Маршрутизаторы : Маршрутизаторы Cisco ISR серии 3800

VPN AnyConnect (SSL) клиент на маршрутизаторе IOS с Примером конфигурации CCP

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (28 августа 2009) | Отзыв


Содержание


Введение

В этом документе приводятся инструкции по настройке маршрутизатора Cisco IOS® для обработки SSL VPN на одном интерфейсе c VPN-клиентом Cisco AnyConnect, выполняемой с помощью приложения Cisco Configuration Professional (CCP). Данная процедура настройки относится к особому случаю, когда маршрутизатор не позволяет использовать раздельное туннелирование (split tunneling), и когда пользователи напрямую подключаются к маршрутизатору еще до того, как им будет предоставлено разрешение на выход в Интернет.

Технология SSL VPN или WebVPN-технология поддерживается на следующих платформах IOS маршрутизаторов:

  • 870, 1811, 1841, 2801, 2811, 2821, 2851

  • 3725, 3745, 3825, 3845, 7200 и 7301

CCP является графическим инструментом управления устройством, позволяющим настраивать маршрутизаторы доступа Cisco, работающие под управлением IOS, включая маршрутизаторы Cisco с интеграцией служб, маршрутизаторы Cisco серии 7200 и маршрутизатор Cisco 7301. Приложение CCP устанавливается на ПК и упрощает настройку маршрутизации, защиты, объединенных коммуникаций, беспроводной сети, WAN и основных настроек LAN с помощью графического интерфейса пользователя и простых в работе мастеров настройки.

Маршрутизаторы, приобретенные с приложением CCP, поставляются с приложением Cisco Configuration Professional Express (CCP Express), установленным на флэш-память маршрутизатора. CCP Express является облегченной версией CCP. Можно использовать приложение CCP Express для настройки основных функций защиты на интерфейсах LAN и WAN маршрутизатора. CCP Express доступен на флэш-памяти маршрутизатора.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Microsoft Windows 2000 или XP

  • Обозреватель с поддержкой SUN JRE 1.4 или более поздней или браузер под управлением ActiveX

  • Права локального администратора у клиента

  • Маршрутизатор Cisco IOS с образом улучшенной безопасности версии 12.4(20)T или более поздней версии

  • Cisco Configuration Professional 1.3

    Если Cisco Configuration Professional не загружен на компьютер пользователя, его можно бесплатно загрузить с сайтаЗагрузка ПО (файл cisco-config-pro-k9-pkg-1_3-en.zip), а затем установить с помощью файла .exe. Дополнительные сведения об установке и настройке CCP можно найти в документе Руководство по началу работы с Cisco Configuration Professional.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Маршрутизатор Cisco IOS серии 1841 с ПО версии 12.4(24)T

  • Cisco Configuration Professional (CCP) 1.3

  • VPN-клиент Cisco AnyConnect SSL версии 2.3.2016 для Windows

 Примечание. Данные для этого документа были получены при тестировании указанных устройств в специально созданных лабораторных условиях. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условные обозначения технических терминов Cisco".

Схема сети

В этом документе использованы параметры данной сети.

ssl-ios-01.gif

Задачи предварительной конфигурации

  1. Следует настроить маршрутизатор для CCP.

    Маршрутизаторы с соответствующей лицензией пакета безопасности уже имеют загруженное во флеш-память приложение CCP. Обратитесь к документу Руководство по началу работы с Cisco Configuration Professional для получения и настройки ПО.

  2. Загрузите копию VPN-клиента Anyconnect (PKG-файл) на ваш управляющий компьютер.

Настройка Anyconnect VPN на IOS

В данном разделе описаны действия, необходимые для настройки функций, описанных в документе. В данном примере конфигурации используется мастер CCP для активации Anyconnect VPN на маршрутизаторе IOS.

Выполните эти шаги, чтобы настроить Anyconnect VPN на маршрутизаторе Cisco IOS.

  1. Установите и активируйте программное обеспечение Anyconnect VPN на маршрутизаторе Cisco IOS

  2. Настройте SSL VPN контекст и SSL VPN шлюз с помощью мастера CCP

  3. Настройте базу данных пользователей Anyconnect VPN

  4. Настройте ресурсы, предоставляемые пользователям

Шаг 1. Установка и активация ПО Anyconnect VPN на маршрутизаторе IOS

Для установки и активации программного обеспечения Anyconnect VPN на маршрутизаторе IOS выполните следующие действия.

  1. Откройте приложение CCP, перейдите Configure > Security, а затем щелкните VPN.

  2. Разверните SSLVPN и выберите Packages.

    /image/gif/paws/110608/ssl-ios-02.gif

  3. В области "Cisco SSLVPN Client Software" нажмите кнопку Browse.

    Отобразится диалоговое окно "Install SSL VPN Client Package".

    /image/gif/paws/110608/ssl-ios-03.gif

  4. Укажите расположение образа VPN-клиента Cisco AnyConnect.

    • Если образ VPN-клиента Cisco Anyconnect расположен на флэш-памяти маршрутизатора, установите переключатель в положение Router File System и нажмите кнопку Browse.

    • Если образ VPN-клиента Cisco Anyconnect не расположен на флэш-памяти маршрутизатора, установите переключатель в положение My Computer и нажмите кнопку Browse.

    Отобразится диалоговое окно выбора файла "File Selection".

    ssl-ios-04.gif

  5. Выберите образ клиента, который необходимо установить, и нажмите кнопку OK.

    ssl-ios-05.gif

  6. После указания местонахождения образа клиента нажмите кнопку Install.

  7. Нажмите кнопку Yes, а затем OK.

  8. После установки образа клиента отобразится сообщение:

    /image/gif/paws/110608/ssl-ios-06.gif

  9. Для продолжения нажмите кнопку OK.

Шаг 2. Настройка контекста SSL VPN и шлюза SSL VPN с помощью мастера CCP

Выполните эти шаги, чтобы настроить контекст SSL VPN и шлюз SSL VPN .

  1. Перейдите Configure > Security > VPN и выберите SSL VPN.

  2. Щелкните SSL VPN Manager, а затем по вкладке Create SSL VPN.

    /image/gif/paws/110608/ssl-ios-07.gif

  3. Установите переключатель в положение Create a New SSL VPN и нажмите кнопку Launch the selected task.

    Отобразится диалоговое окно мастера настройки "SSL VPN Wizard".

    /image/gif/paws/110608/ssl-ios-08.gif

  4. Нажмите кнопку Next.

    /image/gif/paws/110608/ssl-ios-09.gif

  5. Введите IP-адрес нового SSL VPN-шлюза и уникальное имя SSL VPN-контекста.

    Можно создать различные SSL VPN-контексты для одного IP-адреса (SSL VPN-шлюза), но каждое имя должно быть уникальным. В данном примере используется следующий IP-адрес: https://172.16.1.1/

  6. Нажмите кнопку Next и перейдите к шагу 3.

Шаг 3. Настройка базы данных пользователей Anyconnect VPN

Для аутентификации можно использовать сервер AAA и/или локальных пользователей. В данном примере конфигурации для аутентификации используются локально созданные учетные записи пользователей.

Выполните эти шаги, чтобы настроить базу данных пользователей Anyconnect VPN.

  1. После выполнения шага 2 установите переключатель в положение Locally on this router в диалоговом окне мастера SSL VPN "User Authentication".

    /image/gif/paws/110608/ssl-ios-10.gif

    Данное диалоговое окно предназначено для внесения пользователей в локальную базу данных.

  2. Нажмите кнопку Add и введите данные пользователя.

    /image/gif/paws/110608/ssl-ios-11.gif

  3. Нажмите кнопку OK и при необходимости добавьте пользователей.

  4. После завершения добавления пользователей нажмите кнопку Next и перейдите к шагу 4.

Шаг 4: Настройка полных туннелей Anyconnect

Выполните следующие действия, чтобы настроить для пользователей полный туннель Anyconnect и пул IP-адресов:

  1. Anyconnect предоставляет прямой доступ к корпоративным ресурсам Интранет, при этом список URL-адресов настраивать не нужно. Нажмите кнопку Next, расположенную в диалоговом окне "Configure Intranet Websites".

    /image/gif/paws/110608/ssl-ios-12.gif

  2. Убедитесь, что установлен флажок Enable Full Tunnel.

    ssl-ios-17.gif

  3. Создайте пул IP-адресов, которые могут использовать клиенты контекста SSL VPN.

    Адресный пул должен соответствовать адресам, доступным и используемым в вашей сети интранет.

  4. Нажмите кнопку (...), расположенную рядом с полем "IP Address Pool" и выберите Create a new IP Pool.

  5. В диалоговом окне "Add IP Local Pool" введите название пула (например, новый) и нажмите кнопку Add.

    /image/gif/paws/110608/ssl-ios-18.gif

  6. В диалоговом окне "Add IP address range" введите диапазон адресов для VPN-клиентов Anyconnect и нажмите кнопку OK.

     Примечание.До версии 12.4(20)T пул IP-адресов должен был входить в диапазон адресов интерфейса, напрямую соединенного с маршрутизатором. Если вы хотите использовать диапазон пула, не входящий в диапазон вышеназванного интерфейса, вы можете создать адрес обратной связи, ассоциированный с созданным вами новым пулом, для удовлетворения данным требованиям..

  7. Нажмите кнопку ОК.

  8. Убедитесь, что установлен флажок Install Full Tunnel Client.

    ssl-ios-19.gif

  9. Настройте дополнительные параметры туннеля, такие как раздельное туннелирование, раздельный DNS, настройки браузера для прокси-сервера, а также серверы DNS и WINS.

     Примечание. Компания Cisco рекомендует произвести настройку как минимум серверов DNS и WINS.

      Для настройки дополнительных параметров туннеля выполните следующие действия:

    1. Нажмите кнопку Advanced Tunnel Options.

    2. Перейдите на вкладку DNS and WINS Servers и введите первичные IP-адреса серверов DNS и WINS.

      ssl-ios-19a.gif

    3. Перейдите на вкладку Split Tunneling.

      ssl-ios-19b.gif

      Возможность передавать через один интерфейс как защищенный трафик, так и открытый называется раздельным туннелированием. Раздельное туннелирование требует точного указания, какой трафик является защищённым и откуда он происходит, таким образом только указанный трафик попадает в туннель, в то время как другой передается в незашифрованном виде через публичную сеть (Интернет).

      Для получения примеров обратитесь к документу ASA 8.x : Включение раздельного туннелирования для VPN-клиентов AnyConnect на примере конфигурации ASA , в котором представлены пошаговые инструкции о том, как разрешить VPN-клиентам Cisco AnyConnect выходить в Интернет, когда они находятся в туннеле устройства защиты Cisco ASA 8.0.2.

  10. После настройки необходимых параметров нажмите кнопку Next.

  11. Измените страницу портала SSL VPN или выберите значения по умолчанию.

    Окно "Customize SSL VPN Portal Page" позволяет вам изменить внешний вид страницы портала.

    /image/gif/paws/110608/ssl-ios-20.gif

  12. После внесения изменений на странице портала SSL VPN нажмите кнопку Next.

  13. Нажмите кнопку Finish.

    ssl-ios-21.gif

  14. Нажмите кнопку Deliver, чтобы сохранить конфигурацию, а затем нажмите кнопку OK.

    Мастер SSL VPN представит список совершенных настроек.

    ssl-ios-22.gif

     Примечание.Если вы получили сообщение об ошибке, возможно, что лицензия SSL VPN недействительна.

    Для решения проблемы с лицензией выполните следующие шаги:

    1. Перейдите Configure > Security > VPN и выберите SSL VPN.

    2. Щелкните SSL VPN Manager, а затем по вкладке Edit SSL VPN.

      /image/gif/paws/110608/ssl-ios-23.gif

    3. Выделите созданный контекст и нажмите кнопку Edit.

      /image/gif/paws/110608/ssl-ios-24.gif

    4. В поле "Maximum Number of users" введите правильное количество пользователей для вашей лицензии.

    5. Нажмите кнопку OK, а затем кнопку Deliver.

      Ваши команды сохранены в конфигурационный файл.

Конфигурация интерфейса командой строки CLI

CCP создает следующие конфигурации командных строк:

Router
Router#show run
Building configuration...

Current configuration : 4110 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging buffered
enable password cisco
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-1951692551
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1951692551
 revocation-check none
 rsakeypair TP-self-signed-1951692551
!
!
crypto pki certificate chain TP-self-signed-1951692551
 certificate self-signed 02
  3082023E 308201A7 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31393531 36393235 3531301E 170D3039 30383037 31303538
  33345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39353136
  39323535 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100CD40 156E21C4 4F84401A F5674319 CC05B708 72A79C69 90997D30 6F556A37
  75FC53DA AB0B43AF 70E7DBC2 C9416C4B 009C3695 67C20847 4F0BC7B0 715F0518
  5E558DFC 13A20167 5D169C47 3BC083C9 A2B66790 79B83814 5008EBF6 169FA897
  6D955F46 2BDADBB0 5275F07E C124CCF3 64DD9CE1 1B6F5744 282E4EA5 A0840385
  5FD90203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603
  551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 05F279A9
  C556AF46 C5F7A1F0 2ADD2D22 F75BF7B7 301D0603 551D0E04 16041405 F279A9C5
  56AF46C5 F7A1F02A DD2D22F7 5BF7B730 0D06092A 864886F7 0D010104 05000381
  81004886 D666121E 42862509 CA7FDACC 9C57C8BE EB6745FC 533A8C08 FEF2C007
  274374EE 803823FB 79CFD135 2B116544 88B5CFB1 B7BB03E2 F3D65A62 B0EE050A
  924D3168 98357A5B E1F15449 5C9C22D0 577FB036 A3D8BB08 5507C574 18F2F48F
  0694F21C 0983F254 6620FCD7 8E460D29 B09B87E8 ADC3D589 F4D74659 A5CEA30F 1A9C
        quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
!
multilink bundle-name authenticated
!
!
!
username test privilege 15 password 0 test
username tsweb privilege 15 password 0 tsweb
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.77.241.111 255.255.255.192
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description $ES_LAN$
 ip address 172.16.1.1 255.255.255.0
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface ATM0/0/0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Vlan1
 no ip address
!
ip local pool new 192.168.10.1 192.168.10.10
ip forward-protocol nd
ip route 10.20.10.0 255.255.255.0 172.16.1.2
ip route 10.77.233.0 255.255.255.0 10.77.241.65
ip http server
ip http authentication local
ip http secure-server
!
!
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
 transport input telnet ssh
 transport output telnet
!
scheduler allocate 20000 1000
!
webvpn gateway gateway_1
 ip address 172.16.1.1 port 443
 http-redirect port 80
 ssl trustpoint TP-self-signed-1951692551
 inservice
 !
webvpn install svc flash:/webvpn/svc_1.pkg sequence 1
 !
webvpn context sales
 secondary-color white
 title-color #CCCC66
 text-color black
 ssl authenticate verify all

 !
 !
 policy group policy_1
   
   functions svc-enabled
   
   svc address-pool "new"
   svc dns-server primary 10.1.1.1
   svc wins-server primary 10.1.1.2
 default-group-policy policy_1
 aaa authentication list ciscocp_vpn_xauth_ml_1
 gateway gateway_1
 max-users 10
 inservice
!
end

Установление соединения с помощью VPN-клиента AnyConnect

Выполните эти шаги, чтобы установить VPN-соединение AnyConnect с маршрутизатором.

 Примечание.Добавьте адрес маршрутизатора в список доверенных сайтов в Internet Explorer. Для получения дополнительных сведений обратитесь к разделу Добавление устройства защиты/маршрутизатора в список доверенных сайтов (IE).

  1. Введите URL-адрес или IP-адрес интерфейса маршрутизатора WebVPN в своем браузере в формате, который показан ниже:

    https://<url>

    !--- Или

    https://<IP address of the Router WebVPN interface>

    ssl-ios-25.gif

  2. Введите имя пользователя и пароль.

    ssl-ios-26.gif

  3. Нажмите кнопку "Start", чтобы начать туннельное VPN-соединение Anyconnect.

    ssl-ios-27.gif

  4. Это окно будет отображаться перед тем, как VPN-соединения по протоколу SSL будет установлено.

    ssl-ios-28.gif

     Примечание.ActiveX необходимо установить на компьютере перед загрузкой Anyconnect VPN.

    Как только соединение будет установлено, появится сообщение "Connection Established".

    ssl-ios-29.gif

  5. После успешного соединения перейдите на вкладку Statistics.

    На вкладке "Statistics" отображается информация о SSL-соединении.

    ssl-ios-30.gif

  6. Нажмите кнопку Details.

    Откроется диалоговое окно."Cisco AnyConnect VPN Client: Statistics Detail".

    ssl-ios-31.gif

    В диалоговом окне "Statistics Details" отображается подробная статистическая информация о соединениях, включая информацию о состоянии туннелей и режимах, длительности соединения, количестве полученных и переданных байт и пакетов, адресная информация, транспортная информация, а также оценка состояния защиты Cisco Secure Desktop. Кнопка "Reset" на этой вкладке служит для сброса статистической информации о переданных данных. Кнопка "Export" позволяет экспортировать текущую статистику, интерфейс, и таблицу маршрутизации в текстовый файл. При этом клиент AnyConnect выдаст запрос об имени и местоположении текстового файла. По умолчанию на рабочем столе создается файл AnyConnect-ExportedStats.txt.

  7. В диалоговом окне "Cisco AnyConnect VPN Client" перейдите на вкладку About.

    На этой вкладке отображается информация о версии VPN-клиента Cisco AnyConnect.

    ssl-ios-32.gif

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Команды

Некоторые команды show связаны с WebVPN. Эти команды можно выполнить в интерфейсе командной строки (CLI) для отображения статистики и другой информации. Дополнительные сведения о командах show см. в разделе Проверка конфигурации WebVPN.

 Примечание.Интерпретатор выходных данных (только для зарегистрированных пользователей) (OIT) поддерживает некоторые команды show. Посредством OIT можно анализировать выходные данные команд show.

  • Router#show webvpn session context all
    WebVPN context name: sales
    Client_Login_Name  Client_IP_Address  No_of_Connections  Created  Last_Used
    test               10.20.10.2                 3         00:03:10  00:02:56
  • Router#show webvpn session user test context sales
    WebVPN user name = test ; IP address = 10.20.10.2 ; context = sales
        No of connections: 0
        Created 00:26:05, Last-used 00:25:24
        User Policy Parameters
          Group name = policy_1
        Group Policy Parameters
          url list name = "webserver"
          idle timeout = 2100 sec
          session timeout = Disabled
          functions =
                    mask-urls
                    svc-enabled
    
          citrix disabled
          address pool name = "new"
          dpd client timeout = 300 sec
          dpd gateway timeout = 300 sec
          keepalive interval = 30 sec
          SSLVPN Full Tunnel mtu size = 1406 bytes
          keep sslvpn client installed = enabled
          rekey interval = 3600 sec
          rekey method =
          lease duration = 43200 sec
  • Router#show webvpn stats
    User session statistics:
        Active user sessions     : 1          AAA pending reqs         : 0
        Peak user sessions       : 2          Peak time                : 00:00:52
        Active user TCP conns    : 0          Terminated user sessions : 2
        Session alloc failures   : 0          Authentication failures  : 1
        VPN session timeout      : 0          VPN idle timeout         : 0
        User cleared VPN sessions: 0          Exceeded ctx user limit  : 0
        Exceeded total user limit: 0
        Client process rcvd pkts : 108        Server process rcvd pkts : 0
        Client process sent pkts : 589        Server process sent pkts : 0
        Client CEF received pkts : 76         Server CEF received pkts : 0
        Client CEF rcv punt pkts : 0          Server CEF rcv punt pkts : 0
        Client CEF sent pkts     : 0          Server CEF sent pkts     : 0
        Client CEF sent punt pkts: 0          Server CEF sent punt pkts: 0
    
        SSLVPN appl bufs inuse   : 0          SSLVPN eng  bufs inuse   : 0
        Active server TCP conns  : 0
    
    Mangling statistics:
        Relative urls            : 0          Absolute urls            : 0
        Non-http(s) absolute urls: 0          Non-standard path urls   : 0
        Interesting tags         : 0          Uninteresting tags       : 0
        Interesting attributes   : 0          Uninteresting attributes : 0
        Embedded script statement: 0          Embedded style statement : 0
        Inline scripts           : 0          Inline styles            : 0
        HTML comments            : 0          HTTP/1.0 requests        : 0
        HTTP/1.1 requests        : 9          Unknown HTTP version     : 0
        GET requests             : 9          POST requests            : 0
        CONNECT requests         : 0          Other request methods    : 0
        Through requests         : 0          Gateway requests         : 9
        Pipelined requests       : 0          Req with header size >1K : 0
        Processed req hdr bytes  : 2475       Processed req body bytes : 0
        HTTP/1.0 responses       : 0          HTTP/1.1 responses       : 0
        HTML responses           : 0          CSS responses            : 0
        XML responses            : 0          JS responses             : 0
        Other content type resp  : 0          Chunked encoding resp    : 0
        Resp with encoded content: 0          Resp with content length : 0
        Close after response     : 0          Resp with header size >1K: 0
        Processed resp hdr size  : 0          Processed resp body bytes: 0
        Backend https response   : 0          Chunked encoding requests: 0
    
    HTTP Authentication stats :
        Successful NTLM Auth     : 0          Failed NTLM Auth         : 0
        Successful Basic Auth    : 0          Failed Basic Auth        : 0
        Unsupported Auth         : 0          Unsup Basic HTTP Method  : 0
        NTLM srv kp alive disabld: 0          NTLM Negotiation Error   : 0
        Oversize NTLM Type3 cred : 0          Internal Error           : 0
        Num 401 responses        : 0          Num non-401 responses    : 0
        Num Basic forms served   : 0          Num NTLM forms served    : 0
        Num Basic Auth sent      : 0          Num NTLM Auth sent       : 0
    
    CIFS statistics:
      SMB related Per Context:
        TCP VC's                 : 0          UDP VC's                 : 0
        Active VC's              : 0          Active Contexts          : 0
        Aborted Conns            : 0
      NetBIOS related Per Context:
        Name Queries             : 0          Name Replies             : 0
        NB DGM Requests          : 0          NB DGM Replies           : 0
        NB TCP Connect Fails     : 0          NB Name Resolution Fails : 0
      SMB related Global:
        Sessions in use          : 0          Mbufs in use             : 0
        Mbuf Chains in use       : 0          Active VC's              : 0
        Active Contexts          : 0          Browse Errors            : 0
        Empty Browser List       : 0          NetServEnum Errors       : 0
        Empty Server List        : 0          NBNS Config Errors       : 0
        NetShareEnum Errors      : 0
      HTTP related Per Context:
        Requests                 : 0          Request Bytes RX         : 0
        Request Packets RX       : 0          Response Bytes TX        : 26286
        Response Packets TX      : 33         Active Connections       : 0
        Active CIFS context      : 0          Requests Dropped         : 0
      HTTP related Global:
        Server User data         : 0          CIFS User data           : 0
        Net Handles              : 0          Active CIFS context      : 0
        Authentication Fails     : 0          Operations Aborted       : 0
        Timers Expired           : 0          Pending Close            : 0
        Net Handles Pending SMB  : 0          File Open Fails          : 0
        Browse Network Ops       : 0          Browse Network Fails     : 0
        Browse Domain Ops        : 0          Browse Domain Fails      : 0
        Browse Server Ops        : 0          Browse Server Fails      : 0
        Browse Share Ops         : 0          Browse Share Fails       : 0
        Browse Dir Ops           : 0          Browse Network Fails     : 0
        File Read Ops            : 0          File Read Fails          : 0
        File Write Ops           : 0          File Write Fails         : 0
        Folder Create Ops        : 0          Folder Create Fails      : 0
        File Delete Ops          : 0          File Delete Fails        : 0
        File Rename Ops          : 0          File Rename Fails        : 0
        URL List Access OK       : 0          URL List Access Fails    : 0
    
    Socket statistics:
        Sockets in use           : 1          Sock Usr Blocks in use   : 1
        Sock Data Buffers in use : 0          Sock Buf desc in use     : 0
        Select timers in use     : 1          Sock Select Timeouts     : 0
        Sock Tx Blocked          : 0          Sock Tx Unblocked        : 0
        Sock Rx Blocked          : 0          Sock Rx Unblocked        : 0
        Sock UDP Connects        : 0          Sock UDP Disconnects     : 0
        Sock Premature Close     : 0          Sock Pipe Errors         : 12
        Sock Select Timeout Errs : 0
    
    Port Forward statistics:
      Client                                Server
        proc pkts                : 0          proc pkts                 : 0
        proc bytes               : 0          proc bytes                : 0
        cef pkts                 : 0          cef pkts                  : 0
        cef bytes                : 0          cef bytes                 : 0
    
    WEBVPN Citrix statistics:
    
                   Server                   Client
      Packets in  : 0                        0
      Packets out : 0                        0
      Bytes in    : 0                        0
      Bytes out   : 0                        0
    
    ACL statistics:
        Permit web request       : 0          Deny web request         : 0
        Permit cifs request      : 0          Deny cifs request        : 0
        Permit without ACL       : 0          Deny without match ACL   : 0
        Permit with match ACL    : 0          Deny with match ACL      : 0
    
    Single Sign On statistics:
        Auth Requests            : 0          Pending Auth Requests    : 0
        Successful Requests      : 0          Failed Requests          : 0
        Retranmissions           : 0          DNS Errors               : 0
        Connection Errors        : 0          Request Timeouts         : 0
        Unknown Responses        : 0
    
    URL-rewrite splitter statistics:
        Direct access request    : 0          Redirect request         : 0
        Internal request         : 0
    
    Tunnel Statistics:
        Active connections       : 0
        Peak connections         : 1          Peak time                : 00:34:51
        Connect succeed          : 3          Connect failed           : 0
        Reconnect succeed        : 0          Reconnect failed         : 0
        DPD timeout              : 0
      Client                                Server
        in  CSTP frames          : 32         out IP pkts              : 5
        in  CSTP data            : 5
        in  CSTP control         : 27
        in  CSTP bytes           : 1176       out IP bytes             : 805
        out CSTP frames          : 4          in  IP pkts              : 0
        out CSTP data            : 0
        out CSTP control         : 4
        out CSTP bytes           : 32         in  IP bytes             : 0
        cef in CSTP data frames  : 0          cef out forwarded pkts   : 0
        cef in CSTP data bytes   : 0          cef out forwarded bytes  : 0
        cef out CSTP data frames : 0          cef in forwarded pkts    : 0
        cef out CSTP data bytes  : 0          cef in forwarded bytes   : 0
  • В CCP последовательно выберите Monitoring > Security > VPN Status > SSL VPN > Users, чтобы увидеть текущие списки пользователей SSL VPN в маршрутизаторе.

    ssl-ios-33.gif

  • Последовательно выберите Monitoring > Security > VPN Status > SSL VPN > Sales, чтобы увидеть текущие SSL VPN-сеансы в маршрутизаторе.

    ssl-ios-34.gif

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Неполадки с подключением SSL

Проблема: Клиенты SSL VPN не могут подключиться к маршрутизатору.

Решение: Недостаточное количество IP-адресов в адресном пуле может вызвать подобную проблему. Для решения данной проблемы увеличьте количество IP-адресов в адресном пуле маршрутизатора.

Для получения дополнительных сведений об устранениях неполадок в VPN-клиенте AnyConnect обратитесь к документу Часто задаваемые вопросы о VPN-клиенте AnyConnect.

Ошибка: SSLVPN Package SSL-VPN-Client : installed Error: Диск

Проблема: Вы получили следующее сообщение об ошибке при установке пакета SVC на маршрутизатор: SSLVPN Package SSL-VPN-Client : installed Error: Disk.

Решение: Эту проблему можно решить путем переформатирования флэш-памяти.

Команды для устранения неполадок

Некоторые команды clear ассоциированы с WebVPN. Дополнительную информацию о данных командах см. в документе Использование команд WebVPN "clear"..

Некоторые команды debug связаны с WebVPN. Дополнительную информацию о данных командах см. в документе Использование команд WebVPN "debug".

 Примечание.Использование команд debug может неблагоприятно сказаться на производительности устройства Cisco. Перед использованием команд debug ознакомьтесь с документом Важные сведения о командах debug.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 110608