Configuration de Cisco Secure Access Traffic Steering et synchronisation client

Problème

Lors de l'examen de la configuration de Cisco Secure Access Traffic Steering, les paramètres du profil VPN et les fichiers XML n'affichent pas les adresses IP de destination ou les domaines configurés pour le contrôle du trafic. Cela crée de la confusion quant à la manière dont le client Secure Access détermine les destinations de trafic pour les décisions de direction et la manière dont les modifications de configuration apportées au portail de gestion sont synchronisées avec le client.

Plus précisément, les administrateurs observent que bien que les paramètres de pilotage du trafic soient configurés via l'interface de gestion du profil VPN, les fichiers XML du profil VPN correspondants ne contiennent pas d'entrées visibles pour les adresses ou les domaines de destination qui devraient être soumis au contrôle de pilotage du trafic.

Environnement

• Solution d'accès sécurisé Cisco
• Configuration du profil VPN avec Traffic Steering activé
• Déploiement du client Secure Access

Résolution

Le pilotage du trafic dans Cisco Secure Access fonctionne via un mécanisme de livraison de règles dynamique plutôt que par des entrées statiques dans le fichier XML du profil VPN. Les sections suivantes expliquent comment ce processus fonctionne et comment valider la configuration :

Processus de livraison des règles de pilotage du trafic

Les règles de pilotage du trafic ne sont pas stockées dans le fichier XML du profil VPN que les administrateurs peuvent afficher. Au lieu de cela, ces règles sont transmises dynamiquement de la tête de réseau Secure Access au client pendant l'établissement de la connexion VPN. Le processus fonctionne comme suit :

1. Lorsqu'une connexion VPN est établie, la tête de réseau d'accès sécurisé transmet les règles de direction du trafic (split tunnel) actuelles au client qui se connecte
2. Le client reçoit ces règles et les écrit directement dans la table de routage du client local
3. Les décisions de direction du trafic sont prises en fonction des entrées de la table de routage du client, et non à partir des informations visibles dans le fichier XML du profil VPN

Synchronisation des modifications de configuration

Les modifications apportées aux paramètres de direction du trafic dans le portail de gestion suivent un modèle de synchronisation spécifique :

• Les modifications de configuration effectuées dans le portail de gestion ne prennent pas effet pendant une session VPN active
• De nouvelles règles de pilotage du trafic sont appliquées au prochain établissement de connexion VPN
• Pour valider le comportement après avoir apporté des modifications à la configuration de Traffic Steering, la connexion VPN doit être déconnectée et reconnectée

Étapes de validation

Pour valider les modifications apportées à la configuration de Traffic Steering :

1. Apportez les modifications souhaitées aux paramètres de pilotage du trafic dans le portail de gestion Secure Access
2. Déconnecter la connexion VPN existante sur le client
3. Reconnecter le VPN pour recevoir les règles de pilotage du trafic mises à jour
4. Examinez la table de routage du client pour vérifier que les nouvelles règles ont été appliquées

Motif

L'absence apparente de destinations de pilotage du trafic dans le profil VPN XML est par conception. Cisco Secure Access utilise un système de distribution de règles dynamique dans lequel les règles de direction du trafic sont transmises au client au moment de la connexion et implémentées par le biais d'entrées de table de routage au lieu d'être stockées en tant qu'éléments de configuration visibles dans le fichier XML du profil. Cette architecture permet des mises à jour des politiques en temps réel et un contrôle centralisé tout en préservant la sécurité et les performances.

Autres informations utiles

• Guide de configuration de la transmission tunnel partagée ASA
• Assistance technique de Cisco et téléchargements