Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer le client Cisco AnyConnect Secure Mobility pour la tunnellisation dynamique à l'exclusion du fractionnement via Cisco Adaptive Security Device Manager (ASDM) sur un dispositif de sécurité adaptatif Cisco (ASA) paragraphe.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
La transmission tunnel partagée AnyConnect permet au client Cisco AnyConnect Secure Mobility d'accéder en toute sécurité aux ressources de l'entreprise via IKEV2 ou SSL (Secure Sockets Layer).
Avant AnyConnect version 4.5, en fonction de la stratégie configurée sur l'appliance de sécurité adaptatif (ASA), le comportement de tunnel partagé pouvait être Tunnel Specified, Tunnel All ou Exclude Specified.
Avec l'avènement des ressources informatiques hébergées dans le cloud, les services se résolvent parfois en une adresse IP différente en fonction de l'emplacement de l'utilisateur ou de la charge des ressources hébergées dans le cloud.
Étant donné qu’Anyconnect Secure Mobility Client fournit une tunnellisation partagée vers une plage de sous-réseaux statiques, un hôte ou un pool d’IPV4 ou d’IPV6, il devient difficile pour les administrateurs réseau d’exclure des domaines/noms de domaine complets pendant la configuration d’AnyConnect.
Par exemple, un administrateur réseau souhaite exclure le domaine Cisco.com de la configuration du tunnel partagé, mais le mappage DNS de Cisco.com change car il est hébergé dans le cloud.
À l'aide de la tunnellisation Dynamic Split Exclude, Anyconnect résout dynamiquement l'adresse IPv4/IPv6 de l'application hébergée et apporte les modifications nécessaires à la table de routage et aux filtres pour permettre la connexion en dehors du tunnel.
À partir de AnyConnect 4.5, la tunnellisation dynamique de broches peut être utilisée, dans laquelle AnyConnect résout dynamiquement l'adresse IPv4/IPv6 de l'application hébergée et apporte les modifications nécessaires dans la table de routage et les filtres pour permettre à la connexion d'être effectuée en dehors du tunnel
Cette section explique comment configurer le client pour la mobilité sécurisée Cisco AnyConnect sur l’ASA.
Cette image présente la topologie utilisée pour les exemples de ce document.
Naviguez jusqu'à Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes
. cliquet Add
et définir dynamic-split-exclude-domains
attribut et description facultative, comme indiqué dans l'image :
Naviguez jusqu'à Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names
. cliquet Add
, puis définissez le dynamic-split-exclude-domains
Attribut créé précédemment à partir de Type, un nom arbitraire et de Values, comme illustré dans l'image :
Veillez à ne pas entrer d'espace dans Nom. (Par exemple : Possible « cisco-site » Impossible « cisco site ») Lorsque plusieurs domaines ou noms de domaine complets dans Valeurs sont enregistrés, séparez-les par une virgule (,).
Naviguez jusqu'à Configuration> Remote Access VPN> Network (Client) Access> Group Policies
et Sélectionnez une stratégie de groupe. Ensuite, accédez à Advanced> AnyConnect Client> Custom Attributes
et ajoutez le Type
et Name
, comme l'illustre l'image :
Cette section fournit la configuration CLI de Dynamic Split Tunneling à des fins de référence.
ASAv10# show run
--- snip ---
webvpn
enable outside
anyconnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
hsts
enable
max-age 31536000
include-sub-domains
no preload
anyconnect image disk0:/anyconnect-win-4.7.04056-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
anyconnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
group-policy GroupPolicy_AnyConnect-01 internal
group-policy GroupPolicy_AnyConnect-01 attributes
wins-server none
dns-server value 10.0.0.0
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
split-tunnel-network-list value SplitACL
default-domain value cisco.com
anyconnect-custom dynamic-split-exclude-domains value cisco-site
Afin de vérifier la configuration Dynamic Tunnel Exclusions,
Lancer AnyConnect
sur le client, cliquez sur Advanced Window
> Statistics
, comme l'illustre l'image :
Vous pouvez également accéder à Advanced Window
> Route Details
dans lequel vous pouvez vérifier Dynamic Tunnel Exclusions
sont répertoriées sous Non-Secured Routes,
comme illustré dans l'image.
Dans cet exemple, vous avez configuré www.cisco.com sous Dynamic Tunnel Exclusion list
et la capture Wireshark collectée sur l'interface physique du client AnyConnect confirme que le trafic vers www.cisco.com (198.51.100.0) n'est pas chiffré par DTLS.
Si un caractère générique est configuré dans le champ Valeurs, par exemple, *.cisco.com est configuré dans Valeurs, la session AnyConnect est déconnectée, comme indiqué dans les journaux :
Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested
Note: Vous pouvez également utiliser le domaine cisco.com dans Values pour autoriser les noms de domaine complets tels que www.cisco.com et tools.cisco.com.
Le client AnyConnect apprend et ajoute automatiquement l’adresse IP et le nom de domaine complet dans l’onglet Détails de la route, lorsque le client initie le trafic pour les destinations exclues.
Afin de vérifier que les utilisateurs AnyConnect sont affectés à la stratégie de groupe Anyconnect correcte, vous pouvez exécuter la commande 'show vpn-sessiondb anyconnect filter name
'
ASAv10# show vpn-sessiondb anyconnect filter name cisco
Session Type: AnyConnect
Username : cisco Index : 7
Assigned IP : 172.16.0.0 Public IP : 10.0.0.0
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 7795373 Bytes Rx : 390956
Group Policy : GroupPolicy_AnyConnect-01
Tunnel Group : AnyConnect-01
Login Time : 13:20:48 UTC Tue Mar 31 2020
Duration : 20h:19m:47s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 019600a9000070005e8343b0
Security Grp : none
Vous pouvez utiliser l'outil de diagnostic et de création de rapports AnyConnect (DART) afin de collecter les données utiles pour résoudre les problèmes d'installation et de connexion AnyConnect. L'Assistant DART est utilisé sur l'ordinateur qui exécute AnyConnect. L’outil DART regroupe les journaux, l’état et les renseignements de diagnostic pour l’analyse du Centre d’assistance technique de Cisco et n’exige aucun privilège administrateur pour fonctionner sur la machine du client.
Révision | Date de publication | Commentaires |
---|---|---|
2.0 |
02-Aug-2022 |
Masquage de traduction automatique, structure, grammaire. |
1.0 |
14-Apr-2020 |
Première publication |