Безопасность : Защищенный мобильный клиент Cisco AnyConnect Secure Mobility

Настройте клиента Secure Mobility Client AnyConnect с разделенным туннелированием на ASA

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (21 апреля 2016) | Отзыв

Введение 

Этот документ описывает, как настроить защищенный мобильный клиент Cisco AnyConnect Secure Mobility через Cisco Adaptive Security Device Manager (ASDM) на устройстве адаптивной защиты Cisco (ASA), который работает под управлением ПО версии 9.3 (2).

Внесенный Рахулом Говиндэном, раджой Периясэми, и Хэмзой Кардэймом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Веб-пакет развертываний защищенного мобильного клиента Cisco AnyConnect Secure Mobility должен быть загружен к локальному рабочему столу, от которого присутствует доступ ASDM к ASA. Для загрузки клиентского пакета обратитесь к веб-странице защищенного мобильного клиента Cisco AnyConnect Secure Mobility. Веб-пакеты развертываний для различных Операционных систем (ОС) могут быть загружены к ASA в то же время.

Это веб-имена файлов развертываний для различных ОС:

  • Microsoft Windows ОСпобеда AnyConnect - <версия>-k9.pkg

  • Macintosh (MAC) ОС AnyConnect-macosx-i386-<версия>-k9.pkg

  • Linux ОС Linux AnyConnect - <версия>-k9.pkg

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Версия ASA 9.3 (2)

  • Версия 7.3 (1) 101 ASDM

  • Версия 3.1 AnyConnect

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Этот документ предоставляет постепенно подробную информацию о том, как использовать Мастера настройки AnyConnect Cisco через ASDM, чтобы настроить Клиента AnyConnect и включить разделенное туннелирование.

Раздельное туннелирование используется в сценариях, где только определенный трафик должен быть туннелирован, настроен против сценариев где все генерируемые клиентским компьютером трафики через VPN, когда связано. Использование Мастера настройки AnyConnect будет результатом по умолчанию в туннеле - вся конфигурация на ASA. Разделенное туннелирование должно быть настроено отдельно, который объяснен более подробно в разделе Разделения туннеля этого документа. 

В этом примере конфигурации намерение состоит в том, чтобы передать трафик за 10.10.10.0/24 подсетью, которая является подсетью LAN позади ASA по VPN-туннелю, и весь другой трафик от клиентского компьютера передан через его собственный интернет-канал.

Лицензионные сведения AnyConnect

Вот некоторые ссылки на полезные сведения о лицензиях защищенного мобильного клиента Cisco AnyConnect Secure Mobility:

Настройка

В этом разделе описывается настроить защищенный мобильный клиент Cisco AnyConnect Secure Mobility на ASA.

Примечание: Используйте Средство поиска команд Command Lookup Tool (только зарегистрированные клиенты) для получения дополнительных сведений о командах, которые используются в этом разделе.

Схема сети

Это - топология, которая используется для примеров в этом документе:

 

Мастер настройки AnyConnect ASDM

Мастер настройки AnyConnect может использоваться для настройки Клиента Secure Mobility Client AnyConnect. Гарантируйте, что пакет клиента AnyConnect был загружен к флэш-памяти/диску Межсетевого экрана ASA перед переходом.

Выполните эти шаги для настройки Клиента Secure Mobility Client AnyConnect через Мастера настройки:

  1. Войдите в ASDM, запустите Мастера настройки и нажмите Next:



  2. Введите Имя Профиля подключения, выберите интерфейс, на котором VPN будет завершена из выпадающего меню Интерфейса доступа VPN, и нажимать Next:



  3. Проверьте флажок SSL для включения Уровня защищенных сокетов (SSL). Сертификат устройства может быть выполненным сертификатом Центра сертификации (CA) доверенной третьей стороны (таким как Verisign, или Поручите), или подписанный сертификат. Если сертификат уже установлен на ASA, то это может быть выбрано с помощью выпадающего меню.

    Примечание: Этот сертификат является сертификатом серверной части, который будет предоставлен. Если нет никаких сертификатов, в настоящее время устанавливаемых на ASA, и подписанный сертификат должен генерироваться, затем нажать Manage.

