Cliente seguro de la movilidad de AnyConnect de la configuración con el Túnel dividido en un ASA

Introducción 

Este documento describe cómo configurar al Cliente de movilidad Cisco AnyConnect Secure vía el Cisco Adaptive Security Device Manager (ASDM) en un dispositivo de seguridad adaptante de Cisco (ASA) esa versión de software de los funcionamientos 9.3(2).

Prerequisites

Requisitos

El paquete del despliegue de la red del Cliente de movilidad Cisco AnyConnect Secure se debe descargar al escritorio local del cual el acceso del ASDM al ASA está presente. Para descargar el paquete del cliente, refiera a la página web del Cliente de movilidad Cisco AnyConnect Secure. Los paquetes del despliegue de la red para los diversos sistemas operativos (OS) se pueden cargar al ASA al mismo tiempo.

Éstos son los nombres del archivo del despliegue de la red para los diversos OS:

• “ AnyConnect-win-<version>-k9.pkg del €  del â de Microsoft Windows OS
  
  
• “ AnyConnect-macosx-i386-<version>-k9.pkg del €  del â de Macintosh (MAC) OS
  
  
• “ AnyConnect-linux-<version>-k9.pkg del €  del â de Linux OS

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Versión de ASA 9.3(2)
  
  
• Versión 7.3(1)101 del ASDM
  
  
• Versión 3.1 de AnyConnect

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Este documento proporciona los detalles graduales sobre cómo utilizar al asistente de configuración de Cisco AnyConnect vía el ASDM para configurar al cliente de AnyConnect y habilitar el Túnel dividido.

El Túnel dividido se utiliza en los escenarios donde solamente el tráfico específico debe ser tunneled, opuestos a los escenarios donde todos los flujos de tráfico producidos por máquina del cliente a través del VPN cuando está conectado. El uso del asistente de configuración de AnyConnect por abandono dará lugar a una túnel-toda configuración en el ASA. La tunelización dividida se debe configurar por separado, que se explica en el detalle adicional en la sección del túnel dividido de este documento. 

En este ejemplo de configuración, la intención es enviar el tráfico para la subred 10.10.10.0/24, que es la subred LAN detrás del ASA, sobre el túnel VPN y el resto del tráfico de la máquina del cliente se remite vía su propio circuito de Internet.

Información sobre la licencia de AnyConnect

Aquí están algunos links a la información útil sobre las licencias del Cliente de movilidad Cisco AnyConnect Secure:

• Refiera a las funciones de cliente, a las licencias, y a los OS seguros de la movilidad de AnyConnect, documento de la versión 3.1 para determinar las licencias que se requieren para el cliente seguro de la movilidad de AnyConnect y las características relacionadas.
  
  
• Refiera a la guía que ordena de Cisco AnyConnect para la información sobre AnyConnect Apex y más las licencias.
  
  
• ¿Refiera a qué licencia ASA es necesaria para el teléfono del IP y las conexiones VPN móviles? documento para la información sobre los requisitos adicionales de la licencia para el teléfono del IP y las conexiones móviles.

Configurar

Esta sección describe cómo configurar al Cliente de movilidad Cisco AnyConnect Secure en el ASA.

Note: Utilice la herramienta de búsqueda de comandos (clientes registrados solamente) para obtener más información sobre los comandos que se utilizan en esta sección.

Diagrama de la red

Ésta es la topología que se utiliza para los ejemplos en este documento:

 

Asistente de configuración de AnyConnect del ASDM

El asistente de configuración de AnyConnect puede ser utilizado para configurar al cliente seguro de la movilidad de AnyConnect. Asegúrese de que un paquete del cliente de AnyConnect haya estado cargado al flash/al disco del Firewall ASA antes de que usted proceda.

Complete estos pasos para configurar al cliente seguro de la movilidad de AnyConnect vía el asistente de configuración:

1. El registro en el ASDM, inicia al asistente de configuración, y hace clic después:
   
   
   
   
2. Ingrese el nombre del perfil de la conexión, elija la interfaz en la cual el VPN será terminado de la interfaz de acceso VPN el menú de persiana, y hace clic después:
   
   
   
   
3. Marque la casilla de verificación SSL para habilitar Secure Sockets Layer (SSL). El certificado del dispositivo puede ser un certificado publicado Certificate Authority (CA) de confianza del otro vendedor (tal como Verisign, o confíe), o un certificado autofirmado. Si el certificado está instalado ya en el ASA, después puede ser elegido vía el menú desplegable.

