Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo permitir que el Cliente Cisco VPN o el Cliente de movilidad Cisco AnyConnect Secure acceda solamente su LAN local mientras que es tunneled en las 5500 Series adaptantes de un dispositivo de seguridad de Cisco (ASA) o las 5500-X Series ASA. Esta configuración permite los Clientes Cisco VPN o el acceso seguro del Cliente de movilidad Cisco AnyConnect Secure a los recursos corporativos vía el IPSec, Secure Sockets Layer (SSL), o el intercambio de claves de Internet versión 2 (IKEv2) y todavía da a cliente la capacidad de realizar las actividades tales como impresión donde localizan al cliente. Si se permite, el tráfico destinado para el Internet es todavía tunneled al ASA.
Note: Esto no es una configuración para el Túnel dividido, donde el cliente tiene acceso unencrypted a Internet mientras que está conectado con el ASA o el PIX. Consulte PIX/ASA 7.x: Permita el Túnel dividido para los clientes VPN en el ejemplo de configuración ASA para la información sobre cómo configurar el Túnel dividido en el ASA.
Este documento asume que una configuración funcional del VPN de acceso remoto existe ya en el ASA.
Refiera al PIX/ASA 7.x como servidor VPN remoto que usa el ejemplo de la Configuración de ASDM para el Cliente Cisco VPN si uno no se configura ya.
Refiera al acceso ASA 8.x VPN con el ejemplo de configuración del cliente VPN de AnyConnect SSL para el Cliente de movilidad Cisco AnyConnect Secure si uno no se configura ya.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
El cliente está situado en una red típica del small office/home office (SOHO) y conecta a través de Internet con la oficina principal.
A diferencia de un escenario clásico del Túnel dividido en el cual todo el tráfico de Internet se envíe unencrypted, cuando usted habilita el acceso del LAN local para los clientes VPN, permite que esos clientes comuniquen unencrypted con solamente los dispositivos en la red en la cual él está situada. Por ejemplo, un cliente que no se prohibe el acceso del LAN local mientras que está conectado con el ASA del hogar puede imprimir a su propia impresora pero no acceder Internet sin primero el envío del tráfico sobre el túnel.
Una lista de acceso se utiliza para permitir el acceso del LAN local más o menos de la misma manera que el Túnel dividido esté configurado en el ASA. Sin embargo, en vez de definir qué redes deben ser cifradas, la lista de acceso en este caso define qué redes no deben ser cifradas. También, a diferencia del escenario del Túnel dividido, las redes reales en la lista no necesitan ser conocidas. En lugar, el ASA suministra una red predeterminada de 0.0.0.0/255.255.255.255, que se entiende para significar el LAN local del cliente.
Note: Cuando el cliente está conectado y configurado para el acceso del LAN local, usted no puede imprimir u hojear por nombre en el LAN local. Sin embargo, usted puede hojear o imprimir por la dirección IP. Vea la sección del Troubleshooting de este documento para más información así como de las soluciones alternativas para esta situación.
Complete estas tareas para permitir el acceso de los Clientes Cisco VPN o de Clientes de movilidad Cisco AnyConnect Secure a su LAN local mientras que está conectado con el ASA:
Complete estos pasos en el ASDM para permitir que los clientes VPN tengan acceso del LAN local mientras que está conectado con el ASA:
Bastante que el ASDM, usted puede completar estos pasos en el ASA CLI para permitir que los clientes VPN tengan acceso del LAN local mientras que está conectado con el ASA:
ciscoasa>enable
Password:
ciscoasa#configure terminal
ciscoasa(config)#
ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
Caution: Debido a los cambios en la sintaxis ACL entre las versiones de software 8.x ASA a 9.x, este ACL permited no más y los admins considerarán este mensaje de error cuando intentan configurarlo:
host estándar 0.0.0.0 del permiso de la prueba de la lista de acceso rtpvpnoutbound6(config)#
ERROR: dirección IP no válida
La única cosa se permite que es:
permiso estándar any4 de la prueba de la lista de acceso rtpvpnoutbound6(config)#
Esto es un problema conocido y ha sido dirigido por el Id. de bug Cisco CSCut3131. Actualización a una versión con el arreglo para este bug para poder configurar el acceso del LAN local.
ciscoasa(config)#group-policy hillvalleyvpn attributes
ciscoasa(config-group-policy)#
ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
ciscoasa(config-group-policy)#exit
ciscoasa(config)#exit
ciscoasa#
ciscoasa#copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
3847 bytes copied in 3.470 secs (1282 bytes/sec)
ciscoasa#
Para configurar al Cliente de movilidad Cisco AnyConnect Secure, refiera al establecimiento la conexión VPN SSL con la sección de SVC de ASA 8.x: Permita el Túnel dividido para el cliente VPN de AnyConnect en el ejemplo de configuración ASA.
Fractura-excluya el Tunelización requiere que usted habilita AllowLocalLanAccess en el cliente de AnyConnect. Todos fractura-excluyen el Tunelización se miran como acceso del LAN local. Para utilizar la característica de la exclusión del Túnel dividido, usted debe habilitar la preferencia de AllowLocalLanAccess en las preferencias del cliente VPN de AnyConnect. Por abandono, se inhabilita el acceso del LAN local.
Para permitir el acceso del LAN local, y por lo tanto fractura-excluir el Tunelización, un administrador de la red puede habilitarlo en el perfil o los usuarios pueden habilitarlo en sus configuraciones de las preferencias (véase la imagen en la siguiente sección). Para permitir el acceso del LAN local, un usuario selecciona el cuadro de verificación de acceso del LAN local de la permit si el Túnel dividido se habilita en el gateway seguro y se configura con la fractura-túnel-directiva excluye la directiva especificada. Además, usted puede configurar el perfil del cliente VPN si el acceso del LAN local se permite con los <LocalLanAccess UserControllable= >true</LocalLanAccess> " verdadero ".
Aquí están las selecciones que usted debe hacer en la lengueta de las preferencias en el Cliente de movilidad Cisco AnyConnect Secure para permitir el acceso del LAN local.
Aquí está un ejemplo de cómo configurar el perfil del cliente VPN con el XML.
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
</AnyConnectProfile>
Complete los pasos en estas secciones para verificar su configuración.
Conecte a su Cliente de movilidad Cisco AnyConnect Secure con el ASA para verificar su configuración.
Cuando usted examina los registros de AnyConnect de los diagnósticos y la herramienta de informe (DARDO) lía, usted puede determinar independientemente de si el parámetro que permite el acceso del LAN local está fijado.
******************************************
Date : 11/25/2011
Time : 13:01:48
Type : Information
Source : acvpndownloader
Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true
******************************************
Una manera adicional de probar que el cliente VPN todavía tiene acceso del LAN local mientras que es tunneled a la cabecera VPN debe utilizar el comando ping en la línea de comando de Microsoft Windows. Aquí está un ejemplo donde está 192.168.0.0/24 el LAN local del cliente y otro host está presente en la red con una dirección IP de 192.168.0.3.
C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.
Cuando el cliente VPN está conectado y configurado para el acceso del LAN local, usted no puede imprimir u hojear por nombre en el LAN local. Hay dos opciones disponibles para trabajar alrededor de esta situación:
192.168.0.3 SERVER1 192.168.0.4 SERVER2 192.168.0.5 SERVER3