残念ながら XPmode の経験が無いのですが、調べると 7 上の 仮想マシンのように動作するもののようですね

もしそうであれば、ホスト OS(7) の NIC で NAT するような動作モードであれば VPN のトンネルの中を XP

のトラフィックが流れそうな気がします。

調べているとネットワークのモードが何種類かあるようなので、こちらの設定を Shared Networking(NAT) に

して試してみたらいかがでしょうか。

>  ルータやUC等の場合、暗号化処理がソフトウェアの為、いろんなネットワークサービスの役割をはたしている場合

>  スループットにも影響 があるのでしょうか？なにか指標の基準となるリソース管理の情報があればよいのですが

仰るように、サービス等さまざまな要因によりリソースが逼迫し、ルータのスループットに影響を及ぼす可能性は

ありますので、心当たりのあるサービス等があるようであれば、切り分けのために一度無効にしてみて動作を確認

頂くこともいいかもしれません。

Ryosuke Usami  さんは、お使いの環境での VPN のスループットが低いという問題を抱えているようですが、700Kbps

というのは、具体的にはどのように測定した速度でしょうか？

もし、ルータや ASA  がボトルネックになっているようであれば、スループットが出ていないと感じているときに、何度か

show tech を取得いただき、そのエラーカウンタ等の数字を比較することでスループットが出ていない原因となっている

箇  所が特定できるかもしれませんので一度ご確認いただければと思います。

原因となっている箇所が分かれば対処可能かも  しれません。

お問い合わせありがとうございます。 荒井です。

Anyconnect に限った話ではないのですが、一部の端末でのみ問題が発生するという状況で

原因としてもっとも疑われるのは、他のソフトウェアないしは、一部 OS の設定との競合となります。

そのため、有効な対処方法は、問題の発生している要因・規模にも依存すると思いますが、現時点

でご案内できる一番簡単な対応策は、(ありきたりとなりますが) OS クリーンインストールになるとま

す。早急な対応が必要で、かつ規模的に許されるようであれば、ご検討ください。

お客様の環境で発生している問題の規模が大きく、上記の対応が現実的ではないときには、クリー

ンインストール済みの端末を用意いただき、ソフトウェアインストール(ないしは設定変更)を一つずつ

行う等の切り分けを実施いただき、問題の発生している/いないを分ける条件を洗い出すことが有効

だと思います。

切り分けの結果、Anyconnect と競合している可能性のあるものが絞り込めましたら、そのサポー

ト(弊社であれば TAC)にコンタクトいただくとともに、弊社 TAC にケースオープンしてください。

TAC にお問い合わせいただく際には、ひとまず Anyconnect の DART bundle と、念のため

msinfo を取得いただくとともに、それまでに実施された切り分けの項目ならびのその結果を添えて

いただければ助かります。

DART の取得方法は、下記のマニュアルの、8章 "AnyConnect セッションの管理、モニタリング、

およびトラブルシューティング" をご参照ください。

http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/sec/avpnc/avcag3/OL-20841-01-J.pdf

どうぞよろしくお願い致します。

残念ながら、現時点では Cisco VPN Client on win7 は、ワイヤレスのデータカードをサポートしておりません。

※参照 URL:

http://www.cisco.com/en/US/docs/security/vpn_client/cisco_vpn_client/vpn_client5007/release/notes/vpnclient5007.html#wp45722

これは、ドライバ周辺の問題のためとなるので、VPN client ならびにデータカードの機種およびドライバの

バージョンに依存し動作が異なる可能があります。

なお、どうしても解決しない場合、以後、弊社サポートの対象外となりますが、DNE を最新のものに

upgrade 頂くことで事象が改善される可能性もゼロではありません。

http://www.citrix.com/lang/English/lp/lp_1680845.asp

繰り返しになりますが、推奨ではありませんので、あくまでも own risk にてお願い致します。

また、DNE の manual upgrade に関してのお手伝いもできませんし、その後発生しうる問題につき

ましても責任は持てませんのでその点ご留意下さいます様お願い致します。

ご回答有難うございます。

上記の内容は理解しました。

検証中ですので、お教え頂いた方法を一度試してみようと思います。

話は変わりますが、Windows7の環境でデータカードによるVPNを実現する場合、御社のソリューションとしては

どのようになりますか。

今後のインフラの参考に教えて頂ければ幸いです。

ご確認ありがとうございます。

別段 3G データカードを使用する環境に限った話ではないのですが、製品ロードマップとしては

Anyconnect VPN Client  x  ASA  が弊社のソリューションとなります。

下記 URL の通り、Anyconnect では 3G データカード使用環境でも動作いたします。

============================================================================

http://www.cisco.com/en/US/customer/docs/security/vpn_client/anyconnect/anyconnect25/release/notes/anyconnect25rn.html#wp1087829

============================================================================

該当箇所 : "AnyConnect is compatible with 3G data cards which  interface with Windows 7 via a WWAN adapter. "

ご検討いただけるとうれしいです。

ご回答有難うございます。

＞なお、どうしても解決しない場合、以後、弊社サポートの対象外となりますが、DNE を最新のものに

＞upgrade 頂くことで事象が改善される可能性もゼロではありません。

＞

＞http://www.citrix.com/lang/English/lp/lp_1680845.asp

ひとまず、お教え頂いた方法で接続出来ました。

＞別段 3G データカードを使用する環境に限った話ではないのですが、製品ロードマップとしては

＞Anyconnect VPN Client  x  ASA  が弊社のソリューションとなります。

PIXについは、長年問題なく運用できて来たのでハードウェア保守継続が出来る間はと考えておりましたが、

今後の事も考えて、Replaceなど一度検討してみます。

ご報告ありがとうございます。

何とかお役に立てたようで安心しました。

弊社の VPN CLient に新しい DNE が導入される時期、またその可能性の有無につきましては

現時点では公開されている情報はございませんが、仮にそのような状況となりましたら、

Release-Note に記載されるかと思いますので、定期的にご確認いただければと思います。

Cisco VPN Client- Release Notes-

http://www.cisco.com/en/US/products/sw/secursw/ps2308/prod_release_notes_list.html

それではまた何かありましたらよろしくお願い致します。

はい。複数の Anyconnect の Image を一台の ASA に収容可能です。

http://www.cisco.com/en/US/customer/docs/security/asa/asa83/configuration/guide/svc.html#wp1094561

上の URL に乗っていたサンプルですが、CLI ですとこんな感じの設定になります。

svc image filename order

hostname(config-webvpn)#  svc image  anyconnect-win-2.3.0254-k9.pkg 1

hostname(config-webvpn)#  svc image  anyconnect-macosx-i386-2.3.0254-k9.pkg 2

hostname(config-webvpn)#  svc image  anyconnect-linux-2.3.0254-k9.pkg 3

よろしくお願いします。

ページに含まれるソースの構文解析を行い、書き換えを行うという clientless SSL VPN の

仕組み上、すべてのページが正常に表示できるという保障はなく、表示がうまくいかない

ページに対しては  SmartTunnel の機能で回避いただくというのがもっとも簡単な対策となります。

今回は残念ながら、SmartTunnel が要件に合わないということで、回避が難しい状況ですが、

構 文解析にかんする機能改善も漸次追加されておりますので、一度 ASA の version を

最新のものに upgrade  いただくこともご検討いただければと思います。

どうしても解決しない場合には、TAC にケースオープンいただければ、原因の特定、ASA 側で

改 修が可能かの調査・検討を実施しますが、さまざまな理由で修正を行うことが難しい可能性

があります。

下記の URL にある backup server を定義することで要件を満たせるかも知れないと考え、

少ししらべてみました。

http://www.cisco.com/en/US/partner/docs/security/vpn_client/anyconnect/anyconnect25/administration/guide/ac03features.html#wp1275170

しかし、残念ながら、現行の実装では、backup server への切り替わりは、primary への

N/W 接続が失われることだけのようで、radius 認証失敗のような AAA issue では切り替

わりのトリガーとはならないようでした。

そのため、片方の Radius サーバで障害が発生したときに "自動で" 接続先の ASA を

切り替えるのは、今の実装ではできないのではないかと思います。

server-list を複数定義いただいて、接続に失敗するときには、手動で接続先を切り替える

ような運用で対処いただければ幸いです。

よろしくお願いします

ご回答ありがとうございました。

ご提示いただいた運用方法やACSの冗長化を検討することにします。