Configuración de ASA/AnyConnect: Tunelización dividida dinámica

Opciones de descarga

  • PDF     (714.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (445.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (513.6 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:2 de agosto de 2022
ID del documento:215383

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar Cisco AnyConnect Secure Mobility Client para la tunelización de exclusión de división dinámica a través de Cisco Adaptive Security Device Manager (ASDM) en un Cisco Adaptive Security Appliance (ASA) de párrafo.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimientos básicos de ASA.
    • Conocimientos básicos de Cisco Anyconnect Security Mobility Client.

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • ASA 9.12(3)9
    • ASDM 7.13(1)
    • AnyConnect 4.7.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    La tunelización dividida de Anyconnect permite a Cisco AnyConnect Secure Mobility Client acceder de forma segura a los recursos corporativos a través de IKEV2 o Secure Sockets Layer (SSL).

    Antes de la versión 4.5 de AnyConnect, basada en la política configurada en el dispositivo de seguridad adaptable (ASA), el comportamiento del túnel dividido podía ser Tunnel Specified (Túnel especificado), Tunnel All (Túnel especificado) o Exclude Specified (Excluir especificado).

    Con la llegada de los recursos informáticos alojados en la nube, a veces los servicios se resuelven en una dirección IP diferente en función de la ubicación del usuario o de la carga de los recursos alojados en la nube.

    Dado que Anyconnect Secure Mobility Client proporciona una tunelización dividida al rango de subred estática, host o conjunto de IPV4 o IPV6, a los administradores de red les resulta difícil excluir dominios/FQDN mientras configuran AnyConnect.

    Por ejemplo, un administrador de red desea excluir el dominio Cisco.com de la configuración del túnel de división, pero la asignación DNS para Cisco.com cambia, ya que está alojado en la nube.

    Mediante la tunelización Dynamic Split Exclude, Anyconnect resuelve dinámicamente la dirección IPv4/IPv6 de la aplicación alojada y realiza los cambios necesarios en la tabla de routing y los filtros para permitir que la conexión se realice fuera del túnel.

    A partir de AnyConnect 4.5, se puede utilizar la tunelización dinámica de escupir en la que Anyconnect resuelve dinámicamente la dirección IPv4/IPv6 de la aplicación alojada y realiza los cambios necesarios en la tabla de routing y los filtros para permitir que la conexión se realice fuera del túnel

    Configuración

    En esta sección se describe cómo configurar Cisco AnyConnect Secure Mobility Client en ASA.

    Diagrama de la red

    Esta imagen muestra la topología que se utiliza para los ejemplos de este documento.

    Dynamic-Split-Tunneling-Diagram

    Paso 1. Crear atributos personalizados de AnyConnect.

      

    Vaya a Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes. clic Add y establecer dynamic-split-exclude-domains atributo y descripción opcional, como se muestra en la imagen:

    Dynamic-Split-Tunneling-01

    Paso 2. Crear un nombre personalizado de AnyConnect y configurar valores.

    Vaya a Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names. clic Add y establezca el botón dynamic-split-exclude-domains creado anteriormente a partir de Type, un nombre arbitrario y Values, como se muestra en la imagen:

    Tenga cuidado de no introducir espacios en Nombre. (Ejemplo: Posible "cisco-site" Imposible "cisco site") Cuando se registran varios dominios o FQDN en Valores, sepárelos con una coma (,).

    Dynamic-Split-Tunneling-02

    Paso 3. Agregue Tipo y Nombre a la directiva de grupo.

    Vaya a Configuration> Remote Access VPN> Network (Client) Access> Group Policies y seleccione una directiva de grupo. A continuación, navegue hasta Advanced> AnyConnect Client> Custom Attributes y agregue el Type y Name, como se muestra en la imagen:

    Dynamic-Split-Tunneling-03

    Ejemplo de configuración CLI

    Esta sección proporciona la configuración CLI de Dynamic Split Tunneling para fines de referencia.

