ASA/AnyConnect:동적 스플릿 터널링 컨피그레이션 예

다운로드 옵션

PDF (510.6 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (352.6 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (401.3 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2020년 4월 14일 (화)

문서 ID:215383

번역에 관하여

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco ASA(Adaptive Security Appliance)에서 Cisco ASDM(Adaptive Security Device Manager)을 통해 동적 스플릿 제외 터널링용 Cisco AnyConnect Secure Mobility Client를 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

ASA에 대한 기본 지식
Cisco AnyConnect Security Mobility Client에 대한 기본 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.

ASA 9.12(3)9
ASDM 7.13(1)
AnyConnect 4.7.0

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

Anyconnect Split 터널링을 사용하면 Cisco AnyConnect Secure Mobility Client가 IKEV2 또는 SSL(Secure Sockets Layer)을 통해 기업 리소스에 안전하게 액세스할 수 있습니다. AnyConnect 버전 4.5 이전에 ASA(Adaptive Security Appliance)에 구성된 정책에 따라 스플릿 터널 동작은 Tunnel Specified, Tunnel All 또는 Exclude Specified일 수 있습니다.

클라우드 호스팅 컴퓨터 리소스가 등장함에 따라 서비스는 사용자의 위치 또는 클라우드 호스팅 리소스의 로드를 기준으로 다른 IP 주소로 해석될 수 있습니다.AnyConnect Secure Mobility Client는 고정 서브넷 범위, IPV4 또는 IPV6의 호스트 또는 풀에 대해 스플릿 터널링을 제공하므로 네트워크 관리자가 AnyConnect를 구성하는 동안 도메인/FQDN을 제외하기가 어려워집니다.예를 들어, 네트워크 관리자가 스플릿 터널 구성에서 Cisco.com 도메인을 제외하고자 할 수 있지만 Cisco.com에 대한 DNS 매핑은 클라우드 호스트이므로 변경될 수 있습니다.

AnyConnect는 동적 스플릿 제외 터널링을 사용하여 호스팅된 애플리케이션의 IPv4/IPv6 주소를 동적으로 확인하고 라우팅 테이블 및 필터를 변경하여 터널 외부에서 연결할 수 있도록 합니다.

AnyConnect 4.5부터 시작, AnyConnect가 호스팅된 애플리케이션의 IPv4/IPv6 주소를 동적으로 확인하고 라우팅 테이블 및 필터에서 필요한 변경 사항을 수행하여 터널 외부에서 연결을 허용하는 동적 스플릿 터널링을 사용할 수 있습니다.

구성

이 섹션에서는 ASA에서 Cisco AnyConnect Secure Mobility Client를 구성하는 방법에 대해 설명합니다.

네트워크 다이어그램

이 그림에서는 이 문서의 예제에 사용되는 토폴로지를 보여 줍니다.

1단계. AnyConnect 사용자 지정 특성을 생성합니다.

Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > Advanced(고급) > AnyConnect Custom Attributes(AnyConnect 사용자 지정 특성)로 이동합니다.Add(추가) 버튼을 클릭하고 이미지에 표시된 대로 dynamic-split-exclude-domains 특성 및 설명(선택 사항)을 설정합니다.

2단계. AnyConnect 사용자 지정 이름을 생성하고 값을 구성합니다.

Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > Advanced(고급) > AnyConnect Custom Attribute Names(AnyConnect 사용자 지정 특성 이름)로 이동합니다.Add(추가) 버튼을 클릭하고 이미지에 표시된 대로 Type(유형)에서 이전에 생성한 dynamic-split-exclude-domains 속성(임의의 이름 및 값)을 설정합니다.

이름에 공백을 입력하지 마십시오.(예:가능한 "cisco-site" Impossible "cisco site") 값에 있는 여러 도메인 또는 FQDN이 등록되면 쉼표로 구분합니다(,).

3단계. 그룹 정책에 유형 및 이름을 추가합니다.

Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > Group Policies(그룹 정책)로 이동하고 그룹 정책을 선택합니다.그런 다음 Advanced(고급) > AnyConnect Client(AnyConnect 클라이언트) > Custom Attributes(사용자 지정 특성)로 이동하고 이미지에 표시된 대로 구성된 유형 및 이름을 추가합니다.

CLI 컨피그레이션 예

이 섹션에서는 참조용으로 동적 스플릿 터널링의 CLI 컨피그레이션을 제공합니다.

ASAv10# show run
  --- snip ---
webvpn
 enable outside
 anyconnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
 hsts
  enable
  max-age 31536000
  include-sub-domains
  no preload
 anyconnect image disk0:/anyconnect-win-4.7.04056-webdeploy-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 cache
  disable
 error-recovery disable
anyconnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
group-policy GroupPolicy_AnyConnect-01 internal
group-policy GroupPolicy_AnyConnect-01 attributes
 wins-server none
 dns-server value 1.0.0.100
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelall
 split-tunnel-network-list value SplitACL
 default-domain value cisco.com
 anyconnect-custom dynamic-split-exclude-domains value cisco-site

제한 사항

동적 스플릿 터널링 사용자 지정 특성을 사용하려면 ASA 버전 9.0 이상이 필요합니다.
값 필드의 와일드카드는 지원되지 않습니다.
iOS(Apple) 디바이스에서 동적 스플릿 터널링이 지원되지 않습니다(개선 요청:CSCvr54798 )를 참조하십시오.

