はじめに
本ドキュメントでは ASA で特定の group-policy に対し AnyConnect の利用時間を制限する方法についてご紹介いたします。
尚、AnyConnectの基本的な設定方法につきましては、以下のドキュメントを参考にして下さい。
Cisco AnyConnect Secure Mobility Client を使用して Remote Access VPN を行う際の設定 (1)
https://supportforums.cisco.com/ja/document/11936906
設定で利用するコマンド
利用時間の設定には time-range コマンドを利用し、vpn-access-hours コマンドにて group-policy に設定した期間を紐づけます。
vpn-access-hours
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/v.html#pgfId-1663143
では具体的に設定方法を確認していきましょう。
尚、本記事の設定は ASA5505 Software Version 9.2(1)、ASDM 7.5(1) を利用しています。
コマンドラインでの設定例
1) time-range コマンドにて許可する時間を指定します
この例では平日 9:00 - 18:00 の時間帯のみを許可する設定をしています。
設定する名前は "Weekdays-9:00-18:00" で設定しています。
ciscoasa(config)# time-range ?
configure mode commands/options:
WORD < 129 char Time range name
ciscoasa(config)# time-range Weekdays-9:00-18:00
ciscoasa(config-time-range)#
ciscoasa(config-time-range)# ?
Time range configuration commands:
absolute absolute time and date
exit Exit from time-range configuration mode
help Help for time-range configuration commands
no Negate a command or set its defaults
periodic periodic time and date
ciscoasa(config-time-range)#
ciscoasa(config-time-range)# periodic ?
trange mode commands/options:
Friday Friday
Monday Monday
Saturday Saturday
Sunday Sunday
Thursday Thursday
Tuesday Tuesday
Wednesday Wednesday
daily Every day of the week
weekdays Monday thru Friday
weekend Saturday and Sunday
ciscoasa(config-time-range)#
ciscoasa(config-time-range)# periodic weekdays 9:00 to 18:00
※ hh:mm (開始時間) to hh:mm (終了時間)の形式で設定します。
2) 設定が反映している事を確認します
ciscoasa(config-time-range)# sh run time-range
time-range Weekdays-9:00-18:00
periodic weekdays 9:00 to 18:00
3) 既存、あるいは、新規の group-policy に先ほど設定した期間を紐づけます。
この例では既存の Part-time という group-policy に紐づけます。
追加前:
ciscoasa(config-time-range)# sh run group-policy
group-policy Part-time internal
group-policy Part-time attributes
vpn-tunnel-protocol ssl-client
address-pools value vpn_users
設定を追加:
ciscoasa(config-time-range)# group-policy Part-time attributes
ciscoasa(config-group-policy)# vpn-access-hours value Weekdays-9:00-18:00
追加後:
ciscoasa(config-group-policy)# sh run group-policy Part-time
group-policy Part-time internal
group-policy Part-time attributes
vpn-access-hours value Weekdays-9:00-18:00
vpn-tunnel-protocol ssl-client
address-pools value vpn_users
ciscoasa(config-group-policy)#
上記設定完了後は group-policy ”Part-time” にて AnyConnect で接続するユーザーは平日 9:00 - 18:00 の時間帯以外は接続できなくなります。但し、上記時間帯の前に接続している場合には、そのまま切断されるまで接続されます。
利用時間を制限するその他の方法として AnyConnect のデフォルトの tcp ポート 443 に対し時間ベースのアクセス リストを設定する事で接続できなくする方法もあります。
(参考情報)
時間ベースのアクセス リスト
http://www.cisco.com/cisco/web/support/JP/111/1115/1115964_asa-82-port-forward-00-j.html#timebased
4)最後に ”write memory” で設定を保存します。
ASDM での設定例
(既存の Part-time という group-policy に紐づける設定例)
1) group-policy を選択します。
[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択し、内部グループ ポリシー Part-time を選択し "Edit"(新規作成 の場合には "Add" )をクリックします。
2) "Access Hours" の inherit のチェックを外し、"Manage" をクリックします。
3) "Browse Time Range" の Window から "Add" をクリックします。
4) "Add Time Range" の Window で、"Time Range Name" を入力後、"Recurring Time Ranges" で "Add" を選択します。
5) "Add Recurring Time Ranges" の Window で "Weekdays" を選択し、"Daily Start Time" と "Daily End Time" を指定し、OK をクリックします。
6) "Add Time Range" の Window に反映しているのを確認し、"OK" をクリックし、 "Edit Internal Group Policy" も同様に "OK" をクリックし、 [Group Policies] で "Apply" をクリックし適用します。
ミニ知識)
ASDM のメニューから Tool -> Preferences -> General タブの Communications の部分で "Preview comamnds before sending them to the device" にチェックを入れておくと ASDM で設定した情報が "Apply" をクリックした際、コマンドラインとして表示され確認する事ができます。
7) 最後に "Save" をクリックし設定を保存します。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
