Configurer ASA/AnyConnect : Fractionnement dynamique de tunnel

Options de téléchargement

  • PDF     (714.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (446.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (514.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:2 août 2022
ID du document:215383

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer le client Cisco AnyConnect Secure Mobility pour la tunnellisation dynamique à l'exclusion du fractionnement via Cisco Adaptive Security Device Manager (ASDM) sur un dispositif de sécurité adaptatif Cisco (ASA) paragraphe.

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissances de base sur ASA.
    • Connaissances de base du client Cisco Anyconnect Security Mobility.

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

    • ASA 9.12(3)9
    • ASDM 7.13(1)
    • AnyConnect 4.7.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    La transmission tunnel partagée AnyConnect permet au client Cisco AnyConnect Secure Mobility d'accéder en toute sécurité aux ressources de l'entreprise via IKEV2 ou SSL (Secure Sockets Layer).

    Avant AnyConnect version 4.5, en fonction de la stratégie configurée sur l'appliance de sécurité adaptatif (ASA), le comportement de tunnel partagé pouvait être Tunnel Specified, Tunnel All ou Exclude Specified.

    Avec l'avènement des ressources informatiques hébergées dans le cloud, les services se résolvent parfois en une adresse IP différente en fonction de l'emplacement de l'utilisateur ou de la charge des ressources hébergées dans le cloud.

    Étant donné qu’Anyconnect Secure Mobility Client fournit une tunnellisation partagée vers une plage de sous-réseaux statiques, un hôte ou un pool d’IPV4 ou d’IPV6, il devient difficile pour les administrateurs réseau d’exclure des domaines/noms de domaine complets pendant la configuration d’AnyConnect.

    Par exemple, un administrateur réseau souhaite exclure le domaine Cisco.com de la configuration du tunnel partagé, mais le mappage DNS de Cisco.com change car il est hébergé dans le cloud.

    À l'aide de la tunnellisation Dynamic Split Exclude, Anyconnect résout dynamiquement l'adresse IPv4/IPv6 de l'application hébergée et apporte les modifications nécessaires à la table de routage et aux filtres pour permettre la connexion en dehors du tunnel.

    À partir de AnyConnect 4.5, la tunnellisation dynamique de broches peut être utilisée, dans laquelle AnyConnect résout dynamiquement l'adresse IPv4/IPv6 de l'application hébergée et apporte les modifications nécessaires dans la table de routage et les filtres pour permettre à la connexion d'être effectuée en dehors du tunnel

    Configuration

    Cette section explique comment configurer le client pour la mobilité sécurisée Cisco AnyConnect sur l’ASA.

    Diagramme du réseau

    Cette image présente la topologie utilisée pour les exemples de ce document.

    Dynamic-Split-Tunneling-Diagram

    Étape 1 : création d’attributs personnalisés AnyConnect

      

    Naviguez jusqu'à Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes. cliquet Add et définir dynamic-split-exclude-domains attribut et description facultative, comme indiqué dans l'image :

    Dynamic-Split-Tunneling-01

    Étape 2 : création d’un nom personnalisé AnyConnect et configuration des valeurs

    Naviguez jusqu'à Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names. cliquet Add , puis définissez le dynamic-split-exclude-domains Attribut créé précédemment à partir de Type, un nom arbitraire et de Values, comme illustré dans l'image :

    Veillez à ne pas entrer d'espace dans Nom. (Par exemple : Possible « cisco-site » Impossible « cisco site ») Lorsque plusieurs domaines ou noms de domaine complets dans Valeurs sont enregistrés, séparez-les par une virgule (,).

    Dynamic-Split-Tunneling-02

    Étape 3. Ajouter un type et un nom à la stratégie de groupe

    Naviguez jusqu'à Configuration> Remote Access VPN> Network (Client) Access> Group Policies et Sélectionnez une stratégie de groupe. Ensuite, accédez à Advanced> AnyConnect Client> Custom Attributes et ajoutez le Type et Name, comme l'illustre l'image :

    Dynamic-Split-Tunneling-03

    Exemple de configuration CLI

    Cette section fournit la configuration CLI de Dynamic Split Tunneling à des fins de référence.