   Note: Este certificado es el certificado en el lado del servidor que será proporcionado. Si no hay Certificados instalados actualmente en el ASA, y un certificado autofirmado debe ser generado, después haga clic manejan.

   Para instalar un certificado de tercera persona, complete los pasos que se describen en el ASA 8.x instalan manualmente los Certificados del vendedor de las de otras compañías para el uso con el documento de Cisco del ejemplo de configuración del WebVPN.
   
   
   
   
4. El tecleo agrega:
   
   
   
   
5. Teclee un nombre apropiado en el campo de nombre del trustpoint, y haga clic el agregar un nuevo botón de radio del certificado de identidad. Si no hay pares claves del Rivest-Shamir-Addleman (RSA) presentes en el dispositivo, haga clic nuevo para generar uno:
   
   
   
   
6. Haga clic el botón de radio del nombre de los pares de clave predeterminada del uso, o haga clic el nuevo botón de radio del nombre del par clave del ingresar y ingrese un nuevo nombre. Seleccione el tamaño para las claves, y después haga clic ahora generan:
   
   
   
   
7. Después de que se genere el par clave RSA, elija la clave y marque la casilla de verificación del certificado autofirmado de la generación. Ingrese el Domain Name sujeto deseado (DN) en el campo del tema DN del certificado, y después haga clic agregan el certificado:
   
   
   
   
8. Una vez que la inscripción es completa, AUTORIZACIÓN del tecleo, AUTORIZACIÓN, y entonces después:
   
   
   
   
9. El tecleo agrega para agregar la imagen del cliente de AnyConnect (el archivo .package) del PC o del flash. El tecleo hojea el Flash para agregar la imagen de memoria USB, o la carga del tecleo para agregar la imagen del equipo del host directamente:
   
   
   
   
   
   
10. Una vez que se agrega la imagen, haga clic después:
    
    
    
    
11. La autenticación de usuario se puede completar vía los grupos de servidores del Authentication, Authorization, and Accounting (AAA). Si configuran a los usuarios ya, después elija el LOCAL y haga clic después.

    Note: En este ejemplo, se configura la autenticación local, así que significa que la base de datos de usuarios locales en el ASA será utilizada para la autenticación.

    
    
    
12. La agrupación de direcciones para el cliente VPN debe ser configurada. Si uno se configura ya, después selecciónelo del menú desplegable. Si no, haga clic nuevo para configurar un nuevo. Complete, haga clic una vez después:
    
    
    
    
13. Entre los servidores del Domain Name System (DNS) y los DN en el DNS y el Domain Name colocan apropiadamente, y después hacen clic después:
    
    
    
    
14. En este escenario, el objetivo es restringir el acceso sobre el VPN a la red 10.10.10.0/24 que se configura como la subred interior (o LAN) detrás del ASA. El tráfico entre el cliente y la subred interior debe estar exento de cualquier traducción de dirección de red dinámica (NAT).
    
    Marque el tráfico exento VPN de la casilla de verificación de la traducción de dirección de red y configure el LAN y las interfaces de WAN que serán utilizados para la exención:
    
    
    
    
15. Elija las redes locales que deben estar exentas:
    
    
    
    
    
    
16. Haga clic después, después, y después acabe.

La configuración del cliente de AnyConnect es completa ahora. Sin embargo, cuando usted configura AnyConnect vía el asistente de configuración, configura la directiva del túnel dividido como Tunnelall por abandono. Para hacer un túnel el tráfico específico solamente, el Túnel dividido debe ser implementado.

Note: Si la tunelización dividida no se configura, la directiva del túnel dividido será heredada de la grupo-directiva predeterminada (DfltGrpPolicy), que por abandono se fija a Tunnelall. Esto significa que una vez que el cliente está conectado sobre el VPN, todo el tráfico (incluir el tráfico a la red) está enviado sobre el túnel.

Solamente el tráfico que se destina a la dirección IP PÁLIDA ASA (o exterior) desviará el Tunelización en la máquina del cliente. Esto se puede ver en la salida del comando del route print en las máquinas de Microsoft Windows.

Configuración del túnel dividido

La tunelización dividida es una característica que usted puede utilizar para definir el tráfico para las subredes o los host que deben ser cifrados. Esto implica la configuración de una lista de control de acceso (ACL) que sea asociada a esta característica. El tráfico para las subredes o los host que se define en este ACL será cifrado sobre el túnel del extremo del cliente, y las rutas para estas subredes está instalado en la tabla de ruteo PC.

Complete estos pasos para moverse desde la Túnel-toda configuración a la configuración del túnel dividido:

1. Navegue a las directivas de la configuración > del VPN de acceso remoto > del grupo:
   
   
   
   
2. El tecleo edita, y utiliza el árbol de navegación para navegar a avanzado > Túnel dividido. Desmarque la casilla de verificación de la herencia en la sección Política, y seleccione la lista de la red de túneles abajo del menú desplegable:
   
   
   
   
3. Desmarque la casilla de verificación de la herencia en la sección de la lista de red, y el tecleo maneja para seleccionar el ACL que especifica las redes LAN a las cuales las necesidades del cliente acceden:
   
   
   
   
4. Haga clic el ACL estándar, agregue, agregue el nombre ACL, y entonces ACL:
   
   
   
   
5. El tecleo agrega ACE para agregar la regla:
   
   
   
   
6. Click OK.
   
   
   
   
7. Haga clic en Apply (Aplicar).

Una vez que están conectadas, las rutas para las subredes o los host en la fractura ACL se agregan a la tabla de ruteo de la máquina del cliente. En las máquinas de Microsoft Windows, esto se puede ver en la salida del comando del route print. El salto siguiente para estas rutas será una dirección IP IP del cliente de la subred del pool (generalmente la primera dirección IP de la subred):

C:\Users\admin>route print
IPv4 Route Table
======================================================================
Active Routes:
 Network Destination      Netmask    Gateway      Interface    Metric
       0.0.0.0            0.0.0.0   10.106.44.1  10.106.44.243  261
    10.10.10.0      255.255.255.0    10.10.11.2  10.10.11.1     2   

!! This is the split tunnel route.

   10.106.44.0      255.255.255.0     On-link    10.106.44.243  261
   172.16.21.1    255.255.255.255     On-link    10.106.44.243  6

!! This is the route for the ASA Public IP Address.

En las máquinas del MAC OS, ingrese el netstat - comando r para ver la tabla de ruteo PC:

$ netstat -r
Routing tables
Internet:
Destination        Gateway            Flags Refs  Use  Netif Expire
default            hsrp-64-103-236-1. UGSc   34   0    en1
10.10.10/24        10.10.11.2         UGSc    0   44   utun1

!! This is the split tunnel route.

10.10.11.2/32      localhost          UGSc    1   0    lo0
172.16.21.1/32     hsrp-64-103-236-1. UGSc    1   0    en1 

!! This is the route for the ASA Public IP Address.

Descargue y instale al cliente de AnyConnect

Hay dos métodos que usted puede utilizar para desplegar al Cliente de movilidad Cisco AnyConnect Secure en la máquina del usuario:

• Despliegue de la red
  
  
• Despliegue independiente

Ambos métodos se explican minuciosamente en las secciones que siguen.

Despliegue de la red

Para utilizar el método del despliegue de la red, ingrese https:// <ASA FQDN>or<ASA IP> URL en un hojeador en la máquina del cliente, que le trae a la página del portal del WebVPN.

Note: Si se utiliza el internet explorer (IE), la instalación se completa sobre todo vía ActiveX, a menos que le fuercen a utilizar las Javas. El resto de los navegadores utilizan las Javas.

Registrado una vez en la página, la instalación debe comenzar por la máquina del cliente, y el cliente debe conectar con el ASA después de que la instalación sea completa.

Note: Usted puede ser que sea indicado para que el permiso ejecute ActiveX o las Javas. Esto se debe permitir para proceder con la instalación. 

Despliegue independiente 

Complete estos pasos para utilizar el método de implementación independiente:

1. Descargue la imagen del cliente de AnyConnect del sitio Web de Cisco. Para elegir la imagen correcta para la descarga, refiera a la página web del Cliente de movilidad Cisco AnyConnect Secure. Un link de la descarga se proporciona en esta página. Navegue a la página de la descarga y seleccione la versión apropiada. Realice una búsqueda para el paquete completo de la instalación - ventana/el instalador independiente (ISO).

   Note: Una imagen del instalador ISO entonces se descarga (por ejemplo anyconnect-win-3.1.06073-pre-deploy-k9.iso).

2. Utilice WinRar o 7-Zip para extraer el contenido del paquete ISO:
   
   
   
   
3. Una vez que se extrae el contenido, funcione con el archivo setup.exe y elija los módulos que se deben instalar junto con el Cliente de movilidad Cisco AnyConnect Secure.

