Este documento describe cómo configurar AnyConnect Secure Mobility Client para la tunelización de exclusión de división dinámica a través de ASDM.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en estas versiones de software:
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
La tunelización dividida de AnyConnect permite a Cisco AnyConnect Secure Mobility Client acceder de forma segura a los recursos corporativos a través de IKEV2 o Secure Sockets Layer (SSL). Antes de la versión 4.5 de AnyConnect, basada en la política configurada en el dispositivo de seguridad adaptable (ASA), el comportamiento del túnel dividido puede ser Tunnel Specified (Túnel especificado), Tunnel All (Túnel especificado) o Exclude Specified (Excluir especificado).
Con la llegada de los recursos informáticos alojados en la nube, a veces los servicios se resuelven en una dirección IP diferente en función de la ubicación del usuario o de la carga de los recursos alojados en la nube.
Dado que AnyConnect Secure Mobility Client proporciona una tunelización dividida al rango de subred estática, al host o a un conjunto de IPV4 o IPV6, a los administradores de red les resulta difícil excluir dominios/FQDN mientras configuran AnyConnect. Por ejemplo, un administrador de red desea excluir el dominio Cisco.com de la configuración del túnel de división, pero la asignación DNS para Cisco.com cambia, ya que está alojado en la nube.
Al utilizar la tunelización Dynamic Split Exclude, AnyConnect resuelve dinámicamente la dirección IPv4/IPv6 de la aplicación alojada y garantiza los cambios necesarios en la tabla de routing y los filtros para permitir que la conexión se realice fuera del túnel.
A partir de AnyConnect 4.5, se puede utilizar la tunelización dinámica de escupir en la que AnyConnect resuelve dinámicamente la dirección IPv4/IPv6 de la aplicación alojada y realiza los cambios necesarios en la tabla de routing y los filtros para permitir que la conexión se realice fuera del túnel
En esta sección se describe cómo configurar Cisco AnyConnect Secure Mobility Client en ASA.
Esta imagen muestra la topología utilizada para los ejemplos de este documento.

Vaya a Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes. Haga clic en el botón Add y establezca el atributo dynamic-split-exclude-domains y la descripción opcional, como se muestra en la imagen:

Vaya a Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names. Haga clic en el botón Add y establezca el atributo dynamic-split-exclude-domains creado anteriormente a partir de Type, un nombre arbitrario y Values, como se muestra en la imagen:
Tenga cuidado de no introducir un espacio en Nombre (por ejemplo, es posible utilizar cisco-site, sin embargo, es imposible cisco site). Cuando se registran varios dominios o FQDN en Valores, sepárelos con una coma (,).

Vaya a Configuration > Remote Access VPN > Network (Client) Access > Group Policies y seleccione una política de grupo. Luego, navegue hasta Advanced > AnyConnect Client > Custom Attributes y agregue el Type y el Name configurados, como se muestra en la imagen:

Esta sección proporciona la configuración CLI de Dynamic Split Tunneling para fines de referencia:
ASAv10# show run
--- snip ---
webvpn
enable outside
AnyConnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
hsts
enable
max-age 31536000
include-sub-domains
no preload
AnyConnect image disk0:/AnyConnect-win-4.7.04056-webdeploy-k9.pkg 1
AnyConnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
AnyConnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
group-policy GroupPolicy_AnyConnect-01 internal
group-policy GroupPolicy_AnyConnect-01 attributes
wins-server none
dns-server value 10.0.0.0
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
split-tunnel-network-list value SplitACL
default-domain value cisco.com
AnyConnect-custom dynamic-split-exclude-domains value cisco-site
Para verificar las exclusiones de túnel dinámico configuradas,AnyConnectinicie el software en el cliente, haga clic en Ventana avanzada > Estadísticas, como se muestra en la imagen:

También puede navegar hasta la pestaña Advanced Window > Route Details, donde puede verificar que las Exclusiones de Túnel Dinámico se enumeran bajo Rutas No Seguras, como se muestra en la imagen.

En este ejemplo, ha configurado www.cisco.com en la lista Dynamic Tunnel Exclusion y la captura de Wireshark recopilada en la interfaz física del cliente AnyConnect confirma que el tráfico a www.cisco.com (198.51.100.0) no está cifrado por DTLS.

Si se configura un comodín en el campo Valores, por ejemplo, *.cisco.com se configura en Valores, la sesión de AnyConnect se desconecta, como se muestra en los registros:
Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested
Nota: Como alternativa, puede utilizar el dominio cisco.com en Valores para permitir FQDN como www.cisco.com y tools.cisco.com.
El cliente AnyConnect detecta y agrega automáticamente la dirección IP y el FQDN en la ficha Detalles de ruta, cuando el cliente inicia el tráfico para los destinos excluidos.
Para verificar que los usuarios de AnyConnect estén asignados a la política de grupo de Anyconnect correcta, puede ejecutar el comando show vpn-sessiondb anyconnect filter name <username>:
ASAv10# show vpn-sessiondb anyconnect filter name cisco
Session Type: AnyConnect
Username : cisco Index : 7
Assigned IP : 172.16.0.0 Public IP : 10.0.0.0
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 7795373 Bytes Rx : 390956
Group Policy : GroupPolicy_AnyConnect-01
Tunnel Group : AnyConnect-01
Login Time : 13:20:48 UTC Tue Mar 31 2020
Duration : 20h:19m:47s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 019600a9000070005e8343b0
Security Grp : none
Puede utilizar la herramienta de diagnóstico e informes de AnyConnect (DART) para recopilar datos útiles para solucionar los problemas de instalación y conexión de AnyConnect. El asistente de DART se utiliza en el equipo que ejecuta AnyConnect. DART recopila los registros, el estado y la información de diagnóstico para el análisis de Cisco Technical Assistance Center (TAC) y no requiere privilegios de administrador para ejecutarse en el equipo cliente.
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
5.0 |
10-Jul-2026
|
Ortografía actualizada, gramática, espaciado, líneas insertadas en secciones separadas para facilitar su lectura, URL actualizadas, sección interna editada y alertas de CCW. |
4.0 |
19-Sep-2023
|
Requisitos de estilo, marca y formato actualizados. |
3.0 |
21-Jun-2023
|
Actualización |
2.0 |
02-Aug-2022
|
Traducción automática enmascaramiento, estructura, gramática. |
1.0 |
14-Apr-2020
|
Versión inicial |