Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 7.2 (2): Пример настройки SSL клиента VPN (SVC) для общедоступного Интернета "on a stick"

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (26 сентября 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как установить Устройство адаптивной защиты (ASA) 7.2.2 для выполнения VPN SSL на палке. Эта настройка применяется к конкретному случаю, в котором ASA не позволяет разделенное туннелирование, и пользователи соединяются непосредственно с ASA, прежде чем им разрешат перейти к Интернету.

Примечание: В версии ASA 7.2.2 внутриинтерфейсное ключевое слово команды режима конфигурации разрешения на same-security-traffic позволяет всему трафику вводить и выходить из того же интерфейса (не просто Трафик IPSec).

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Устройство адаптивной защиты (ASA) серии 5500 Cisco, которое работает под управлением ПО версии 7.2 (2)

  • Версия Cisco SSL VPN Client для Windows 1.1.4.179

  • ПК, который выполняет Windows 2000 Professional или Windows XP

  • Cisco Adaptive Security Device Manager (ASDM) версия 5.2 (2)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Клиент SSL VPN (SVC) является технологией туннелирования VPN, которая приносит удаленным пользователям пользу VPN-клиента IPSec без потребности в администраторах сети, чтобы установить и настроить VPN-клиентов IPSec на удаленных компьютерах. SVC использует SSL encryption, который уже присутствует на удаленном компьютере, а также входе в систему WebVPN и аутентификации устройства безопасности.

Для установления сеанса SVC удаленный пользователь вводит IP-адрес интерфейса WebVPN устройства безопасности в браузере и подключения браузера к тому интерфейсу и отображает экран входа в систему WebVPN. Если пользователь удовлетворяет вход в систему и аутентификацию, и устройство безопасности определяет пользователя как требование SVC, устройство безопасности загружает SVC к удаленному компьютеру. Если устройство безопасности определяет пользователя как наличие опции для использования SVC, устройство безопасности загружает SVC к удаленному компьютеру при представлении ссылки на экране user для пропуска установки SVC.

Когда соединение завершается, после загрузки SVC устанавливает и настраивает себя, и затем SVC или остается или деинсталлирует себя (в зависимости от конфигурации) от удаленного компьютера.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-01.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918 , которые были использованы в лабораторной среде. leavingcisco.com

ASA 7.2 (2) конфигурации Использование ASDM 5.2 (2)

Этот документ предполагает, что базовые конфигурации, такие как конфигурация интерфейса, уже сделаны и работающий должным образом.

Примечание: Сведения о том, как разрешить настройку ASA с помощью ASDM см. в документе Включение HTTPS-доступа для ASDM.

Примечание: Нельзя включать WebVPN и ASDM на одном и том же интерфейсе ASA, если не изменены номера портов. Для получения дополнительных сведений обратитесь к документу Включение ASDM и WebVPN на одном и том же интерфейсе ASA.

Выполните эти шаги, чтобы настроить каскадную сеть VPN на основе SSL на устройстве ASA:

  1. Выберите Configuration> Interfaces и проверьте Разрешать трафик между двумя или больше хостами, связанными с той же коробкой проверки интерфейса, чтобы позволить трафику VPN SSL вводить и выходить из того же интерфейса.

  2. Нажмите кнопку Apply.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-02.gif

    Примечание: Вот команда эквивалентной конфигурации CLI:

    Cisco ASA 7.2 (2)
    ciscoasa(config)#same-security-traffic permit intra-interface
    

  3. Выберите Configuration> VPN> IP Address Management> IP Pools> Add для создания пула IP-адреса, названного vpnpool.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-03.gif

  4. Нажмите кнопку Apply.

    Примечание: Вот команда эквивалентной конфигурации CLI:

    Cisco ASA 7.2 (2)
    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254
    

  5. Включенный WebVPN:

    1. Выберите Configuration> VPN> WebVPN> WebVPN Access и выберите внешний интерфейс.

    2. Нажмите Enable.

    3. Проверьте Разрешать Выпадающий список Туннельной группы на флажке WebVPN Login Page, чтобы позволить пользователям выбирать свои соответствующие группы из Страницы входа.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-04.gif

    4. Нажмите кнопку Apply.

    5. Выберите Configuration> VPN> WebVPN> SSL VPN Client> Add для добавления образа VPN-клиента SSL (SVC) от флэш-памяти ASA.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-05.gif

    6. Нажмите кнопку ОК.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-06.gif

    7. Нажмите кнопку ОК.

    8. Нажмите флажок SSL VPN Client.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-07.gif

    Примечание: Вот команды эквивалентной конфигурации CLI:

    Cisco ASA 7.2 (2)
    ciscoasa(config)#webvpn
    ciscoasa(config-webvpn)#enable outside
    ciscoasa(config-webvpn)#svc image disk0:/sslclient-win-1.1.4.179.pkg 1
    ciscoasa(config-webvpn)#tunnel-group-list enable
    ciscoasa(config-webvpn)#svc enable
    

  6. Настройте групповую политику:

    1. Выберите Configuration> VPN> General> Group Policy> Add (Internal Group Policy) для создания внутренней групповой политики, названной clientgroup.

    2. Нажмите Вкладку Общие и установите флажок WebVPN для включения WebVPN как протокола туннелирования.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-08.gif

    3. Нажмите вкладку Client Configuration, и затем нажмите вкладку General Client Parameters.

    4. Выберите Tunnel All Networks из выпадающего списка Политики раздельных туннелей для создания всего маршрута пакетов от удаленного ПК до безопасного туннеля.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-09.gif

    5. Нажмите вкладку WebVPN> SSLVPN Client и выберите эти опции:

      1. В разделе "Use SSL VPN Client" снимите флажок Inherit и установите переключатель в положение Optional.

        Эта опция позволяет удаленному клиенту выбирать, загрузить ли SVC. Выбор Always гарантирует, что SVC будет загружаться на удаленную рабочую станцию во время каждого подключения SSL VPN.

      2. В разделе "Keep Installer on Client System" снимите флажок Inherit и установите переключатель в положение Yes

        Эта опция позволяет программному обеспечению SVC оставаться на клиентском компьютере. Тем самым ASA не придется загружать приложение SVC на клиентский ПК каждый раз при подключении. Такой выбор оптимален для удаленных пользователей, которые часто обращаются к корпоративной сети.

      3. В разделе "Renegotiation Interval" снимите флажки Inherit и Unlimited, после чего укажите время до смены ключа в минутах.

        Примечание: Задание лимита времени, в течение которого действителен ключ, повышает безопасность.

      4. В разделе "Renegotiation Method" снимите флажок Inherit и установите переключатель в положение SSL.

        Примечание: Пересмотр может использовать существующий туннель SSL или новый туннель, созданный в частности для пересмотра.

      Атрибуты SSL VPN Client должны быть настроены, как показано на рисунке:

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-10.gif

    6. Нажмите кнопку OK, а затем нажмите Apply.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-11.gif

    Примечание: Вот команды эквивалентной конфигурации CLI:

    Cisco ASA 7.2 (2)
    ciscoasa(config)#group-policy clientgroup internal
    ciscoasa(config)#group-policyclientgroup attributes
    ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn
    ciscoasa(config-group-policy)#split-tunnel-policy tunnelall
    ciscoasa(config-group-policy)#webvpn
    ciscoasa(config-group-webvpn)#svc required
    ciscoasa(config-group-webvpn)#svc keep-installer installed
    ciscoasa(config-group-webvpn)#svc rekey time 30
    ciscoasa(config-group-webvpn)#svc rekey method ssl
    

  7. Выберите Configuration> VPN>,> Users General> Добавляет для создания учетной записи нового пользователя ssluser1.

  8. Нажмите кнопку OK, а затем нажмите Apply.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-12.gif

    Примечание: Вот эквивалентная команда CLI:

    Cisco ASA 7.2 (2)
    ciscoasa(config)#username ssluser1 password asdmASA@
    

  9. Выберите Configuration> Properties> AAA Setup> AAA Servers Groups> Edit.

  10. Выберите ЛОКАЛЬНУЮ группу серверов по умолчанию, и нажмите Edit.

  11. В диалоговом окне Edit LOCAL Server Group нажмите Разрешать флажок Lockout Локального пользователя и войдите 16 в Максимальном текстовом поле Попыток.

  12. Нажмите кнопку ОК.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-13.gif

    Примечание: Вот эквивалентная команда CLI:

    Cisco ASA 7.2 (2)
    ciscoasa(config)#aaa local authentication attempts max-fail 16
    

  13. Настройте туннельную группу:

    1. Выберите Configuration> VPN> General> Tunnel Group> Add (доступ WebVPN) для создания новой туннельной группы, названной sslgroup.

