30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (28 août 2009) | Commentaires


Contenu


Introduction

Ce document décrit comment installer un routeur de Cisco IOS® pour exécuter le VPN SSL sur un bâton avec le Cisco AnyConnect VPN Client utilisant le Cisco Configuration Professional (CCP). Cette configuration s’applique à un cas spécifique dans lequel le routeur n’autorise pas la transmission tunnel partagée et où les utilisateurs se connectent directement au routeur avant d’être autorisés à accéder à Internet.

Le technologie VPN SSL ou WebVPN est prise en charge sur les plate-formes de routeur IOS suivantes :

CCP est un outil de gestion des périphériques basé sur GUI vous permettant de configurer les routeurs d’accès basés sur Cisco IOS, y compris les routeurs à services intégrés Cisco, les routeurs de la gamme Cisco 7200 et le routeur Cisco 7301. CCP s’installe sur un PC et simplifie la configuration du routeur, de la sécurité, des communications unifiées, du réseau WAN sans fil ainsi que la configuration LAN de base, à l’aide d’assistants conviviaux basés sur GUI.

Les routeurs commandés avec CCP sont livrés avec Cisco Configuration Professional Express (CCP Express) installé dans la mémoire Flash du routeur. CCP Express est une version light de CCP. Vous pouvez utiliser CCP Express pour configurer les fonctions de sécurité de base sur les interfaces LAN et WAN du routeur. CCP Express est disponible dans la mémoire Flash du routeur.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

Remarque: Les informations contenues dans ce document ont été créées à partir des périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

ssl-ios-01.gif

Tâches de préconfiguration

  1. Vous devez configurer le routeur pour CCP.

    Les routeurs possédant la licence de sécurité appropriée ont déjà l’application CCP chargée en Flash. Pour obtenir et configurer le logiciel, reportez-vous au Guide de démarrage rapide Cisco Configuration Professional.

  2. Téléchargez une copie du fichier Anyconnect VPN .pkg sur votre ordinateur de gestion.

Configurer Anyconnect VPN sur IOS

Cette section vous indique les étapes nécessaires pour configurer les fonctionnalités décrites dans ce document. Cet exemple de configuration utilise l’assistant CCP pour activer le fonctionnement de Anyconnect VPN sur le routeur IOS.

Exécutez ces étapes afin de configurer Anyconnect VPN sur le routeur Cisco IOS :

  1. Installer et activer le logiciel Anyconnect VPN sur le routeur Cisco IOS

  2. Configurer un contexte VPN SSL et une passerelle VPN SSL à l’aide de l’assistant CCP

  3. Configurer la base de données utilisateur pour les utilisateurs d’Anyconnect VPN

  4. Configurer les ressources à présenter aux utilisateurs

Étape 1. Installez et activez le logiciel Anyconnect VPN sur le routeur IOS

Pour installer et activer le logiciel Anyconnect VPN sur le routeur IOS, effectuez les étapes suivantes :

  1. Ouvrez l’application CCP, accédez à Configure > Security, puis cliquez sur VPN.

  2. Développez SSLVPN, puis sélectionnez Packages.

    /image/gif/paws/110608/ssl-ios-02.gif

  3. Dans le logiciel client Cisco SSLVPN, cliquez sur Browse.

    La boîte de dialogue « Install SSL VPN Client Package » (Installer le package client VPN SSL) s’affiche.

    /image/gif/paws/110608/ssl-ios-03.gif

  4. Spécifiez l’emplacement de l’image Cisco AnyConnect VPN Client.

    • Si l’image Cisco Anyconnect VPN se trouve dans la mémoire Flash du client, cliquez sur la case d'option Router File System, puis cliquez sur Browse.

    • Si l’image Cisco Anyconnect VPN Client ne se trouve pas dans la mémoire Flash du routeur, cliquez sur la boîte de dialogue My Computer, puis cliquez sur Browse.

