安全 : Cisco Adaptive Security Device Manager

在ASA的同一个接口和WebVPN启用的ASDM

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述如何访问Cisco Adaptive Security Device Manager (ASDM)和WebVPN门户,当他们两个在Cisco ASA 5500系列自适应安全设备时(ASA)的同一个接口启用。

注意本文对Cisco 500系列PIX防火墙是不适用的,因为它不支持WebVPN。

贡献用Atri巴苏, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

使用的组件

本文档中的信息根据Cisco 5500系列ASA。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

问题

在ASA版本中早于版本8.0(2), ASDM和WebVPN在ASA的同一个接口不可能启用,和两个在相同端口(443)侦听默认情况下。在版本8.0(2)和以上, ASA在外部接口的端口443支持无客户端同时安全套接字协议层(SSL) VPN (WebVPN)会话和ASDM管理会话。然而,当两服务一起时启用,一特定接口的默认URL在ASA总是默认为WebVPN服务。例如,请考虑此ASA配置data:

rtpvpnoutbound6# show run ip
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.150.172.46 255.255.252.0
!
interface Vlan3
 nameif dmz
 security-level 50
 ip address dhcp
!
interface Vlan5
 nameif test
 security-level 0
 ip address 1.1.1.1 255.255.255.255 pppoe setroute
!
rtpvpnoutbound6# show run web
webvpn
 enable outside
 enable dmz
 anyconnect image disk0:/anyconnect-win-3.1.06078-k9.pkg 1
 anyconnect image disk0:/anyconnect-macosx-i386-3.1.06079-k9.pkg 2
 anyconnect enable
 tunnel-group-list enable
 tunnel-group-preference group-url

rtpvpnoutbound6#  show run http
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 dmz
http 0.0.0.0 0.0.0.0 outside

rtpvpnoutbound6# show run tun
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool ap_fw-policy
 authentication-server-group ldap2
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 group-url https://rtpvpnoutbound6.cisco.com/admin enable
 without-csd

解决方案

为了解决此问题,您能使用适当的URL为了访问各自服务或更换服务访问的端口。

注意:与更加更高的解决方案的一个缺点是端口更改全局,因此每个接口是受更改的影响的。

请使用适当的URL

Problem部分提供的配置示例数据, ASA的外部接口可以由HTTPS到达通过这两个URL :

https://<ip-address> <=> https://10.150.172.46
https://<domain-name> <=> https://rtpvpnoutbound6.cisco.com

然而,如果尝试访问这些URL,当WebVPN服务启用时, ASA重定向您到WebVPN门户:

https://rtpvpnoutbound6.cisco.com/+CSCOE+/logon.html

为了访问ASDM,您能使用此URL :

https://rtpvpnoutbound6.cisco.com/admin

注意:如配置示例数据所显示,默认隧道组有一group-url定义与使用group-url enable命令的https://rtpvpnoutbound6.cisco.com/admin,应该与ASDM访问相冲突。然而, URL https:// <ip-address/domain>/admin为ASDM访问保留,并且,如果设置它在隧道组下,没有效果。您总是重定向对https:// <ip-address/domain>/admin/public/index.html。

更改每服务侦听的波尔特

此部分描述如何更换ASDM和WebVPN服务的端口。

更改HTTPS服务器服务的波尔特全局

完成这些步骤为了更换ASDM服务的端口:

  1. 使HTTPS服务器侦听在一个不同的端口为了更改与在ASA的ASDM服务涉及的配置,如显示此处:
    ASA(config)#http server enable <1-65535>

    configure mode commands/options:
    <1-65535> The management server's SSL listening port. TCP port 443 is the
    default.
    示例如下:
    ASA(config)#http server enable 65000
  2. 在您更改默认端口配置后,请使用此格式为了启动从一支持的Web浏览器的ASDM在安全工具网络:
    https://interface_ip_address:<customized port number>
    示例如下:
    https://192.168.1.1:65000

更改WebVPN服务的波尔特全局

完成这些步骤为了更换WebVPN服务的端口:

  1. 允许WebVPN侦听在一个不同的端口为了更改与在ASA的WebVPN服务涉及的配置:

    1. 启用在ASA的WebVPN功能:
      ASA(config)#webvpn
    2. 启用ASA的外部接口的WebVPN服务:
      ASA(config-webvpn)#enable outside
    3. 允许ASA听WebVPN在定制的端口号的流量:
      ASA(config-webvpn)#port <1-65535>

      webvpn mode commands/options:
      <1-65535> The WebVPN server's SSL listening port. TCP port 443 is the
      default.
    示例如下:
    ASA(config)#webvpn
    ASA(config-webvpn)#enable outside
    ASA(config-webvpn)#port 65010
  2. 在您更改默认端口配置后,请打开一支持的Web浏览器并且请使用此格式为了连接到WebVPN服务器:
    https://interface_ip_address:<customized port number>
    示例如下:
    https://192.168.1.1:65010

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118842