    2. Нажмите Вкладку Общие, и затем нажмите вкладку Basic.

    3. Выберите clientgroup из выпадающего списка Групповой политики.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-14.gif

    4. Нажмите вкладку Client Address Assignment, и затем нажмите Add для присвоения пула доступного адреса vpnpool.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-15.gif

    5. Нажмите вкладку WebVPN, и затем нажмите вкладку Group Aliases и URL.

    6. Введите имя псевдонима в коробке параметра и нажмите Add для добавления его к списку имен групп на Странице входа.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-16.gif

    7. Нажмите кнопку OK, а затем нажмите Apply.

    Примечание: Вот команды эквивалентной конфигурации CLI:

    Cisco ASA 7.2 (2)
    ciscoasa(config)#tunnel-group sslgroup type webvpn
    ciscoasa(config)#tunnel-group sslgroup general-attributes
    ciscoasa(config-tunnel-general)#address-pool vpnpool
    ciscoasa(config-tunnel-general)#default-group-policy clientgroup
    ciscoasa(config-tunnel-general)#exit
    ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
    ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable
    

  14. Настройка NAT:

    1. Выберите Configuration> NAT> Add> Add Dynamic NAT Rule для разрешения трафика, который прибывает из внутренней сети, которая будет преобразована с использованием внешнего IP - адреса 172.16.1.5.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-17.gif

    2. Нажмите кнопку ОК.

    3. Выберите Configuration> NAT> Add> Add Dynamic NAT Rule для разрешения трафика, который прибывает из внешней сети 192.168.10.0, чтобы быть преобразованным с использованием внешнего IP - адреса 172.16.1.5.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-18.gif

    4. Нажмите кнопку ОК.

      http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-19.gif

    5. Нажмите кнопку Apply.

    Примечание: Вот команды эквивалентной конфигурации CLI:

    Cisco ASA 7.2 (2)
    ciscoasa(config)#global (outside) 1 172.16.1.5
    ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0
    ciscoasa(config)#nat (outside) 1 192.168.10.0 255.255.255.0
    

ASA 7.2 (2) конфигурация интерфейса командой строки

Cisco ASA 7.2 (2)
ciscoasa#show running-config
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface


!--- Command that permits the SSL VPN traffic to enter 
!--- and exit the same interface.


access-list 100 extended permit icmp any any
pager lines 24
mtu inside 1500
mtu outside 1500

ip local pool vpnpool 192.168.10.1-192.168.10.254


!--- The address pool for the SSL VPN Clients.


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. 
!--- Note: Uses an RFC 1918 range for lab setup. 
!--- Apply an address from your public range provided by your ISP.


nat (inside) 1 0.0.0.0 0.0.0.0


!--- The NAT statement to define what to encrypt 
!--- (the addresses from vpn-pool).


nat (outside) 1 192.168.10.0 255.255.255.0

access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:0
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:
timeout uauth 0:05:00 absolute
group-policy clientgroup internal


!--- Create an internal group policy "clientgroup."


group-policy clientgroup attributes
 vpn-tunnel-protocol webvpn


!--- Enable webvpn as tunneling protocol.


 split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.


 webvpn
  svc required
  

!--- Activate the SVC under webvpn mode


svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate 
!--- the crypto keys and initialization vectors, increasing the security of 
!--- the connection.


svc rekey time 30


--- Command that specifies the number of minutes from the start of the 
!--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey. 



username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create an user account "ssluser1."


aaa local authentication attempts max-fail 16


!--- Enable the AAA local authentication.


http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group sslgroup type webvpn


!--- Create a tunnel group "sslgroup" with type as WebVPN.


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created.


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created.


tunnel-group sslgroup webvpn-attributes

 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users.


telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface.


 svc image disk0:/sslclient-win-1.1.4.179.pkg 1


!--- Assign an order to the SVC image.


 svc enable


!--- Enable the security appliance to download SVC images to remote computers.


 tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa#

Установление соединение SSL VPN с SVC

Выполните эти шаги, чтобы установить VPN-подключение к ASA по протоколу SSL.

  1. Введите в Поле адреса web-браузера URL или IP-адрес для интерфейса WebVPN ASA.

