Configurazione del tunneling ripartito dinamico ASA/AnyConnect

Opzioni per il download

  • PDF     (595.1 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (366.4 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (398.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:19 settembre 2023
ID documento:215383

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come configurare AnyConnect Secure Mobility Client per il tunneling a esclusione di split dinamico tramite ASDM.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenze base di ASA.
    • Conoscenze base di Cisco AnyConnect Security Mobility Client.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software:

    • ASA 9.12(3)9
    • Adaptive Security Device Manager (ASDM) 7.13(1)
    • AnyConnect 4.7.0

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Il tunneling split di AnyConnect consente a Cisco AnyConnect Secure Mobility Client di accedere in modo sicuro alle risorse aziendali tramite IKEV2 o SSL (Secure Sockets Layer).

    Nelle versioni precedenti a AnyConnect 4.5, in base ai criteri configurati su ASA (Adaptive Security Appliance), il comportamento del tunnel suddiviso può essere Specificato per il tunnel, Specificato per il tunnel Tutti i tunnel o Escluso.

    Con l'avvento delle risorse del computer ospitato nel cloud, i servizi a volte si risolvono in un indirizzo IP diverso in base alla posizione dell'utente o al carico delle risorse ospitate nel cloud.

    Poiché AnyConnect Secure Mobility Client fornisce il tunneling suddiviso a un intervallo di subnet statiche, a un host o a un pool di IPV4 o IPV6, per gli amministratori di rete diventa difficile escludere domini/FQDN durante la configurazione di AnyConnect.

    Ad esempio, un amministratore di rete desidera escludere il dominio Cisco.com dalla configurazione del tunnel di divisione, ma il mapping DNS per Cisco.com cambia poiché è ospitato nel cloud.

    Utilizzando il tunneling con esclusione della divisione dinamica, AnyConnect risolve in modo dinamico l'indirizzo IPv4/IPv6 dell'applicazione ospitata e apporta le modifiche necessarie alla tabella di routing e ai filtri per consentire la connessione all'esterno del tunnel.

    A partire da AnyConnect 4.5, il tunneling dello split dinamico può essere usato quando AnyConnect risolve in modo dinamico l'indirizzo IPv4/IPv6 dell'applicazione ospitata e apporta le modifiche necessarie alla tabella di routing e ai filtri per consentire la connessione all'esterno del tunnel

    Configurazione

    In questa sezione viene descritto come configurare Cisco AnyConnect Secure Mobility Client sull'appliance ASA.

    Esempio di rete

    Nell'immagine è illustrata la topologia utilizzata per gli esempi di questo documento.

    Dynamic Split Tunneling-Diagram

    Passaggio 1. Creazione di attributi personalizzati AnyConnect

      

    Passa a Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes. Fare clic su  Add e impostare dynamic-split-exclude-domains e una descrizione facoltativa, come illustrato nell'immagine:

    Dynamic Split Tunneling 01

    Passaggio 2. Creazione del nome personalizzato e configurazione dei valori di AnyConnect

    Passa a Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names. Fare clic su  Add e impostare il dynamic-split-exclude-domains creato in precedenza da Type, un nome arbitrario e Values, come mostrato nell'immagine:

    Fare attenzione a non inserire uno spazio in Nome. (Ad esempio: Possibile sito cisco, Impossibile sito cisco) Quando sono registrati più domini o FQDN in Valori, separarli con una virgola (,).

    Dynamic Split Tunneling 02

    Passaggio 3. Aggiungi tipo e nome a Criteri di gruppo

    Passa a Configuration> Remote Access VPN> Network (Client) Access> Group Policies e selezionare un oggetto Criteri di gruppo. Da quel momento in poi, passare a Advanced> AnyConnect Client> Custom Attributes e aggiungere il file Type e Name, come mostrato nell'immagine:

    Dynamic Split Tunneling-03

    Esempio di configurazione CLI

    Questa sezione fornisce la configurazione CLI del tunneling con split dinamico a scopo di riferimento.

