cisco anyconnect リモート 19

JAC starts its overseas discovery journey in Beijing Auto Show
April 27, 2018

cisco anyconnect リモート 19

LocalUsersOnly シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。, 世界中の国々が COVID-19 のパンデミックと闘う中、感染の拡散防止策としてリモートワークを導入する企業が増えています。 その結果、従業員が社内のリソースにアクセスできるようにするためのリモートアクセス VPN(RAVPN)の需要が高まっています。 本記事では、ネットワーク内に RAVPN を迅速に設定したり、パフォーマンスや拡張性に関する問題を特定して対処したりするためのコンフィギュレーション ガイドのリファレンス情報を提供します。, 次のセクションでは、シスコの各種プラットフォームで AnyConnect リモートアクセスを設定および展開する方法について詳しく説明します。また、証明書インストールガイドも紹介します。証明書の導入は RAVPN の証明書認証の要件であるため、シスコのリモート アクセス ソリューションに不可欠な要素です。, デバイスで RAVPN 接続を終了するには、ライセンスが必要です。 ASA プラットフォームでは、ライセンスがない場合は 2 つの VPN ピアのみサポートされます。 FTD プラットフォームでは、ライセンスがなければ、AnyConnect の設定をデバイスに展開できません。 COVID-19 の感染拡大を受けて、シスコは無料の一時ライセンスを提供し、シスコデバイスへの RAVPN 実装を支援しています。 この件に関する詳細については、以下を参照してください COVID-19 対策向け AnyConnect 緊急ライセンスの取得, 最も一般的な設定で AnyConnect Remote Access を実装するには、次のクイックスタートガイドに従ってください。, RAVPN の使用量が大幅に増加すると、AnyConnect ユーザがパフォーマンスの問題に直面する可能性があります。 こうした問題を特定して、対処するための緩和策を決定する方法については、以下を参照してください。, CPU 使用率は、VPN ユーザのパフォーマンスに直接影響します。 デバイスによって処理される暗号化または復号トラフィックが多くなると、CPU 使用率が高くなります。 プラットフォームで処理可能な最大 VPN スループットに近づくと、デバイスの CPU 使用率が高くなる可能性があります。 CPU 使用率が高くなるのは、デバイスがオーバーサブスクライブされているためか、あるいは別の問題が原因であるのかを判断する必要があります。, デバイスの CPU 使用率が高くなっているかを確認するには、次のコマンドを実行することをお勧めします。, 上記の例では、DATAPATH-0 と DATAPATH-1 で合計 CPU 使用率の 87.7% を占めていることがわかります。 この場合、ASA がオーバーサブスクライブされており、この現象の原因が大量のトラフィックの暗号化と復号化によるものかを判断する必要があります。 その際、プラットフォームのデータシートに記載されている VPN スループット値と比較できます。, デバイスを通過する 1 秒あたりの VPN の合計トラフィック量を計算するには、show crypto accelerator statisticsコマンドの Global Statistics セクションで Input bytes と Output bytes を追加します。 ASA または FTD で、clear crypto accelerator statistics コマンドを使用して、show crypto accelerator statistics の出力をクリアします。 一定時間待ってから、以下に示すように show crypto accelerator statistics コマンドを実行します。, 特定の間隔でスナップショットをいくつか取り、ビット/秒(bps)に変換可能なバイト単位の平均スループットを取得します。 計算式は以下のとおりです。, 前述した例では、clear crypto accelerator statistics コマンドが 0 秒時点で発行されています。 10 秒後に show crypto accelerator statistics コマンドが発行され、10 秒間隔で合計バイト数が取得されました。 これらの値を使用して、10 秒間隔で処理された 217Mbps の bps を計算します。 より正確な平均値を得るには、複数のスナップショットが必要になることがあります。, これらの値は、暗号化や復号化されたすべてのトラフィック (HTTPS、SSL、IPsec、SSH など)で増加することに注意してください。 この値を使用して、平均 VPN スループットを特定し、データシートと比較できます。 平均スループットが、プラットフォームのデータシートに表示される値とほぼ同じである場合、デバイスは暗号化および復号化されたトラフィックによってオーバーサブスクライブされています。, さらに、VPN トラフィックのカウンタが増加しないため、この方法で Firepower 2100 プラットフォームの VPN スループットを判断することはできません。 これは CSCvt46830 でトラッキングされています 。, VPN 接続が最大数に達した場合、接続が中断されてユーザが接続できなくなる可能性があります。 AnyConnect Plus または Apex ライセンスをアクティブにすると、VPN ピアに設定されている最大数のロックは解除されますが、最大数に達している間、他のユーザはデバイスへの接続が許可されません。, デバイスにおける最大 VPN 接続可能数を確認するには、show vpn-sessiondb の出力結果を確認します。, プラットフォームでサポートされているユーザ数の合計を確認するには、以下にあるデバイスのデータシートを確認してください。, デバイスが VPN ユーザの最大数に達していないにもかかわらず VPN ユーザが接続できない場合は、TAC からサポートを受けてください。, 次のデータシートでは、プラットフォームでサポートされる VPN ユーザの最大数とテストに基づく最大 VPN スループットが共に強調表示されています。 IKEv2 および DTLS AnyConnect では、各セクションに記載されている IPsec VPN スループットと同様の合計(集約)スループットが予想されます。, デフォルトでは、ASA および FTD のグループポリシーでは tunnelall が実装されます。 これにより、RA クライアントで生成されたすべてのトラフィックが VPN 経由で送信されて、ヘッドエンドによって処理されます。 パケットの暗号化と復号化は CPU 使用率に直接関係するため、企業のセキュリティポリシーにしたがって必要なトラフィックのみが、VPN ヘッドエンドによって処理されるようにすることが重要です。 フルトンネルではなくスプリットトンネルポリシーを採用して、不要な負荷から VPN ヘッドエンドを保護することを検討してください。, 注: Tunnel All により、企業全体のパラメータ セキュリティ ポリシーが実装されます。スプリットトンネリングはクライアントデバイスに依存して、ユーザのインターネットトラフィックの保護をサポートします。 シスコでは、スプリットトンネルポリシー向けに、Umbrella といった VPN ユーザを保護するための付加的セキュリティツールを提供しています。, VPN ロードバランシングは、ASA プラットフォームに搭載されている機能です。2 つ以上の ASA が VPN セッションの負荷を共有できるようにします。 両方のデバイスが 500 VPN ピアをサポートしている場合、それらの間に VPN ロードバランシングを設定することで、合計 1000 個の VPN ピアがデバイス間でサポートされます。 この機能を使用すると、単一のデバイスが処理可能な数を超えて、同時 VPN ユーザ数を増やすことができます。 ロード バランシング アルゴリズムを含む VPN ロード バランシングについての詳細はここに見つけることができます: VPN ロードバランシング, プラットフォームで有効になっている付加的サービスによって、デバイスの処理と負荷が増加します。 たとえば、IPS、SSL 暗号解読、NAT などが挙げられます。 VPN セッションの終了のみを実行する VPN コンセントレータとしてデバイスを設定することを検討してください。, デフォルトでは、DTLS トンネルを確立するように ASA のグループポリシーが設定されています。 VPN ヘッドエンドと AnyConnect クライアントの間で UDP 443 トラフィックがブロックされている場合、TLS に自動的にフォールバックします。 VPN スループットパフォーマンスを最大化するには、DTLS または IKEv2 を使用することをお勧めします。 DTLS は、プロトコルオーバーヘッドが小さいため、TLS よりもパフォーマンスが向上します。 IKEv2 を使用した場合でも TLS より高いスループットが実現します。 さらに、AES-GCM を使用して暗号はわずかにパフォーマンスを改善するかもしれません。 これらの暗号は TLS 1.2 で利用できます、DTLS 1.2 および IKEv2。, QoS を実装すると、アウトバウンド方向の AnyConnect ユーザに送信されるトラフィック量を制限できます。 これにより、VPN ヘッドエンドは、各リモートアクセスクライアントで出力帯域幅が均等に共有されるようにできます。 これについての詳細はここに見つけることができます: FTD の設定, 暗号エンジン アクセラレータ バイアスを使用すると、暗号コアを再割り当てして、一方の暗号化プロトコルをもう一方(SSL や IPsec)より優先的に使用できるようになります。 これの目的は VPN トンネルの大半が IPsec か SSL を使用する場合 AnyConnect スループットの最適化です。 このコマンドを実行することは稼働中生じ、割り込み従って Maintenance ウィンドウが必要となります。 さらに、パフォーマンス(AnyConnect スループットおよび CPU稼働率)機能強化はトラフィックプロファイルによって変わるかもしれません。 VPN ヘッドエンドで SSL セッションのみ、または IPsec セッションのみが終了する場合は、このコマンドを使用すると VPN ヘッドエンドをさらに最適化できる可能性があります。 コマンドリファレンスは、以下で確認できます。 コマンド リファレンス, 現在の暗号 コア アロケーションを検討するために、コマンドを示します暗号アクセラレータ ロードバランスを実行して下さい。 このコマンドは暗号 利用の総量がデバイス処理が可能であることを示しません-各コアへの ssl または ipsec トラフィックの比率が割り当てられていることを示します。 デバイスの利用のおおよその量が上でセクションを高い CPU稼働率で参照し、プラットフォームのためのデータシートの値と計算された 値を比較すると見つけるため。, 大抵リモート アクセス SSLVPN を終える ASA プラットフォームでコマンド 暗号化エンジン アクセラレータ バイアス ssl と SSL を支持するために暗号 コア アロケーションが調整されることが、推奨されます。.

脱力タイムズ 竹内結子 動画 27, すきやばし次郎 豊洲 店主 8, 佐ノ山親方 里山 妻 12, みん 日 30課 活動 6, 硫黄島からの手紙 二宮 生きてる 8, 爆豪勝己 死ネタ 小説 9, デュエマ Gpプロモ 値段 4, ソウルブレイダー 光 の 神殿 4, 仕事 サボった 辞めたい 19, 一次関数 動点 台形 往復 9, ヨメサック サラダ レシピ 5, スター ジェッツ Miyu 5, テレワーク 孤独 解消 7, カローラ スポーツ Acc電源 43, News 妄想 小山慶一郎 6, Twice 高 画質 画像 15, Rp 医療 略語 39, ユニクロ 今田美桜 インスタ 14, カシミヤ 縮絨 率 7, マル ソウダガツオ レシピ 6, Ff7 アドベントチルドレン その後 4, あさひなぐ 映画 無料 動画 43, 白無垢 懐剣 自害 4, カーオン フルオート マグナ 30, ヒロミ ブログ 次男 11, 友へ チング ウンギ 10, 身体 の表面 が冷たい 4, イルカ 嫉妬 殺人 34, ソウルブレイダー 光 の 神殿 4, コナミ 競馬 メダルゲーム 5, 給与計算 エクセル 2020 12, 荻上チキ 名前 由来 50,

Leave a Reply

Your email address will not be published. Required fields are marked *