます。

ステップ 2 SSL VPN Wizard の Step 1 で、次の手順を実行します。

a. Cisco SSL VPN Client チェックボックスをオンにします。

b. Next をクリックして続行します。

SSL VPN インターフェイスの指定

SSL VPN Wizard の Step 2 で、次の手順を実行します。

ステップ 1 リモート ユーザが接続する接続名を指定します。

ステップ 2 SSL VPN Interface ドロップダウン リストから、リモート ユーザが接続するインターフェイスを選択します。ユーザがこのインターフェイスへの接続を確立すると、SSL VPN ポータル ページが表示されます。

ステップ 3 Certificate ドロップダウン リストから、ASA 5580 を認証するために ASA 5580 がリモート ユーザに送信する証明書を選択します。

ステップ 4 Next をクリックして続行します。

ユーザ認証方式の指定

SSL VPN Wizard の Step 3 で、次の手順を実行します。

ステップ 1 AAA サーバまたはサーバ グループを認証に使用している場合、次の手順を実行します。

a. Authenticate using a AAA server group オプション ボタンをクリックします。

b. AAA サーバ グループ名を指定します。

c. ドロップダウン リストから既存の AAA サーバ グループ名を選択するか、 New をクリックして新しいサーバ グループを作成することができます。

新しい AAA サーバ グループを作成するには、 New をクリックします。New Authentication Server Group ダイアログボックスが表示されます。

このダイアログボックスで、次の内容を指定します。

–サーバ グループ名

–使用する認証プロトコル（RADIUS、TACACS、SDI、NT、Kerberos、LDAP）

–AAA サーバの IP アドレス

–適応型セキュリティ アプライアンスのインターフェイス

–AAA サーバと通信するときに使用する秘密鍵

OK をクリックします。

ステップ 2 ローカル ユーザ データベースでユーザを認証する場合は、ここで新しいユーザ アカウントを作成できます。ASDM 設定インターフェイスを使用して後でユーザを追加することもできます。

新しいユーザを追加するには、ユーザ名とパスワードを入力し、 Add をクリックします。

ステップ 3 新しいユーザの追加が終了したら、 Next をクリックして続行します。

グループ ポリシーの指定

SSL VPN Wizard の Step 4 で、次の手順を実行してグループ ポリシーを指定します。

ステップ 1 Create new group policy オプション ボタンをクリックし、グループ名を指定します。

または

ステップ 2 Modify existing group policy オプション ボタンをクリックし、ドロップダウン リストからグループを選択します。

ステップ 3 Next をクリックします。

ステップ 4 SSL VPN Wizard の Step 5 が表示されます。この手順は AnyConnect VPN クライアント接続には適用されないので、もう一度 Next をクリックします。

Cisco AnyConnect VPN クライアントの設定

リモート クライアントが Cisco AnyConnect VPN クライアントを使用してネットワークにアクセスできるようにするには、正常に接続したときにリモート VPN クライアントに割り当てることができる IP アドレスのプールを設定する必要があります。このシナリオでは、IP アドレス 209.165.201.1 ～ 209.166.201.20 を使用するようにプールを設定します。

適応型セキュリティ アプライアンスが AnyConnect ソフトウェアをユーザにプッシュできるように、AnyConnect ソフトウェアの場所も指定する必要があります。

SSL VPN Wizard の Step 6 で、次の手順を実行します。

ステップ 1 事前設定済みのアドレス プールを使用するには、IP Address Pool ドロップダウン リストからプールの名前を選択します。

ステップ 2 または、New をクリックして新しいアドレス プールを作成します。

ステップ 3 AnyConnect VPN クライアント ソフトウェア イメージの場所を指定します。

このソフトウェアの最新バージョンを取得するには、Download latest AnyConnect VPN Client from CCO をクリックします。この操作を行うと、クライアント ソフトウェアが PC にダウンロードされます。

ステップ 4 Next をクリックして続行します。

リモート アクセス VPN の設定の確認

SSL VPN Wizard の Step 7 で、設定内容が正しいことを確認します。表示される設定は、次のようになります。

設定が正しいことを確認したら、 Finish をクリックして、変更を適応型セキュリティ アプライアンスに適用します。

設定の変更をスタートアップ設定に保存して、デバイスを次回に起動したときにこの変更が適用されるようにする場合は、File メニューの Save をクリックします。あるいは、ASDM の終了時に、設定の変更を保存するかどうかの確認を求めるメッセージが表示されます。

設定の変更を保存しないと、次回にデバイスを起動したときに、以前の設定が有効になります。