Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA 8.x : Exemple de configuration d'un client VPN AnyConnect pour un VPN Internet public sur un stick

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (7 avril 2008) | Commentaires


Contenu


Introduction

Ce document décrit comment installer une appliance de sécurité adaptable (ASA) 8.0.2 pour exécuter le VPN SSL sur un bâton avec le Cisco AnyConnect VPN Client. Cette configuration s’applique à un cas spécifique dans lequel l’ASA n’autorise pas la transmission tunnel partagée et où les utilisateurs se connectent directement à l’ASA avant d’être autorisés à accéder à Internet.

Remarque:  Afin d'éviter une superposition des adresses IP dans le réseau, affectez un groupe complètement différent d'adresses IP au client vpn (par exemple, 10.x.x.x, 172.16.x.x, et 192.168.x.x). Ce schéma d'adressage IP est utile afin de dépanner votre réseau.

Hairpinning ou demi-tour

Cette fonctionnalité est utile pour le trafic VPN qui entre dans interface, mais qui est ensuite routé hors de cette même interface. Par exemple, si vous avez un réseau VPN d'en étoile où les dispositifs de sécurité sont le hub et les réseaux VPN distants sont des rais, afin d'un a parlé pour communiquer avec un autre rai, trafiquent doit aller aux dispositifs de sécurité et alors de nouveau à l'autre a parlé.

Employez la commande du même-Sécurité-trafic afin de permettre au trafic pour écrire et quitter la même interface.

securityappliance(config)#same-security-traffic permit intra-interface

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • L'appliance de Sécurité du pivot ASA doit exécuter la version 8.x.

  • Cisco AnyConnect VPN Client 2.x

    Remarque: Téléchargez le paquet du client VPN d'AnyConnect (anyconnect-win*.pkg) depuis la page Téléchargement de logiciel Cisco (clients enregistrés seulement). Copiez le client VPN d'AnyConnect dans la mémoire flash de l'ASA qui doit être téléchargée sur les ordinateurs des utilisateurs distants afin d'établir la connexion VPN SSL avec l'ASA. Référez-vous à la section Installer le client d'AnyConnect du guide de configuration d'ASA pour plus d'informations.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • ASA de la gamme Cisco 5500 qui exécute le logiciel version 8.0(2)

  • Client VPN SSL Cisco AnyConnect version pour Windows 2.0.0343

  • PC qui exécute Microsoft Vista, Windows XP ou le Windows 2000 Professional

  • Cisco Adaptive Security Device Manager (ASDM) version 6.0(2)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Le Cisco AnyConnect VPN Client fournit les connexions sécurisées SSL au dispositif de sécurité pour des utilisateurs distants. Sans client installé précédemment, les utilisateurs distants saisissent dans leur navigateur l'adresse IP d'une interface configurée pour accepter les connexions VPN SSL. À moins que le dispositif de sécurité soit configuré pour rediriger des demandes de http:// à https://, les utilisateurs doivent saisir l'URL sous la forme https://<adresse>.

Après avoir saisi l'URL, le navigateur se connecte à cette interface et affiche l'écran d'ouverture de connexion. Si la connexion et l'authentification de l'utilisateur sont acceptées, et que l'appliance de sécurité identifie que l'utilisateur demande le client, il télécharge le client correspondant au système d'exploitation de l'ordinateur distant. Après téléchargement, le client s'installe et se configure automatiquement, établit une connexion SSL sécurisée et reste ou se désinstalle automatiquement (selon la configuration du dispositif de sécurité) quand la connexion se termine.

Avec un client installé précédemment, quand l'utilisateur s'authentifie, le dispositif de sécurité examine la révision du client et met à niveau le client selon les besoins.

Quand le client négocie une connexion VPN SSL avec le dispositif de sécurité, il se connecte en utilisant la Transport Layer Security (TLS), et sur option, la Datagram Transport Layer Security (DTLS). La DTLS permet d'éviter les problèmes de latence et de bande passante associés à certaines connexions SSL et d'améliorer les performances des applications en temps réel qui sont sensibles aux retards de paquet.

Le client d'AnyConnect peut être téléchargé depuis le dispositif de sécurité ou il peut être installé manuellement sur le PC distant par l'administrateur système. Pour plus d'informations sur l'installation manuelle du client, référez-vous au guide de l'administrateur de Cisco AnyConnect VPN Client.

Le dispositif de sécurité télécharge le client en fonction de la stratégie de groupe ou des attributs du nom d'utilisateur de l'utilisateur établissant la connexion. Vous pouvez configurer le dispositif de sécurité pour qu'il télécharge automatiquement le client ou vous pouvez le configurer pour qu'il demande à l'utilisateur distant s'il souhaite télécharger le client. Dans le dernier cas, si l'utilisateur ne répond pas, vous pouvez configurer le dispositif de sécurité pour qu'il télécharge le client après un délai d'attente ou qu'il présente la page de connexion.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/100918/asa8x-anyconnect-vpn-config1.gif

Remarque: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisés dans un environnement de laboratoire.leavingcisco.com

Configurations ASA 8.0(2) utilisant l'ASDM 6.0(2)

Ce document suppose que la configuration de base, telle que la configuration d'interface, est déjà faite et fonctionne correctement.

Remarque: Référez-vous à Permettre l'accès HTTPS pour l'ASDM afin de permettre l'ASA d'être configuré par l'ASDM.

Remarque: Commençant par la version 8.0(2), l'ASA prend en charge les deux sessions sans client de VPN SSL (webvpn) et sessions administratives ASDM simultanément sur le port 443 de l'interface extérieure. Dans les versions avant 8.0(2) webvpn et ASDM ne peut pas être activé sur la même interface ASA à moins que vous changiez les numéros de port. Référez-vous à ASDM et WebVPN activés sur la même interface d'ASA pour plus d'informations.

Terminez-vous ces étapes afin de configurer le VPN SSL sur un bâton dans l'ASA :

  1. Choisissez la configuration > installation de périphérique > des interfaces et cochent le trafic d'enable entre deux hôtes ou plus connectés dans la même case d'interface afin de permettre au trafic de VPN SSL pour écrire et quitter la même interface. Cliquez sur Apply.

    asa8x-anyconnect-vpn-config2.gif

    Configuration CLI équivalente :

    Cisco ASA 8.0(2)
    ciscoasa(config)#same-security-traffic permit intra-interface
    

  2. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Address Management > Address Pools > Add pour créer un pool d'adresses IP vpnpool.

    asa8x-anyconnect-vpn-config3.gif

  3. Cliquez sur Apply.

    Configuration CLI équivalente :

    Cisco ASA 8.0(2)
    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
    

  4. Activez WebVPN.

    1. Choisissez Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles et sous Access Interfaces, cliquez les cases à cocher Allow Access et Enable DTLS pour l'interface externe. En outre, cliquez la case à cocher Enable Cisco AnyConnect VPN Client ou legacy SSL VPN Client access on the interface selected in the table below afin d'activer le VPN SSL sur l'interface externe.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config4.gif

    2. Cliquez sur Apply.

    3. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > SSL VPN > Client Settings > Add afin d'ajouter l'image de Cisco AnyConnect VPN Client depuis la mémoire flash de l'ASA comme indiqué.

      asa8x-anyconnect-vpn-config5.gif

    4. Cliquez sur OK.

      asa8x-anyconnect-vpn-config6.gif

    5. Cliquez sur OK.

      asa8x-anyconnect-vpn-config7.gif

      Configuration CLI équivalente :

      Cisco ASA 8.0(2)
      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#svc enable
      

  5. Configurez la stratégie de groupe.

    1. Choisissez Configuration > Remote Access VPN > Network (Client) Access > Group Policies afin de créer une stratégie de groupe interne clientgroup. Sous l'onglet General, sélectionnez la case à cocher SSL VPN Client afin d'activer le WebVPN comme protocole de tunnellisation.

      asa8x-anyconnect-vpn-config8.gif

    2. Dans l'avancé > l'onglet de Segmentation de tunnel, choisissent le tunnel tous les réseaux de la liste déroulante de la stratégie afin de faire tous les paquets provenant l'ordinateur distant par un tunnel sécurisé.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config9.gif

    3. Configurez les configurations de VPN SSL sous le mode de stratégie de groupe.

      1. Pour l'option Keep Installer on Client System, désélectionnez la case à cocher Inherit, puis cliquez sur le bouton radio Yes.

