Безопасность : Cisco Adaptive Security Device Manager

ASDM и WebVPN включены на том же интерфейсе ASA

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как обратиться к Cisco Adaptive Security Device Manager (ASDM) и портал WebVPN, когда им оба включают на том же интерфейсе Устройства адаптивной защиты (ASA) серии 5500 Cisco.

Примечание: Этот документ не применим для Cisco Межсетевой экран PIX серии 500, потому что это не поддерживает WebVPN.

Внесенный Атри Basu, специалист службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

Используемые компоненты

Сведения в этом документе основываются на ASA серии 5500 Cisco.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Проблема

В версиях ASA ранее, чем Версия 8.0 (2), ASDM и WebVPN не могут быть включены на том же интерфейсе ASA, как оба слушают на том же порте (443) по умолчанию. В Версиях 8.0 (2) и позже, ASA поддерживает и безклиентую VPN Уровня защищенных сокетов (SSL) (WebVPN) сеансы и административные сеансы ASDM одновременно на порте 443 из внешнего интерфейса. Однако, когда оба сервиса включены вместе, URL по умолчанию для определенного интерфейса на ASA всегда настройки по умолчанию к сервису WebVPN. Например, рассмотрите эту конфигурацию ASA data:

rtpvpnoutbound6# show run ip
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.150.172.46 255.255.252.0
!
interface Vlan3
 nameif dmz
 security-level 50
 ip address dhcp
!
interface Vlan5
 nameif test
 security-level 0
 ip address 1.1.1.1 255.255.255.255 pppoe setroute
!
rtpvpnoutbound6# show run web
webvpn
 enable outside
 enable dmz
 anyconnect image disk0:/anyconnect-win-3.1.06078-k9.pkg 1
 anyconnect image disk0:/anyconnect-macosx-i386-3.1.06079-k9.pkg 2
 anyconnect enable
 tunnel-group-list enable
 tunnel-group-preference group-url

rtpvpnoutbound6# show run http
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 dmz
http 0.0.0.0 0.0.0.0 outside

rtpvpnoutbound6# show run tun
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool ap_fw-policy
 authentication-server-group ldap2
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 group-url https://rtpvpnoutbound6.cisco.com/admin enable
 without-csd

Решение

Для решения этого вопроса можно или использовать соответствующий URL, чтобы обратиться к соответствующему сервису или изменить порт, на котором обращаются к сервисам.

Примечание: Один недостаток с последним решением - то, что порт изменен глобально, таким образом, на каждый интерфейс влияет изменение.

Используйте соответствующий URL

В данных примера конфигурации, предоставленных в Разделе проблем, внешний интерфейс ASA может быть достигнут HTTPS через эти два URL:

https://<ip-address> <=> https://10.150.172.46
https://<domain-name> <=> https://rtpvpnoutbound6.cisco.com

Однако, при попытке обратиться к этим URL, в то время как сервис WebVPN включен, ASA перенаправляет вас к порталу WebVPN:

https://rtpvpnoutbound6.cisco.com/+CSCOE+/logon.html

Для доступа к ASDM можно использовать этот URL:

https://rtpvpnoutbound6.cisco.com/admin

Примечание: Как показано в данных примера конфигурации, той туннельной группе определили URL группы с использованием URL группы https://rtpvpnoutbound6.cisco.com/admin команда enable, которая должна конфликтовать с доступом ASDM. Однако URL https://<IP-адрес/домен> / admin зарезервирован для доступа ASDM, и если вы устанавливаете его под туннельной группой, нет никакого эффекта. Вы всегда перенаправляетесь к https://<IP-адрес/домен>/admin/public/index.html.

Измените порт, на котором Слушает Каждый Сервис

В этом разделе описывается изменить порт и для ASDM и для сервисов WebVPN.

Измените порт для сервиса сервера HTTPS глобально

Выполните эти шаги для изменения порта для сервиса ASDM:

  1. Позвольте серверу HTTPS слушать на другом порту для изменения конфигурации, которая отнесена к сервису ASDM на ASA, как показано здесь:
    ASA(config)#http server enable <1-65535>

    configure mode commands/options:
    <1-65535> The management server's SSL listening port. TCP port 443 is the
    default.
    Например:
    ASA(config)#http server enable 65000
  2. После изменения конфигурации порта по умолчанию используйте этот формат для запуска ASDM от поддерживаемого web-браузера в сети устройства безопасности:
    https://interface_ip_address:<customized port number>
    Например:
    https://192.168.1.1:65000

Измените порт для сервиса WebVPN глобально

Выполните эти шаги для изменения порта для сервиса WebVPN:

  1. Позвольте WebVPN слушать на другом порту для изменения конфигурации, которая отнесена к сервису WebVPN на ASA:

    1. Активируйте опцию WebVPN на ASA:
      ASA(config)#webvpn
    2. Включите сервис WebVPN для внешнего интерфейса ASA:
      ASA(config-webvpn)#enable outside
    3. Позвольте ASA слушать трафик WebVPN на специализированном номере порта:
      ASA(config-webvpn)#port <1-65535>

      webvpn mode commands/options:
      <1-65535> The WebVPN server's SSL listening port. TCP port 443 is the
      default.
    Например:
    ASA(config)#webvpn
    ASA(config-webvpn)#enable outside
    ASA(config-webvpn)#port 65010
  2. После того, как вы изменяете конфигурацию порта по умолчанию, открываете поддерживаемый web-браузер и используете этот формат для соединения с сервером WebVPN:
    https://interface_ip_address:<customized port number>
    Например:
    https://192.168.1.1:65010

Дополнительные сведения



Document ID: 118842