Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 8.x: Пример конфигурации "VPN Client AnyConnect для Public Internet VPN on a Stick"

10 февраля 2011 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (7 апреля 2008) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Общие сведения
Настройка
      Схема сети
      Настройка ASA 8.0(2) с использованием ASDM 6.0(2)
      Настройка ASA 8.0(2) в интерфейсе командной строки
      Установление соединения SSL VPN с SVC
Проверка
Поиск и устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В этом документе описана настройка устройства адаптивной защиты (ASA) 8.0.2 для каскадной реализации VPN на основе SSL с VPN-клиентом Cisco AnyConnect VPN Client. Данная процедура настройки относится к особому случаю, когда устройство ASA запрещает раздельное туннелирование и когда пользователи подключаются напрямую к ASA еще до того, как им будет предоставлено разрешение на выход в Интернет.

Примечание.  Во избежание наложения IP-адресов в сети необходимо назначить VPN-клиенту полностью отличный пул IP-адресов (например, 10.x.x.x, 172.16.x.x и 192.168.x.x). Эта схема IP-адресации полезна для диагностики неполадок в сети.

Hairpinning (возврат) или U-turn (разворот)

Эта функция полезна для трафика VPN, который входит по интерфейсу и маршрутизируется на выход из этого же интерфейса. Например, в сети VPN с топологией «звезда», в которой устройства защиты являются центральными узлами, а удаленные сети VPN — оконечными узлами, для обеспечения взаимодействия между оконечными узлами трафик должен переходить к устройству защиты, а затем к другому оконечному узлу.

Чтобы разрешить трафику поступать и выходить из одного и того же интерфейса, используйте команду same-security-traffic.

securityappliance(config)#same-security-traffic permit intra-interface

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • На центральном устройстве адаптивной защиты ASA должно использоваться ПО версии 8.x.

  • VPN-клиент Cisco AnyConnect версии 2.x

    Примечание. Вы можете загрузить этот образ VPN-клиента AnyConnect (anyconnect-win*.pkg) в Центре программного обеспечения Cisco (только для зарегистрированных пользователей). Скопируйте VPN-клиент AnyConnect во флэш-память ASA, из которой он должен загружаться на удаленные компьютеры пользователей для установления VPN-соединения по протоколу SSL с устройством ASA. Для получения дополнительных сведений о настройке обратитесь к разделу Установка клиента AnyConnect руководства по настройке ASA.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Устройство адаптивной защиты Cisco серии ASA 5500, на котором установлено ПО версии 8.0(2)

  • VPN-клиент Cisco AnyConnect SSL версии 2.0.0343 для Windows

  • ПК с операционной системой Microsoft Windows Vista, Windows XP или Windows 2000 Professional

  • Менеджер устройств адаптивной защиты (ASDM) версии 6.0(2)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

VPN-клиент Cisco AnyConnect предоставляет удаленным пользователям безопасный доступ к устройству защиты с помощью SSL-соединений. Без ранее установленного клиента удаленные пользователи в своем браузере вводят IP-адрес интерфейса, настроенного на прием VPN-соединений по протоколу SSL. Если в устройстве защиты не настроено перенаправление запроса с адреса http:// на https://, пользователям необходимо будет вводить URL-адрес в виде https://<адрес>.

После ввода URL-адреса браузер подключается к интерфейсу и отображает окно входа в систему. Если пользователь выполнит вход в систему и пройдет аутентификацию, то устройство защиты определит, что ему необходим клиент, после чего загрузит на удаленный компьютер ту версию клиента, которая соответствует его ОС. После загрузки происходит установка клиента и его автоматическая настройка, после чего устанавливается безопасное SSL-соединение, а затем после завершения соединения клиент либо остается, либо происходит его автоматическое удаление (в зависимости от конфигурации устройства защиты).

При наличии ранее установленного клиента после прохождения пользователем аутентификации устройство защиты проверяет версию клиента и при необходимости обновляет его.