        Cette action permet au logiciel de SVC pour demeurer sur l'ordinateur client. Par conséquent, il n'est pas nécessaire que l'ASA télécharge le logiciel SVC sur le client chaque fois qu'une connexion est établie. Cette option est un bon choix pour les utilisateurs distants qui accèdent souvent au réseau de l'entreprise.

        asa8x-anyconnect-vpn-config10.gif

      2. Cliquez sur Login Setting afin de paramétrer Post Login Setting et Default Post Login Selection comme indiqué.

        asa8x-anyconnect-vpn-config11.gif

      3. Pour l'option Renegotiation Interval, décochez la case Inherit, décochez la case à cocher Unlimited et saisissez le nombre de minutes jusqu'à une nouvelle saisie.

        La sécurité est améliorée en fixant des limites à la durée de validité d'une clé.

      4. Pour l'option Renegotiation Method, décochez la case à cocher Inherit et cliquez la case d'option SSL.

        La renégociation peut utiliser le tunnel SSL actuel ou un nouveau tunnel créé expressément pour la renégociation.

        asa8x-anyconnect-vpn-config12.gif

    4. Cliquez sur OK, puis sur Apply.

      asa8x-anyconnect-vpn-config13.gif

      Configuration CLI équivalente :

      Cisco ASA 8.0(2)
      ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policyclientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelall
      ciscoasa(config-group-policy)#webvpn
      ciscoasa(config-group-webvpn)#svc ask none default svc
      ciscoasa(config-group-webvpn)#svc keep-installer installed
      ciscoasa(config-group-webvpn)#svc rekey time 30
      ciscoasa(config-group-webvpn)#svc rekey method ssl
      

  6. Choisissez Configuration > Remote Access VPN > AAA Setup > Local Users > Add afin de créer un nouveau compte utilisateur ssluser1. Cliquez sur OK, puis sur Apply.

    asa8x-anyconnect-vpn-config14.gif

    Configuration CLI équivalente :

    Cisco ASA 8.0(2)
    ciscoasa(config)#username ssluser1 password asdmASA@

  7. Choisissez Configuration > Remote Access VPN > AAA Setup > AAA Servers Groups > Edit afin de modifier le groupe de serveurs par défaut LOCAL en cochant la case à cocher Enable Local User Lockout avec comme valeur de tentatives maximale 16.

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config15.gif

  8. Cliquez sur OK, puis sur Apply.

    Configuration CLI équivalente :

    Cisco ASA 8.0(2)
    ciscoasa(config)#aaa local authentication attempts max-fail 16
    

  9. Configurez le groupe de tunnels.

    1. Choisissez Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles Connection Profiles > Add afin de créer un nouveau groupe de tunnels sslgroup.

    2. Dans l'onglet Basic, vous pouvez exécuter la liste des configurations indiquée :

      • Donnez au groupe de tunnels le nom sslgroup.

      • Sous Client Address Assignment, choisir le pool d'adresses vpnpool dans la liste déroulante.

      • Sous Default Group Policy, choisir la stratégie de groupe clientgroup dans la liste déroulante.

      asa8x-anyconnect-vpn-config16.gif

    3. Sous l'onglet SSL VPN > Connection Aliases, spécifiez sslgroup_users comme nom d'alias du groupe et cliquez sur OK.

      asa8x-anyconnect-vpn-config17.gif

    4. Cliquez sur OK, puis sur Apply.

      Configuration CLI équivalente :

      Cisco ASA 8.0(2)
      ciscoasa(config)#tunnel-group sslgroup type remote-access
      ciscoasa(config)#tunnel-group sslgroup general-attributes
      ciscoasa(config-tunnel-general)#address-pool vpnpool
      ciscoasa(config-tunnel-general)#default-group-policy clientgroup
      ciscoasa(config-tunnel-general)#exit
      ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
      ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable
      

  10. Configurez NAT.

    1. Choisissez Configuration > Firewall > NAT Rules > Add Dynamic NAT Rule de façon à ce que le trafic venant de l'intérieur du réseau puisse être traduit avec l'adresse IP externe 172.16.1.5.

      asa8x-anyconnect-vpn-config18.gif

    2. Cliquez sur OK.

    3. Choisissez la configuration > le Pare-feu > les règles NAT > ajoutent la règle NAT dynamique pour le trafic provenant le réseau extérieur. 192.168.10.0 peut être traduit avec l'adresse IP extérieure 172.16.1.5.

      asa8x-anyconnect-vpn-config19.gif

    4. Cliquez sur OK.

      asa8x-anyconnect-vpn-config20.gif

    5. Cliquez sur Apply.

      Configuration CLI équivalente :

      Cisco ASA 8.0(2)
      ciscoasa(config)#global (outside) 1 172.16.1.5
      ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0
      ciscoasa(config)#nat (outside) 1 192.168.10.0 255.255.255.0
      

Configuration ASA 8.0(2) utilisant le CLI

Cisco ASA 8.0(2)
ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
 domain-name default.domain.invalid
same-security-traffic permit intra-interface


!--- Command that permits the SSL VPN traffic to enter and exit the same interface.


pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. 
!--- Note: Uses an RFC 1918 range for lab setup. 
!--- Apply an address from your public range provided by your ISP.


nat (inside) 1 0.0.0.0 0.0.0.0


!--- The NAT statement to define what to encrypt (the addresses from the vpn-pool).


nat (outside) 1 192.168.10.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface


 svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image

 
svc enable


!--- Enable the security appliance to download SVC images to remote computers

 
tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
 vpn-tunnel-protocol svc


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.


 webvpn
  svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate 
!--- the crypto keys and initialization vectors, increasing the security of the connection.

  
 svc rekey time 30


!--- Command that specifies the number of minutes from the start of the 
!--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey.


  svc ask none default svc

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Établir la connexion VPN SSL avec SVC

Exécutez ces étapes afin d'établir une connexion VPN SSL avec l'ASA :

  1. Saisissez l'URL ou l'adresse IP de l'interface WebVPN de l'ASA dans votre navigateur Web avec le format indiqué.

    https://url

    OU

    https://<IP address of the ASA WebVPN interface>

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config21.gif

  2. Saisissez votre nom d'utilisateur et votre mot de passe. En outre, choisissez votre groupe correspondant dans la liste déroulante comme indiqué.

    asa8x-anyconnect-vpn-config22.gif

    Cette fenêtre apparaît avant que la connexion VPN SSL ne soit établie.

    asa8x-anyconnect-vpn-config23.gif

    Remarque: Le logiciel ActiveX doit être installé sur votre ordinateur avant de télécharger le SVC.

    Vous obtenez cette fenêtre une fois que la connexion est établie.

    asa8x-anyconnect-vpn-config24.gif

  3. Cliquez sur le verrou qui apparaît dans la barre des tâches de votre ordinateur.

    Ces fenêtres apparaissent qui fournissent des informations au sujet de la connexion SSL. Par exemple, 192.168.10.1 est l'adresse IP attribuée par l'ASA, etc.

    asa8x-anyconnect-vpn-config25.gif

    asa8x-anyconnect-vpn-config26.gif

    asa8x-anyconnect-vpn-config27.gif

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

  • show webvpn svc — Affiche les images de SVC enregistrées dans la mémoire flash de l'ASA.

    ciscoasa#show webvpn svc
    1. disk0:/anyconnect-win-2.0.0343-k9.pkg 1
      CISCO STC win2k+
      2,0,0343
      Mon 04/23/2007  4:16:34.63
    
    1 SSL VPN Client(s) installed
    
  • show vpn-sessiondb svc — Affiche les informations sur les connexions SSL actuelles.

    ciscoasa#show vpn-sessiondb svc
    
    Session Type: SVC
    
    Username     : ssluser1               Index        : 12
    Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
    Protocol     : Clientless SSL-Tunnel DTLS-Tunnel
    Encryption   : RC4 AES128             Hashing      : SHA1
    Bytes Tx     : 194118                 Bytes Rx     : 197448
    Group Policy : clientgroup            Tunnel Group : sslgroup
    Login Time   : 17:12:23 IST Mon Mar 24 2008
    Duration     : 0h:12m:00s
    NAC Result   : Unknown
    VLAN Mapping : N/A                    VLAN         : none
  • show webvpn group-alias — Affiche l'alias configuré pour différents groupes.

    ciscoasa#show webvpn group-alias
    Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
    
  • Dans l'ASDM, choisissez la Monitoring > VPN > VPN Statistics > Sessions afin de connaître les sessions WebVPN actuelles dans l'ASA.

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config28.gif

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  1. vpn-sessiondb logoff name <username> — Commande pour fermer la session VPN SSL pour le nom d'utilisateur particulier.

    ciscoasa#vpn-sessiondb logoff name ssluser1
    Do you want to logoff the VPN session(s)? [confirm] Y
    INFO: Number of sessions with name "ssluser1" logged off : 1
    
    ciscoasa#Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xB000)
    

    De même, vous pouvez employer la commande vpn-sessiondb logoff svc afin de terminer toutes les sessions SVC.

    Remarque: Si le PC passe en mode veille ou veille prolongée, alors la connexion VPN SSL peut être terminée.

    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got message
    SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, e
    tc)
    Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xA000)
    
    ciscoasa#show vpn-sessiondb svc
    INFO: There are presently no active sessions
  2. debug webvpn svc <1-255> — Fournit les événements webvpn en temps réel afin d'établir la session.

    Ciscoasa#debug webvpn svc 7
    
    webvpn_rx_data_tunnel_connect
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 172.16.1.1'
    Processing CSTP header line: 'Host: 172.16.1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343'
    Processing CSTP header line: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343
    '
    Setting user-agent to: 'Cisco AnyConnect VPN Client 2, 0, 0343'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=16885952@40960@1206357612@08DBFFD6EEFA5BBA8DDF8001877A
    0C1345E2ECC7'
    Processing CSTP header line: 'Cookie: webvpn=16885952@40960@1206357612@08DBFFD6E
    EFA5BBA8DDF8001877A0C1345E2ECC7'
    Found WebVPN cookie: 'webvpn=16885952@40960@1206357612@08DBFFD6EEFA5BBA8DDF80018
    77A0C1345E2ECC7'
    WebVPN Cookie: 'webvpn=16885952@40960@1206357612@08DBFFD6EEFA5BBA8DDF8001877A0C1
    345E2ECC7'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: tacweb'
    Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
    Setting hostname to: 'tacweb'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-MTU: 1206'
    Processing CSTP header line: 'X-CSTP-MTU: 1206'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Address-Type: IPv4'
    Processing CSTP header line: 'X-CSTP-Address-Type: IPv4'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Master-Secret: 3C5E24D19C79486C5122F18E06C247F1B593DAC338D4A11
    1C34B83E620AEA28444B08F190AA5EA766B423A4B54FAB1B5'
    Processing CSTP header line: 'X-DTLS-Master-Secret: 3C5E24D19C79486C5122F18E06C2
    47F1B593DAC338D4A111C34B83E620AEA28444B08F190AA5EA766B423A4B54FAB1B5'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
    Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3
    -SHA:DES-CBC-SHA'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.10.1/255.255.255.0
    CSTP state = HAVE_ADDRESS
    SVC: NP setup
    np_svc_create_session(0xA000, 0xD41611E8, TRUE)
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    SVC ACL ID: -1
    vpn_put_uauth success!
    SVC IPv6 ACL Name: NULL
    SVC IPv6 ACL ID: -1
    SVC: adding to sessmgmt
    SVC: Sending response
    Unable to initiate NAC, NAC might not be enabled or invalid policy
    CSTP state = CONNECTED
    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got internal message
    Unable to initiate NAC, NAC might not be enabled or invalid policy
  3. Dans l'ASDM, choisissez Monitoring > Logging > Real-time Log Viewer > View afin de voir les événements en temps réel. Cet exemple affiche les informations de session entre le SVC 192.168.10.1 et le web server 10.2.2.2 en Internet par l'intermédiaire d'ASA 172.16.1.5.

    asa8x-anyconnect-vpn-config29.gif

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 100918