    Для установки стороннего сертификата выполните шаги, которые описаны в ASA 8.x Вручную Сертификаты Поставщика третьей стороны Установки для использования с Документом Cisco конфигурации WebVPN В качестве примера.



  4. Нажмите кнопку Add:



  5. Введите соответствующее имя в Поле имени Точки доверия и нажмите Add новая кнопка с зависимой фиксацией сертификата идентификации. Если нет никакого подарка пар ключей алгоритма цифровой подписи райвеста шамира адлемана (RSA) на устройстве, нажмите New для генерации того:



  6. Нажмите кнопку с зависимой фиксацией названия пары ключа по умолчанию Использования, или нажмите Enter новая кнопка с зависимой фиксацией названия пары ключей и введите новое имя. Выберите размер для ключей, и затем нажмите Generate Now:



  7. После того, как Открытые и секретные ключи криптосистемы RSA генерируются, выберите ключ и проверьте Генерировать флажок подписанного сертификата. Введите желаемое Имя предметной области (DN) в поле Certificate Subject DN, и затем нажмите Add Сертификат:



  8. Как только регистрация завершена, нажмите OK, OK, и затем Затем:



  9. Нажмите Add для добавления образа Клиента AnyConnect (.pkg файл) от ПК или от флэш-памяти. Нажмите Browse Flash, чтобы добавить образ от флэш-накопителя или нажать Upload для добавления образа от главного компьютера непосредственно:





  10. Как только образ добавлен, нажмите Next:



  11. Проверка подлинности пользователя может быть завершена через группы аутентификации, авторизации и учета (AAA). Если пользователи уже настроены, то выбирают LOCAL и нажимают Next.

    Примечание: В данном примере настроена Локальная проверка подлинности, что означает, что база локальных пользователей на ASA будет использоваться для аутентификации.



  12. Пул адресов для клиента VPN должен быть настроен. Если вы уже настроены, то выберите его из выпадающего меню. В противном случае нажмите New для настройки нового. Однажды завершенный, нажмите Next:



  13. Введите серверы Системы доменных имен (DNS) и DN в DNS и поля Domain Name соответственно, и затем нажмите Next:



  14. В этом сценарии цель состоит в том, чтобы ограничить доступ по VPN к 10.10.10.0/24 сети, которая настроена как Внутренняя часть (или LAN) подсеть позади ASA. Трафик между клиентом и внутренней подсетью должен быть освобожден от любой динамической трансляции сетевых адресов (NAT).

    Проверьте Освобожденный трафик VPN от флажка трансляции сетевых адресов и настройте LAN и Интерфейсы WAN, которые будут использоваться для освобождения:



  15. Выберите локальные сети, которые должны быть освобождены:





  16. Нажмите Next, Затем, и затем Конец.

Конфигурация клиента AnyConnect теперь завершена. Однако при настройке AnyConnect через Мастера настройки он настраивает Политику раздельных туннелей как Tunnelall по умолчанию. Для туннелирования определенного трафика только, раздельное туннелирование должно быть внедрено.

Примечание: Если раздельное туннелирование не будет настроено, то Политика раздельных туннелей будет наследована от групповой политики по умолчанию (DfltGrpPolicy), который является набором по умолчанию к Tunnelall. Это означает, что, как только клиент связан по VPN, весь трафик (для включения трафика в сеть) передается по туннелю.

Только трафик, который предназначен к глобальной сети (WAN) ASA (или Снаружи) IP-адрес, обойдет туннелирование на клиентском компьютере. Это может быть замечено в выходных данных команды route print на машинах Microsoft Windows.

Конфигурация разделения туннеля

Разделенное туннелирование является функцией, которую можно использовать для определения трафика для подсетей или хостов, которые должны быть зашифрованы. Это включает конфигурацию Списка контроля доступа (ACL), который будет привязан к этой функции. Трафик для подсетей или хостов, который определен на этом ACL, будет зашифрован по туннелю от клиентской стороны, и маршруты для этих подсетей установлены на таблице маршрутизации ПК.