    La boîte de dialogue File Selection (Sélection de fichier) s’affiche.

    ssl-ios-04.gif

  5. Sélectionnez l’image client que vous souhaitez installer, puis cliquez sur OK.

    ssl-ios-05.gif

  6. Une fois que vous avez spécifié l’emplacement de l’image client, cliquez sur Install.

  7. Cliquez sur Yes, puis cliquez sur OK.

  8. Une fois l’image client correctement installée, le message suivant s’affiche :

    /image/gif/paws/110608/ssl-ios-06.gif

  9. Cliquez sur OK pour continuer.

Étape 2. Configurez un contexte SSLVPN et la passerelle SSLVPN avec l'assistant CCP

Exécutez les étapes suivantes pour configurer un contexte VPN SSL et une passerelle VPN SSL :

  1. Accédez à Configure > Security > VPN, puis cliquez sur SSL VPN.

  2. Cliquez sur SSL VPN Manager (Gestionnaire VPN SSL), puis cliquez sur l’onglet Create SSL VPN (Créer VPN SSL).

    /image/gif/paws/110608/ssl-ios-07.gif

  3. Cliquez sur la case d’option Create a New SSL VPN, puis cliquez sur Launch the selected task.

    La boîte de dialogue de l’Assistant VPN SSL s’affiche.

    /image/gif/paws/110608/ssl-ios-08.gif

  4. Cliquez sur Next (Suivant).

    /image/gif/paws/110608/ssl-ios-09.gif

  5. Saisissez l’adresse IP de la nouvelle passerelle VPN SSL, puis saisissez un nom unique pour ce contexte VPN SSL.

    Vous pouvez créer différents contextes VPN SSL pour la même adresse IP (passerelle VPN SSL), cependant, chaque nom doit être unique. Cet exemple utilise l’adresse IP suivante : https://172.16.1.1/

  6. Cliquez sur Next, puis passez à l’Étape 3.

Étape 3. Configurez la base de données utilisateur pour des utilisateurs d'Anyconnect VPN

Pour l’authentification, vous pouvez utiliser un serveur AAA, des utilisateurs locaux ou les deux. Cet exemple de configuration utilise des utilisateurs créés localement pour l’identification.

Effectuez les étapes suivantes pour configurer la base de données utilisateur pour les utilisateurs d’Anyconnect VPN :

  1. Une fois que vous avez terminé l’Étape 2, cliquez sur la case d’option Locally on this router située dans la boîte de dialogue User Authentication de l’Assistant SSL VPN.

    /image/gif/paws/110608/ssl-ios-10.gif

    Cette boîte de dialogue vous permet d’ajouter des utilisateurs à la base de données locale.

  2. Cliquez sur Add, puis saisissez les informations utilisateur.

    /image/gif/paws/110608/ssl-ios-11.gif

  3. Cliquez sur OK, puis ajoutez des utilisateurs supplémentaires selon les besoins.

  4. Après avoir ajouté les utilisateurs nécessaires, cliquez sur le bouton Next, puis passez à l’Étape 4.

Étape 4. Configurez l'Anyconnect Full Tunnel

Exécutez les étapes suivantes pour configurer le tunnel complet Anyconnect ainsi que le pool d’adresses IP pour les utilisateurs :

  1. Anyconnect offre un accès direct aux ressources Intranet d’entreprise ; il n’est donc pas nécessaire de configurer la liste d’URL. Cliquez sur le bouton Next situé dans la boîte de dialogue Configure Intranet Websites.

    /image/gif/paws/110608/ssl-ios-12.gif

  2. Vérifiez que la case Enable Full Tunnel est cochée.

    ssl-ios-17.gif

  3. Créez un pool d’adresses IP pouvant être utilisé par les clients de ce contexte VPN SSL.

    Le pool d’adresses doit correspondre aux adresses disponibles et routables sur votre Intranet.

  4. Cliquez sur les ellipses () à côté du champ de groupe d'adresse IP, et choisissez créent un nouveau pool d'IP.

  5. Dans la boîte de dialogue Add IP Local Pool, saisissez un nom pour le pool (par exemple, nouveau), puis cliquez sur Add.

    /image/gif/paws/110608/ssl-ios-18.gif

  6. Dans la boîte de dialogue Add IP address range, saisissez la plage de pool d’adresses pour les clients Anyconnect VPN, puis cliquez sur OK.

    Remarque: Pour les versions antérieures à 12.4(20)T, le pool d’adresses IP doit se trouver dans la plage d’une interface directement connectée au routeur. Si vous voulez utiliser une plage différente de groupe, vous pouvez créer une adresse de bouclage associée avec votre nouveau groupe pour répondre à cette exigence.

  7. Cliquez sur OK.

  8. Assurez-vous que la case Install Full Tunnel Client est cochée.

    ssl-ios-19.gif

  9. Configurez les options de tunnel avancées, notamment la transmission de tunnel partagée, le partage de DNS, les paramètres de proxy du navigateur ainsi que les serveurs DNS et WNS.

    Remarque: Cisco vous recommande de configurer au minimum les serveurs DNS et WINS.

      Exécutez les étapes suivantes pour configurer les options de tunnel avancées :

    1. Cliquez sur le bouton Advanced Tunnel Options (Options de tunnel avancées).

    2. Cliquez sur l’onglet DNS and WINS Servers, puis saisissez les adresses IP principales des serveurs DNS et WINS.

      ssl-ios-19a.gif

    3. Pour configurer la transmission tunnel partagée, cliquez sur l’onglet Split Tunneling (Transmission tunnel partagée).

      ssl-ios-19b.gif

      La possibilité de transmettre du trafic sécurisé comme du trafic non sécurité sur la même interface est connue sous le nom de transmission tunnel partagée. Pour la transmission tunnel partagée, vous devez spécifier exactement quel est le trafic sécurisé ainsi que sa destination afin que seul le trafic spécifié accède au tunnel alors que le reste du trafic est transmis non chiffré sur le réseau public (Internet).

      Pour obtenir un exemple, reportez-vous à ASA 8.x : Exemple de configuration : Autoriser la transmission de tunnel partagée pour AnyConnect VPN Client sur ASA qui fournit des instructions pas à pas sur la méthode permettant d’autoriser les clients Cisco AnyConnect VPN à accéder à Internet alors qu’ils sont dirigés vers un appareil Cisco Adaptive Security Appliance (ASA) 8.0.2.

  10. Après avoir configuré les options nécessaires, cliquez sur Next.

  11. Personnaliser la page SSL VPN Portal ou sélectionner les valeurs par défaut.

    L’option Customize SSL VPN Portal Page vous permet de personnaliser l’affichage de la page SSL VPN Portal pour vos clients.

    /image/gif/paws/110608/ssl-ios-20.gif

  12. Après avoir personnalisé la page du portail VPN SSL, cliquez sur Next.

  13. Cliquez sur Finish (Terminer).

    ssl-ios-21.gif

  14. Cliquez sur Deliver pour sauvegarder votre configuration, puis cliquez sur OK.

    L’Assistant VPN SSL soumet vos commandes au routeur.

    ssl-ios-22.gif

    Remarque: Si vous recevez un message d’erreur, la licence VPN SSL peut être incorrecte.

    Pour corriger le problème de licence, exécutez les étapes suivantes :

    1. Accédez à Configure > Security > VPN, puis cliquez sur SSL VPN.

    2. Cliquez sur SSL VPN Manager, puis cliquez sur l’onglet Edit SSL VPN situé à droite.

      /image/gif/paws/110608/ssl-ios-23.gif

    3. Mettez le contexte que vous venez de créer en surbrillance, puis cliquez sur le bouton Edit (Modifier).

      /image/gif/paws/110608/ssl-ios-24.gif

    4. Dans le champ « Maximum Number of users » (Nombre maximal d’utilisateurs), saisissez le nombre correct d’utilisateurs de votre licence.