Когда клиент устанавливает VPN-соединение с устройством защиты по протоколу SSL, он подключается с помощью протокола TLS либо DTLS. Использование протокола DTLS позволяет избежать проблем с пропускной способностью и задержками, связанными с некоторыми SSL-соединениями, а также позволяет улучшить производительность приложений, работающих в режиме реального времени, чувствительных к задержкам пакетов.

Клиент AnyConnect можно загрузить с устройства защиты, или он может быть установлен на удаленном ПК вручную системным администратором. Для получения дополнительных сведений о ручной установке клиента обратитесь к документу Руководство администратора Cisco AnyConnect VPN Client.

Устройство защиты производит загрузку клиента на основе групповой политики или атрибутов пользователя, устанавливающего соединение. Можно настроить устройство защиты на автоматическую загрузку клиента или на выдачу удаленному пользователю запроса о необходимости установки клиента. Можно настроить устройство защиты на загрузку клиента после завершения времени ожидания ответа пользователя или при отображении страницы входа в систему.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание. Для поиска дополнительной информации о командах, приведенных в данном документе, используйте инструмент Средство поиска команд (только для зарегистрированных пользователей).

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/100918/asa8x-anyconnect-vpn-config1.gif

Примечание. Схемы IP-адресации, приведенные в этой конфигурации, нельзя использовать для маршрутизации в Интернете. Это адреса RFC 1918 leavingcisco.com, которые использовались в лабораторной среде.

Конфигурации ASA 8.0(2) с использованием ASDM 6.0(2)

В данном документе предполагается, что вся базовая настройка, например настройка интерфейса, уже выполнена и работает правильно.

Примечание. Чтобы узнать, как разрешить настройку ASA с помощью ASDM, см. раздел Включение HTTPS-доступа для ASDM.

Примечание. Начиная с версии 8.0(2), устройство ASA одновременно поддерживает на порту 443 внешнего интерфейса бесклиентские сеансы VPN на основе SSL (WebVPN) и административные сеансы ASDM. В версиях до 8.0(2) нельзя включать WebVPN и ASDM на одном и том же интерфейсе ASA, если не изменены номера портов. Для получения дополнительных сведений обратитесь к документу Включение ASDM и WebVPN на одном и том же интерфейсе ASA.

Выполните эти шаги, чтобы настроить каскадную сеть VPN на основе SSL на устройстве ASA:

  1. Выберите Configuration > Device Setup > Interfaces (Конфигурация > Настройка устройства > Интерфейсы) и отметьте флажок Enable traffic between two or more hosts connected to the same interface (Разрешить трафик между двумя или несколькими хостами, подключенными к общему интерфейсу), чтобы разрешить вход и выход трафика SSL VPN на одном и том же интерфейсе. Нажмите кнопку Apply (Применить).

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config2.gif

    Эквивалентная конфигурация CLI:

    Cisco ASA 8.0(2)
    ciscoasa(config)#same-security-traffic permit intra-interface
    

  2. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > Address Management > Address Pools > Add (Конфигурация > VPN для удаленного доступа > Доступ к сети (клиентский) > Управление адресами > Пулы адресов > Добавить), чтобы создать пул IP-адресов vpnpool.

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config3.gif

  3. Нажмите кнопку Apply (Применить).

    Эквивалентная конфигурация CLI:

    Cisco ASA 8.0(2)
    ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0
    

  4. Включите WebVPN.

    1. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles (Конфигурация > VPN для удаленного доступа > Доступ к сети (клиентский) > Профили подключений SSL VPN) и в разделе Access Interfaces (Интерфейсы доступа) установите флажки Allow Access (Разрешить доступ) и Enable DTLS (Включить DTLS) для внешнего интерфейса. Также поставьте флажок Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interface selected in the table below (Разрешить клиенту Cisco AnyConnect VPN или обычному клиенту SSL VPN обращаться к интерфейсу, выбранному в таблице ниже), чтобы разрешить SSL VPN на внешнем интерфейсе.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config4.gif

    2. Нажмите кнопку Apply (Применить).

    3. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > Advanced > SSL VPN > Client Settings > Add (Конфигурация > VPN для удаленного доступа > Доступ к сети (клиентский) > Дополнительно > SSL VPN > Настройки клиента > Добавить), чтобы добавить образ VPN-клиента Cisco AnyConnect из флэш-памяти ASA, как показано ниже.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config5.gif

    4. Нажмите кнопку ОК.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config6.gif

    5. Нажмите кнопку ОК.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config7.gif

      Эквивалентная конфигурация CLI:

      Cisco ASA 8.0(2)
      ciscoasa(config)#webvpn
      ciscoasa(config-webvpn)#enable outside
      ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1
      ciscoasa(config-webvpn)#tunnel-group-list enable
      ciscoasa(config-webvpn)#svc enable
      

  5. Настройте групповую политику.

    1. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > Group Policies (Конфигурация > VPN для удаленного доступа > Доступ к сети (клиентский) > Групповые политики), чтобы создать внутреннюю групповую политику clientgroup. На вкладке General (Общие сведения) установите флажок SSL VPN Client (Клиент SSL VPN) чтобы разрешить использование WebVPN в качестве туннельного протокола.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config8.gif

    2. На вкладке Advanced > Split Tunneling (Дополнительно > Раздельное туннелирование) выберите Tunnel All Networks (Туннелирование для всех сетей) в раскрывающемся списке Policy (Политика), чтобы разрешить поступление всех пакетов от удаленного ПК по защищенному туннелю.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config9.gif

    3. Настройте параметры SSL VPN в режиме групповой политики.

      1. В разделе Keep Installer on Client System (Оставить средство установки на клиентской системе) снимите флажок Inherit (Наследовать) и установите переключатель в положение Yes (Да).

        Такой выбор позволит приложению SVC оставаться на клиентском ПК. Тем самым ASA не придется загружать приложение SVC на клиентский ПК каждый раз при подключении. Такой выбор оптимален для удаленных пользователей, которые часто обращаются к корпоративной сети.

        /image/gif/paws/100918/asa8x-anyconnect-vpn-config10.gif

      2. Выберите в дереве раздел Login Setting (Настройка входа), чтобы установить переключатели в разделах Post Login Setting (Настройка после входа) и Default Post Login Selection (Выбор по умолчанию после входа), как показано на рисунке.

        /image/gif/paws/100918/asa8x-anyconnect-vpn-config11.gif

      3. В разделе Renegotiation Interval (Интервал повторного согласования) снимите флажки Inherit (Наследовать) и Unlimited (Без ограничений), после чего укажите время до смены ключа в минутах.

        Задание лимита времени, в течение которого действителен ключ, повышает безопасность.

      4. В разделе Renegotiation Method (Метод повторного согласования) снимите флажок Inherit (Наследовать) и установите переключатель в положение SSL.

        При повторном согласовании может использоваться имеющийся туннель SSL или новый туннель, созданный специально для повторного согласования.

        /image/gif/paws/100918/asa8x-anyconnect-vpn-config12.gif

    4. Нажмите кнопку OK, а затем Apply (Применить).

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config13.gif

      Эквивалентная конфигурация CLI:

      Cisco ASA 8.0(2)
      ciscoasa(config)#group-policy clientgroup internal
      ciscoasa(config)#group-policyclientgroup attributes
      ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn
      ciscoasa(config-group-policy)#split-tunnel-policy tunnelall
      ciscoasa(config-group-policy)#webvpn
      ciscoasa(config-group-webvpn)#svc ask none default svc
      ciscoasa(config-group-webvpn)#svc keep-installer installed
      ciscoasa(config-group-webvpn)#svc rekey time 30
      ciscoasa(config-group-webvpn)#svc rekey method ssl
      

  6. Последовательно выберите Configuration > Remote Access VPN > AAA Setup > Local Users > Add (Конфигурация > VPN для удаленного доступа > Настройка AAA > Локальные пользователи > Добавить), чтобы создать учетную запись нового пользователя ssluser1. Нажмите кнопку OK, а затем Apply (Применить).

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config14.gif

    Эквивалентная конфигурация CLI:

    Cisco ASA 8.0(2)
    ciscoasa(config)#username ssluser1 password asdmASA@

  7. Последовательно выберите Configuration > Remote Access VPN > AAA Setup > AAA Servers Groups > Edit (Конфигурация > VPN для удаленного доступа > Настройка AAA > Группы серверов AAA > Редактировать), чтобы изменить группу серверов по умолчанию LOCAL, установив флажок Enable Local User Lockout (Разрешить блокирование локального пользователя) и указав максимальное количество попыток, равное 16.

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config15.gif

  8. Нажмите кнопку OK, а затем Apply (Применить).

    Эквивалентная конфигурация CLI:

    Cisco ASA 8.0(2)
    ciscoasa(config)#aaa local authentication attempts max-fail 16
    

  9. Настройте группу туннелирования.

    1. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles > Add (Конфигурация > VPN для удаленного доступа > Доступ к сети (клиентский) > Профили подключений SSL VPN > Добавить), чтобы создать новую группу туннелирования sslgroup.

    2. На вкладке Basic можно заполнить список конфигурации так, как показано на рисунке:

      • Назовите группу туннелирования sslgroup.

      • В разделе Client Address Assignment (Назначение клиентского адреса) выберите пул адресов vpnpool из раскрывающегося списка.

      • В разделе Default Group Policy (Групповая политика по умолчанию) выберите групповую политику clientgroup из раскрывающегося списка.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config16.gif

    3. На вкладке SSL VPN > Connection Aliases (SSL VPN > Псевдонимы подключения) укажите псевдоним группы sslgroup_users и нажмите кнопку OK.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config17.gif

    4. Нажмите кнопку OK, а затем Apply (Применить).

      Эквивалентная конфигурация CLI:

      Cisco ASA 8.0(2)
      ciscoasa(config)#tunnel-group sslgroup type remote-access
      ciscoasa(config)#tunnel-group sslgroup general-attributes
      ciscoasa(config-tunnel-general)#address-pool vpnpool
      ciscoasa(config-tunnel-general)#default-group-policy clientgroup
      ciscoasa(config-tunnel-general)#exit
      ciscoasa(config)#tunnel-group sslgroup webvpn-attributes
      ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable
      

  10. Настройте NAT.

    1. Последовательно выберите Configuration > Firewall > NAT Rules > Add Dynamic NAT Rule (Конфигурация > Межсетевой экран > Правила NAT > Добавить динамическое правило NAT), чтобы трафик, входящий из внутренней сети, мог транслироваться с внешним IP-адресом 172.16.1.5.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config18.gif

    2. Нажмите кнопку ОК.

    3. Для трафика, входящего из внешней сети, выберите Configuration > Firewall > NAT Rules > Add Dynamic NAT Rule (Конфигурация > Межсетевой экран > Правила NAT > Добавить динамическое правило NAT). Адрес 192.168.10.0 может быть преобразован с внешним IP-адресом 172.16.1.5.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config19.gif

    4. Нажмите кнопку ОК.

      /image/gif/paws/100918/asa8x-anyconnect-vpn-config20.gif

    5. Нажмите кнопку Apply (Применить).

      Эквивалентная конфигурация CLI:

      Cisco ASA 8.0(2)
      ciscoasa(config)#global (outside) 1 172.16.1.5
      ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0
      ciscoasa(config)#nat (outside) 1 192.168.10.0 255.255.255.0
      

Настройка ASA 8.0(2) в интерфейсе командной строки

Cisco ASA 8.0(2)
ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
 domain-name default.domain.invalid
same-security-traffic permit intra-interface


!--- Command that permits the SSL VPN traffic to enter and exit the same interface.


pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. 
!--- Note: Uses an RFC 1918 range for lab setup. 
!--- Apply an address from your public range provided by your ISP.


nat (inside) 1 0.0.0.0 0.0.0.0


!--- The NAT statement to define what to encrypt (the addresses from the vpn-pool).


nat (outside) 1 192.168.10.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface


 svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image

 
svc enable


!--- Enable the security appliance to download SVC images to remote computers

 
tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
 vpn-tunnel-protocol svc


!--- Specify SSL as a permitted VPN tunneling protocol


split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.


 webvpn
  svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate 
!--- the crypto keys and initialization vectors, increasing the security of the connection.

  
 svc rekey time 30


!--- Command that specifies the number of minutes from the start of the 
!--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey.


  svc ask none default svc

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

Установление соединения SSL VPN с SVC

Выполните эти шаги, чтобы установить VPN-соединение с ASA по протоколу SSL:

  1. Введите URL-адрес или IP-адрес интерфейса ASA WebVPN в своем браузере в формате, который показан ниже.

    https://url

    ИЛИ

    https://<IP address of the ASA WebVPN interface>

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config21.gif

  2. Введите ваше имя пользователя и пароль. Также выберите соответствующую группу из раскрывающегося списка, как показано ниже.

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config22.gif

    Это окно будет отображаться перед тем, как VPN-соединение по протоколу SSL будет установлено.

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config23.gif

    Примечание. Перед загрузкой SVC необходимо установить на компьютере компонент ActiveX.

    После установления соединения будет отображено следующее окно.

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config24.gif

  3. Щелкните по значку с замком, который появился на панели задач.

    Появятся следующие окна с информацией о SSL-подключении. Например, 192.168.10.1 – это IP-адрес, назначенный ASA, и т. д.

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config25.gif

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config26.gif

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config27.gif

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Интерпретатор выходных данных (OIT), доступный только зарегистрированным пользователям, поддерживает некоторые команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show webvpn svc показывает образы SVC во флэш-памяти ASA.

    ciscoasa#show webvpn svc
    1. disk0:/anyconnect-win-2.0.0343-k9.pkg 1
      CISCO STC win2k+
      2,0,0343
      Mon 04/23/2007  4:16:34.63
    
    1 SSL VPN Client(s) installed
    
  • show vpn-sessiondb svc показывает сведения о текущих SSL-подключениях.

    ciscoasa#show vpn-sessiondb svc
    
    Session Type: SVC
    
    Username     : ssluser1               Index        : 12
    Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
    Protocol     : Clientless SSL-Tunnel DTLS-Tunnel
    Encryption   : RC4 AES128             Hashing      : SHA1
    Bytes Tx     : 194118                 Bytes Rx     : 197448
    Group Policy : clientgroup            Tunnel Group : sslgroup
    Login Time   : 17:12:23 IST Mon Mar 24 2008
    Duration     : 0h:12m:00s
    NAC Result   : Unknown
    VLAN Mapping : N/A                    VLAN         : none
  • show webvpn group-alias показывает настроенный псевдоним для различных групп.

    ciscoasa#show webvpn group-alias
    Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
    
  • Чтобы узнать текущие сеансы WebVPN в ASA, в ASDM последовательно выберите Monitoring > VPN > VPN Statistics > Sessions (Контроль > VPN > Статистика VPN > Сеансы).

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config28.gif

Поиск и устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

  1. Команда vpn-sessiondb logoff name<username> используется для прекращения сеанса SSL VPN для определенного пользователя.

    ciscoasa#vpn-sessiondb logoff name ssluser1
    Do you want to logoff the VPN session(s)? [confirm] Y
    INFO: Number of sessions with name "ssluser1" logged off : 1
    
    ciscoasa#Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xB000)
    

    Также можно использовать команду vpn-sessiondb logoff svc, чтобы прекратить все SVC-сеансы.

    Примечание. Если ПК перешел в ждущий режим или в режим гибернации, то соединение SSL VPN может быть разорвано.

    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got message
    SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, e
    tc)
    Called vpn_remove_uauth: success!
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xA000)
    
    ciscoasa#show vpn-sessiondb svc
    INFO: There are presently no active sessions
  2. Команда debug webvpn svc <1-255> предоставляет все события webvpn в реальном времени для установления сеанса.

    Ciscoasa#debug webvpn svc 7
    
    webvpn_rx_data_tunnel_connect
    CSTP state = HEADER_PROCESSING
    http_parse_cstp_method()
    ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'Host: 172.16.1.1'
    Processing CSTP header line: 'Host: 172.16.1.1'
    webvpn_cstp_parse_request_field()
    ...input: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343'
    Processing CSTP header line: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343
    '
    Setting user-agent to: 'Cisco AnyConnect VPN Client 2, 0, 0343'
    webvpn_cstp_parse_request_field()
    ...input: 'Cookie: webvpn=16885952@40960@1206357612@08DBFFD6EEFA5BBA8DDF8001877A
    0C1345E2ECC7'
    Processing CSTP header line: 'Cookie: webvpn=16885952@40960@1206357612@08DBFFD6E
    EFA5BBA8DDF8001877A0C1345E2ECC7'
    Found WebVPN cookie: 'webvpn=16885952@40960@1206357612@08DBFFD6EEFA5BBA8DDF80018
    77A0C1345E2ECC7'
    WebVPN Cookie: 'webvpn=16885952@40960@1206357612@08DBFFD6EEFA5BBA8DDF8001877A0C1
    345E2ECC7'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Version: 1'
    Processing CSTP header line: 'X-CSTP-Version: 1'
    Setting version to '1'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Hostname: tacweb'
    Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
    Setting hostname to: 'tacweb'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-MTU: 1206'
    Processing CSTP header line: 'X-CSTP-MTU: 1206'
    webvpn_cstp_parse_request_field()
    ...input: 'X-CSTP-Address-Type: IPv4'
    Processing CSTP header line: 'X-CSTP-Address-Type: IPv4'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-Master-Secret: 3C5E24D19C79486C5122F18E06C247F1B593DAC338D4A11
    1C34B83E620AEA28444B08F190AA5EA766B423A4B54FAB1B5'
    Processing CSTP header line: 'X-DTLS-Master-Secret: 3C5E24D19C79486C5122F18E06C2
    47F1B593DAC338D4A111C34B83E620AEA28444B08F190AA5EA766B423A4B54FAB1B5'
    webvpn_cstp_parse_request_field()
    ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
    Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3
    -SHA:DES-CBC-SHA'
    Validating address: 0.0.0.0
    CSTP state = WAIT_FOR_ADDRESS
    webvpn_cstp_accept_address: 192.168.10.1/255.255.255.0
    CSTP state = HAVE_ADDRESS
    SVC: NP setup
    np_svc_create_session(0xA000, 0xD41611E8, TRUE)
    webvpn_svc_np_setup
    SVC ACL Name: NULL
    SVC ACL ID: -1
    SVC ACL ID: -1
    vpn_put_uauth success!
    SVC IPv6 ACL Name: NULL
    SVC IPv6 ACL ID: -1
    SVC: adding to sessmgmt
    SVC: Sending response
    Unable to initiate NAC, NAC might not be enabled or invalid policy
    CSTP state = CONNECTED
    webvpn_rx_data_cstp
    webvpn_rx_data_cstp: got internal message
    Unable to initiate NAC, NAC might not be enabled or invalid policy
  3. Чтобы видеть все события в реальном времени, в ASDM последовательно выберите Monitoring > Logging > Real-time Log Viewer > View (Контроль > Ведение журналов > Просмотр журналов в реальном времени > Просмотр). В этом примере показаны сведения о сеансе между SVC 192.168.10.1 и web-сервером 10.2.2.2 в Интернете через ASA с адресом 172.16.1.5.

    /image/gif/paws/100918/asa8x-anyconnect-vpn-config29.gif


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 100918