Выполните эти шаги для перемещения из Туннеля - вся конфигурация к конфигурации Разделения туннеля:

  1. Перейдите к Конфигурации> VPN для удаленного доступа> Групповые политики:



  2. Нажмите Edit и используйте навигационное дерево для навигации к Усовершенствованному> Разделенное туннелирование. Анчек флажок Inherit в Разделе политики и выберите Tunnel Network List Below из выпадающего меню:



  3. Анчек флажок Inherit в разделе Списка сети и нажмите Manage для выбора ACL, который задает локальную сеть (сети), к которой клиенту нужен доступ:



  4. Нажмите Standard ACL, Add, Add ACL, и затем название ACL:



  5. Нажмите Add ACE для добавления правила:



  6. Нажмите кнопку OK.



  7. Щелкните "Применить".

После того, как связанный, маршруты для подсетей или хостов на раздельном ACL добавлены к таблице маршрутизации клиентского компьютера. На машинах Microsoft Windows это может быть просмотрено в выходных данных  команды route print. Следующим переходом для этих маршрутов будет IP-адрес от подсети client IP pool (обычно первый IP-адрес подсети):

C:\Users\admin>route print
IPv4 Route Table
======================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.106.44.1 10.106.44.243 261
10.10.10.0 255.255.255.0 10.10.11.2 10.10.11.1 2

!! This is the split tunnel route
.

10.106.44.0 255.255.255.0 On-link 10.106.44.243 261
172.16.21.1 255.255.255.255 On-link 10.106.44.243 6

!! This is the route for the ASA Public IP Address
.

На машинах MAC OS введите netstat -r команда для просмотра таблицы маршрутизации ПК:

$ netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default hsrp-64-103-236-1. UGSc 34 0 en1
10.10.10/24 10.10.11.2 UGSc 0 44 utun1

!! This is the split tunnel route.

10.10.11.2/32 localhost UGSc 1 0 lo0
172.16.21.1/32 hsrp-64-103-236-1. UGSc 1 0 en1

!! This is the route for the ASA Public IP Address
.

Загрузка и клиент AnyConnect установки

Существует два метода, которые можно использовать для развертывания защищенного мобильного клиента Cisco AnyConnect Secure Mobility на пользовательской машине:

  • Веб-развертывания

  • Автономное развертывание

Оба из этих методов объяснены более подробно в разделах, которые придерживаются.

Веб-развертывания

Для использования веб-метода развертываний введите https://<ASA FQDN> или <IP ASA> URL в браузер на клиентском компьютере, который приносит вам к странице портала WebVPN .

Примечание: Если Internet explorer (IE) используется, установка завершена главным образом через ActiveX, пока вы не вынуждены использовать Java. Все другие браузеры используют Java.

После того, как вошедший страница, установка должна начаться на клиентском компьютере, и клиент должен соединиться с ASA после того, как установка завершена.

Примечание: Вам можно было бы предложить для разрешений выполнить ActiveX или Java. Это должно быть позволено для перехода установку. 

Автономное развертывание 

Выполните эти шаги для использования метода автономного развертывания:

  1. Загрузите образ Клиента AnyConnect от Web - сайта Cisco. Для выбора правильного образа для загрузки обратитесь к веб-странице защищенного мобильного клиента Cisco AnyConnect Secure Mobility. Ссылка на загрузку предоставлена на этой странице. Перейдите к странице разгрузки и выберите соответствующую версию. Выполните поиск пакета Полной установки - Окно / Автономный установщик (ISO).

    Примечание: Образ установщика ISO тогда загружен (такие как anyconnect-win-3.1.06073-pre-deploy-k9.iso).

  2. Используйте WinRar или С 7 zip для извлечения содержания пакета ISO:



  3. Как только содержание извлечено, выполняет файл Setup.exe и выбирает модули, которые должны быть установлены наряду с защищенным мобильным клиентом Cisco AnyConnect Secure Mobility.

Совет: Для настройки дополнительных параметров настройки для VPN обратитесь раздел Соединений Клиента AnyConnect VPN Client Настройки руководства по настройке Cisco ASA 5500 с помощью CLI, 8.4 и 8.6.

Конфигурация интерфейса командой строки CLI

Этот раздел предоставляет конфигурацию интерфейса командой строки для защищенного мобильного клиента Cisco AnyConnect Secure Mobility в ссылочных целях.

ASA Version 9.3(2)
!
hostname PeerASA-29
enable password 8Ry2YjIyt7RRXU24 encrypted
ip local pool SSL-Pool 10.10.11.1-10.10.11.20 mask 255.255.255.0
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.21.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
boot system disk0:/asa932-smp-k8.bin
ftp mode passive
object network NETWORK_OBJ_10.10.10.0_24
subnet 10.10.10.0 255.255.255.0
object network NETWORK_OBJ_10.10.11.0_27
subnet 10.10.11.0 255.255.255.224

access-list all extended permit ip any any

!***********Split ACL configuration***********

access-list Split-ACL standard permit 10.10.10.0 255.255.255.0
no pager
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-721.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected

!************** NAT exemption Configuration *****************
!This will exempt traffic from Local LAN(s) to the
!Remote LAN(s) from getting NATted on any dynamic NAT rule.

nat (inside,outside) source static NETWORK_OBJ_10.10.10.0_24 NETWORK_OBJ_10.10.10.0_24
destination static NETWORK_OBJ_10.10.11.0_27 NETWORK_OBJ_10.10.11.0_27 no-proxy-arp
route-lookup

access-group all in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.21.2 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact

!********** Trustpoint for Selfsigned certificate***********
!Genarate the key pair and then configure the trustpoint
!Enroll the trustpoint genarate the self-signed certificate

crypto ca trustpoint SelfsignedCert
enrollment self
subject-name CN=anyconnect.cisco.com
keypair sslcert

crl configure
crypto ca trustpool policy
crypto ca certificate chain SelfsignedCert
certificate 4748e654
308202f0 308201d8 a0030201 02020447 48e65430 0d06092a 864886f7 0d010105
0500303a 311d301b 06035504 03131461 6e79636f 6e6e6563 742e6369 73636f2e
636f6d31 19301706 092a8648 86f70d01 0902160a 50656572 4153412d 3239301e
170d3135 30343032 32313534 30375a17 0d323530 33333032 31353430 375a303a
311d301b 06035504 03131461 6e79636f 6e6e6563 742e6369 73636f2e 636f6d31
19301706 092a8648 86f70d01 0902160a 50656572 4153412d 32393082 0122300d
06092a86 4886f70d 01010105 00038201 0f003082 010a0282 010100f6 a125d0d0
55a975ec a1f2133f 0a2c3960 0da670f8 bcb6dad7 efefe50a 482db3a9 7c6db7c4
ed327ec5 286594bc 29291d8f 15140bad d33bc492 02f5301e f615e7cd a72b60e0
7877042b b6980dc7 ccaa39c8 c34164d9 e2ddeea1 3c0b5bad 5a57ec4b d77ddb3c
75930fd9 888f92b8 9f424fd7 277e8f9e 15422b40 071ca02a 2a73cf23 28d14c93
5a084cf0 403267a6 23c18fa4 fca9463f aa76057a b07e4b19 c534c0bb 096626a7
53d17d9f 4c28a3fd 609891f7 3550c991 61ef0de8 67b6c7eb 97c3bff7 c9f9de34
03a5e788 94678f4d 7f273516 c471285f 4e23422e 6061f1e7 186bbf9c cf51aa36
19f99ab7 c2bedb68 6d182b82 7ecf39d5 1314c87b ffddff68 8231d302 03010001
300d0609 2a864886 f70d0101 05050003 82010100 d598c1c7 1e4d8a71 6cb43296
c09ea8da 314900e7 5fa36947 c0bc1778 d132a360 0f635e71 400e592d b27e29b1
64dfb267 51e8af22 0a6a8378 5ee6a734 b74e686c 6d983dde 54677465 7bf8fe41
daf46e34 bd9fd20a bacf86e1 3fac8165 fc94fe00 4c2eb983 1fc4ae60 55ea3928
f2a674e1 8b5d651f 760b7e8b f853822c 7b875f91 50113dfd f68933a2 c52fe8d9
4f9d9bda 7ae2f750 313c6b76 f8d00bf5 1f74cc65 7c079a2c 8cce91b0 a8cdd833
900a72a4 22c2b70d 111e1d92 62f90476 6611b88d ff58de5b fdaa6a80 6fe9f206
3fe4b836 6bd213d4 a6356a6c 2b020191 bf4c8e3d dd7bdd8b 8cc35f0b 9ad8852e
b2371ee4 23b16359 ba1a5541 ed719680 ee49abe8
quit
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
management-access inside
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl server-version tlsv1-only
ssl encryption des-sha1 3des-sha1 aes128-sha1 aes256-sha1

!******** Bind the certificate to the outside interface********
ssl trust-point SelfsignedCert outside

!********Configure the Anyconnect Image and enable Anyconnect***
webvpn
enable outside

anyconnect image disk0:/anyconnect-win-3.1.06073-k9.pkg 1
anyconnect enable
tunnel-group-list enable

!*******Group Policy configuration*********
!Tunnel protocol, Spit tunnel policy, Split
!ACL, etc. can be configured.

group-policy GroupPolicy_SSLClient internal
group-policy GroupPolicy_SSLClient attributes
wins-server none
dns-server value 10.10.10.23
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Split-ACL
default-domain value Cisco.com

username User1 password PfeNk7qp9b4LbLV5 encrypted
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15

!*******Tunnel-Group (Connection Profile) Configuraiton*****
tunnel-group SSLClient type remote-access
tunnel-group SSLClient general-attributes
address-pool SSL-Pool
default-group-policy GroupPolicy_SSLClient
tunnel-group SSLClient webvpn-attributes
group-alias SSLClient enable

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:8d492b10911d1a8fbcc93aa4405930a0
: end

Проверка

Выполните эти шаги для проверки клиентского соединения и различных параметров, которые привязаны к тому соединению:

  1. Перейдите к Мониторингу> VPN на ASDM:



  2. Можно использовать опцию Filter By для фильтрации типа VPN. Выберите AnyConnect Client из выпадающего меню и всех Сеансов клиента AnyConnect.

    Совет: Сеансы могут далее фильтроваться с другими критериями, такими как Имя пользователя и IP-адрес.



  3. Дважды нажмите сеанс для получения более подробной информации о том отдельном сеансе:



  4. Введите покажите vpn-sessiondb anyconnect команда в CLI для получения подробных данных сеанса:

    # show vpn-sessiondb anyconnect
    Session Type : AnyConnect
    Username : cisco Index : 14
    Assigned IP : 10.10.11.1 Public IP : 172.16.21.1
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)3DES DTLS-Tunnel: (1)DES
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
    Bytes Tx : 11472 Bytes Rx : 39712
    Group Policy : GroupPolicy_SSLClient Tunnel Group : SSLClient
    Login Time : 16:58:56 UTC Mon Apr 6 2015
    Duration : 0h:49m:54s
    Inactivity : 0h:00m:00s
    NAC Result : Unknown
    VLAN Mapping : N/A VLAN : none
  5. Можно использовать другие параметры фильтрации для уточнения результатов:

    # show vpn-sessiondb detail anyconnect filter name cisco

    Session Type: AnyConnect Detailed

    Username : cisco Index : 19
    Assigned IP : 10.10.11.1 Public IP : 10.106.44.243
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)3DES DTLS-Tunnel: (1)DES
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
    Bytes Tx : 11036 Bytes Rx : 4977
    Pkts Tx : 8 Pkts Rx : 60
    Pkts Tx Drop : 0 Pkts Rx Drop : 0
    Group Policy : GroupPolicy_SSLClient Tunnel Group : SSLClient
    Login Time : 20:33:34 UTC Mon Apr 6 2015
    Duration : 0h:01m:19s