Tip: Para configurar las configuraciones adicionales para el VPN, refiera la sección de las conexiones de cliente VPN de AnyConnect que configura de la guía de configuración de las 5500 Series de Cisco ASA que usa el CLI, los 8.4 y los 8.6.

Configuración de CLI

Esta sección proporciona la configuración CLI para el Cliente de movilidad Cisco AnyConnect Secure para los propósitos de la referencia.

ASA Version 9.3(2)
!
hostname PeerASA-29
enable password 8Ry2YjIyt7RRXU24 encrypted
ip local pool SSL-Pool 10.10.11.1-10.10.11.20 mask 255.255.255.0
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.21.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
boot system disk0:/asa932-smp-k8.bin
ftp mode passive
object network NETWORK_OBJ_10.10.10.0_24
subnet 10.10.10.0 255.255.255.0
object network NETWORK_OBJ_10.10.11.0_27
subnet 10.10.11.0 255.255.255.224

access-list all extended permit ip any any

!***********Split ACL configuration***********

access-list Split-ACL standard permit 10.10.10.0 255.255.255.0
no pager
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-721.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected

!************** NAT exemption Configuration *****************
!This will exempt traffic from Local LAN(s) to the 
!Remote LAN(s) from getting NATted on any dynamic NAT rule.

nat (inside,outside) source static NETWORK_OBJ_10.10.10.0_24 NETWORK_OBJ_10.10.10.0_24
 destination static NETWORK_OBJ_10.10.11.0_27 NETWORK_OBJ_10.10.11.0_27 no-proxy-arp
 route-lookup
access-group all in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.21.2 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact

!********** Trustpoint for Selfsigned certificate***********
!Genarate the key pair and then configure the trustpoint
!Enroll the trustpoint genarate the self-signed certificate

crypto ca trustpoint SelfsignedCert
enrollment self
subject-name CN=anyconnect.cisco.com
keypair sslcert
crl configure
crypto ca trustpool policy
crypto ca certificate chain SelfsignedCert
certificate 4748e654
308202f0 308201d8 a0030201 02020447 48e65430 0d06092a 864886f7 0d010105
0500303a 311d301b 06035504 03131461 6e79636f 6e6e6563 742e6369 73636f2e
636f6d31 19301706 092a8648 86f70d01 0902160a 50656572 4153412d 3239301e
170d3135 30343032 32313534 30375a17 0d323530 33333032 31353430 375a303a
311d301b 06035504 03131461 6e79636f 6e6e6563 742e6369 73636f2e 636f6d31
19301706 092a8648 86f70d01 0902160a 50656572 4153412d 32393082 0122300d
06092a86 4886f70d 01010105 00038201 0f003082 010a0282 010100f6 a125d0d0
55a975ec a1f2133f 0a2c3960 0da670f8 bcb6dad7 efefe50a 482db3a9 7c6db7c4
ed327ec5 286594bc 29291d8f 15140bad d33bc492 02f5301e f615e7cd a72b60e0
7877042b b6980dc7 ccaa39c8 c34164d9 e2ddeea1 3c0b5bad 5a57ec4b d77ddb3c
75930fd9 888f92b8 9f424fd7 277e8f9e 15422b40 071ca02a 2a73cf23 28d14c93
5a084cf0 403267a6 23c18fa4 fca9463f aa76057a b07e4b19 c534c0bb 096626a7
53d17d9f 4c28a3fd 609891f7 3550c991 61ef0de8 67b6c7eb 97c3bff7 c9f9de34
03a5e788 94678f4d 7f273516 c471285f 4e23422e 6061f1e7 186bbf9c cf51aa36
19f99ab7 c2bedb68 6d182b82 7ecf39d5 1314c87b ffddff68 8231d302 03010001
300d0609 2a864886 f70d0101 05050003 82010100 d598c1c7 1e4d8a71 6cb43296
c09ea8da 314900e7 5fa36947 c0bc1778 d132a360 0f635e71 400e592d b27e29b1
64dfb267 51e8af22 0a6a8378 5ee6a734 b74e686c 6d983dde 54677465 7bf8fe41
daf46e34 bd9fd20a bacf86e1 3fac8165 fc94fe00 4c2eb983 1fc4ae60 55ea3928
f2a674e1 8b5d651f 760b7e8b f853822c 7b875f91 50113dfd f68933a2 c52fe8d9
4f9d9bda 7ae2f750 313c6b76 f8d00bf5 1f74cc65 7c079a2c 8cce91b0 a8cdd833
900a72a4 22c2b70d 111e1d92 62f90476 6611b88d ff58de5b fdaa6a80 6fe9f206
3fe4b836 6bd213d4 a6356a6c 2b020191 bf4c8e3d dd7bdd8b 8cc35f0b 9ad8852e
b2371ee4 23b16359 ba1a5541 ed719680 ee49abe8
quit
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
management-access inside
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl server-version tlsv1-only
ssl encryption des-sha1 3des-sha1 aes128-sha1 aes256-sha1

