Questo documento descrive come configurare AnyConnect Secure Mobility Client per il tunneling a esclusione di split dinamico tramite ASDM.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Il tunneling split di AnyConnect consente a Cisco AnyConnect Secure Mobility Client di accedere in modo sicuro alle risorse aziendali tramite IKEV2 o SSL (Secure Sockets Layer). Nelle versioni precedenti a AnyConnect 4.5, in base ai criteri configurati su ASA (Adaptive Security Appliance), il comportamento del tunnel suddiviso può essere Specificato per il tunnel, Specificato per il tunnel, Specificato per il tunnel intero o Specificato per l'esclusione.
Con l'avvento delle risorse del computer ospitato nel cloud, i servizi a volte si risolvono in un indirizzo IP diverso in base alla posizione dell'utente o al carico delle risorse ospitate nel cloud.
Poiché AnyConnect Secure Mobility Client fornisce il tunneling suddiviso a un intervallo di subnet statiche, a un host o a un pool di IPV4 o IPV6, per gli amministratori di rete diventa difficile escludere domini/FQDN durante la configurazione di AnyConnect. Ad esempio, un amministratore di rete desidera escludere il dominio Cisco.com dalla configurazione del tunnel di divisione, ma il mapping DNS per Cisco.com cambia poiché è ospitato nel cloud.
Utilizzando il tunneling Dynamic Split Exclude, AnyConnect risolve in modo dinamico l'indirizzo IPv4/IPv6 dell'applicazione ospitata e garantisce le modifiche necessarie alla tabella di routing e ai filtri per consentire la connessione all'esterno del tunnel.
A partire da AnyConnect 4.5, il tunneling dello split dinamico può essere usato quando AnyConnect risolve in modo dinamico l'indirizzo IPv4/IPv6 dell'applicazione ospitata e apporta le modifiche necessarie alla tabella di routing e ai filtri per consentire la connessione all'esterno del tunnel
In questa sezione viene descritto come configurare Cisco AnyConnect Secure Mobility Client sull'appliance ASA.
Nell'immagine è illustrata la topologia utilizzata per gli esempi riportati nel presente documento.

Selezionare Configurazione > VPN ad accesso remoto > Accesso di rete (client) > Avanzate > Attributi personalizzati AnyConnect. Fare clic sul pulsante Add e impostare l'attributo dynamic-split-exclude-domains e la descrizione facoltativa, come mostrato nell'immagine:

Selezionare Configurazione > VPN ad accesso remoto > Accesso di rete (client) > Avanzate > Nomi attributi personalizzati AnyConnect. Fare clic sul pulsante Add e impostare l'attributo dynamic-split-exclude-domains creato in precedenza da Type, un nome arbitrario e Values, come mostrato nell'immagine:
Prestare attenzione a non inserire uno spazio nel campo Name (ad esempio, è possibile usare il sito cisco, ma non è possibile usarlo). Quando sono registrati più domini o FQDN in Valori, separarli con una virgola (,).

Passare a Configurazione > VPN ad accesso remoto > Accesso di rete (client) > Criteri di gruppo e selezionare un criterio di gruppo. Quindi, selezionare Advanced > AnyConnect Client > Custom Attributes (Avanzate > Client AnyConnect > Attributi personalizzati) e aggiungere il tipo e il nome configurati, come mostrato nell'immagine:

Questa sezione fornisce la configurazione CLI del tunneling con split dinamico per scopi di riferimento:
ASAv10# show run
--- snip ---
webvpn
enable outside
AnyConnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
hsts
enable
max-age 31536000
include-sub-domains
no preload
AnyConnect image disk0:/AnyConnect-win-4.7.04056-webdeploy-k9.pkg 1
AnyConnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
AnyConnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
group-policy GroupPolicy_AnyConnect-01 internal
group-policy GroupPolicy_AnyConnect-01 attributes
wins-server none
dns-server value 10.0.0.0
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
split-tunnel-network-list value SplitACL
default-domain value cisco.com
AnyConnect-custom dynamic-split-exclude-domains value cisco-site
Per verificare le esclusioni del tunnel dinamico configurate,AnyConnectavviare il software sul client, fare clic su Finestra avanzata > Statistiche, come mostrato nell'immagine:

È inoltre possibile passare alla scheda Advanced Window > Route Details (Dettagli route), in cui è possibile verificare che le esclusioni del tunnel dinamico siano elencate in Route non protette, come mostrato nell'immagine.

Nell'esempio, è stato configurato www.cisco.com nell'elenco Dynamic Tunnel Exclusion (Esclusione tunnel dinamico) e l'acquisizione di Wireshark raccolta sull'interfaccia fisica del client AnyConnect conferma il traffico diretto a www.cisco.com (198.51.100.0), non viene crittografato da DTLS.

Se nel campo Valori è configurato un carattere jolly, ad esempio *.cisco.com è configurato in Valori, la sessione AnyConnect viene disconnessa, come mostrato nei log:
Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested
Nota: In alternativa, è possibile usare il dominio cisco.com in Valori per consentire FQDN come www.cisco.com e tools.cisco.com.
Il client AnyConnect apprende e aggiunge automaticamente l'indirizzo IP e il nome FQDN nella scheda Dettagli route, quando il client avvia il traffico per le destinazioni escluse.
Per verificare che gli utenti AnyConnect siano assegnati ai criteri di gruppo Anyconnect corretti, è possibile eseguire il comando show vpn-sessiondb anyconnect filter name <nomeutente>:
ASAv10# show vpn-sessiondb anyconnect filter name cisco
Session Type: AnyConnect
Username : cisco Index : 7
Assigned IP : 172.16.0.0 Public IP : 10.0.0.0
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 7795373 Bytes Rx : 390956
Group Policy : GroupPolicy_AnyConnect-01
Tunnel Group : AnyConnect-01
Login Time : 13:20:48 UTC Tue Mar 31 2020
Duration : 20h:19m:47s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 019600a9000070005e8343b0
Security Grp : none
È possibile utilizzare lo strumento di diagnostica e segnalazione di AnyConnect (DART) per raccogliere dati utili per risolvere i problemi di installazione e connessione di AnyConnect. La procedura guidata DART viene utilizzata sul computer su cui è in esecuzione AnyConnect. DART raggruppa i registri, lo stato e le informazioni di diagnostica per l'analisi di Cisco Technical Assistance Center (TAC) e non richiede privilegi di amministratore per l'esecuzione sul computer client.
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
5.0 |
10-Jul-2026
|
Controllo ortografico, grammaticale, spaziatura e righe inserite aggiornate per separare le sezioni ai fini della leggibilità, URL aggiornati, sezioni interne modificate e avvisi CCW. |
4.0 |
19-Sep-2023
|
Requisiti di stile, personalizzazione e formattazione aggiornati. |
3.0 |
21-Jun-2023
|
Update |
2.0 |
02-Aug-2022
|
Traduzione automatica di mascheramento, struttura, grammatica. |
1.0 |
14-Apr-2020
|
Versione iniziale |