    ASAv10# show run
      --- snip ---
    webvpn
     enable outside
     anyconnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
     hsts
      enable
      max-age 31536000
      include-sub-domains
      no preload
     anyconnect image disk0:/anyconnect-win-4.7.04056-webdeploy-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable
     cache
      disable
     error-recovery disable
    anyconnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
    group-policy GroupPolicy_AnyConnect-01 internal
    group-policy GroupPolicy_AnyConnect-01 attributes
     wins-server none
     dns-server value 10.0.0.0
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelall
     split-tunnel-network-list value SplitACL
     default-domain value cisco.com
     anyconnect-custom dynamic-split-exclude-domains value cisco-site

    Limitaciones

    • ASA versión 9.0 o posterior es necesario para utilizar atributos personalizados de Dynamic Split Tunneling.
    • No se admite el carácter comodín del campo Valores.
    • La tunelización dividida dinámica no es compatible con dispositivos iOS (Apple) (petición de mejora: 'Id. de error de Cisco CSCvr54798').

    Verificación

    Para verificar la configuración Dynamic Tunnel Exclusions, Iniciar AnyConnect en el cliente, haga clic en Advanced Window > Statistics, como se muestra en la imagen:

    Dynamic-Split-Tunneling-04

    También puede navegar hasta Advanced Window > Route Details en la que puede verificar Dynamic Tunnel Exclusions se enumeran en Non-Secured Routes, como se muestra en la imagen.

    Dynamic-Split-Tunneling-05

    En este ejemplo, ha configurado www.cisco.com en Dynamic Tunnel Exclusion list y la captura de Wireshark recopilada en la interfaz física del cliente AnyConnect confirma que el tráfico a www.cisco.com (198.51.100.0) no está cifrado por DTLS.

    Dynamic-Split-Tunneling-06

    Troubleshoot

    En caso de que se utilice el carácter comodín en el campo Valores

    Si se configura un comodín en el campo Valores, por ejemplo, *.cisco.com se configura en Valores, la sesión de AnyConnect se desconecta, como se muestra en los registros:

    Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
    Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
    Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
    Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
    Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
    Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
    Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
    Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
    Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
    Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested

    Nota: Como alternativa, puede utilizar el dominio cisco.com en Valores para permitir FQDN como www.cisco.com y tools.cisco.com.

    En caso de que no se vean las rutas no seguras en la pestaña Detalles de ruta

    El cliente AnyConnect detecta y agrega automáticamente la dirección IP y el FQDN en la ficha Detalles de ruta, cuando el cliente inicia el tráfico para los destinos excluidos.

    Para verificar que los usuarios de AnyConnect están asignados a la política de grupo de Anyconnect correcta, puede ejecutar el comando 'show vpn-sessiondb anyconnect filter name 

    ASAv10# show vpn-sessiondb anyconnect filter name cisco

    Session Type: AnyConnect

    Username     : cisco                 Index : 7
    Assigned IP  : 172.16.0.0         Public IP : 10.0.0.0
    Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
    Bytes Tx     : 7795373               Bytes Rx : 390956
    Group Policy : GroupPolicy_AnyConnect-01
    Tunnel Group : AnyConnect-01
    Login Time   : 13:20:48 UTC Tue Mar 31 2020
    Duration     : 20h:19m:47s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                   VLAN : none
    Audt Sess ID : 019600a9000070005e8343b0
    Security Grp : none

    Troubleshooting general

    Puede utilizar la herramienta de diagnóstico e informes de AnyConnect (DART) para recopilar los datos que son útiles para solucionar los problemas de instalación y conexión de AnyConnect. El Asistente de DART se utiliza en el equipo que ejecuta AnyConnect. La DART reúne los registros, el estado y la información de diagnóstico para el análisis de Cisco Technical Assistance Center (TAC) y no requiere privilegios de administrador para ejecutarse en la máquina del cliente.

    Información interna de Cisco 
    Algunos clientes desean utilizar comodines en un dominio como " *.cisco.com", pero no se admiten comodines. Si se utiliza un comodín, cualquier conexión de conexión se desconecta de aquí "AnyConnect no pudo establecer una conexión con el gateway seguro especificado. Intente conectarse de nuevo." error en el lado del cliente anyconnect. 
    AnyConnect-error

    En el lado de ASA, se verá el siguiente error si se utiliza un comodín en el dominio.
    ----------------------------------------------------------------------------------------------------------------
    ##ASA CLI## 
    anyconnect-custom-data dynamic-split-exclude-domains cisco-site *.cisco.com
    ----------------------------------------------------------------------------------------------------------------
    ##ASA registro de errores si se utiliza comodín##
    2 de abril de 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No hay ninguna dirección IPv6 disponible para la conexión SVC
    2 de abril de 2020 10:01:09: %ASA-5-722033: Grupo <GroupPolicy_AnyConnect-01> Usuario <cisco> IP <172.16.0.0> Primera conexión TCP SVC establecida para la sesión SVC.
    2 de abril de 2020 10:01:09: %ASA-6-722022: Grupo <GroupPolicy_AnyConnect-01> Usuario <cisco> IP <172.16.0.0> Conexión TCP SVC establecida sin compresión
    2 de abril de 2020 10:01:09: %ASA-6-722055: Grupo <GroupPolicy_AnyConnect-01> Usuario <cisco> IP <172.16.0.0> Tipo de cliente: Cisco AnyConnect VPN Agent para Windows 4.7.04056
    2 de abril de 2020 10:01:09: %ASA-4-722051: Grupo <GroupPolicy_AnyConnect-01> Usuario <cisco> Dirección IP <172.16.0.0> Dirección IPv4 <172.16.0.0> Dirección IPv6 <::> asignada a la sesión
    2 de abril de 2020 10:01:09: %ASA-6-302013: Conexión TCP 8570 entrante integrada para el exterior:172.16.0.0/44868 (172.16.0.0/44868) a la identidad:203.0.113.0/443 (203.0.113.0/443)
    2 de abril de 2020 10:01:09: %ASA-4-722037: Grupo <GroupPolicy_AnyConnect-01> Usuario <cisco> IP <172.16.0.0> SVC cerrando conexión: Cierre del transporte.
    2 de abril de 2020 10:01:09: %ASA-5-722010: Grupo <GroupPolicy_AnyConnect-01> Usuario <cisco> IP <172.16.0.0> Mensaje SVC: 16/ERROR: La configuración recibida del gateway seguro no es válida.
    2 de abril de 2020 10:01:09: %ASA-6-716002: Grupo <GroupPolicy_AnyConnect-01> Usuario <cisco> IP <172.16.0.0> sesión WebVPN finalizada: Usuario solicitado.
    2 de abril de 2020 10:01:09: %ASA-4-113019: Grupo = AnyConnect-01, Nombre de usuario = cisco, IP = 172.16.0.0, Sesión desconectada. Tipo de sesión: AnyConnect principal, duración: 0h:00m:10s, Bytes xmt: 15622 bytes rcv: 0, Motivo: Usuario solicitado
    ----------------------------------------------------------------------------------------------------------------


    En lugar de utilizar comodines como " *.cisco.com", puede utilizar "cisco.com" para permitir FQDN como www.cisco.com, tools.cisco.com o community.cisco.com. A continuación se muestra un ejemplo de configuración y verificación.
    ----------------------------------------------------------------------------------------------------------------
    ##ASA CLI##
    anyconnect-custom-data dynamic-split-exclude-domains cisco-site cisco.com
    ----------------------------------------------------------------------------------------------------------------
    ##AnyConnect Cliente## 
    cisco.com-domain-01
    cisco.com-domain-02
    ----------------------------------------------------------------------------------------------------------------

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    02-Aug-2022
    Traducción automática enmascaramiento, estructura, gramática.
    1.0
    14-Apr-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Taisuke Nakamura
      Cisco TAC Engineer
    • Prashant Joshi
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco