Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

ASA/AnyConnect : Exemple dynamique de configuration de Segmentation de tunnel

Options de téléchargement

  • PDF     (455.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (358.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (406.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:14 avril 2020
ID du document:215383
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer le Client à mobilité sécurisé Cisco AnyConnect pour le fractionnement dynamique excluent le Tunnellisation par l'intermédiaire du Cisco Adaptive Security Device Manager (ASDM) sur une appliance de sécurité adaptable Cisco (ASA).

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissance de base d'ASA.
    • Connaissance de base de client de mobilité de Sécurité de Cisco Anyconnect.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

    • ASA 9.12(3)9
    • ASDM 7.13(1)
    • AnyConnect 4.7.0

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

    Informations générales

    La Segmentation de tunnel d'Anyconnect permet l'accès sécurisé de Client à mobilité sécurisé Cisco AnyConnect aux ressources de l'entreprise par l'intermédiaire d'IKEV2 ou de Secure Sockets Layer (SSL). Avant la version 4.5 d'AnyConnect, basée sur la stratégie configurée sur l'appliance de sécurité adaptable (ASA), le comportement de tunnel partagé pourrait être tunnel spécifié, percer un tunnel tous ou les exclure spécifié.

    Avec l'arrivée des ressources informatiques nuage-hébergées, les services peuvent les résoudre à une adresse IP différente basée sur l'emplacement de l'utilisateur ou basée sur le chargement des ressources nuage-hébergées. Puisque le client sécurisé de mobilité d'Anyconnect fournit la Segmentation de tunnel à la plage statique de sous-réseau, hébergez ou groupe d'IPV4 ou d'IPV6, il devient difficile que les administrateurs réseau excluent les domaines/FQDN tout en configurant AnyConnect. Par exemple, un administrateur réseau pourrait vouloir exclure le domaine de Cisco.com de la configuration de tunnel partagé mais les DN traçant pour Cisco.com pourraient changer puisqu'il nuage-est hébergé.

    Utilisant le fractionnement dynamique excluez le Tunnellisation, Anyconnect résout dynamiquement l'adresse IPv4/IPv6 de l'application hébergée et apporte des modifications nécessaires dans la table et les filtres de routage pour permettre la connexion à faire en dehors du tunnel.

    Commençant par AnyConnect 4.5, leperçage d'un tunneldynamique debrochepeutêtre utiliséoùAnyconnectrésoutdynamiquement l'adresseIPv4/IPv6 de l'application hébergéeetapporte desmodifications nécessairesdans latableet lesfiltres deroutagepour permettre laconnexionà faireen dehors dutunnel

    Configuration

    Cette section décrit comment configurer le Client à mobilité sécurisé Cisco AnyConnect sur l'ASA.

    Diagramme du réseau

    Cette image affiche la topologie qui est utilisée pour les exemples de ce document.

    Étape 1. Créez les attributs personnalisés d'AnyConnect.

      

    Naviguez vers la configuration > l'Accès à distance VPN > réseau (client) Access > a avancé > des attributs personnalisés d'AnyConnect. cliquez sur Add le bouton, et placez l'attribut de dynamique-fractionnement-exclure-domaines et la description facultative, suivant les indications de l'image :

    Étape 2. Créez le nom fait sur commande d'AnyConnect et configurez les valeurs.

    Naviguez vers la configuration > l'Accès à distance VPN > réseau (client) Access > a avancé > des noms d'attribut personnalisé d'AnyConnect. cliquez sur Add le bouton, et placez l'attribut de dynamique-fractionnement-exclure-domaines créé plus tôt du type, d'un nom arbitraire et des valeurs, suivant les indications de l'image :

    Faites attention à ne pas écrire un espace dans le nom. (Par exemple : Le « site de Cisco » impossible possible de « Cisco-site ») quand des plusieurs domaines ou les FQDN en valeurs sont enregistrés, les séparent avec une virgule (,).

    Étape 3. Ajoutez le type et le nom à la stratégie de groupe.

    Naviguez vers des stratégies de groupe d'Access> de réseau de l'Accès à distance VPN> de Configuration> (client) et sélectionnez une stratégie de groupe. Ensuite, naviguez vers des attributs personnalisés d'Advanced> AnyConnect Client> et ajoutez le type et le nom configurés, suivant les indications de l'image :

    Exemple de configuration CLI

    Cette section fournit la configuration CLI de la Segmentation de tunnel dynamique pour la référence.

    ASAv10# show run
      --- snip ---
    webvpn
     enable outside
     anyconnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
     hsts
      enable
      max-age 31536000
      include-sub-domains
      no preload
     anyconnect image disk0:/anyconnect-win-4.7.04056-webdeploy-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable
     cache
      disable
     error-recovery disable
    anyconnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
    group-policy GroupPolicy_AnyConnect-01 internal
    group-policy GroupPolicy_AnyConnect-01 attributes
     wins-server none
     dns-server value 1.0.0.100
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelall
     split-tunnel-network-list value SplitACL
     default-domain value cisco.com
     anyconnect-custom dynamic-split-exclude-domains value cisco-site

    Limites

    • La version 9.0 ou ultérieures ASA est nécessaire pour utiliser des attributs personnalisés dynamiques de Segmentation de tunnel.
    • Le masque dans le domaine de valeurs n'est pas pris en charge.
    • La Segmentation de tunnel dynamique n'est pas prise en charge sur des périphériques IOS (Apple) (demande d'amélioration : CSCvr54798 ).

    Vérifiez

    Afin de vérifier a configuré des exclusions dynamiques de tunnel, lancent le logiciel d'AnyConnect sur le client, fenêtre avancée par clic > statistiques, comme affiché l'image :



    Vous pouvez également naviguer vers l'onglet avancé de détails de fenêtre > d'artère où vous pouvez vérifier des exclusions dynamiques de tunnel êtes répertorié sous les artères Non-sécurisées, suivant les indications de l'image.



    Dans cet exemple, vous avez configuré www.cisco.com sous la liste dynamique d'exclusion de tunnel et la capture Wireshark collectée sur l'interface physique du client d'AnyConnect confirme que le trafic à www.cisco.com (173.37.145.84), n'est pas chiffré par DTLS.

    Dépanner

    Au cas où le masque serait utilisé dans le domaine de valeurs

    Si un masque est configuré dans le domaine de valeurs, par exemple, *.cisco.com est configuré en valeurs, session d'AnyConnect est déconnecté, suivant les indications des logs :

    Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> No IPv6 address available for SVC connection
    Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> First TCP SVC connection established for SVC session.
    Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> TCP SVC connection established without compression
    Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
    Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> IPv4 Address <1.176.100.101> IPv6 address <::> assigned to session
    Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:100.0.0.1/44868 (100.0.0.1/44868) to identity:100.0.0.254/443 (100.0.0.254/443)
    Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> SVC closing connection: Transport closing.
    Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
    Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <100.0.0.1> WebVPN session terminated: User Requested.
    Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 100.0.0.1, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested

    Remarque: Comme alternative, vous pouvez utiliser le domaine de cisco.com en valeurs pour permettre des FQDN tels que www.cisco.com et tools.cisco.com.

    Au cas où Non-sécurisé des artères ne serait pas vues dans l'onglet de détails d'artère

    Le client d'AnyConnect automatiquement apprend et ajoute l'adresse IP et le FQDN dans l'onglet de détails d'artère, quand le client initie le trafic pour les destinations exclues.

    Afin de vérifier que les utilisateurs d'AnyConnect sont assignés à la stratégie de groupe correcte d'Anyconnect, vous pouvez exécuter la commande « <username> de nom du filtre d'anyconnect de VPN-sessiondb d'exposition » 

    ASAv10# show vpn-sessiondb anyconnect filter name cisco

    Session Type: AnyConnect

    Username     : cisco                 Index : 7
    Assigned IP  : 1.176.100.101         Public IP : 100.0.0.2
    Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
    Bytes Tx     : 7795373               Bytes Rx : 390956
    Group Policy : GroupPolicy_AnyConnect-01
    Tunnel Group : AnyConnect-01
    Login Time   : 13:20:48 UTC Tue Mar 31 2020
    Duration     : 20h:19m:47s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                   VLAN : none
    Audt Sess ID : 019600a9000070005e8343b0
    Security Grp : none

    Général dépannez

    Vous pouvez utiliser les diagnostics d'AnyConnect et l'outil de génération de rapports (DART) afin de collecter les données qui sont utiles pour dépanner l'installation et les problèmes de connexion d'AnyConnect. L'assistant de DART est utilisé sur l'ordinateur qui exécute AnyConnect. Le DART compile les logs, l'état, et les informations de diagnostic pour l'analyse du centre d'assistance technique Cisco (TAC) et n'exige pas des privilèges d'administrateur de s'exécuter sur la machine cliente.

    Informations connexes

    TAC Authored

    Contribution d’experts de Cisco

    • Taisuke Nakamura
      Ingénieur TAC Cisco
    • Prashant Joshi
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Discussions connexes de communautés de Cisco

    Ce document s’applique à ces produits

    Suivez-nous
    Salle de presseÉvénementsBloguesCommunauté
    À propos de nous
    Communiquer Avec Nous
    Travailler Avec Nous