AnyConnectのタイムアウト5種

自分用備忘録。

VPN Profile Editor側での設定値が1つと、ASA/FTD側で4つある。

AnyConnect Profile Editor側

Authentication Timeout
=> 認証時のタイムアウト時間、デフォルトで30秒

設定箇所
=> Preference (Part 2) Authentication Timeout

ASA/FTD側

どの設定でもここまでは同じ

Max Connection Time
=> セッションが確立してからタイムアウトするまでの時間。セッション内で種々の操作を行っていても切れる。デフォ値は∞(Unlimited)。

Idle Timeout:

=> 操作無し時間が続いた時のセッションタイムアウト、VPN Profile Editorからは設定できない。デフォ値は30分。

設定箇所
=> Objects > Object Management > VPN > Group Policy > [Group Policy名] > Advanced > Connection Time

Authentication TimeoutとIdle Timeout

Dead Peer Detection(DPD) on Gateway side

=> DPDメッセージをクライアントとやりとりする。応答が来ないと、もう一度だけ投げてそれにも応答がなければセッションを切断する。

=> なお、1回目に応答がなかった際はWaiting to Resume modeに入り、次投げたメッセージで返ってきたときに素早く接続を回復できるようにしておく。

=> デフォ値は30秒、推奨値は300秒(5分)。

DPD on Client

=> Gateway sideと同じ。ただしWaiting to Resume modeはない。

=> デフォ値は30秒。推奨値も30秒。

◎設定箇所
=> Objects > Object Management > VPN > Group Policy > [Group Policy名] > AnyConnect > Connection Settings

DPD on Gateway side/Client

参考

Answer AnyConnect FAQ – Tunnels, DPDs, and Inactivity Timer

ASDM Book 3: Cisco Secure Firewall ASA Series VPN ASDM Configuration Guide, 7.18: Chapter: General VPN Setup

2.1 Cisco AnyConnect client-based, remote-access VPN technologies on Cisco ASA, CiscoFTD, and Cisco routers