    Например: :

    https://<IP address of the ASA WebVPN interface>

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-20.gif

  2. Введите собственное имя пользователя и пароль, и затем выберите соответствующую группу из выпадающего списка Группы.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-21.gif

    Примечание: Программное обеспечение ActiveX должно быть установлено в компьютере перед загрузкой VPN-клиента SSL (SVC).

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-22.gif

    Это диалоговое окно появляется, поскольку установлено соединение:

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-23.gif

    Это сообщение появляется, как только установлено соединение:

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-24.gif

  3. Как только соединение установлено, дважды нажмите желтый значок клавиши, который появляется в панели задач компьютера.

    Диалоговое окно Cisco Systems SSL VPN Client отображает информацию о подключении SSL.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-25.gif

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-26.gif

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-27.gif

Проверка.

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show webvpn svc — отображает образы SVC, записанные во флэш-памяти ASA.

    ciscoasa#show webvpn svc
    1. disk0:/sslclient-win-1.1.4.179.pkg 1
      CISCO STC win2k+ 1.0.0
      1,1,4,179
      Fri 01/18/2008 15:19:49.43
    
    1 SSL VPN Client(s) installed
    
  • show vpn-sessiondb svc — отображает информацию о текущих SSL-подключениях.

    ciscoasa#show vpn-sessiondb svc
    
    Session Type: SVC
    
    Username     : ssluser1
    Index        : 1
    Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
    Protocol     : SVC                    Encryption   : 3DES
    Hashing      : SHA1
    Bytes Tx     : 131813                 Bytes Rx     : 5082
    Client Type  : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
    Client Ver   : Cisco Systems SSL VPN Client 1, 1, 4, 179
    Group Policy : clientgroup
    Tunnel Group : sslgroup
    Login Time   : 12:38:47 UTC Mon Mar 17 2008
    Duration     : 0h:00m:53s
    Filter Name  :
  • show webvpn group-alias — отображает псевдонимы, назначенные разным группам.

    ciscoasa#show webvpn group-alias
    Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
    
  • В ASDM выберите Monitoring> VPN> VPN Statistics> Sessions для просмотра информации о текущих сеансах WebVPN в ASA.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-28.gif

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

  • <username> названия выхода из системы vpn-sessiondb — Позволяет вам выходить из системы сеанс VPN SSL для названия указанного пользователя.

    ciscoasa#vpn-sessiondb logoff name ssluser1
    Called vpn_remove_uauIth: success!
    webvpn_svc_np_tear_down: no ACL
    NFO: Number of sessions with name "ssluser1" logged off : 1
    
    

    Точно так же можно использовать команду vpn-sessiondb logoff svc для завершения всех сеансов SVC.

    Примечание: Если ПК переходит к резерву, или будьте в спящем режиме режим, то VPN-подключение на базе SSL может быть завершено.

    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got message
    SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, etc)
    Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    
    ciscoasa#show vpn-sessiondb svc
    INFO: There are presently no active sessions
  • Команда debug webvpn svc <1-255> предоставляет все события webvpn в реальном времени для установления сеанса.

    Ciscoasa#debug webvpn svc 7 
    
    ATTR_CISCO_AV_PAIR: got SVC ACL: -1
    webvpn_rx_data_tunnel_connect
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 172.16.1.1'
    Processing CSTP header line: 'Host: 172.16.1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4, 179'
    Processing CSTP header line: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4,
    179'
    Setting user-agent to: 'Cisco Systems SSL VPN Client 1, 1, 4, 179'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: tacweb'
    Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
    Setting hostname to: 'tacweb'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486
    D5BC554D2'
    Processing CSTP header line: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1
    CF236DB5E8BE70B1486D5BC554D2'
    Found WebVPN cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1
    486D5BC554D2'
    WebVPN Cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486D5B
    C554D2'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0
    CSTP state = HAVE_ADDRESS
    No subnetmask... must calculate it
    SVC: NP setup
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    SVC ACL ID: -1
    vpn_put_uauth success!
    SVC: adding to sessmgmt
    SVC: Sending response
    CSTP state = CONNECTED
    
  • В ASDM выберите Monitoring> Logging> Real-time Log Viewer> View для просмотра событий в реальном времени. Эти примеры показывают информацию о сеанса между SVC 192.168.10.1 и веб-сервером 10.2.2.2 в Интернете через ASA 172.16.1.5.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ssl-vpn-client/100894-asasvc7-x-29.gif

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 100894