다음을 확인합니다.

구성된 동적 터널 제외를 확인하려면 클라이언트에서 AnyConnect 소프트웨어를 시작하려면 다음 이미지와 같이 Advanced Window > Statistics를 클릭합니다.

또한 Advanced Window > Route Details 탭으로 이동할 수 있습니다. 이 탭에서는 이미지에 표시된 대로 Non-Secured Routes(비보안 경로) 아래에 Dynamic Tunnel Exclusions(동적 터널 제외)가 나열되어 있는지 확인할 수 있습니다.

이 예에서 Dynamic Tunnel Exclusion 목록 아래에 www.cisco.com을 구성했으며 AnyConnect 클라이언트의 물리적 인터페이스에서 수집된 Wireshark 캡처는 www.cisco.com(173.37.145.84)에 대한 트래픽이 DTLS에 의해 암호화되지 않았음을 확인합니다.

문제 해결

와일드카드가 값 필드에 사용되는 경우

값 필드에 와일드카드가 구성된 경우(예: *.cisco.com이 값에 구성되면 로그에 표시된 대로 AnyConnect 세션이 끊어집니다.

Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup 
      
        GroupPolicy 
       
         User 
        
          IP <100.0.0.1> No IPv6 address available for SVC connection 
         
Apr 02 2020 10:01:09: %ASA-5-722033: Group 
         
           User 
          
            IP <100.0.0.1> First TCP SVC connection established for SVC session. 
           
Apr 02 2020 10:01:09: %ASA-6-722022: Group 
           
             User 
            
              IP <100.0.0.1> TCP SVC connection established without compression 
             
Apr 02 2020 10:01:09: %ASA-6-722055: Group 
             
               User 
              
                IP <100.0.0.1> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056 
               
Apr 02 2020 10:01:09: %ASA-4-722051: Group 
               
                 User 
                
                  IP <100.0.0.1> IPv4 Address <1.176.100.101> IPv6 address <::> assigned to session 
                 
Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:100.0.0.1/44868 (100.0.0.1/44868) to identity:100.0.0.254/443 (100.0.0.254/443) 
                 
Apr 02 2020 10:01:09: %ASA-4-722037: Group 
                 
                   User 
                  
                    IP <100.0.0.1> SVC closing connection: Transport closing. 
                   
Apr 02 2020 10:01:09: %ASA-5-722010: Group 
                   
                     User 
                    
                      IP <100.0.0.1> 
                     SVC Message: 16/ERROR: Configuration received from secure gateway was invalid.. 
                     
Apr 02 2020 10:01:09: %ASA-6-716002: Group 
                     
                       User 
                      
                        IP <100.0.0.1> 
                       WebVPN session terminated: User Requested. 
                       
Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 100.0.0.1, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested

참고:대신 값에서 cisco.com 도메인을 사용하여 www.cisco.com 및 tools.cisco.com과 같은 FQDN을 허용할 수 있습니다.

Route Details(경로 세부사항) 탭에 비보안 경로가 표시되지 않는 경우

AnyConnect 클라이언트는 클라이언트가 제외된 대상에 대한 트래픽을 시작할 때 Route Details(경로 세부사항) 탭에서 IP 주소와 FQDN을 자동으로 학습하고 추가합니다.

AnyConnect 사용자가 올바른 AnyConnect 그룹 정책에 할당되었는지 확인하려면 'show vpn-sessiondb anyconnect filter name <username>' 명령을 실행할 수 있습니다.

ASAv10# show vpn-sessiondb anyconnect filter name cisco

Session Type: AnyConnect

Username     : cisco                 Index : 7
Assigned IP  : 1.176.100.101         Public IP : 100.0.0.2
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing      : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx     : 7795373               Bytes Rx : 390956
Group Policy : GroupPolicy_AnyConnect-01
Tunnel Group : AnyConnect-01
Login Time   : 13:20:48 UTC Tue Mar 31 2020
Duration     : 20h:19m:47s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                   VLAN : none
Audt Sess ID : 019600a9000070005e8343b0
Security Grp : none

일반 문제 해결

AnyConnect 설치 및 연결 문제를 해결하는 데 유용한 데이터를 수집하려면 AnyConnect 진단 및 보고 도구(DART)를 사용할 수 있습니다. DART 마법사는 AnyConnect를 실행하는 컴퓨터에서 사용됩니다.DART는 Cisco TAC(Technical Assistance Center) 분석을 위한 로그, 상태 및 진단 정보를 어셈블하며 클라이언트 시스템에서 실행하는 데 관리자 권한이 필요하지 않습니다.