    ASAv10# show run
      --- snip ---
    webvpn
     enable outside
     anyconnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
     hsts
      enable
      max-age 31536000
      include-sub-domains
      no preload
     anyconnect image disk0:/anyconnect-win-4.7.04056-webdeploy-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable
     cache
      disable
     error-recovery disable
    anyconnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
    group-policy GroupPolicy_AnyConnect-01 internal
    group-policy GroupPolicy_AnyConnect-01 attributes
     wins-server none
     dns-server value 10.0.0.0
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelall
     split-tunnel-network-list value SplitACL
     default-domain value cisco.com
     anyconnect-custom dynamic-split-exclude-domains value cisco-site

    Limites

    • ASA version 9.0 ou ultérieure est nécessaire pour utiliser les attributs personnalisés de la transmission tunnel partagée dynamique.
    • Le caractère générique du champ Valeurs n'est pas pris en charge.
    • La tunnellisation partagée dynamique n'est pas prise en charge sur les appareils iOS (Apple) (demande d'amélioration : 'ID de bogue Cisco CSCvr54798'.

    Vérification

    Afin de vérifier la configuration Dynamic Tunnel Exclusions, Lancer AnyConnect sur le client, cliquez sur Advanced Window > Statistics, comme l'illustre l'image :

    Dynamic-Split-Tunneling-04

    Vous pouvez également accéder à Advanced Window > Route Details dans lequel vous pouvez vérifier Dynamic Tunnel Exclusions sont répertoriées sous Non-Secured Routes, comme illustré dans l'image.

    Dynamic-Split-Tunneling-05

    Dans cet exemple, vous avez configuré www.cisco.com sous Dynamic Tunnel Exclusion list et la capture Wireshark collectée sur l'interface physique du client AnyConnect confirme que le trafic vers www.cisco.com (198.51.100.0) n'est pas chiffré par DTLS.

    Dynamic-Split-Tunneling-06

    Dépannage

    Si le caractère générique est utilisé dans le champ Valeurs

    Si un caractère générique est configuré dans le champ Valeurs, par exemple, *.cisco.com est configuré dans Valeurs, la session AnyConnect est déconnectée, comme indiqué dans les journaux :

    Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
    Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
    Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
    Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
    Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
    Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
    Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
    Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
    Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
    Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested

    Note: Vous pouvez également utiliser le domaine cisco.com dans Values pour autoriser les noms de domaine complets tels que www.cisco.com et tools.cisco.com.

    Dans le cas où les routes non sécurisées ne s'affichent pas dans l'onglet Détails de route

    Le client AnyConnect apprend et ajoute automatiquement l’adresse IP et le nom de domaine complet dans l’onglet Détails de la route, lorsque le client initie le trafic pour les destinations exclues.

    Afin de vérifier que les utilisateurs AnyConnect sont affectés à la stratégie de groupe Anyconnect correcte, vous pouvez exécuter la commande 'show vpn-sessiondb anyconnect filter name 

    ASAv10# show vpn-sessiondb anyconnect filter name cisco

    Session Type: AnyConnect

    Username     : cisco                 Index : 7
    Assigned IP  : 172.16.0.0         Public IP : 10.0.0.0
    Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
    Bytes Tx     : 7795373               Bytes Rx : 390956
    Group Policy : GroupPolicy_AnyConnect-01
    Tunnel Group : AnyConnect-01
    Login Time   : 13:20:48 UTC Tue Mar 31 2020
    Duration     : 20h:19m:47s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                   VLAN : none
    Audt Sess ID : 019600a9000070005e8343b0
    Security Grp : none

    Dépannage général

    Vous pouvez utiliser l'outil de diagnostic et de création de rapports AnyConnect (DART) afin de collecter les données utiles pour résoudre les problèmes d'installation et de connexion AnyConnect. L'Assistant DART est utilisé sur l'ordinateur qui exécute AnyConnect. L’outil DART regroupe les journaux, l’état et les renseignements de diagnostic pour l’analyse du Centre d’assistance technique de Cisco et n’exige aucun privilège administrateur pour fonctionner sur la machine du client.

