Безопасность и VPN : WebVPN/SSL VPN

Трафик VPN SSL без клиента ASA по Примеру конфигурации IPSec-туннеля между локальными сетями

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как подключить с устройством адаптивной защиты Cisco (ASA) Безклиентый Портал SSLVPN и обратиться к серверу, который расположен в удаленном местоположении, связанном по IPSec-туннелю между локальными сетями.

Внесенный инженерами Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

Используемые компоненты

Сведения в этом документе основываются на ASA, серии 5500-X, который выполняет Версию 9.2 (1), но это применяется ко всем версиям ASA.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Гарантируйте понимание потенциального воздействия любой команды перед внесением изменений на действующей сети.

Общие сведения 

Когда трафик от Безклиентого сеанса SSLVPN пересекает туннель между локальными сетями (LAN-to-LAN), обратите внимание, что существует два соединения:

  • От клиента к ASA
  • От ASA до адресата.

Для соединения ASA к адресату используется IP-адрес интерфейса ASA, "самого близкого" к адресату. Поэтому представляющий интерес трафик LAN-LAN должен включать идентичность прокси от того интерфейсного адреса до удаленной сети.

Примечание: Если Умный Туннель используется для закладки, IP-адрес интерфейса ASA, самого близкого к назначению, все еще используется. 

Настройка

В этой схеме существует туннель между локальными сетями (LAN-to-LAN) между двумя ASA , который позволяет трафику проходить от 192.168.10.x до 192.168.20. x .

Access-list, который определяет представляющий интерес трафик для того туннеля:

ASA1

access-list l2l-list extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0
255.255.255.0

ASA2

access-list l2l-list extended permit ip 192.168.20.0 255.255.255.0 192.168.10.0
255.255.255.0

  

Если безклиентый пользователь SSLVPN пытается связаться с хостом на 192.168.20.x сеть, ASA1 использует эти 209.165.200.225 адреса в качестве источника для того трафика. Поскольку Список контроля доступа (ACL) LAN-LAN не содержит 209.168.200.225 как идентичность прокси, трафик не передается по туннелю между локальными сетями (LAN-to-LAN).

Для передачи трафика по туннелю между локальными сетями (LAN-to-LAN) новый Элемент управления доступом (ACE) должен быть добавлен к ACL представляющего интерес трафика.

ASA1

access-list l2l-list extended permit ip host 209.165.200.225 192.168.20.0
255.255.255.0

ASA2

access-list l2l-list extended permit ip 192.168.20.0 255.255.255.0 host
209.165.200.225

Этот тот же принцип применяется к конфигурациям, где Безклиентому трафику SSLVPN нужен к развороту тот же интерфейс, это вошло на, даже если это, как предполагается, не проходит туннель между локальными сетями (LAN-to-LAN).

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

Как правило, ASA2 проводит Преобразование адресов портов (PAT) для 192.168.20.0/24 для обеспечения доступа в Интернет. В этом случае затем трафик от 192.168.20.0/24 на ASA 2 должен быть исключен из процесса PAT, когда это переходит 209.165.200.225. В противном случае ответ не прошел бы туннель между локальными сетями (LAN-to-LAN). Пример:   

ASA2

nat (inside,outside) source static obj-192.168.20.0 obj-
192.168.20.0 destination
static obj-209.165.200.225 obj-209.165.200.225
!
object network obj-192.168.20.0
nat (inside,outside) dynamic interface

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

  • show crypto ipsec sa- с этой командой, что было создано Сопоставление безопасности (SA) между IP-адресом Прокси ASA1 и удаленной сетью. Проверьте, увеличиваются ли зашифрованные и дешифрованные счетчики, когда Безклиентый пользователь SSLVPN обращается к тому серверу.

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Если Сопоставление безопасности не создано, можно использовать Отладку IPSec для причины сбоя:

  •  debug crypto ipsec <уровень>

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.



Document ID: 117739