    5. Cliquez sur OK, puis cliquez sur Deliver.

      Vos commandes sont enregistrées dans le fichier de configuration.

Configuration CLI

CCP crée les configurations de ligne de commande suivantes :

Routeur
Router#show run
Building configuration...

Current configuration : 4110 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging buffered
enable password cisco
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-1951692551
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1951692551
 revocation-check none
 rsakeypair TP-self-signed-1951692551
!
!
crypto pki certificate chain TP-self-signed-1951692551
 certificate self-signed 02
  3082023E 308201A7 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31393531 36393235 3531301E 170D3039 30383037 31303538
  33345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39353136
  39323535 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100CD40 156E21C4 4F84401A F5674319 CC05B708 72A79C69 90997D30 6F556A37
  75FC53DA AB0B43AF 70E7DBC2 C9416C4B 009C3695 67C20847 4F0BC7B0 715F0518
  5E558DFC 13A20167 5D169C47 3BC083C9 A2B66790 79B83814 5008EBF6 169FA897
  6D955F46 2BDADBB0 5275F07E C124CCF3 64DD9CE1 1B6F5744 282E4EA5 A0840385
  5FD90203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603
  551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 05F279A9
  C556AF46 C5F7A1F0 2ADD2D22 F75BF7B7 301D0603 551D0E04 16041405 F279A9C5
  56AF46C5 F7A1F02A DD2D22F7 5BF7B730 0D06092A 864886F7 0D010104 05000381
  81004886 D666121E 42862509 CA7FDACC 9C57C8BE EB6745FC 533A8C08 FEF2C007
  274374EE 803823FB 79CFD135 2B116544 88B5CFB1 B7BB03E2 F3D65A62 B0EE050A
  924D3168 98357A5B E1F15449 5C9C22D0 577FB036 A3D8BB08 5507C574 18F2F48F
  0694F21C 0983F254 6620FCD7 8E460D29 B09B87E8 ADC3D589 F4D74659 A5CEA30F 1A9C
        quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
!
multilink bundle-name authenticated
!
!
!
username test privilege 15 password 0 test
username tsweb privilege 15 password 0 tsweb
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.77.241.111 255.255.255.192
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description $ES_LAN$
 ip address 172.16.1.1 255.255.255.0
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface ATM0/0/0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Vlan1
 no ip address
!
ip local pool new 192.168.10.1 192.168.10.10
ip forward-protocol nd
ip route 10.20.10.0 255.255.255.0 172.16.1.2
ip route 10.77.233.0 255.255.255.0 10.77.241.65
ip http server
ip http authentication local
ip http secure-server
!
!
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
 transport input telnet ssh
 transport output telnet
!
scheduler allocate 20000 1000
!
webvpn gateway gateway_1
 ip address 172.16.1.1 port 443
 http-redirect port 80
 ssl trustpoint TP-self-signed-1951692551
 inservice
 !
webvpn install svc flash:/webvpn/svc_1.pkg sequence 1
 !
webvpn context sales
 secondary-color white
 title-color #CCCC66
 text-color black
 ssl authenticate verify all

 !
 !
 policy group policy_1
   
   functions svc-enabled
   
   svc address-pool "new"
   svc dns-server primary 10.1.1.1
   svc wins-server primary 10.1.1.2
 default-group-policy policy_1
 aaa authentication list ciscocp_vpn_xauth_ml_1
 gateway gateway_1
 max-users 10
 inservice
!
end

Établir la connexion AnyConnect VPN Client

Exécuter ces étapes pour établir une connexion AnyConnect VPN avec le routeur.

Remarque: Dans Internet Explorer, ajoutez un routeur à la liste des sites de confiance. Pour plus d’informations, reportez-vous à Ajout d’un appareil de sécurité/routeur à la liste des sites de confiance (IE).

  1. Dans votre navigateur, saisissez l’URL ou l’adresse IP de l’interface WebVPN du routeur au format indiqué.

    https://<url>

    OU

    https://<IP address of the Router WebVPN interface>

    ssl-ios-25.gif

  2. Saisissez votre nom d’utilisateur et votre mot de passe.

    ssl-ios-26.gif

  3. Cliquez sur le bouton Start pour initialiser la connexion de tunnel Anyconnect VPN.

    ssl-ios-27.gif

  4. Cette fenêtre apparaît avant que la connexion VPN SSL ne soit établie.

    ssl-ios-28.gif

    Remarque: Le logiciel ActiveX doit être installé sur votre ordinateur avant de télécharger Anyconnect VPN.

    Le message Connection Established une fois le client connecté avec succès.

    ssl-ios-29.gif

  5. Une fois la connexion correctement établie, cliquez sur l’onglet Statistics (Statistiques).

    L’onglet Statistics (Statistiques) affiche des informations relatives à la connexion SSL.

    ssl-ios-30.gif

  6. Cliquez sur Details (Détails).

    La boîte de dialogue Cisco AnyConnect VPN Client : La boîte de dialogue Statistics Detail s’affiche.

    ssl-ios-31.gif

    La boîte de dialogue Statistics Details affiche les informations statistiques détaillées sur la connexion, notamment l’état et le mode du tunnel, la durée de la connexion, le nombre d’octets et de trames envoyés et reçus, les informations relatives à l’adresse, les informations relatives au transport ainsi que l’état d’évaluation de position Cisco Secure Desktop. Le bouton Reset de cet onglet permet de réinitialiser les statistiques de transmission. Le bouton « Export » (Exporter) vous permet d’exporter les statistiques, l’interface et la table de routage actuelles dans un fichier texte. Le client AnyConnect vous invite à saisir un nom et à sélectionner un emplacement pour le fichier texte. Le nom par défaut est AnyConnect-ExportedStats.txt et l’emplacement par défaut se trouve sur le bureau.

  7. Dans la boîte de dialogue Cisco AnyConnect VPN Client, cliquez sur l’onglet About (À propos).

    Cet onglet affiche les informations relatives à la version de Cisco AnyConnect VPN Client.

    ssl-ios-32.gif

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Commandes

Plusieurs commandes show sont associées au WebVPN. Vous pouvez exécuter ces commandes dans l’interface de ligne de commande (CLI) afin d’afficher les statistiques et autres informations. Pour obtenir des informations détaillées à propos des commandes show, reportez-vous à Vérification de la configuration de WebVPN.

Remarque: L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Dépannez

Utilisez cette section pour dépanner votre configuration.

Problème de connectivité SSL

Problème : Les clients VPN SSL ne peuvent pas se connecter au routeur.

Solution : Un nombre insuffisant d’adresses IP dans le pool d’adresses IP peut être à l’origine du problème. Pour résoudre ce problème, augmentez le nombre d’adresses IP dans le pool d’adresses IP du routeur.

Pour plus d’informations sur le dépannage d’AnyConnect VPN Client, reportez-vous à FAQ sur AnyConnect VPN Client.

Erreur : SSLVPN Package SSL-VPN-Client : installed Error: Disque

Problème : Vous recevez cette erreur lorsque vous installez un package SVC sur un routeur : SSLVPN Package SSL-VPN-Client : installed Error: Disque.

Solution : Un reformatage de la mémoire Flash peut résoudre cette erreur.

Dépannage des commandes

Plusieurs commandes clear sont associées à WebVPN. Pour obtenir des informations détaillées à propos de ces commandes, reportez-vous à Utilisation des commandes Clear WebVPN.

Plusieurs commandes debug sont associées à WebVPN. Pour obtenir des informations détaillées à propos de ces commandes, reportez-vous à Utilisation des commandes Debug WebVPN.

Remarque: L’utilisation des commandes debug peut avoir un impact négatif sur votre périphérique Cisco. Avant d'utiliser les commandes debug, référez-vous à la section Informations importantes sur les commandes Debug.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 110608