    AnyConnect-Parent Tunnels: 1
    SSL-Tunnel Tunnels: 1
    DTLS-Tunnel Tunnels: 1

    AnyConnect-Parent:
    Tunnel ID : 19.1
    Public IP : 10.106.44.243
    Encryption : none Hashing : none
    TCP Src Port : 58311 TCP Dst Port : 443
    Auth Mode : userPassword
    Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
    Client OS : Windows
    Client Type : AnyConnect
    Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.06073
    Bytes Tx : 5518 Bytes Rx : 772
    Pkts Tx : 4 Pkts Rx : 1
    Pkts Tx Drop : 0 Pkts Rx Drop : 0

    SSL-Tunnel:
    Tunnel ID : 19.2
    Assigned IP : 10.10.11.1 Public IP : 10.106.44.243
    Encryption : 3DES Hashing : SHA1
    Encapsulation: TLSv1.0 TCP Src Port : 58315
    TCP Dst Port : 443 Auth Mode : userPassword
    Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
    Client OS : Windows
    Client Type : SSL VPN Client
    Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.06073
    Bytes Tx : 5518 Bytes Rx : 190
    Pkts Tx : 4 Pkts Rx : 2
    Pkts Tx Drop : 0 Pkts Rx Drop : 0

    DTLS-Tunnel:
    Tunnel ID : 19.3
    Assigned IP : 10.10.11.1 Public IP : 10.106.44.243
    Encryption : DES Hashing : SHA1
    Encapsulation: DTLSv1.0 UDP Src Port : 58269
    UDP Dst Port : 443 Auth Mode : userPassword
    Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
    Client OS : Windows
    Client Type : DTLS VPN Client
    Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.06073
    Bytes Tx : 0 Bytes Rx : 4150
    Pkts Tx : 0 Pkts Rx : 59
    Pkts Tx Drop : 0 Pkts Rx Drop : 0

Устранение неполадок

Можно использовать Диагностику и средство создания отчетов (DART) AnyConnect для сбора данных, которые полезны для устранения проблем установки AnyConnect и проблем с подключением. Мастер DART используется на компьютере, который выполняет AnyConnect. DART собирает журналы, статус и диагностическую информацию для Центра технической поддержки Cisco (TAC) анализ и не требует, чтобы администраторские привилегии работали на клиентском компьютере.

Установите DART

Выполните эти шаги для установки DART:

  1. Загрузите образ Клиента AnyConnect от Web - сайта Cisco. Для выбора правильного образа для загрузки обратитесь к веб-странице защищенного мобильного клиента Cisco AnyConnect Secure Mobility. Ссылка на загрузку предоставлена на этой странице. Перейдите к странице разгрузки и выберите соответствующую версию. Выполните поиск пакета Полной установки - Окно / Автономный установщик (ISO).

    Примечание: Образ установщика ISO тогда загружен (такие как anyconnect-win-3.1.06073-pre-deploy-k9.iso).

  2. Используйте WinRar или С 7 zip для извлечения содержания пакета ISO:



  3. Перейдите к папке, к которой было извлечено содержание.

  4. Выполните файл Setup.exe и выберите только Диагностику Anyconnect И Средство создания отчетов:

Выполните DART

Вот немного важной информации для рассмотрения перед выполнением DART:

  • Проблема должна быть воссоздана, по крайней мере, однажды, вы выполняете DART.

  • Когда проблема воссоздана, на дату и времю на пользовательской машине нужно обратить внимание.

Выполните DART от Меню Пуск на клиентском компьютере:

Или или Пользовательский режим По умолчанию может быть выбран. Cisco рекомендует выполнить DART в Режиме по умолчанию так, чтобы вся информация могла быть перехвачена в одиночном выстреле.

После того, как завершенный, программное средство сохранило файл .zip связки (bundle) DART к компьютеру клиента. Связка (bundle) может тогда быть послана по электронной почте к TAC (после открытия кэйса ТАС (Центра технической поддержки)) для дальнейшего анализа.

Дополнительные сведения



Document ID: 119006