ステップ 1
|
enable
|
|
ステップ 2
|
configure terminal
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 3
|
crypto ssl authorization policy policy-name
Device(config)# crypto ssl authorization policy policy1
|
SSL 認可ポリシーを指定し、SSL 認可ポリシー コンフィギュレーション モードを開始します。
|
ステップ 4
|
banner banner-text
Device(config-crypto-ssl-auth-policy)# banner This is SSL VPN tunnel. NOTE: DO NOT dial emergency response numbers (e.g. 911,112) from
software telephony clients. Your exact location and the appropriate emergency response agency may not be easily identified.
|
バナーを指定します。バナーはトンネルが正常に確立されると表示されます。
|
ステップ 5
|
client profile profile-name
Device(config-crypto-ssl-auth-policy)# client profile Employee
|
|
ステップ 6
|
def-domain domain-name
Device(config-crypto-ssl-auth-policy)# def-domain example.com
|
デフォルト ドメインを指定します。このパラメータでは、クライアントが使用できるデフォルト ドメインを指定します。
|
ステップ 7
|
次のコマンドの 1 つを実行します。
- dns primary-server [secondary-server]
- または
- ipv6 dns primary-server [secondary-server]
Device(config-crypto-ssl-auth-policy)# dns 198.51.100.1 198.51.100.100
Device(config-crypto-ssl-auth-policy)# ipv6 dns 2001:DB8:1::1 2001:DB8:2::2
|
プライマリおよびセカンダリ Domain Name Service(DNS)サーバーの IPv4 アドレスまたは IPv6 アドレスを指定します。
|
ステップ 8
|
dpd-interval {client | server} interval
Device(config-crypto-ssl-auth-policy)# dpd-interval client 1000
|
クライアントまたはサーバーの Dead Peer Detection(DPD; デッドピア検出)をグローバルに設定します。
-
client :クライアントモードの DPD。デフォルト値は 300(5 分)です。
-
server :サーバーモードの DPD。デフォルト値は 300(5 分)です。
-
interval :間隔(秒単位)。範囲は 5 ~ 3600 です。
|
ステップ 9
|
homepage homepage-text
Device(config-crypto-ssl-auth-policy)# homepage http://www.abc.com
|
SSL VPN ホーム ページの URL を指定します。
|
ステップ 10
|
include-local-lan
Device(config-crypto-ssl-auth-policy)# include-local-lan
|
このキーワードを指定すると、ローカル LAN のリソース(ネットワーク プリンタなど)にリモート ユーザがアクセスできるようになります。
|
ステップ 11
|
ipv6 prefix prefix
Device(config-crypto-ssl-auth-policy)# ipv6 prefix 64
|
IPv6 アドレスの IPv6 プレフィックスを定義します。
|
ステップ 12
|
keepalive seconds
Device(config-crypto-ssl-auth-policy)# keepalive 500
|
キープアライブの最小値、最大値、およびデフォルト値を秒単位で設定します。
|
ステップ 13
|
module module-name
Device(config-crypto-ssl-auth-policy)# module gina
|
VPN を特定のグループに接続するために必要なモジュールをサーバ ゲートウェイにダウンロードします。
|
ステップ 14
|
msie-proxy exception exception-name
Device(config-crypto-ssl-auth-policy)# msie-proxy exception 198.51.100.2
|
exception-name 引数で指定された DNS 名または IP アドレスにはプロキシ経由で送信が行われないようになります。
|
ステップ 15
|
msie-proxy option {auto | bypass | none}
Device(config-crypto-ssl-auth-policy)# msie-proxy option bypass
|
Microsoft Internet Explorer ブラウザのプロキシ設定を指定します。内部のプロキシ サーバを指定して、企業ネットワークへの接続時にブラウザのトラフィックがプロキシ サーバを経由するように設定する場合は、プロキシ設定が必要です。
-
auto :プロキシサーバー設定を自動検出するようにブラウザを設定します。
-
bypass :ローカルアドレスの場合はプロキシサーバーを経由しません。
-
none :プロキシサーバーを使用しないようにブラウザを設定します。
|
ステップ 16
|
msie-proxy server {ip-address | dns-name}
Device(config-crypto-ssl-auth-policy)# msie-proxy server 198.51.100.2
|
プロキシサーバーの IP アドレスまたは DNS 名(後にポート番号を付けることもできます)。
(注)
|
msie-proxy option bypass コマンドが指定されている場合、このコマンドは必須です。
|
|
ステップ 17
|
mtu bytes
Device(config-crypto-ssl-auth-policy)# mtu 1000
|
(任意)MTU の最小値、最大値、およびデフォルト値を設定します。
(注)
|
このコマンドで指定された値は、Cisco AnyConnect Secure クライアントの設定で指定されているデフォルトの MTU 値よりも優先されます。このコマンドを指定しない場合は、Cisco AnyConnect Secure クライアントの設定で指定されている値が
MTU 値として使用されます。計算された MTU がこのコマンドで指定されている MTU を下回っている場合、このコマンドは無視されます。
|
|
ステップ 18
|
netmask mask
Device(config-crypto-ssl-auth-policy)# netmask 255.255.255.0
|
クライアントに IP アドレスを割り当てるサブネットのネットマスクを指定します。
|
ステップ 19
|
次のコマンドの 1 つを実行します。
- pool name
- または
- ipv6 pool name
Device(config-crypto-ssl-auth-policy)# pool abc
Device(config-crypto-ssl-auth-policy)# ipv6 pool ipv6pool
|
リモート アクセス クライアントに IP アドレスを割り当てるためのローカル IPv4 アドレス プールまたはローカル IPv6 アドレス プールを定義します。
(注)
|
ip local pool コマンドを使用してすでに定義されているローカル IP アドレス プールを使用する必要があります。
|
|
ステップ 20
|
rekey time seconds
Device(config-crypto-ssl-auth-policy)# rekey time 1110
|
キー再生成の間隔を秒単位で指定します。デフォルト値は 3600 です。
|
ステップ 21
|
次のコマンドの 1 つを実行します。
- route set access-list acl-name
- または
- ipv6 route set access-list access-list-name
Device(config-crypto-ssl-auth-policy)# route set access-list acl1
Device(config-crypto-ssl-auth-policy)# ipv6 route set access-list acl1
|
アクセスリストを使用して、トンネルを介してセキュリティで保護する必要がある IPv4 または IPv6 ルートを確立します。
|
ステップ 22
|
smartcard-removal-disconnect
Device(config-crypto-ssl-auth-policy)# smartcard-removal-disconnect
|
スマートカードの削除による接続解除を有効にし、スマート カードが削除されたときにクライアント側でセッションを終了するよう指定します。
|
ステップ 23
|
split-dns string
Device(config-crypto-ssl-auth-policy)# split-dns example.com example.net
|
クライアント側でプライベート ネットワーク用に使用するドメイン名を 10 個まで指定できます。
|
ステップ 24
|
timeout {disconnect seconds | idle seconds | session seconds}
Device(config-crypto-ssl-auth-policy)# timeout disconnect 10000
|
タイムアウトを秒単位で指定します。
-
disconnect seconds :Cisco AnyConnect クライアントからゲートウェイサーバーへの接続を再試行する期間を秒単位で指定します。デフォルト値は 0 です
-
idle seconds :アイドルタイムアウトを秒単位で指定します。デフォルト値は 1800(30 分)です。
-
session seconds :セッションタイムアウトを秒単位で指定します。デフォルト値は 43200(12 時間)です。
|
ステップ 25
|
wins primary-server [secondary-server]
Device(config-crypto-ssl-auth-policy)# wins 203.0.113.1 203.0.113.115
|
内部の Windows Internet Naming Service(WINS)サーバのアドレスを指定します。
|
ステップ 26
|
end
Device(config-crypto-ssl-auth-policy)# end
|
SSL 認可ポリシー コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。
|
ステップ 27
|
show crypto ssl authorization policy [policy-name]
Device(config-crypto-ssl-auth-policy)# show crypto ssl authorization policy
|
|