!******** Bind the certificate to the outside interface********
ssl trust-point SelfsignedCert outside

!********Configure the Anyconnect Image and enable Anyconnect***
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.1.06073-k9.pkg 1
anyconnect enable
tunnel-group-list enable

!*******Group Policy configuration*********
!Tunnel protocol, Spit tunnel policy, Split 
!ACL, etc. can be configured.

group-policy GroupPolicy_SSLClient internal
group-policy GroupPolicy_SSLClient attributes
wins-server none
dns-server value 10.10.10.23
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Split-ACL
default-domain value Cisco.com

username User1 password PfeNk7qp9b4LbLV5 encrypted
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15

!*******Tunnel-Group (Connection Profile) Configuraiton*****
tunnel-group SSLClient type remote-access
tunnel-group SSLClient general-attributes
address-pool SSL-Pool
default-group-policy GroupPolicy_SSLClient
tunnel-group SSLClient webvpn-attributes
group-alias SSLClient enable
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:8d492b10911d1a8fbcc93aa4405930a0
: end

Verificación

Complete estos pasos para verificar la conexión cliente y los diversos parámetros que se asocien a esa conexión:

1. Navegue a monitorear > VPN en el ASDM:
   
   
   
   
2. Usted puede utilizar el filtro por la opción para filtrar el tipo de VPN. Seleccione el cliente de AnyConnect del menú desplegable y a todas las sesiones de cliente de AnyConnect.

   Tip: Las sesiones se pueden filtrar más a fondo con los otros criterios, tales como nombre de usuario y dirección IP.

   
   
   
3. Haga doble clic una sesión para obtener otros detalles sobre esa sesión específica:
   
   
   
   
4. Ingrese el comando del anyconnect de VPN-sessiondb de la demostración en el CLI para obtener los detalles de la sesión:
   
   

   # show vpn-sessiondb anyconnect
   Session Type : AnyConnect
   Username     : cisco            Index : 14
   Assigned IP  : 10.10.11.1   Public IP : 172.16.21.1
   Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
   License      : AnyConnect Premium
   Encryption   : AnyConnect-Parent: (1)none SSL-Tunnel: (1)3DES DTLS-Tunnel: (1)DES
   Hashing      : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
   Bytes Tx     : 11472 Bytes Rx : 39712
   Group Policy : GroupPolicy_SSLClient   Tunnel Group : SSLClient
   Login Time   : 16:58:56 UTC Mon Apr 6 2015
   Duration     : 0h:49m:54s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A             VLAN : none

5. Usted puede utilizar las otras opciones de filtro para refinar los resultados:
   
   

   # show vpn-sessiondb detail anyconnect filter name cisco
   
   Session Type: AnyConnect Detailed
   
   Username     : cisco             Index : 19
   Assigned IP  : 10.10.11.1    Public IP : 10.106.44.243
   Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
   License      : AnyConnect Premium
   Encryption   : AnyConnect-Parent: (1)none SSL-Tunnel: (1)3DES DTLS-Tunnel: (1)DES
   Hashing      : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
   Bytes Tx     : 11036 Bytes Rx : 4977
   Pkts Tx      : 8 Pkts Rx : 60
   Pkts Tx Drop : 0 Pkts Rx Drop : 0
   Group Policy : GroupPolicy_SSLClient  Tunnel Group : SSLClient
   Login Time   : 20:33:34 UTC Mon Apr 6 2015
   Duration     : 0h:01m:19s
   
   AnyConnect-Parent Tunnels: 1
   SSL-Tunnel Tunnels: 1
   DTLS-Tunnel Tunnels: 1
   
   AnyConnect-Parent:
    Tunnel ID    : 19.1
    Public IP    : 10.106.44.243
    Encryption   : none Hashing : none
    TCP Src Port : 58311 TCP Dst Port : 443
    Auth Mode    : userPassword
    Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
    Client OS    : Windows
    Client Type  : AnyConnect
    Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.06073
    Bytes Tx     : 5518 Bytes Rx : 772
    Pkts Tx      : 4 Pkts Rx : 1
    Pkts Tx Drop : 0 Pkts Rx Drop : 0
   
   SSL-Tunnel:
    Tunnel ID    : 19.2
    Assigned IP  : 10.10.11.1   Public IP : 10.106.44.243
    Encryption   : 3DES           Hashing : SHA1
    Encapsulation: TLSv1.0 TCP   Src Port : 58315
    TCP Dst Port : 443          Auth Mode : userPassword
    Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
    Client OS    : Windows
    Client Type  : SSL VPN Client
    Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.06073
    Bytes Tx     : 5518 Bytes    Rx : 190
    Pkts Tx      : 4 Pkts        Rx : 2
    Pkts Tx Drop : 0 Pkts   Rx Drop : 0
   
   DTLS-Tunnel:
    Tunnel ID : 19.3
    Assigned IP : 10.10.11.1    Public IP : 10.106.44.243
    Encryption  : DES             Hashing : SHA1
    Encapsulation: DTLSv1.0 UDP Src Port : 58269
    UDP Dst Port : 443         Auth Mode : userPassword
    Idle Time Out: 30    Minutes Idle TO Left : 30 Minutes
    Client OS    : Windows
    Client Type  : DTLS VPN Client
    Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.06073
    Bytes Tx     : 0     Bytes Rx : 4150
    Pkts Tx      : 0      Pkts Rx : 59
    Pkts Tx Drop : 0 Pkts Rx Drop : 0

Troubleshooting

Usted puede utilizar los diagnósticos y la herramienta de informe (DARDO) de AnyConnect para recoger los datos que son útiles para resolver problemas la instalación y los Problemas de conexión de AnyConnect. Utilizan al Asisitente del DARDO en el ordenador que ejecuta AnyConnect. El DARDO ensambla los registros, el estatus, y la información de diagnóstico para el análisis del Centro de Asistencia Técnica de Cisco (TAC) y no requiere los privilegios de administrador de ejecutarse en la máquina del cliente.

Instale el DARDO

Complete estos pasos para instalar el DARDO:

1. Descargue la imagen del cliente de AnyConnect del sitio Web de Cisco. Para elegir la imagen correcta para la descarga, refiera a la página web del Cliente de movilidad Cisco AnyConnect Secure. Un link de la descarga se proporciona en esta página. Navegue a la página de la descarga y seleccione la versión apropiada. Realice una búsqueda para el paquete completo de la instalación - ventana/el instalador independiente (ISO).

   Note: Una imagen del instalador ISO entonces se descarga (por ejemplo anyconnect-win-3.1.06073-pre-deploy-k9.iso).

2. Utilice WinRar o 7-Zip para extraer el contenido del paquete ISO:
   
   
   
   
3. Hojee a la carpeta a la cual el contenido fue extraído.
   
   
4. Funcione con el archivo setup.exe y seleccione solamente AnyconnectDiagnostic y la herramienta de informe:
   
   

Ejecute el DARDO

Aquí está una cierta información importante a considerar antes de que usted ejecute el DARDO:

• El problema se debe reconstruir por lo menos una vez antes de que usted ejecute el DARDO.
  
  
• La fecha y hora en la máquina del usuario debe ser observada cuando se reconstruye el problema.

Funcione con el menú del DARDO desde el principio en la máquina del cliente:

U omita o el modo de encargo puede ser seleccionado. Cisco recomienda que usted ejecuta el DARDO en el modo predeterminado para poder capturar toda la información en un solo tiro.

Una vez que está completada, la herramienta salva el archivo del .zip del conjunto del DARDO al escritorio del cliente. El conjunto puede entonces ser enviado por correo electrónico a TAC (después de que usted abre un caso TAC) para el análisis adicional.

Información Relacionada

• Guía del administrador del Cliente de movilidad Cisco AnyConnect Secure, “ del €  del â del 3.0 de la versión manejando, monitoreando, y resolviendo problemas las sesiones de AnyConnect
  
  
• Guía de Troubleshooting del cliente VPN de AnyConnect - Problemas comunes
  
  
• Javas 7 problemas con AnyConnect, CSD/Hostscan, y el WebVPN - guía de Troubleshooting
  
  
• Soporte Técnico y Documentación - Cisco Systems