AnyConnect： CLI を使用して IOS ルータのヘッドエンドの基本 SSLVPN を設定する

(1)

AnyConnect： CLI を使用して IOS ルータのヘ

ッドエンドの基本 SSLVPN を設定する

はじめに前提条件要件使用するコンポーネント異なる IOSバージョンのためのライセンス情報重要なソフトウェア機能拡張設定ステップ 1.ライセンスをイネーブルになっています確認して下さいステップ 2.ルータのアップロードおよびインストール AnyConnect セキュアモビリティクライアントパッケージステップ 3.ルータの HTTPサーバを有効にして下さいステップ 4. RSA Keypair および自己署名証明書を生成して下さいステップ 5.ローカル VPN ユーザアカウントを設定して下さいステップ 6.クライアントが使用するアドレスプールおよびスプリットトンネルアクセスリストを定義して下さいステップ 7.仮想テンプレートインターフェイス（VTI）を設定して下さいステップ 8. WebVPN ゲートウェイを設定して下さいステップ 9. WebVPN コンテキストおよびグループポリシーを設定して下さいステップ 10 （オプションの）。クライアントプロファイルを設定して下さい確認トラブルシューティング関連情報

概要

この資料は AnyConnect SSLVPN ヘッドエンドとして Cisco IOS ルータの基本設定を説明したものです。

前提条件

要件

次の項目に関する知識が推奨されます。 Ciscoインターネットワークオペレーティングシステム（IOS） ● AnyConnect セキュアモビリティクライアント ●

概要 Secure Sockets Layer （SSL）オペレーション

(2)

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。 15.3(3)M5 を実行する Cisco 892W ルータ ● AnyConnect セキュアモビリティクライアント 3.1.08009 ●

異なる IOSバージョンのためのライセンス情報

securityk9 機能セットが IOSバージョンが使用される SSLVPN 機能を使用するために必要となります。 ● IOS 12.x - SSLVPN 機能は少なくともセキュリティライセンス（IE がある 12.4(6)T から開始するすべての 12.x イメージに統合されています。 advsecurityk9、adventerprisek9、等）。 ● IOS 15.0 -以前のバージョンは LIC ファイルが 10、25、か 100 ユーザ接続を可能にするルータでインストールされるように要求します。 Use* ライセンスへの権限は 15.0(1)M4 で設定されました ● IOS 15.1 -以前のバージョンは LIC ファイルが 10、25、か 100 ユーザ接続を可能にするルータでインストールされるように要求します。 Use* ライセンスへの権限は 15.1(1)T2、 15.1(2)T2、15.1(3)T および 15.1(4)M1 で設定されました ● IOS 15.2 - 15.2 バージョンはすべて SSLVPN のための Use* ライセンスに権限を提供します ● IOS 15.3 および向こう-以前のバージョンは Use* ライセンスに権限を提供します。 15.3(3)M で開始して、SSLVPN 機能は securityk9 テクノロジーパッケージに（起動後）入った後利用できます ● 認可する RTU に関しては評価ライセンスはイネーブルになっています時最初の webvpn 機能設定される（すなわち、webvpn ゲートウェイ GATEWAY1）およびエンドユーザー使用許諾契約（EULA）は受け入れられました。 60 日以降に、この評価ライセンスは永続的なライセンスになります。これらのライセンスは基づく名誉で、購入されるペーパーライセンスを機能を使用するために必要とします。、ルータプラットフォームが同時にサポートできる同時接続の最大数を RTU 可能に一定量の使用に制限されますよりもむしろさらに。

重要なソフトウェア機能拡張

これらのバグ ID は AnyConnect のための重要な機能か修正という結果に終りました:

CSCti89976: AnyConnect 3.x への IOS のための追加されたサポート

● CSCtx38806: 獣脆弱性のための修正、Microsoft KB2585542 ●

設定

ステップ 1.ライセンスをイネーブルになっています確認して下さい

AnyConnect が IOSルータヘッドエンドで設定されるとき第一歩はライセンスが正しく（該当する場合）インストールされ、イネーブルになっていたことを確認することです。異なるバージョンの認可仕様のための前のセクションのライセンス情報を参照して下さい。それはコードのバージョンによって決まり、示しなさいかどうかプラットフォームはライセンス SSL_VPN か securityk9 ライセンスをリストします。バージョンおよびライセンスに関係なく、EULA は受け入れられる必要があり、ライセンスはアクティブとして示します。

(3)

ステップ 2.ルータのアップロードおよびインストール AnyConnect セキュアモビ

リティクライアントパッケージ

AnyConnect イメージを VPN ヘッドエンドサーブにアップロードするため 2 つの目的。初めに、AnyConnect ヘッドエンドの AnyConnect イメージをもらうオペレーティングシステムだけ接続することができます。たとえば、Windows クライアントは Windows パッケージが 64 ビットクライアントが Linux 64 ビットパッケージを必要とする Linux、等ヘッドエンドでインストールされるように要求します。 2 番目に、ヘッドエンドでインストールされた AnyConnect イメージは接続にクライアントマシンに自動的に押下げられます。接続するユーザははじめてインストールされている何がクライアントマシンでヘッドエンドの AnyConnect パッケージが新しければより、戻りがアップグレードユーザおよびウェブポータルからクライアントをダウンロードできます。

AnyConnect パッケージは Ciscoソフトウェアダウンロード Webサイトの AnyConnect セキュアモビリティクライアントセクションを通して得ることができます。利用可能な多くのオプションの間、ヘッドエンドでインストールされるパッケージはオペレーティングシステムおよびヘッドエンド配備（PKG）と分類されます。 AnyConnect パッケージはこれらのオペレーティングシステムプラットフォームのために現在利用できます: Windows、Mac OS X、64 ビット Linux （32ビット）、および Linux。 Linux のための、両方とも 32 および 64 ビットパッケージがあることに注目して下さい。各オペレーティングシステムは適切なパッケージが割り当てられるべき接続のためにヘッドエンドでインストールされるように要求します。 AnyConnect パッケージがダウンロードされたら、TFTP、FTP、SCP、または少数のその他のオプションによって copy コマンドでルータのフラッシュにアップロードすることができます。次に例を示します。 copy tftp: flash:/webvpn/

Address or name of remote host []? 192.168.100.100 Source filename []? anyconnect-win-3.1.08009-k9.pkg

Destination filename [/webvpn/anyconnect-win-3.1.08009-k9.pkg]? Accessing tftp://192.168.100.100/anyconnect-win-3.1.08009-k9.pkg...

Loading anyconnect-win-3.1.08009-k9.pkg from 192.168.100.100 (via GigabitEthernet0): !!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK - 37997096 bytes]

37997096 bytes copied in 117.644 secs (322984 bytes/sec)

ルータのフラッシュに AnyConnect イメージをコピーした後、コマンド・ラインによってインストールする必要があります。 AnyConnect 複数のパッケージはインストールコマンドの終わりにシーケンス番号を規定するときインストールすることができます; これはルータが複数のクライアントオペレーティングシステムのためのヘッドエンドとして機能することができるように可能にします。 AnyConnect パッケージをインストールする場合、またフラッシュにそれを移動します: 最初にそこにコピーされなかった場合 /webvpn/ ディレクトリ。

crypto vpn anyconnect flash:/webvpn/anyconnect-win-3.1.08009-k9.pkg sequence 1 SSLVPN Package SSL-VPN-Client (seq:1): installed successfully

(4)

かに異なります。

webvpn install svc flash:/webvpn/anyconnect-win-3.1.08009-k9.pkg sequence 1

ステップ 3.ルータの HTTPサーバを有効にして下さい

ip http server

ip http secure-server

ステップ 4. RSA Keypair および自己署名証明書を生成して下さい

SSL をか Public Key Infrastructure（PKI）およびデジタル証明書を設定する機能を設定するとき、証明書の署名に Rivest-Shamir-Adleman （RSA） keypair が必要となります。続コマンドは自己署名 PKI 証明書が生成される場合使用される RSA keypair を生成します。 2048 ビットの剰余を利用するとき、それは要件ではないです、高められたセキュリティおよび互換性のために利用可能な AnyConnect クライアントマシンによって最も大きい剰余を使用することを推奨します。説明的なラベルを使用することはまたキー管理の容易さを可能にするので推奨されます。キーマネージメントは show crypto key mypubkey rsa コマンドで確認することができます。

注: RSA の作成と関連付けられる多くのセキュリティリスクがキー入力するエクスポート可能、デフォルトである推奨される操作キーを確認することがあるエクスポート可能があるために設定されるあるので。作るとき複雑である危険性はこの資料で RSA エクスポート可能説明されていますキー入力します: PKI 内の RSA キーの配置。

crypto key generate rsa label SSLVPN_KEYPAIR modulus 2048 The name for the keys will be: SSLVPN_KEYPAIR

% The key modulus size is 2048 bits

% Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 3 seconds)

show crypto key mypubkey rsa SSLVPN_KEYPAIR

% Key pair was generated at: 14:01:34 EDT May 21 2015 Key name: SSLVPN_KEYPAIR

Key type: RSA KEYS

Storage Device: not specified Usage: General Purpose Key Key is exportable.

Key Data&colon;

30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 00C4C7D6 F9533CD3 A5489D5A 4DC3BAE7 6831E832 7326E322 CBECC41C 8395A5F7 4613AF70 827F581E 57F72074 FD803EEA 693EBACC 0EE5CA65 5D1875C2 2F19A432 84188F61 4E282EC3 D30AE4C9 1F2766EF 48269FE2 0C1AECAA 81511386 1BA6709C 7C5A2A40 2FBB3035 04E3770B 01155368 C4A5B488 D38F425C 23E430ED 80A8E2BD E713860E F654695B C1780ED6 398096BC 55D410DB ECC0E2D9 2621E1AB A418986D 39F241FE 798EF862 9D5EAEEB 5B06D73B E769F613 0FCE2585 E5E6DFF3 2E48D007

(5)

3443AD87 0E66C2B1 4E0CB6E9 81569DF2 DB0FE9F1 1A9E737F 617DC68B 42B78A8B 952CD997 78B96CE6 CB623328 C2C5FFD6 18C5DA2C 2EAFA936 5C866DE8 5184D2D3 6D020301 0001

RSA keypair が正常に生成されたら、PKI トラストポイントはルータの情報および RSA keypair で設定する必要があります。 Subject-Name の Common Name （CN）はユーザが AnyConnect ゲートウェイに接続するのに使用する完全な修飾ドメイン名（FQDN）でか IP アドレス設定する必要があります; この例では、クライアントは接続するように試みるとき fdenofa-SSLVPN.cisco.com の FQDN を使用します。それは必須の間、CN で正しく入るとき、ログインでプロンプト表示される Certificate エラーの数を減らすのを助けます。注: ルータによって生成されるよりもむしろ自己署名証明書を使用してサード・パーティ CA によって発行される証明書を使用することは可能性のあるです。これはこの資料に記述されているように少数の異った方法によってすることができます: PKI のための証明書登録の設定。

crypto pki trustpoint SSLVPN_CERT enrollment selfsigned subject-name CN=fdenofa-SSLVPN.cisco.com rsakeypair SSLVPN_KEYPAIR トラストポイントが正確に定義された後、ルータは暗号 PKI の使用によって登録しますコマンドを証明書を生成する必要があります。このプロセスによって、シリアル番号および IP アドレスのような他の少数のパラメータを規定することは可能性のあるです。ただし、これが必要となりません。証明書生成は提示暗号 PKI 証明書コマンドで確認することができます。

crypto pki enroll SSLVPN_CERT

% Include the router serial number in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]: no

Generate Self Signed Router Certificate? [yes/no]: yes Router Self Signed Certificate successfully created

show crypto pki certificates SSLVPN_CERT Router Self-Signed Certificate

Status: Available

Certificate Serial Number (hex): 01 Certificate Usage: General Purpose Issuer: hostname=fdenofa-892.fdenofa.lab cn=fdenofa-SSLVPN.cisco.com Subject: Name: fdenofa-892.fdenofa.lab hostname=fdenofa-892.fdenofa.lab cn=fdenofa-SSLVPN.cisco.com Validity Date:

start date: 18:54:04 EDT Mar 30 2015 end date: 20:00:00 EDT Dec 31 2019 Associated Trustpoints: SSLVPN_CERT

(6)

ステップ 5.ローカル VPN ユーザアカウントを設定して下さい

外部認証、許可およびアカウンティング（AAA）サーバ、なぜなら間、このローカル認証例使用することは可能性のあるの使用されます。これらのコマンドはユーザネーム VPNUSER を作成し、また SSLVPN_AAA と指名された AAA認証リストを作成します。

aaa new-model

aaa authentication login SSLVPN_AAA local username VPNUSER password TACO

ステップ 6.クライアントが使用するアドレスプールおよびスプリットトンネルア

クセスリストを定義して下さい

ローカルIPアドレスプールは AnyConnect クライアントアダプタが IP アドレスを得ることができるように作成する必要があります。 AnyConnect 同時クライアント接続の最大数をサポートするには設定します十分に大きいプールを確認して下さい。デフォルトで、AnyConnect は意味する完全なトンネルモードでクライアントマシンによって生成されたどのトラフィックでもトンネルを渡って送信されることを動作します。これは一般的に好ましくないので、べきまたはトンネルを渡って送信するべきではないトラフィックを定義する Access Control List （ACL）を設定することは可能性のあるです。他の ACL 実装と同様に、端に暗黙の deny は明示的な拒否のための必要を省きます; 従って、トンネル伝送する必要があるトラフィックのための割り当て文だけを設定することは必要です。

ip local pool SSLVPN_POOL 192.168.10.1 192.168.10.10 access-list 1 permit 192.168.0.0 0.0.255.255

ステップ 7.仮想テンプレートインターフェイス（VTI）を設定して下さい

ダイナミック VTIs リモートアクセス VPN のための非常にセキュアおよび拡張が容易な接続を可能にする各 VPN セッションにオンデマンド別途の仮想アクセスインターフェイスを提供します。 DVTI テクノロジーはヘルプがトンネルを確立するダイナミックハブ・アンド・スポーク方式およびダイナミック暗号マップを取り替えます。トンネルがアクティブであるとすぐ QoS、ファイアウォール、ユーザごとの attribtues および他のセキュリティサービスをサポートするのでそれらが Accesss より複雑なリモート配備のために可能にする他の実際のインターフェイスのような DVTIs 機能ので。 interface Loopback0 ip address 172.16.1.1 255.255.255.255 ! interface Virtual-Template 1 ip unnumbered Loopback0

ステップ 8. WebVPN ゲートウェイを設定して下さい

WebVPN ゲートウェイは AnyConnect ヘッドエンドによって使用される、また SSL 暗号化アルゴリズムおよびクライアントに示される PKI 証明書定義する IP アドレスをおよびポートものがです。デフォルトで、ゲートウェイはルータの IOSバージョンによって変わるすべての可能性のある暗号化アルゴリズムをサポートします。

(7)

interface Loopback0 ip address 172.16.1.1 255.255.255.255 ! interface Virtual-Template 1 ip unnumbered Loopback0

ステップ 9. WebVPN コンテキストおよびグループポリシーを設定して下さい

WebVPN コンテキストおよびグループポリシーは AnyConnect クライアント接続のために使用されるいくつかの追加パラメータを定義します。 AnyConnect 基本的な設定に関しては、コンテキストは AnyConnect のために使用されるデフォルトグループポリシーを呼出すのに使用されるメカニズムとして単に動作します。ただし、コンテキストが更に WebVPN WebVPN スプラッシュページおよびオペレーションをカスタマイズするのに使用することができます。定義されたポリシーグループでは、SSLVPN_AAA リストはユーザがメンバーである AAA認証リストで設定されます。機能 SVC イネーブルになったコマンドはユーザがブラウザによってちょうど

WebVPN よりもむしろ AnyConnect SSL VPN Client と接続することを可能にする設定のピースです。最後に、追加 Svc コマンドは SVC 接続にだけ関連しているパラメータを定義します: SVC アドレスプールはクライアントに ACPool のハンドアウトアドレスにゲートウェイに伝えします、上で定義される SVC 分割は定義します ACL 1 ごとのスプリットトンネルポリシーを含み使用されるかどれがドメイン名解決のために SVC dns-server は DNSサーバを定義します。この設定によって、すべての DNS クエリは規定された DNSサーバに送られます。クエリ応答で受け取られるアドレスはトラフィックがトンネルを渡って送信されるかどうか定めます。

webvpn context SSL_Context gateway SSLVPN_Gateway inservice

policy group SSL_Policy

aaa authentication list SSLVPN_AAA functions svc-enabled

svc address-pool "SSLVPN_POOL" netmask 255.255.255.0 svc split include acl 1

svc dns-server primary 8.8.8.8 virtual-template 1

default-group-policy SSL_Policy

ステップ 10 （オプションの）。クライアントプロファイルを設定して下さい

ASA でとは違って、Cisco IOS にクライアントプロファイルの作成の admin を助けることができる組み込み GUIインターフェイスがありません。 AnyConnect クライアントプロファイルはスタンドアロンプロファイルエディタによって別々に作成されることを/編集される必要があります。ヒント： anyconnect-profileeditor-win-3.1.03103-k9.exe を探して下さいルータをプロファイルを展開してもらうように次の手順に従って下さい: ftp/tftp を使用して IOS フラッシュにそれをアップロードして下さい 1. プロファイルを識別するちょうどアップロードされたこのコマンドを使用して下さい: 2.

(8)

ヒント： 15.2(1)T より古い IOSバージョンでこのコマンドは使用される必要があります: webvpn インポート SVC プロファイル <profile_name> フラッシュ: <profile.xml>

3. コンテキストの下で、そのコンテキストにプロファイルをリンクするこのコマンドを使用して下さい:

svc dns-server primary 8.8.8.8 virtual-template 1 default-group-policy SSL_Policy 1. 注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool（登録ユーザ専用）を使用してください。

確認

設定が完了した、ブラウザによってゲートウェイアドレスおよびポートにアクセスする場合、 WebVPN スプラッシュページに戻ります。

(9)

ログイン、WebVPN ホームページ表示された後。ここから、トンネル接続（AnyConnect）をクリックして下さい。 Internet Explorer が使用されるとき押下げ、AnyConnect クライアントをインストールするのに、ActiveX が利用されています。それが検出されない場合、Java は代りに使用されます。他のブラウザはすべて Java をすぐに使用します。

(10)

インストールが完了すれば、AnyConnect は自動的に WebVPN ゲートウェイに接続するように試みます。ゲートウェイがそれ自身を識別することができるように自己署名証明書が使用されてい

(11)

るので、多重認証警告は接続の試みの間に現われます。これらは接続が続くことができるように期待され、受け入れる必要があります。これらの証明書警告を避けるために、示される自己署名証明書がクライアントマシンの信頼できる証明書記憶装置にインストールするサード・パーティ証明書がそれから使用されれば認証局証明書は信頼できる証明書記憶装置にある必要があります。接続がネゴシエーションを完了するとき、AnyConnect の左下のギヤアイコンを表示します接続についての先回り情報をクリックして下さい。このページでいくつかの接続統計を表示し、達成されるグループポリシー設定のスプリットトンネル ACL から詳細をルーティングすることは可能性のあるです。

(12)

(13)

コンフィギュレーションのステップからの最終的な running-configuration 結果はここにあります:

svc dns-server primary 8.8.8.8 virtual-template 1 default-group-policy SSL_Policy

トラブルシューティング

AnyConnect 接続に関する問題を解決するときをチェックするべき少数のよくあるコンポーネントがあります: クライアントが証明書を示す必要があるように証明書が WebVPN ゲートウェイでの有効規定したのは要件です。提示暗号 PKI 証明書を発行することはルータのすべての証明書に関係す ●

(14)

る情報を示します。 WebVPN 設定への変更を行う時はいつでも、それはゲートウェイおよびコンテキスト両方でインサービスおよびインサービス発行する最良の方法ではないです。これは変更をきちんと実施されます確認します。 ● 上記されるように、それはこのゲートウェイに接続する各クライアントオペレーティングシステムのための AnyConnect PKG を持つ要件です。たとえば、Windows クライアントは Windows PKG を、32ビットクライアントが Linux 32ビット PKG を必要とする Linux、等必要とします。 ● AnyConnect クライアントを考慮するおよびブラウザ・ベースの WebVPN が SSL を利用するとき、WebVPN スプラッシュページにアクセスできることは一般に AnyConnect 適切な設定が正しいと） AnyConnect が接続できることを示します（仮定して下さい。 ● Cisco IOS は壊れる接続を解決するのに使用することができるいくつかのさまざまなデバッグ webvpn オプションを提供します。これはデバッグ webvpn AAA から、デバッグ wevpn トンネル生成されるで、出力接続の成功試みに webvpn セッションを示します:

AnyConnect： CLI を使用して IOS ルータのヘッドエンドの基本 SSLVPN を設定する