¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

ASA/AnyConnect: Ejemplo dinámico de la configuración del Túnel dividido

Opciones de descarga

  • PDF     (487.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (357.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (404.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de abril de 2020
ID del documento:215383
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar al Cliente de movilidad Cisco AnyConnect Secure para la fractura dinámica excluye el Tunelización vía el Cisco Adaptive Security Device Manager (ASDM) en un dispositivo de seguridad adaptante de Cisco (ASA).

    Prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimiento básico del ASA.
    • Conocimiento básico del cliente de la movilidad de la Seguridad de Cisco Anyconnect.

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • ASA 9.12(3)9
    • ASDM 7.13(1)
    • AnyConnect 4.7.0

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

    Antecedentes

    El Túnel dividido de Anyconnect permite el acceso seguro del Cliente de movilidad Cisco AnyConnect Secure a los recursos corporativos vía IKEV2 o Secure Sockets Layer (SSL). Antes de la versión 4.5 de AnyConnect, sobre la base de la directiva configurada en el dispositivo de seguridad adaptante (ASA), el comportamiento del túnel dividido podría ser túnel especificado, hacer un túnel todos o excluirlos especificado.

    Con la llegada de los recursos nube-recibidos del ordenador, los servicios pueden resolver a una diversa dirección IP basada en la ubicación del usuario o basada en la carga de los recursos nube-recibidos. Puesto que el cliente seguro de la movilidad de Anyconnect proporciona al Túnel dividido al rango de subred estático, reciba o pool de IPV4 o del IPV6, llega a ser difícil que los administradores de la red excluyan los dominios/FQDN mientras que configura AnyConnect. Por ejemplo, un administrador de la red pudo querer excluir el dominio de Cisco.com de la configuración del túnel dividido pero la asignación DNS para Cisco.com pudo cambiar puesto que nube-se recibe.

    Usando la fractura dinámica excluya el Tunelización, Anyconnect resuelve dinámicamente el direccionamiento IPv4/IPv6 de la aplicación recibida y realiza los cambios necesarios en la tabla y los filtros de encaminamiento para permitir que la conexión sea hecha fuera del túnel.

    Comenzando con AnyConnect 4.5, elhacer un túneldinámico delescupitajopuedeser utilizadoen dondeAnyconnectresuelvedinámicamente eldireccionamientoIPv4/IPv6 de laaplicaciónrecibidayrealiza loscambios necesariosen latablay losfiltros deencaminamientopara permitir que laconexiónsea hechafuera deltúnel

    Configuración

    Esta sección describe cómo configurar al Cliente de movilidad Cisco AnyConnect Secure en el ASA.

    Diagrama de la red

    Esta imagen muestra la topología que se utiliza para los ejemplos de este documento.

    Paso 1. Cree los atributos personalizados de AnyConnect.

      

    Navegue al acceso de la configuración > del VPN de acceso remoto > de la red (cliente) > avanzó > los atributos personalizados de AnyConnect. haga clic el botón Add, y fije los dinámico-fractura-excluir-dominios atributo y descripción opcional, tal y como se muestra en de la imagen:

    Paso 2. Cree el nombre de encargo de AnyConnect y configure los valores.

    Navegue al acceso de la configuración > del VPN de acceso remoto > de la red (cliente) > avanzó > los nombres del atributo personalizado de AnyConnect. haga clic el botón Add, y fije el atributo de los dinámico-fractura-excluir-dominios creado anterior del tipo, de un nombre arbitrario y de los valores, tal y como se muestra en de la imagen:

    Tenga cuidado de no ingresar un espacio en el nombre. (Ejemplo: El “sitio imposible posible de Cisco” del “Cisco-sitio”) cuando los dominios múltiples o los FQDN en los valores se registran, los separa con una coma (,).

    Paso 3. Agregue el tipo y el nombre a la directiva del grupo.

    Navegue a las directivas del grupo de Access> de la red del Acceso Remoto VPN> de Configuration> (cliente) y seleccione una directiva del grupo. Después de eso, navegue a los atributos personalizados de Advanced> AnyConnect Client> y agregue el tipo y el nombre configurados, tal y como se muestra en de la imagen:

    Ejemplo de la configuración CLI

    Esta sección proporciona a la configuración CLI del Túnel dividido dinámico para los propósitos de la referencia.

    ASAv10# show run
      --- snip ---
    webvpn
     enable outside
     anyconnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
     hsts
      enable
      max-age 31536000
      include-sub-domains
      no preload
     anyconnect image disk0:/anyconnect-win-4.7.04056-webdeploy-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable
     cache
      disable
     error-recovery disable
    anyconnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
    group-policy GroupPolicy_AnyConnect-01 internal
    group-policy GroupPolicy_AnyConnect-01 attributes
     wins-server none
     dns-server value 1.0.0.100
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelall
     split-tunnel-network-list value SplitACL
     default-domain value cisco.com
     anyconnect-custom dynamic-split-exclude-domains value cisco-site

    Limitaciones

    • La versión 9.0 o posterior ASA es necesaria utilizar los atributos personalizados dinámicos del Túnel dividido.
    • El comodín en el campo de valores no se utiliza.
    • El Túnel dividido dinámico no se utiliza en los dispositivos IOS (Apple) (petición de la mejora: CSCvr54798 ).

    Verificación

    Para verificar configuró las exclusiones del túnel dinámico, ponen en marcha el software de AnyConnect en el cliente, ventana avanzada tecleo > las estadísticas, como se muestra la imagen:



    Usted puede también navegar a la tabulación avanzada de los detalles de la ventana > de la ruta en donde usted puede verificar que las exclusiones del túnel dinámico es mencionado bajo las rutas No-aseguradas, tal y como se muestra en de la imagen.



    En este ejemplo, usted ha configurado www.cisco.com conforme a la lista de la exclusión del túnel dinámico y la captura de Wireshark recogida en la interfaz física del cliente de AnyConnect confirma que el tráfico a www.cisco.com (173.37.145.84), no es cifrado por los DTL.

    Troubleshooting

    En caso de que el comodín se utilice en el campo de valores

    Si un comodín se configura en el campo de valores, por ejemplo, *.cisco.com se configura en los valores, sesión de AnyConnect es disconnected, tal y como se muestra en de los registros:

    Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> No IPv6 address available for SVC connection
    Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> First TCP SVC connection established for SVC session.
    Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> TCP SVC connection established without compression
    Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
    Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> IPv4 Address <1.176.100.101> IPv6 address <::> assigned to session
    Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:100.0.0.1/44868 (100.0.0.1/44868) to identity:100.0.0.254/443 (100.0.0.254/443)
    Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> SVC closing connection: Transport closing.
    Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
    Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> WebVPN session terminated: User Requested.
    Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 100.0.0.1, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested

    Nota: Como alternativa, usted puede utilizar el dominio de cisco.com en los valores para permitir los FQDN tales como www.cisco.com y tools.cisco.com.

    En caso de que las rutas No-aseguradas no se vean en la ruta detallen la tabulación

    El cliente de AnyConnect aprende y agrega automáticamente la dirección IP y el FQDN en la tabulación de los detalles de la ruta, cuando el cliente inicia el tráfico para los destinos excluidos.

    Para verificar que asignen los usuarios de AnyConnect a la grupo-directiva correcta de Anyconnect, usted puede funcionar con el comando “<username> del nombre del filtro del anyconnect de VPN-sessiondb de la demostración” 

    ASAv10# show vpn-sessiondb anyconnect filter name cisco

    Session Type: AnyConnect

    Username     : cisco                 Index : 7
    Assigned IP  : 1.176.100.101         Public IP : 100.0.0.2
    Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
    Bytes Tx     : 7795373               Bytes Rx : 390956
    Group Policy : GroupPolicy_AnyConnect-01
    Tunnel Group : AnyConnect-01
    Login Time   : 13:20:48 UTC Tue Mar 31 2020
    Duration     : 20h:19m:47s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                   VLAN : none
    Audt Sess ID : 019600a9000070005e8343b0
    Security Grp : none

    Troubleshooting general

    Usted puede utilizar los diagnósticos y la herramienta de informe (DARDO) de AnyConnect para recoger los datos que son útiles para resolver problemas la instalación y los Problemas de conexión de AnyConnect. Utilizan al Asisitente del DARDO en el ordenador que ejecuta AnyConnect. El DARDO ensambla los registros, el estatus, y la información de diagnóstico para el análisis del centro de la asistencia técnica de Cisco (TAC) y no requiere los privilegios de administrador de ejecutarse en la máquina del cliente.

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Taisuke Nakamura
      Ingeniero del TAC de Cisco
    • Prashant Joshi
      Ingeniero del TAC de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros