El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar Cisco AnyConnect Secure Mobility Client para la tunelización de exclusión de división dinámica a través de Cisco Adaptive Security Device Manager (ASDM) en un Cisco Adaptive Security Appliance (ASA) de párrafo.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en estas versiones de software:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
La tunelización dividida de Anyconnect permite a Cisco AnyConnect Secure Mobility Client acceder de forma segura a los recursos corporativos a través de IKEV2 o Secure Sockets Layer (SSL).
Antes de la versión 4.5 de AnyConnect, basada en la política configurada en el dispositivo de seguridad adaptable (ASA), el comportamiento del túnel dividido podía ser Tunnel Specified (Túnel especificado), Tunnel All (Túnel especificado) o Exclude Specified (Excluir especificado).
Con la llegada de los recursos informáticos alojados en la nube, a veces los servicios se resuelven en una dirección IP diferente en función de la ubicación del usuario o de la carga de los recursos alojados en la nube.
Dado que Anyconnect Secure Mobility Client proporciona una tunelización dividida al rango de subred estática, host o conjunto de IPV4 o IPV6, a los administradores de red les resulta difícil excluir dominios/FQDN mientras configuran AnyConnect.
Por ejemplo, un administrador de red desea excluir el dominio Cisco.com de la configuración del túnel de división, pero la asignación DNS para Cisco.com cambia, ya que está alojado en la nube.
Mediante la tunelización Dynamic Split Exclude, Anyconnect resuelve dinámicamente la dirección IPv4/IPv6 de la aplicación alojada y realiza los cambios necesarios en la tabla de routing y los filtros para permitir que la conexión se realice fuera del túnel.
A partir de AnyConnect 4.5, se puede utilizar la tunelización dinámica de escupir en la que Anyconnect resuelve dinámicamente la dirección IPv4/IPv6 de la aplicación alojada y realiza los cambios necesarios en la tabla de routing y los filtros para permitir que la conexión se realice fuera del túnel
En esta sección se describe cómo configurar Cisco AnyConnect Secure Mobility Client en ASA.
Esta imagen muestra la topología que se utiliza para los ejemplos de este documento.
Vaya a Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes
. clic Add
y establecer dynamic-split-exclude-domains
atributo y descripción opcional, como se muestra en la imagen:
Vaya a Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names
. clic Add
y establezca el botón dynamic-split-exclude-domains
creado anteriormente a partir de Type, un nombre arbitrario y Values, como se muestra en la imagen:
Tenga cuidado de no introducir espacios en Nombre. (Ejemplo: Posible "cisco-site" Imposible "cisco site") Cuando se registran varios dominios o FQDN en Valores, sepárelos con una coma (,).
Vaya a Configuration> Remote Access VPN> Network (Client) Access> Group Policies
y seleccione una directiva de grupo. A continuación, navegue hasta Advanced> AnyConnect Client> Custom Attributes
y agregue el Type
y Name
, como se muestra en la imagen:
Esta sección proporciona la configuración CLI de Dynamic Split Tunneling para fines de referencia.
ASAv10# show run
--- snip ---
webvpn
enable outside
anyconnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
hsts
enable
max-age 31536000
include-sub-domains
no preload
anyconnect image disk0:/anyconnect-win-4.7.04056-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
anyconnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
group-policy GroupPolicy_AnyConnect-01 internal
group-policy GroupPolicy_AnyConnect-01 attributes
wins-server none
dns-server value 10.0.0.0
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
split-tunnel-network-list value SplitACL
default-domain value cisco.com
anyconnect-custom dynamic-split-exclude-domains value cisco-site
Para verificar la configuración Dynamic Tunnel Exclusions,
Iniciar AnyConnect
en el cliente, haga clic en Advanced Window
> Statistics
, como se muestra en la imagen:
También puede navegar hasta Advanced Window
> Route Details
en la que puede verificar Dynamic Tunnel Exclusions
se enumeran en Non-Secured Routes,
como se muestra en la imagen.
En este ejemplo, ha configurado www.cisco.com en Dynamic Tunnel Exclusion list
y la captura de Wireshark recopilada en la interfaz física del cliente AnyConnect confirma que el tráfico a www.cisco.com (198.51.100.0) no está cifrado por DTLS.
Si se configura un comodín en el campo Valores, por ejemplo, *.cisco.com se configura en Valores, la sesión de AnyConnect se desconecta, como se muestra en los registros:
Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested
Nota: Como alternativa, puede utilizar el dominio cisco.com en Valores para permitir FQDN como www.cisco.com y tools.cisco.com.
El cliente AnyConnect detecta y agrega automáticamente la dirección IP y el FQDN en la ficha Detalles de ruta, cuando el cliente inicia el tráfico para los destinos excluidos.
Para verificar que los usuarios de AnyConnect están asignados a la política de grupo de Anyconnect correcta, puede ejecutar el comando 'show vpn-sessiondb anyconnect filter name
'
ASAv10# show vpn-sessiondb anyconnect filter name cisco
Session Type: AnyConnect
Username : cisco Index : 7
Assigned IP : 172.16.0.0 Public IP : 10.0.0.0
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 7795373 Bytes Rx : 390956
Group Policy : GroupPolicy_AnyConnect-01
Tunnel Group : AnyConnect-01
Login Time : 13:20:48 UTC Tue Mar 31 2020
Duration : 20h:19m:47s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 019600a9000070005e8343b0
Security Grp : none
Puede utilizar la herramienta de diagnóstico e informes de AnyConnect (DART) para recopilar los datos que son útiles para solucionar los problemas de instalación y conexión de AnyConnect. El Asistente de DART se utiliza en el equipo que ejecuta AnyConnect. La DART reúne los registros, el estado y la información de diagnóstico para el análisis de Cisco Technical Assistance Center (TAC) y no requiere privilegios de administrador para ejecutarse en la máquina del cliente.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
02-Aug-2022 |
Traducción automática enmascaramiento, estructura, gramática. |
1.0 |
14-Apr-2020 |
Versión inicial |