Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 9. x : Примеры конфигурации U-превращения клиента AnyConnect VPN Client

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (10 февраля 2011) | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как установить Выпуск 9.1 (2) Устройства адаптивной защиты (ASA) для выполнения VPN Уровня защищенных сокетов (SSL) на палке с Cisco AnyConnect VPN Client. Данная процедура настройки относится к особому случаю, когда устройство ASA запрещает раздельное туннелирование и когда пользователи подключаются напрямую к ASA еще до того, как им будет предоставлено разрешение на выход в Интернет.

Примечание: Во избежание наложения IP-адресов в сети необходимо назначить VPN-клиенту полностью отличный пул IP-адресов (например, 10.x.x.x, 172.16.x.x и 192.168.x.x). Эта схема IP-адресации полезна для устранения проблем в сети.

Hairpinning (возврат) или U-turn (разворот)

Эта функция полезна для трафика VPN, который входит по интерфейсу и маршрутизируется на выход из этого же интерфейса. {\f3 Например, в сети VPN с топологией «звезда», в которой устройства защиты являются центральными узлами, а удаленные сети VPN }—{\f3 оконечными узлами, для обеспечения взаимодействия между оконечными узлами трафик должен переходить к устройству защиты, а затем к другому оконечному узлу.}

Введите команду same-security-traffic , чтобы позволить трафику вводить и выходить из того же интерфейса.

ciscoasa(config)#same-security-traffic permit intra-interface

Внесенный Ямилом Гэзелем и Густаво Мединой, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует удовлетворить эти требования перед попыткой этой конфигурации:

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • ASA серии 5500 Cisco, который работает под управлением ПО версии 9.1 (2)

  • Версия VPN-клиента SSL (SVC) AnyConnect Cisco для Windows 3.1.05152

  • ПК, который выполняет поддерживаемый ОС на Диаграмму Совместимости.

  • Cisco Adaptive Security Device Manager (ASDM) версия 7.1 (6)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Cisco AnyConnect VPN Client предоставляет удаленным пользователям безопасный доступ к устройству защиты с помощью SSL-подключений. Без ранее установленного клиента удаленные пользователи в своем браузере вводят IP-адрес интерфейса, настроенного на прием VPN-соединений по протоколу SSL. Если устройство защиты не настроено перенаправлять запрос с адреса http:// на https://, пользователям необходимо будет вводить URL-адрес в виде https://<адрес>.

После того, как URL введен, подключения браузера к тому интерфейсу и отображает экран входа в систему. Если пользователь выполнит вход в систему и пройдет аутентификацию, то устройство защиты определит, что ему необходим клиент, после чего загрузит на удаленный компьютер ту версию клиента, которая соответствует его ОС. После загрузок клиент устанавливает и настраивает себя, устанавливает безопасное подключение SSL и или остается или деинсталлирует себя (это зависит от настройки устройства защиты), когда завершается соединение.

При наличии ранее установленного клиента после прохождения пользователем аутентификации устройство защиты проверяет версию клиента и при необходимости обновляет его.

Когда клиент выполняет согласование о VPN-подключении на базе SSL с устройством безопасности, это соединяется с Transport Layer Security (TLS), и также использует Протокол защиты транспортного уровня для дейтаграмм (DTLS). Использование протокола DTLS позволяет избежать проблем, вызванных задержками и полосой пропускания, связанными с некоторыми SSL-соединениями, а также позволяет улучшить производительность приложений, работающих в режиме реального времени, чувствительных к задержкам пакетов.

Клиент AnyConnect можно загрузить с устройства защиты, или он может быть установлен на удаленном ПК вручную системным администратором. Для получения дополнительной информации о том, как установить клиент вручную, обратитесь к руководству для администратора клиента VPN Cisco AnyConnect.

Устройство безопасности загружает клиент на основе групповой политики или атрибутов имени пользователя пользователя, который устанавливает соединение. Можно настроить устройство защиты на автоматическую загрузку клиента или можно его настроить выдавать удаленному пользователю запрос, устанавливать клиент или нет. Можно настроить устройство защиты загружать клиент после завершения времени ожидания ответа пользователя или при отображении страницы входа в систему.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Пример настройки клиента VPN AnyConnect для использования с "VPN on a stick" в общедоступной сети Интернет.

Схема сети

В этом документе использованы параметры данной сети:

Конфигурации выпуска 9.1 (2) ASA с выпуском 7.1 (6) ASDM

Этот документ предполагает, что базовая конфигурация, такая как конфигурация интерфейса, уже завершена и работает должным образом.

Примечание: Сошлитесь на Доступ HTTPS Настройки для ASDM , чтобы позволить ASA быть настроенным ASDM.

Примечание: В Выпуске 8.0 (2) и позже, ASA поддерживает и VPN SSL без клиента (WebVPN) сеансы и административные сеансы ASDM одновременно на порту 443 из внешнего интерфейса. В версиях ранее, чем Выпуск 8.0 (2), WebVPN и ASDM не могут быть включены на том же интерфейсе ASA, пока вы не изменяете номера портов. Для получения дополнительных сведений обратитесь к документу Включение ASDM и WebVPN на одном и том же интерфейсе ASA.

Выполните эти шаги, чтобы настроить каскадную сеть VPN на основе SSL на устройстве ASA:

  1. Выберите Configuration> Device Setup> Interfaces и проверьте Разрешать трафик между двумя или больше хостами, связанными с той же коробкой проверки интерфейса, чтобы позволить трафику VPN SSL вводить и выходить из того же интерфейса. Щелкните "Применить".

    Эквивалентная конфигурация в интерфейсе командной строки:

    ciscoasa(config)#same-security-traffic permit intra-interface
  2. Выберите Configuration> Remote Access VPN> Network (Client) Access> Address Assignment> Address Pools> Add для создания пула IP-адреса vpnpool.

  3. Щелкните "Применить".

    Эквивалентная конфигурация в интерфейсе командной строки:

    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
  4. Включенный WebVPN.
    1. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles и в разделе Access Interfaces установите флажки Allow Access и Enable DTLS для внешнего интерфейса. Также поставьте флажок Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interface selected in the table below, чтобы разрешить SSL VPN на внешнем интерфейсе.

    2. Щелкните "Применить".
    3. Выберите Configuration> Remote Access VPN> Network (Client) Access> Anyconnect Client Software> Add для добавления образа Клиента AnyConnect VPN Client Cisco от флэш-памяти ASA как показано.

      Эквивалентная конфигурация в интерфейсе командной строки:

      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#anyconnect enable
  5. Настройка групповой политики.
    1. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > Group Policies, чтобы создать внутреннюю групповую политику clientgroup. На вкладке General установите флажок SSL VPN Client, чтобы разрешить использование WebVPN в качестве туннельного протокола.

    2. Во вкладке Advanced> Split Tunneling выберите Tunnel All Networks из выпадающего списка Политики Политики для создания всех пакетов, прибывающих от удаленного ПК до безопасного туннеля.

      Эквивалентная конфигурация в интерфейсе командной строки:

      ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policyclientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelall
  6. Выберите Configuration> Remote Access VPN> AAA/Local Users> Local Users> Add для создания учетной записи нового пользователя ssluser1.{\f3 Нажмите кнопку}{\f3 O}{\f3 K, а затем} {\f3 —Appl}{\f3 y}.

    Эквивалентная конфигурация в интерфейсе командной строки:

    ciscoasa(config)#username ssluser1 password asdmASA@
  7. Настройка группы туннелирования.
    1. Выберите Configuration> Remote Access VPN> Network (Client) Access> Anyconnect Connection Profiles> Add для создания нового sslgroup туннельной группы.
    2. На вкладке Basic можно заполнить список конфигурации так, как показано на рисунке:
      • Назовите группу туннелирования sslgroup.
      • Под Присвоением Адреса клиента выберите пул адресов vpnpool из выпадающего списка Пулов Адреса клиента.
      • Под Политикой Группы по умолчанию выберите групповую политику clientgroup из выпадающего списка Групповой политики.

      • Под  вкладкой Advanced> Group Alias/Group URL задайте название псевдонима группы как sslgroup_users и нажмите OK.

        Эквивалентная конфигурация в интерфейсе командной строки:

        ciscoasa(config)#tunnel-group sslgroup type remote-access
        ciscoasa(config)#tunnel-group sslgroup general-attributes
        ciscoasa(config-tunnel-general)#address-pool vpnpool
        ciscoasa(config-tunnel-general)#default-group-policy clientgroup
        ciscoasa(config-tunnel-general)#exit
        ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
        ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable
  8. Настройка NAT
    1. Выберите Configuration> Firewall> NAT Rules> Правило NAT "Сетевого объекта" Add так трафик, который прибывает из внутренней сети, может быть преобразован с внешним IP - адресом 172.16.1.1.

    2. Выберите Configuration> Firewall> NAT Rules> Правило NAT "Сетевого объекта" Add так трафик, что трафик VPN, который прибывает из внешней сети, может быть преобразован с внешним IP - адресом 172.16.1.1.

      Эквивалентная конфигурация в интерфейсе командной строки:

      ciscoasa(config)# object network obj-inside
      ciscoasa(config-network-object)# subnet 10.77.241.128 255.255.255.192
      ciscoasa(config-network-object)# nat (inside,outside) dynamic interface
      ciscoasa(config)# object network obj-AnyconnectPool
      ciscoasa(config-network-object)# subnet 192.168.10.0 255.255.255.0
      ciscoasa(config-network-object)# nat (outside,outside) dynamic interface

Конфигурация выпуска 9.1 (2) ASA в CLI

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-AnyconnectPool
subnet 192.168.10.0 255.255.255.0
object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT that prevents the inside network from getting translated
when going to the Anyconnect Pool.

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface
object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users and
Anyconnect Clients.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Позвольте связь между клиентами AnyConnect VPN Client с конфигурацией TunnelAll на месте

Схема сети

Если связь между Клиентами Anyconnect требуется, и NAT для Общедоступного Интернета на Палке существует; ручной NAT также необходим для разрешения двусторонней связи.

Когда Клиенты Anyconnect используют телефонные службы и должны быть в состоянии вызвать друг друга, это - общий сценарий.

Конфигурации выпуска 9.1 (2) ASA с выпуском 7.1 (6) ASDM

Выберите Configuration> Firewall> NAT Rules> Правила NAT "Сетевого объекта" Add NAT Rule Before так трафик, который прибывает из внешней сети (Пул Anyconect), и это предназначено другому Клиенту Anyconnect от того же пула, не становится преобразованным с внешним IP - адресом 172.16.1.1.

Эквивалентная конфигурация в интерфейсе командной строки:

nat (outside,outside) source static obj-AnyconnectPool obj-AnyconnectPool destination
static obj-AnyconnectPool obj-AnyconnectPool

Конфигурация выпуска 9.1 (2) ASA в CLI

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-AnyconnectPool
subnet 192.168.10.0 255.255.255.0
object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool
nat (outside,outside) source static obj-AnyconnectPool obj-AnyconnectPool
destination static obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT statements used so that traffic from the inside network
destined to the Anyconnect Pool and traffic from the Anyconnect Pool destined
to another Client within the same pool does not get translated.

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface
object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users and
Anyconnect Clients.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Позвольте связь между клиентами AnyConnect VPN Client с разделением туннеля

Схема сети

Если связь между Клиентами Anyconnect требуется, и Разделение туннеля используется; никакой ручной NAT не требуется для разрешения двусторонней связи, пока нет правило NAT, которое влияет на этот настроенный трафик. Однако, Пул VPN Anyconnect должен быть включен в ACL Разделения туннеля.

Когда Клиенты Anyconnect используют телефонные службы и должны быть в состоянии вызвать друг друга, это - общий сценарий.

Конфигурации выпуска 9.1 (2) ASA с выпуском 7.1 (6) ASDM

  1. Выберите Configuration> Remote Access VPN> Network (Client) Access> Address Assignment> Address Pools> Add для создания пула IP-адреса vpnpool.

  2. Щелкните "Применить".

    Эквивалентная конфигурация в интерфейсе командной строки:

    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
  3. Включенный WebVPN.
    1. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles и в разделе Access Interfaces установите флажки Allow Access и Enable DTLS для внешнего интерфейса. Также поставьте флажок Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interface selected in the table below, чтобы разрешить SSL VPN на внешнем интерфейсе.

    2. Щелкните "Применить".
    3. Выберите Configuration> Remote Access VPN> Network (Client) Access> Anyconnect Client Software> Add для добавления образа Клиента AnyConnect VPN Client Cisco от флэш-памяти ASA как показано.

      Эквивалентная конфигурация в интерфейсе командной строки:

      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#anyconnect enable
  4. Настройка групповой политики.
    1. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > Group Policies, чтобы создать внутреннюю групповую политику clientgroup. На вкладке General установите флажок SSL VPN Client, чтобы разрешить использование WebVPN в качестве туннельного протокола.

    2. Во вкладке Advanced> Split Tunneling выберите Tunnel Network List Below из выпадающего списка Политики для создания всех пакетов, прибывающих от удаленного ПК до безопасного туннеля.

      Эквивалентная конфигурация в интерфейсе командной строки:

      ciscoasa(config)#access-list SPLIt-ACL standard permit 10.77.241.0 255.255.255.0
      ciscoasa(config)#access-list SPLIt-ACL standard permit 192.168.10.0 255.255.255.0

      ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policy clientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-client
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
      ciscoasa(config-group-policy)#split-tunnel-network-list SPLIt-ACL
  5. Выберите Configuration> Remote Access VPN> AAA/Local Users> Local Users> Add для создания учетной записи нового пользователя ssluser1.{\f3 Нажмите кнопку}{\f3 O}{\f3 K, а затем} {\f3 —Appl}{\f3 y}.

    Эквивалентная конфигурация в интерфейсе командной строки:

    ciscoasa(config)#username ssluser1 password asdmASA@
  6. Настройка группы туннелирования.
    1. Выберите Configuration> Remote Access VPN> Network (Client) Access> Anyconnect Connection Profiles> Add для создания нового sslgroup туннельной группы.
    2. На вкладке Basic можно заполнить список конфигурации так, как показано на рисунке:
      • Назовите группу туннелирования sslgroup.
      • Под Присвоением Адреса клиента выберите пул адресов vpnpool из выпадающего списка Пулов Адреса клиента.
      • Под Политикой Группы по умолчанию выберите групповую политику clientgroup из выпадающего списка Групповой политики.

      • Под вкладкой Advanced> Group Alias/Group URL задайте название псевдонима группы как sslgroup_users и нажмите OK.

        Эквивалентная конфигурация в интерфейсе командной строки:

        ciscoasa(config)#tunnel-group sslgroup type remote-access
        ciscoasa(config)#tunnel-group sslgroup general-attributes
        ciscoasa(config-tunnel-general)#address-pool vpnpool
        ciscoasa(config-tunnel-general)#default-group-policy clientgroup
        ciscoasa(config-tunnel-general)#exit
        ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
        ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

Конфигурация выпуска 9.1 (2) ASA в CLI

 

ciscoasa(config)#show running-config
: Saved
:
ASA Version 9.1(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.77.241.142 255.255.255.192
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address

!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit intra-interface

!--- Command that permits the SSL VPN traffic to enter and exit the same interface.

object network obj-inside
subnet 10.77.241.128 255.255.255.192

!--- Commands that define the network objects we will use later on the NAT section.

access-list SPLIt-ACL standard permit 10.77.241.0 255.255.255.0
access-list SPLIt-ACL standard permit 192.168.10.0 255.255.255.0

!--- Standard Split-Tunnel ACL that determines the networks that should travel the
Anyconnect tunnel.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0

!--- The address pool for the Cisco AnyConnect SSL VPN Clients

no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400

nat (inside,outside) source static obj-inside obj-inside destination static
obj-AnyconnectPool obj-AnyconnectPool

!--- The Manual NAT that prevents the inside network from getting translated when
going to the Anyconnect Pool

object network obj-inside
nat (inside,outside) dynamic interface

!--- The Object NAT statements for Internet access used by inside users.
!--- Note: Uses an RFC 1918 range for lab setup.

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
webvpn
enable outside


!--- Enable WebVPN on the outside interface


anyconnect image disk0:/anyconnect-win-3.1.05152-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image


anyconnect enable


!--- Enable the security appliance to download SVC images to remote computers


tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
vpn-tunnel-protocol ssl-client


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelspecified


!--- Encrypt only traffic specified on the split-tunnel ACL coming from the SSL
VPN Clients.


split-tunnel-network-list value SPLIt-ACL


!--- Defines the previosly configured ACL to the split-tunnel policy.

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
address-pool vpnpool


!--- Associate the address pool vpnpool created


default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show vpn-sessiondb svc — отображает информацию о текущих SSL-подключениях.

    ciscoasa#show vpn-sessiondb anyconnect

    Session Type: SVC

    Username : ssluser1 Index : 12
    Assigned IP : 192.168.10.1 Public IP : 192.168.1.1
    Protocol : Clientless SSL-Tunnel DTLS-Tunnel
    Encryption : RC4 AES128 Hashing : SHA1
    Bytes Tx : 194118 Bytes Rx : 197448
    Group Policy : clientgroup Tunnel Group : sslgroup
    Login Time : 17:12:23 IST Mon Mar 24 2008
    Duration : 0h:12m:00s
    NAC Result : Unknown
    VLAN Mapping : N/A VLAN : none
  • show webvpn group-alias — отображает псевдонимы, назначенные разным группам.
    ciscoasa#show webvpn group-alias
    Tunnel Group: sslgroup Group Alias: sslgroup_users enabled
  • В ASDM выберите Monitoring> VPN> VPN Statistics> Sessions для знания текущих сеансов в ASA.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

  •  команда vpn-sessiondb logoff name<username> используется для прекращения сеанса SSL VPN для определенного пользователя.
    ciscoasa#vpn-sessiondb logoff name ssluser1
    Do you want to logoff the VPN session(s)? [confirm] Y
    INFO: Number of sessions with name "ssluser1" logged off : 1

    ciscoasa#Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xB000)

    Точно так же можно использовать выход из системы vpn-sessiondb anyconnect команда для завершения всех сеансов AnyConnect.

  • debug webvpn anyconnect <1-255> - Предоставляет оперативные события webvpn для установления сеанса.
    Ciscoasa#debug webvpn anyconnect 7
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 10.198.16.132'
    Processing CSTP header line: 'Host: 10.198.16.132'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco AnyConnect VPN Agent for Windows 3.1.05152'
    Processing CSTP header line: 'User-Agent: Cisco AnyConnect VPN Agent for Windows
    3.1.05152'
    Setting user-agent to: 'Cisco AnyConnect VPN Agent for Windows 3.1.05152'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    Processing CSTP header line: 'Cookie: webvpn=
    146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    Found WebVPN cookie: 'webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    WebVPN Cookie: 'webvpn=146E70@20480@567F@50A0DFF04AFC2411E0DD4F681D330922F4B21F60'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: WCRSJOW7Pnbc038'
    Processing CSTP header line: 'X-CSTP-Hostname: WCRSJOW7Pnbc038'
    Setting hostname to: 'WCRSJOW7Pnbc038'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-MTU: 1280'
    Processing CSTP header line: 'X-CSTP-MTU: 1280'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Address-Type: IPv6,IPv4'
    Processing CSTP header line: 'X-CSTP-Address-Type: IPv6,IPv4'
    webvpn_cstp_parse_request_field()
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Base-MTU: 1300'
    Processing CSTP header line: 'X-CSTP-Base-MTU: 1300'
    webvpn_cstp_parse_request_field()
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Full-IPv6-Capability: true'
    Processing CSTP header line: 'X-CSTP-Full-IPv6-Capability: true'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Master-Secret: F1810A764A0646376F7D254202A0A602CF075972F91EAD1
    9BB6BE387BB8C6F893BFB49886D47F9A4BE2EA2A030BF620D'
    Processing CSTP header line: 'X-DTLS-Master-Secret: F1810A764A0646376F7D254202A0
    A602CF075972F91EAD19BB6BE387BB8C6F893BFB49886D47F9A4BE2EA2A030BF620D'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
    Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3
    -SHA:DES-CBC-SHA'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Accept-Encoding: lzs'
    Processing CSTL header line: 'X-DTLS-Accept-Encoding: lzs'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Header-Pad-Length: 0'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: lzs,deflate'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: lzs,deflate'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Protocol: Copyright (c) 2004 Cisco Systems, Inc.'
    Processing CSTP header line: 'X-CSTP-Protocol: Copyright (c) 2004 Cisco Systems, Inc.'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.10.1/255.255.255.0
    webvpn_cstp_accept_ipv6_address: No IPv6 Address
    CSTP state = HAVE_ADDRESS
    SVC: Sent gratuitous ARP for 192.168.10.1.
    SVC: NP setup
    np_svc_create_session(0x5000, 0xa930a180, TRUE)
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    vpn_put_uauth success for ip 192.168.10.1!
    No SVC ACL
    Iphdr=20 base-mtu=1300 def-mtu=1500 conf-mtu=1406
    tcp-mss = 1260
    path-mtu = 1260(mss)
    mtu = 1260(path-mtu) - 0(opts) - 5(ssl) - 8(cstp) = 1247
    tls-mtu = 1247(mtu) - 20(mac) = 1227
    DTLS Block size = 16
    mtu = 1300(base-mtu) - 20(ip) - 8(udp) - 13(dtlshdr) - 16(dtlsiv) = 1243
    mod-mtu = 1243(mtu) & 0xfff0(complement) = 1232
    dtls-mtu = 1232(mod-mtu) - 1(cdtp) - 20(mac) - 1(pad) = 1210
    computed tls-mtu=1227 dtls-mtu=1210 conf-mtu=1406
    DTLS enabled for intf=2 (outside)
    tls-mtu=1227 dtls-mtu=1210
    SVC: adding to sessmgmt

    Unable to initiate NAC, NAC might not be enabled or invalid policy
    CSTP state = CONNECTED
    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got internal message
    Unable to initiate NAC, NAC might not be enabled or invalid policy
  • В ASDM последовательно выберите Monitoring > Logging > Real-time Log Viewer > View, чтобы увидеть все события в реальном времени. Данный пример показывает информацию о сеанса между AnyConnect 192.168.10.1 и Telnet Server 10.2.2.2 в Интернете через ASA 172.16.1.1.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 100918