Embed Size (px)
Citation preview
CSD、DAP との ASA VPN ポスチャとAnyConnect 4.0 の設定例 目次
概要前提条件要件使用するコンポーネントトポロジーおよびフロー設定ASAステップ 1 基本 SSL VPN 設定ステップ 2 CSD インストールステップ 3 DAP ポリシーISE確認CSD および AnyConnect プロビジョニング対応ポスチャの AnyConnect VPN セッション-非対応ポスチャの AnyConnect VPN セッション-トラブルシューティングAnyConnect 投げ矢参考資料Cisco サポート コミュニティ - 特集対話
概要
この設定例は ASA で終了されるリモート VPN セッションのためのポスチャを行う方法を示します。 ポスチャは HostScan モジュールが付いている Cisco Secure Desktop を使用して ASA によってローカルで実行された。 VPN セッションが設定された後対応ステーションは完全なネットワーク アクセスを、非対応限られた 1 許可されます。
また CSD および AnyConnect は 4.0 提供フロー示されます。
前提条件
要件
次の項目に関する知識が推奨されます。
Cisco ASA VPN 設定●
Cisco AnyConnect セキュア モビリティ クライアント●
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
Microsoft Windows 7●
Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア、バージョン 9.3 または それ 以降
●
Cisco Identity Services Engine (ISE)ソフトウェア、バージョン 1.3 および それ 以降●
Cisco AnyConnect セキュア モビリティ クライアント、Vesion 4.0 およびそれ以降●
Cisco Secure Desktop、バージョン 3.6 または それ 以降●
トポロジーおよびフロー
団体ポリシーは次です:
ファイル c:\test.txt をリモート VPN ユーザは(対応)持っている内部会社リソースへの完全なネットワーク アクセスがあるはずです
●
ファイル c:\test.txt をリモート VPN ユーザは(非対応)持っていない内部会社リソースへのネットワーク アクセスを制限する必要があります: 治療サーバ 1.1.1.1 へのアクセスだけ提供する必要があります。
●
ファイル プロシージャは簡単な例です。 他のどの条件(ウイルス対策、antispyware、プロセス、アプリケーション、レジストリ)も使用できます。
フローは次です:
リモートユーザに AnyConnect がインストールしましたありません。 彼らは CSD およびAnyConnect プロビジョニングのための ASA Webページにアクセスします(VPN プロファイルと共に)
●
AnyConnect 非対応ユーザによって接続は限られたネットワーク アクセスと許可されます。ダイナミックアクセス ポリシー(DAP)呼出された FileNotExists は一致します。
●
ユーザは治療を(手動でファイル c:\test.txt をインストールして下さい)行い、AnyConnectを使用して再度接続します。 今回完全なネットワーク アクセスは提供されます(FileExistsと呼ばれた DAP ポリシーは一致します)。
●
HostScan モジュールはエンド ポイントで手動でインストールすることができます。 サンプルファイル(hostscan-win-4.0.00051-pre-deploy-k9.msi)は CCO で共有されます。 しかしそれはまた ASA から押すことができます。 HostScan は ASA から提供できる CSD の一部です。 第 2 アプローチはこの例で利用すること。
AnyConnect のより古いバージョンに関しては(3.1 および前に) CCO (例で利用可能な別途のパッケージがありました: hostscan_3.1.06073-k9.pkg は AnyConnect バージョン 4.0 のために)別々に設定され、提供されたかもしれないかどれが ASA で(「csd hostscan イメージ」コマンドを使用して) -そのオプションもう存在 しませんが。
設定
ASA
ステップ 1 基本 SSL VPN 設定
ASA は基本的な遠隔 VPN アクセス(SSL)と前もって構成されます。
webvpn
enable outside
no anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy AllProtocols internal
group-policy AllProtocols attributes
vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless
tunnel-group TAC type remote-access
tunnel-group TAC general-attributes
address-pool POOL
authentication-server-group ISE3
default-group-policy AllProtocols
tunnel-group TAC webvpn-attributes
group-alias TAC enable
ip local pool POOL 192.168.1.10-192.168.1.20 mask 255.255.255.0
aaa-server ISE3 protocol radius
aaa-server ISE3 (inside) host 10.1.1.100
key *****
AnyConnect パッケージはダウンロードされ、使用されました。
ステップ 2 CSD インストール
それに続く設定は ASDM を使用して行われます。 CSD は点滅するためにダウンロードされ、設定から参照される必要があります実装します:
Secure Desktop をイネーブルにすることなしで DAP ポリシーで CSD 属性を利用することはできません:
Secure Desktop マネージャの下の CSD 複数のオプションをイネーブルにした後現われます。 そのうちのいくつかが既に非難されていること知識のあってであって下さい。 非推奨機能に関する詳細は見つけることができます:
Secure Desktop (地下)、キャッシュ洗剤、キーストローク ロガー検出およびホスト エミュレ
ーション検出のための機能非推奨表記
HostScan はまだ、ルールが追加されている新しい基本的な HostScan フルサポートされます。c:\test.txt のプロシージャは確認されます。
また追加高度エンド ポイント アセスメント ルールは追加されています:
は Symantec ノートン・アンチウイルス 20.x および Microsoft Windows ファイアウォール 7.ポスチャ モジュール(HostScan)の存在があるように確認していることそれらの値をチェックしますしかしそこに施行ではないです(DAP ポリシーはそれを確認しません)。
ステップ 3 DAP ポリシー
DAP ポリシーは条件として HostScan によって収集されるデータを使用する役割があり、その結果 VPN セッションに特定の属性を適用します。 ASDM からの DAP ポリシーを作成するため: リモートアクセス VPN - > Clientless SSL VPN アクセス- > ダイナミックアクセス ポリシー:
最初ポリシー(FileExists)は設定された VPN プロファイル(VPN によってプロファイル設定使用されるグループ名を明確にするために省略されましたチェックします)。 それから追加ファイル c:\test.txt があるように実行された確認して下さい:
その結果操作は割り当て接続へのデフォルト設定と実行された。 ACL は使用されていません-完全なネットワーク アクセスは提供されます。
ファイル チェックのための詳細:
第 2 ポリシー(FileNonExists)は類似したですが、-ファイルが」存在 しない場合今回状態は「あります。
結果に設定される access-list ACL1 があります。 それは限られたネットワーク アクセスを提供し
ている非対応 VPN ユーザ向けに適用します。
DAP ポリシーは両方とも AnyConnect アクセスのために押しています:
ISE
Identity Services Engine はユーザ認証のために使用されます。 ネットワークデバイス(ASA)および正しいユーザ名だけ(cisco)設定する必要があります。 その一部はこの技術情報でカバーされません。
確認
CSD および AnyConnect プロビジョニング
始まりユーザで AnyConnect クライアントと提供されません。 ユーザはまたポリシーと対応しません(ファイル c:\test.txt はありません)。 https://10.62.145.45 を入力することは Cisco SecureDesktop インストールのためにすぐにリダイレクトされ、:
それは Java か ActiveX を使用してすることができます。 報告されている CSD がインストールされていれば:
それからユーザは認証のためにリダイレクトされています:
設定されたプロファイルと共に AnyConnect が展開されれば成功すれば-再度 ActiveX か Java は使用することができます:
そして VPN 接続は確立されています:
AnyConnect のための第一歩はポスチャ チェック(HostScan)を行い、ASA へレポートを送ることです:
それから AnyConnect は VPN セッションを認証し、終えます:
対応ポスチャの AnyConnect VPN セッション-非
新しい VPN セッションを AnyConnect を使用して設定するとき第一歩は上でスクリーン ショットで示されるようにポスチャ(HostScan)です。 それから認証は行われ、VPN セッションは設定されます:
ASA は HostScan レポートが受け取られていることを報告します:
%ASA-7-716603: Received 4 KB Hostscan data from IP <10.61.87.251>
それからユーザ認証を行います:
%ASA-6-113004: AAA user authentication Successful : server = 10.62.145.42 : user = cisco
そしてその VPN セッションのための許可を開始します。 「デバッグ DAP トレース 255" 持っていることが「を c:\test.txt」のプロシージャに関する情報をイネーブルにしたときにファイルは戻されています:
DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].exists="false"
DAP_TRACE: endpoint.file["1"].exists = "false"
DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].path="c:\test.txt"
DAP_TRACE: endpoint.file["1"].path = "c:\\test.txt"
また Microsoft Windows ファイアウォールに関する情報:
DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].exists="false"
DAP_TRACE: endpoint.fw["MSWindowsFW"].exists = "false"
DAP_TRACE[128]:
dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].description="Microsoft Windows
Firewall"
DAP_TRACE: endpoint.fw["MSWindowsFW"].description = "Microsoft Windows Firewall"
DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].version="7"
DAP_TRACE: endpoint.fw["MSWindowsFW"].version = "7"
DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].enabled="failed"
DAP_TRACE: endpoint.fw["MSWindowsFW"].enabled = "failed"
そして Symantec ウイルス対策(HostScan によって前に設定されたエンド ポイント アセスメント ルールを進めました)。
その結果 DAP ポリシーは一致されています:
DAP_TRACE: Username: cisco, Selected DAPs: ,FileNotExists
AnyConnect を使用するためにポリシーは強制して、またことユーザ向けに制限ネットワーク アクセスを提供する access-list ACL1 を適用します(団体ポリシーと対応)。
DAP_TRACE:The DAP policy contains the following attributes for user: cisco
DAP_TRACE:--------------------------------------------------------------------------
DAP_TRACE:1: tunnel-protocol = svc
DAP_TRACE:2: svc ask = ask: no, dflt: svc
DAP_TRACE:3: action = continue
DAP_TRACE:4: network-acl = ACL1
ログは DAP ポリシーによって使用できる ACIDEX 拡張をまた示しま(また更に ISE にRADIUS要求で通じておよび条件として許可ルールで使用されます):
endpoint.anyconnect.clientversion = "4.0.00051";
endpoint.anyconnect.platform = "win";
endpoint.anyconnect.devicetype = "innotek GmbH VirtualBox";
endpoint.anyconnect.platformversion = "6.1.7600 ";
endpoint.anyconnect.deviceuniqueid =
"A1EDD2F14F17803779EB42C281C98DD892F7D34239AECDBB3FEA69D6567B2591";
endpoint.anyconnect.macaddress["0"] = "08-00-27-7f-5f-64";
endpoint.anyconnect.useragent = "AnyConnect Windows 4.0.00051";
その結果 VPN セッションはしかし制限ネットワーク アクセスと稼働しています:
ASAv2# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 4
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 11432 Bytes Rx : 14709
Pkts Tx : 8 Pkts Rx : 146
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : AllProtocols Tunnel Group : TAC
Login Time : 11:58:54 UTC Fri Dec 26 2014
Duration : 0h:07m:54s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0add006400004000549d4d7e
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 4.1
Public IP : 10.61.87.251
Encryption : none Hashing : none
TCP Src Port : 49514 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : win
Client OS Ver: 6.1.7600
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 5716 Bytes Rx : 764
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 4.2
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 49517
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 5716 Bytes Rx : 2760
Pkts Tx : 4 Pkts Rx : 12
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : ACL1
DTLS-Tunnel:
Tunnel ID : 4.3
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 52749
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 24 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 0 Bytes Rx : 11185
Pkts Tx : 0 Pkts Rx : 133
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : ACL1
ASAv2# show access-list ACL1
access-list ACL1; 1 elements; name hash: 0xe535f5fe
access-list ACL1 line 1 extended permit ip any host 1.1.1.1 (hitcnt=0) 0xe6492cbf
AnyConnect 履歴はポスチャ プロセスのための詳細なステップを説明します:
12:57:47 Contacting 10.62.145.45.
12:58:01 Posture Assessment: Required for access
12:58:01 Posture Assessment: Checking for updates...
12:58:02 Posture Assessment: Updating...
12:58:03 Posture Assessment: Initiating...
12:58:13 Posture Assessment: Active
12:58:13 Posture Assessment: Initiating...
12:58:37 User credentials entered.
12:58:43 Establishing VPN session...
12:58:43 The AnyConnect Downloader is performing update checks...
12:58:43 Checking for profile updates...
12:58:43 Checking for product updates...
12:58:43 Checking for customization updates...
12:58:43 Performing any required updates...
12:58:43 The AnyConnect Downloader updates have been completed.
12:58:43 Establishing VPN session...
12:58:43 Establishing VPN - Initiating connection...
12:58:48 Establishing VPN - Examining system...
12:58:48 Establishing VPN - Activating VPN adapter...
12:58:52 Establishing VPN - Configuring system...
12:58:52 Establishing VPN...
12:58:52 Connected to 10.62.145.45.
対応ポスチャの AnyConnect VPN セッション-
c:\test.txt ファイルを作成した後フローは類似したです。 AnyConnect 新しいセッションが始められればログはファイルのプロシージャを示します:
%ASA-7-734003: DAP: User cisco, Addr 10.61.87.251: Session Attribute
endpoint.file["1"].exists="true"
%ASA-7-734003: DAP: User cisco, Addr 10.61.87.251: Session Attribute
endpoint.file["1"].path="c:\test.txt"
そしてその結果別の DAP ポリシーは使用されています:
DAP_TRACE: Username: cisco, Selected DAPs: ,FileExists
ポリシーはネットワークトラフィックのための制限として ACL を課しません。
そしてセッションは ACL (完全なネットワーク アクセス)なしに稼働しています:
ASAv2# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 5
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 11432 Bytes Rx : 6298
Pkts Tx : 8 Pkts Rx : 38
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : AllProtocols Tunnel Group : TAC
Login Time : 12:10:28 UTC Fri Dec 26 2014
Duration : 0h:00m:17s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0add006400005000549d5034
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 5.1
Public IP : 10.61.87.251
Encryption : none Hashing : none
TCP Src Port : 49549 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 6.1.7600
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 5716 Bytes Rx : 764
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 5.2
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 49552
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 5716 Bytes Rx : 1345
Pkts Tx : 4 Pkts Rx : 6
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 5.3
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 54417
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 0 Bytes Rx : 4189
Pkts Tx : 0 Pkts Rx : 31
Pkts Tx Drop : 0 Pkts Rx Drop : 0
また Anyconnect は報告しま HostScan がであることをアイドル状態および次のスキャン要求を待っています:
ASAv2# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 5
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 11432 Bytes Rx : 6298
Pkts Tx : 8 Pkts Rx : 38
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : AllProtocols Tunnel Group : TAC
Login Time : 12:10:28 UTC Fri Dec 26 2014
Duration : 0h:00m:17s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0add006400005000549d5034
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 5.1
Public IP : 10.61.87.251
Encryption : none Hashing : none
TCP Src Port : 49549 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 6.1.7600
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 5716 Bytes Rx : 764
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 5.2
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 49552
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 5716 Bytes Rx : 1345
Pkts Tx : 4 Pkts Rx : 6
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 5.3
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 54417
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 0 Bytes Rx : 4189
Pkts Tx : 0 Pkts Rx : 31
Pkts Tx Drop : 0 Pkts Rx Drop : 0
ISE と統合ポスチャ モジュールを使用するために再査定に関してはそれは助言しました:
トラブルシューティング
AnyConnect 投げ矢
AnyConnect は診断を提供します:
であるかどれが AnyConnect すべてのログをデスクトップで ZIP ファイルに収集し、保存します。 ZIP ファイルは含まれていること Cisco AnyConnect セキュア モビリティ クライアント/Anyconnect.txt をログオンします。
それは ASA についての情報を要求しています data&colon を収集するように HostScan を提供します;
Date : 12/26/2014
Time : 12:58:01
Type : Information
Source : acvpnui
Description : Function: ConnectMgr::processResponseString
File: .\ConnectMgr.cpp
Line: 10286
Invoked Function: ConnectMgr::processResponseString
Return Code: 0 (0x00000000)
Description: HostScan request detected.
それから倍数は他のログ CSD がインストールされていることを明らかにします。 これはポスチャと共に AnyConnect CSD プロビジョニングおよびそれに続く接続のための例です:
CSD detected, launching CSD
Posture Assessment: Required for access
Gathering CSD version information.
Posture Assessment: Checking for updates...
CSD version file located
Downloading and launching CSD
Posture Assessment: Updating...
Downloading CSD update
CSD Stub located
Posture Assessment: Initiating...
Launching CSD
Initializing CSD
Performing CSD prelogin verification.
CSD prelogin verification finished with return code 0
Starting CSD system scan.
CSD successfully launched
Posture Assessment: Active
CSD launched, continuing until token is validated.
Posture Assessment: Initiating...
Checking CSD token for validity
Waiting for CSD token validity result
CSD token validity check completed
CSD Token is now valid
CSD Token validated successfully
Authentication succeeded
Establishing VPN session...
ASA と AnyConnect 間の通信はそれを行えます、特定のチェックだけ行う ASA 要求-AnyConnect ダウンロード追加データ最適化されます(たとえば特定のウイルス対策確認)。
TAC のケースをオープンした場合「show tech」と共に投げ矢ログを接続すれば「ASA からのDAP トレース 255" をデバッグして下さい。
参考資料
ホスト スキャンおよびポスチャ モジュールの設定- Cisco AnyConnect セキュア モビリティクライアント 管理者ガイド
●
ホスト スキャンの設定- Cisco Secure Desktop コンフィギュレーション ガイド●
Cisco ISE コンフィギュレーション ガイドのポスチャ サービス●
Cisco ISE 1.3 アドミニストレータ ガイド●
テクニカル サポートとドキュメント – Cisco Systems●
