安全 : Cisco ASA 5500 系列自适应安全设备

VPN客户端和AnyConnect访客接入对本地LAN配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈

简介

本文描述如何允许Cisco VPN Client或Cisco AnyConnect安全移动客户端访问他们的本地LAN,当建立隧道到5500系列Cisco可适应的安全工具(ASA)时或5500-X系列的ASA。此配置通过IPsec、安全套接字协议层(SSL)或者互联网密钥交换版本2 (IKEv2)允许Cisco VPN Client或Cisco AnyConnect安全移动客户端安全访问对公司资源和仍然给客户端能力进行活动例如打印客户端查找的地方。如果允许,要发送到 Internet 的流量仍通过隧道传输到 ASA。

注意:此配置并非用于分割隧道,在分割隧道配置中,客户端可以在连接到 ASA 或 PIX 时对 Internet 进行未加密访问。请参阅 PIX/ASA 7.x:关于如何配置在ASA的分割隧道的信息允许分割隧道ASA配置示例的VPN客户端

贡献用古斯塔沃Medina和Atri巴苏, Cisco TAC工程师。

先决条件

要求

本文档假定 ASA 上已存在能够正常运行的远程访问 VPN 配置。

参考的PIX/ASA 7.x作为一个远程VPN服务器使用Cisco VPN Client的ASDM配置示例,如果一个人已经没有配置。

与AnyConnect SSL VPN客户端配置示例的参考的ASA 8.x VPN访问Cisco AnyConnect安全移动客户端的,如果一个人已经没有配置。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco ASA 5500系列版本9(2)1
  • Cisco Adaptive Security Device Manager (ASDM)版本7.1(6)
  • Cisco VPN客户端软件版本5.0.07.0440
  • Cisco AnyConnect安全移动客户端版本3.1.05152

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

网络图

客户端在典型的Small office/home office (SOHO)网络查找并且在互联网间连接到总部。

背景信息

不同于所有互联网数据流是发送的未加密的一个经典分割隧道方案,当您启用VPN客户端的时本地LAN访问,它允许那些客户端传达未加密用在他们查找的网络的仅设备。例如,允许本地LAN访问,当连接对从主页时的ASA能打印到其自己的打印机的客户端,但是不访问互联网,不用首先发送在通道的流量。

使用访问列表的目的是按分割隧道在 ASA 上的相似配置方式允许本地 LAN 访问。不过,在此种情况下,访问列表定义不应当加密哪些网络,而不是定义应当 加密哪些网络。并且,与分割隧道方案不同的是,此列表中的实际网络不必是已知网络。反而, ASA供应默认网络0.0.0.0/255.255.255.255,了解含义客户端的本地LAN。

注意:当客户端为本地LAN访问时连接并且配置,您在本地LAN不能名义上打印或浏览。但是,可以按 IP 地址浏览或打印。请参阅本文欲知更多信息以及应急方案Troubleshoot部分关于此情况。

配置VPN客户端或AnyConnect安全移动性客户端的本地LAN访问

请完成这些任务为了允许Cisco VPN Client或Cisco AnyConnect安全移动客户端对他们的本地LAN的访问,当连接对ASA时:

通过 ASDM 配置 ASA

请完成在ASDM的这些步骤为了允许VPN客户端得以进入本地LAN,当连接对ASA时:

  1. 选择Configuration>远程访问VPN >网络(客户端)访问>组策略并且选择您希望启用本地LAN访问的组策略。然后单击 Edit



  2. 先进>分割隧道



  3. 非选定策略的继承方框并且选择排除如下网络列表



  4. 非选定网络列表的继承方框然后单击设法为了启动访问控制表(ACL)管理器。



  5. 在 ACL Manager 中,选择 Add > Add ACL... 以创建新的访问列表。



  6. 为 ACL 提供一个名称,然后单击 OK



  7. 创建 ACL 之后,依次选择 Add > Add ACE... 以添加访问控制条目 (ACE)。



  8. 定义与客户端的本地 LAN 相对应的 ACE。

    1. 选择 Permit
    2. 选择 IP 地址 0.0.0.0
    3. 选择/32网络屏蔽。
    4. ((可选) 提供相应说明。
    5. 单击 Ok