    ASAv10# show run
      --- snip ---
    webvpn
     enable outside
     AnyConnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
     hsts
      enable
      max-age 31536000
      include-sub-domains
      no preload
     AnyConnect image disk0:/AnyConnect-win-4.7.04056-webdeploy-k9.pkg 1
     AnyConnect enable
     tunnel-group-list enable
     cache
      disable
     error-recovery disable
    AnyConnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
    group-policy GroupPolicy_AnyConnect-01 internal
    group-policy GroupPolicy_AnyConnect-01 attributes
     wins-server none
     dns-server value 10.0.0.0
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelall
     split-tunnel-network-list value SplitACL
     default-domain value cisco.com
     AnyConnect-custom dynamic-split-exclude-domains value cisco-site

    Limitazioni

    • Per utilizzare gli attributi personalizzati del tunneling dinamico suddiviso, è necessario disporre di ASA versione 9.0 o successive.
    • Il carattere jolly nel campo Valori non è supportato.
    • Il tunneling con split dinamico non è supportato sui dispositivi iOS (Apple) (richiesta miglioramento: ID bug Cisco CSCvr54798).

    Verifica

    Per verificare la configurazione Dynamic Tunnel Exclusions, avvioAnyConnectsul client, fare clic su Advanced Window>Statistics, come mostrato nell'immagine:

    Dynamic Split Tunneling-04

    È inoltre possibile passare a Advanced Window>Route Details in cui è possibile verificare cheDynamic Tunnel Exclusionssono elencati inNon-Secured Routes, come mostrato nell'immagine.

    Dynamic Split Tunneling 05

    In questo esempio, è stato configurato www.cisco.com inDynamic Tunnel Exclusion liste l'acquisizione di Wireshark raccolta sull'interfaccia fisica del client AnyConnect conferma che il traffico diretto a www.cisco.com (198.51.100.0) non è crittografato da DTLS.

    Dynamic Split Tunneling 06

    Risoluzione dei problemi

    Se il carattere jolly è utilizzato nel campo Valori

    Se nel campo Valori è configurato un carattere jolly, ad esempio *.cisco.com è configurato in Valori, la sessione AnyConnect viene disconnessa, come mostrato nei log:

    Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
    Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
    Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
    Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
    Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
    Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
    Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
    Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
    Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
    Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested

    Nota: in alternativa, è possibile usare il dominio cisco.com in Valori per consentire FQDN come www.cisco.com e tools.cisco.com.

    Nel caso in cui i percorsi non protetti non vengano visualizzati nella scheda Dettagli percorso

    Il client AnyConnect apprende e aggiunge automaticamente l'indirizzo IP e il nome FQDN nella scheda Dettagli route, quando il client avvia il traffico per le destinazioni escluse.

    Per verificare che gli utenti AnyConnect siano assegnati ai criteri di gruppo Anyconnect corretti, è possibile eseguire il comando show vpn-sessiondb anyconnect filter name 

    ASAv10# show vpn-sessiondb anyconnect filter name cisco

    Session Type: AnyConnect

    Username     : cisco                 Index : 7
    Assigned IP  : 172.16.0.0         Public IP : 10.0.0.0
    Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
    Bytes Tx     : 7795373               Bytes Rx : 390956
    Group Policy : GroupPolicy_AnyConnect-01
    Tunnel Group : AnyConnect-01
    Login Time   : 13:20:48 UTC Tue Mar 31 2020
    Duration     : 20h:19m:47s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                   VLAN : none
    Audt Sess ID : 019600a9000070005e8343b0
    Security Grp : none

    Risoluzione dei problemi generali

    È possibile usare lo strumento di diagnostica e segnalazione di AnyConnect (DART) per raccogliere i dati utili per risolvere i problemi di installazione e connessione di AnyConnect. La procedura guidata DART viene utilizzata sul computer su cui è in esecuzione AnyConnect. DART raggruppa i registri, lo stato e le informazioni di diagnostica per l'analisi di Cisco Technical Assistance Center (TAC) e non richiede privilegi di amministratore per l'esecuzione sul computer client.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    4.0
    19-Sep-2023
    Requisiti di stile, personalizzazione e formattazione aggiornati.
    3.0
    21-Jun-2023
    Update
    2.0
    02-Aug-2022
    Traduzione automatica di mascheramento, struttura, grammatica.
    1.0
    14-Apr-2020
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Taisuke Nakamura
      Cisco TAC Engineer
    • Prashant Joshi
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci