ネットワークエンジニアでフリーランスの日々

ネットワークエンジニアでフリーランスのサイトです

お問い合わせ

④ トンネルグループ作成(詳細版)

トンネルグループ=接続プロファイル。
クライアントが“どの入り口で入るか”を決め、割り当てるプールや適用するグループポリシー(権限セット)を関連付けます。

1) 基本形(最小構成)

! トンネルグループを作成(remote-access はAnyConnect/SSL VPN向け)
tunnel-group ANYCONNECT type remote-access

! 一般属性:アドレスプール・適用するグループポリシーを関連付け
tunnel-group ANYCONNECT general-attributes
 address-pool VPN_POOL
 default-group-policy ANYCONNECT_POLICY
  • tunnel-group <NAME> type remote-access
    AnyConnect 等のリモートアクセス用の入口を作成します。
  • address-pool
    ③で作成したクライアント用のIPプールを紐づけます。
  • default-group-policy
    ⑤で作るグループポリシー(DNS、Split-Tunnel、ACL 等の“権限セット”)を適用します。

2) 認証/アカウンティングを紐づけ(任意)

RADIUS 等のAAAサーバを使う場合の関連付けです(ローカル認証のみなら省略可)。

tunnel-group ANYCONNECT general-attributes
 authentication-server-group RADIUS-SRV
 accounting-server-group     RADIUS-SRV
  • authentication-server-group:ユーザ認証先
  • accounting-server-group:接続/切断の記録

事前に aaa-server RADIUS-SRV protocol radius... host <ip> key <secret> を定義しておきます。

3) WebVPN(AnyConnect)特有の属性(見え方/選び方)

クライアントの接続画面に出す“接続先名(グループ一覧の表示)”や、URLで直接このグループを選ばせる設定です。

tunnel-group ANYCONNECT webvpn-attributes
 group-alias "Company VPN" enable
 ! ポータルのプルダウンで表示される“名前”。enable で選択可能に。
 
 group-url https://vpn.example.com/anyconnect enable
 ! このURLでアクセスしたとき、このトンネルグループを自動選択
 ! (FQDNが使えるなら証明書(CN/SAN)と一致させるのがベター)
 
 anyconnect profiles AC_Profile disk0:/AnyConnectClientProfile.xml
 ! 任意:AnyConnectのクライアントプロファイル(XML)を配布

グループ選択の優先度(知っておくと便利)

  1. group-url で到達 → そのトンネルグループに確定
  2. ポータル/クライアントで group-alias を利用して手動選択
  3. どれでもなければ DefaultWEBVPNGroup が使用されがち(意図せぬ適用を避けるため、基本は自前のグループを明示)

4) 代表的な“2入口”構成(社内/委託でポリシー分け)

異なる権限セットを割り当てたい場合、トンネルグループを複数用意します。

! 社員向け
tunnel-group EMP type remote-access
tunnel-group EMP general-attributes
 address-pool VPN_POOL_EMP
 default-group-policy GP_EMP
tunnel-group EMP webvpn-attributes
 group-alias "Employees" enable
 group-url   https://vpn.example.com/emp enable

! 委託業者向け(より制限されたポリシー)
tunnel-group VENDOR type remote-access
tunnel-group VENDOR general-attributes
 address-pool VPN_POOL_VENDOR
 default-group-policy GP_VENDOR
tunnel-group VENDOR webvpn-attributes
 group-alias "Vendors" enable
 group-url   https://vpn.example.com/vendor enable
  • 入口(トンネルグループ)ごとに、割り当てるプールや適用ポリシーを変えられます。
  • 実際の通信許可・DNS・スプリットトンネル・同時接続数・VPNフィルタ(ACL)などはグループポリシー側で細かく制御します(⑤で設定)。

5) よく一緒に聞かれる“どっちに書く?”メモ

  • トンネルグループ:入口の“紐づけ”(IPプール/適用GP/AAA/URL/別名)
  • グループポリシー:権限セット(DNS、スプリットトンネル、VPNフィルタ、同時接続数、Dflt-Domain など)

例:vpn-tunnel-protocol ssl-clientsplit-tunnel-network-list value ACL_SPLITvpn-filter value ACL_VPNFILTERグループポリシー側で設定します。

6) 追加で役立つオプション

! ユーザーがどのグループで入っても、認証後に特定GPへ上書きする(AAAで返すClass属性が無い場合の逃げ)
tunnel-group ANYCONNECT general-attributes
 default-group-policy ANYCONNECT_POLICY

! クライアントプロファイルの維持(新旧環境混在時の再配布に便利)
tunnel-group ANYCONNECT webvpn-attributes
 anyconnect keep-installer installed

7) 動作確認・表示

show run tunnel-group ANYCONNECT
show tunnel-group ANYCONNECT
show vpn-sessiondb anyconnect

まとめ

  • ④では“入口(トンネルグループ)”を作り、どのプールを配るかどの権限セット(グループポリシー)を当てるか、どうやってその入口を選ばせるか(URL/別名)を定義します。
  • 実際のアクセス可否やDNS/経路などの“ふるまい”は⑤のグループポリシーで決めます。