  9. 单击 OK 以退出 ACL Manager。



  10. 请务必您创建为分割隧道网络列表选择的ACL。



  11. 单击 OK 以返回组策略配置。



  12. 单击 Apply,然后单击 Send(如果需要),以将命令发送到 ASA。

通过 CLI 配置 ASA

您可以在 ASA CLI 中完成以下步骤(而不是使用 ASDM),以便允许 VPN 客户端在连接到 ASA 时访问本地 LAN:

  1. 进入配置模式。

    ciscoasa>enable
    Password:
    ciscoasa#configure terminal
    ciscoasa(config)#


  2. 建立访问列表为了允许本地LAN访问。

    ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
    ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0


  3. 输入您希望修改的策略的组策略配置模式。

    ciscoasa(config)#group-policy hillvalleyvpn attributes
    ciscoasa(config-group-policy)#


  4. 指定分割隧道策略。在这种情况下,策略是排除指定的

    ciscoasa(config-group-policy)#split-tunnel-policy excludespecified


  5. 指定分割隧道访问列表。在本示例中,此列表为 Local_LAN_Access

    ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access


  6. 发出以下命令:

    ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes


  7. 将组策略与隧道组关联

    ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn


  8. 退出上述两种配置模式。

    ciscoasa(config-group-policy)#exit
    ciscoasa(config)#exit
    ciscoasa#


  9. 将配置保存到非易失性 RAM (NVRAM),并在系统提示指定源文件名时按 Enter

    ciscoasa#copy running-config startup-config

    Source filename [running-config]?
    Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

    3847 bytes copied in 3.470 secs (1282 bytes/sec)
    ciscoasa#

配置 Cisco VPN 客户端

在 VPN 客户端中完成以下步骤,以便允许客户端在连接到 ASA 时访问本地 LAN。

  1. 选择您的当前连接条目并且点击修改



  2. 转至 Transport 选项卡,并选中 Allow Local LAN Access。完成后,请单击 Save

配置Cisco AnyConnect安全移动客户端

为了配置Cisco AnyConnect安全移动客户端,参考建立与ASA 8.x的SVC部分的SSL VPN连接在 ASA 上允许 AnyConnect VPN 客户端使用分割隧道的配置示例)。

已分解排除隧道要求您启用在AnyConnect客户端的AllowLocalLanAccess。所有已分解排除隧道把视为本地LAN访问。为了使用分割隧道排除功能,您必须启用在AnyConnect VPN客户端首选的AllowLocalLanAccess首选。默认情况下,本地LAN访问禁用。 

为了允许本地LAN访问,并且已分解排除隧道,网络管理员在配置文件能启用它或用户在他们的首选设定能启用它(请参阅在下一部分的镜像)。如果分割隧道在安全网关启用和配置与分割隧道策略排除指定的策略,为了允许本地LAN访问,用户选择允许本地LAN复选框。 另外,如果本地LAN访问允许与<LocalLanAccess UserControllable= "真的" >true</LocalLanAccess>,您能配置VPN客户端配置文件。

用户首选项

这是您在首选选项卡应该做在Cisco AnyConnect安全移动客户端为了允许本地LAN访问的选择。

XML配置文件示例

这是示例如何配置与XML的VPN客户端配置文件。

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
</AnyConnectProfile>

验证

完成在这些部分的步骤为了验证您的配置。

连接VPN客户端或安全移动性客户端

联络您的VPN客户端对ASA为了验证您的配置。

  1. 从列表中选择连接条目,并单击 Connect



  2. 选择状态>统计信息…为了显示Details窗口的通道您能检查通道的特殊性和看到通信流的地方。在 Transport 部分中,您还可以查看是否已启用本地 LAN。



  3. 点击路由详细信息选项卡为了发现VPN客户端仍然访问本地访问的路由。

    在本示例中,向 VPN 客户端授予对 192.168.0.0/24 的本地 LAN 访问权限,而所有其他流量将被加密并通过隧道发送。

联络您的Cisco AnyConnect安全移动客户端对ASA为了验证您的配置。

  1. 从服务器列表选择您的连接项并且点击连接



  2. 选择Advanced窗口所有组件>统计信息的…为了显示隧道模式。 



  3. 点击路由详细信息选项卡为了发现Cisco AnyConnect安全移动客户端仍然访问本地访问的路由。

    在本例中,当其他流量在通道间时,加密并且发送客户端允许本地LAN访问到10.150.52.0/22和169.254.0.0/16。

查看VPN客户端日志或箭安全移动性客户端的

当检查 VPN 客户端日志时,您可以确定是否已设置允许本地 LAN 访问的参数。为了查看日志,点击在VPN客户端的Log选项。然后请单击日志设置为了调节什么被记录。在本示例中,IKE 设置为 3 - High,而所有其他日志元素都设置为 1 - Low。

Cisco Systems VPN Client Version 5.0.07.0440
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 6.1.7601 Service Pack 2

1 14:20:09.532 07/27/06 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- Output is supressed


18 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005D
Client sending a firewall request to concentrator

19 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client,
Capability= (Centralized Protection Policy).

20 14:20:14.188 07/03/14 Sev=Info/5 IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent,
Capability= (Are you There?).

21 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23 14:20:14.208 07/03/14 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28 14:20:14.208 07/03/14 Sev=Info/5 IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems,
Inc ASA5510 Version 9.2(1) built by root on Wed 2-Jun-14 14:45

!--- Local LAN access is permitted and the local LAN is defined.

29 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_INCLUDE_LOCAL_LAN (# of local_nets),
value = 0x00000001

30 14:20:14.238 07/03/14 Sev=Info/5 IKE/0x6300000F
LOCAL_NET #1
subnet = 192.168.0.0
mask = 255.255.255.0
protocol = 0
src port = 0
dest port=0

!--- Output is supressed.

Cisco AnyConnect 安全移动客户端

当您检查从诊断时的AnyConnect日志,并且报告工具(箭)捆绑,您能确定允许本地LAN访问的参数是否设置。

******************************************

Date : 11/25/2011
Time : 13:01:48
Type : Information
Source : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true



******************************************

通过 Ping 测试本地 LAN 访问

一个另外的方式测试VPN客户端仍然得以进入本地LAN,当建立隧道对VPN头端时将使用ping命令在Microsoft Windows line命令。这是示例客户端的本地LAN是192.168.0.0/24的地方,并且另一台主机是存在网络用192.168.0.3的IP地址。

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data&colon;

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

故障排除

本部分提供了可用于对配置进行故障排除的信息。

无法按名称打印或浏览

当 VPN 客户端已连接且已针对本地 LAN 访问配置后,在本地 LAN 上无法按名称打印或浏览。可以使用以下两种选择方法来处理此情况:

  • 按 IP 地址浏览或打印。

    • 为了浏览,而不是语法\ \共享名称,请使用x.x.x.x主机计算机的IP地址的语法\ \ x.x.x.x

    • 为了打印,请更改网络打印机的属性为了使用IP地址而不是名称。例如,请不要使用语法 \\sharename\printername,而应使用 \\x.x.x.x\printername,其中 x.x.x.x 为 IP 地址。


  • 创建或修改 VPN 客户端 LMHOSTS 文件。在Microsoft Windows PC的一Lmhosts文件允许您创建主机名和IP地址之间的静态映射。例如,LMHOSTS 文件可能如下所示:

    192.168.0.3 SERVER1192.168.0.4 SERVER2192.168.0.5 SERVER3


    在Microsoft Windows XP专业版, Lmhosts文件在%SystemRoot%\System32\Drivers\Etc查找。参考您的Microsoft文档或Microsoft知识库文章314108欲知更多信息。

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 70847