    Informations internes Cisco 
    Certains clients souhaitent utiliser un caractère générique dans un domaine tel que " *.cisco.com", mais ce dernier n'est pas pris en charge. Si un caractère générique est utilisé, toute connexion est déconnectée d'ici "AnyConnect n'a pas pu établir de connexion à la passerelle sécurisée spécifiée. Essayez de vous reconnecter." erreur côté client anyconnect. 
    AnyConnect-error

    Du côté ASA, l'erreur suivante sera visible si le caractère générique est utilisé dans le domaine.
    ----------------------------------------------------------------------------------------------------------------
    ##ASA CLI## 
    anyconnect-custom-data dynamic-split-exclude-domains cisco-site *.cisco.com
    ----------------------------------------------------------------------------------------------------------------
    ##ASA journal des erreurs si le caractère générique est utilisé##
    02 avril 2020 10:01:09: %ASA-4-722041 : TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Aucune adresse IPv6 disponible pour la connexion SVC
    02 avril 2020 10:01:09: %ASA-5-722033 : Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Première connexion TCP SVC établie pour la session SVC.
    02 avril 2020 10:01:09: %ASA-6-722022 : Groupe <GroupPolicy_AnyConnect-01> Utilisateur <cisco> IP <172.16.0.0> Connexion TCP SVC établie sans compression
    02 avril 2020 10:01:09: %ASA-6-722055 : Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type : Agent VPN Cisco AnyConnect pour Windows 4.7.04056
    02 avril 2020 10:01:09: %ASA-4-722051 : Groupe <GroupPolicy_AnyConnect-01> Utilisateur <cisco> Adresse IP <172.16.0.0> Adresse IPv4 <172.16.0.0> Adresse IPv6 < : /fc> affecté à la session
    02 avril 2020 10:01:09: %ASA-6-302013 : Connexion TCP entrante 8570 intégrée pour l'extérieur :172.16.0.0/44868 (172.16.0.0/44868) à l'identité :203.0.113.0/443 (203.0.113.0/443)
    02 avril 2020 10:01:09: %ASA-4-722037 : Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC fermant la connexion : Fermeture du transport.
    02 avril 2020 10:01:09: %ASA-5-722010 : Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message : 16/ERREUR : La configuration reçue de la passerelle sécurisée n'était pas valide.
    02 avril 2020 10:01:09: %ASA-6-716002 : La session <cisco> IP <172.16.0.0> WebVPN de l'utilisateur <GroupPolicy_AnyConnect-01> du groupe a pris fin : Utilisateur demandé.
    02 avril 2020 10:01:09: %ASA-4-113019 : Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session déconnectée. Type de session : AnyConnect-Parent, Durée : 0h:00m:10s, octets xmt : 15622, octets rcv : 0, raison : Utilisateur demandé
    ----------------------------------------------------------------------------------------------------------------


    Au lieu d'utiliser un caractère générique tel que « *.cisco.com », vous pouvez utiliser « cisco.com » pour autoriser le nom de domaine complet tel que www.cisco.com, tools.cisco.com ou community.cisco.com. L'exemple ci-dessous illustre la configuration et la vérification.
    ----------------------------------------------------------------------------------------------------------------
    ##ASA CLI##
    anyconnect-custom-data dynamic-split-exclude-domains site cisco cisco.com
    ----------------------------------------------------------------------------------------------------------------
    ##AnyConnect Client## 
    cisco.com-domain-01
    cisco.com-domain-02
    ----------------------------------------------------------------------------------------------------------------

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    02-Aug-2022
    Masquage de traduction automatique, structure, grammaire.
    1.0
    14-Apr-2020
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Taisuke Nakamura
      Ingénieur TAC Cisco
    • Prashant Joshi
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco