ASA 8.x: ASA 컨피그레이션의 AnyConnect VPN 클라이언트에 대해 스플릿 터널링 허용 예

소개

이 문서에서는 Cisco AnyConnect VPN 클라이언트가 Cisco ASA(Adaptive Security Appliance) 8.0.2로 터널링되는 동안 인터넷에 액세스할 수 있도록 허용하는 방법에 대한 단계별 지침을 제공합니다. 이 구성을 통해 클라이언트는 SSL을 통해 기업 리소스에 안전하게 액세스하는 동시에 스플릿 터널링을 사용하여 인터넷에 안전하지 않은 액세스를 제공할 수 있습니다.

사전 요구 사항

요구 사항

이 설정을 시도하려면 먼저 이러한 요구 사항을 충족해야 합니다:

• ASA Security Appliance에서 버전 8.x를 실행해야 함

• Cisco AnyConnect VPN Client 2.x

  참고: Cisco Software Download(Cisco 소프트웨어 다운로드)에서 AnyConnect VPN 클라이언트 패키지(anyconnect-win*.pkg)를 다운로드합니다(등록된 고객만 해당). ASA와의 SSL VPN 연결을 설정하기 위해 원격 사용자 컴퓨터에 다운로드할 ASA의 플래시 메모리에 AnyConnect VPN 클라이언트를 복사합니다. 자세한 내용은 ASA 컨피그레이션 가이드의 AnyConnect 클라이언트 설치 섹션을 참조하십시오.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 소프트웨어 버전 8.0(2)을 실행하는 Cisco 5500 Series ASA

• Windows 2.0.0343용 Cisco AnyConnect SSL VPN 클라이언트 버전

• Microsoft Visa, Windows XP SP2 또는 Windows 2000 Professional SP4를 실행하는 Microsoft Installer 버전 3.1 PC

• Cisco ASDM(Adaptive Security Device Manager) 버전 6.0(2)

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

배경 정보

Cisco AnyConnect VPN Client는 원격 사용자를 위해 보안 어플라이언스에 대한 보안 SSL 연결을 제공합니다. 이전에 설치된 클라이언트가 없으면 원격 사용자는 SSL VPN 연결을 허용하도록 구성된 인터페이스의 브라우저에 IP 주소를 입력합니다. 보안 어플라이언스가 http:// 요청을 https://으로 리디렉션하도록 구성되지 않은 경우 사용자는 URL을 https://<address> 형식으로 입력해야 합니다.

URL을 입력하면 브라우저가 해당 인터페이스에 연결되고 로그인 화면이 표시됩니다. 사용자가 로그인 및 인증을 충족하고 보안 어플라이언스가 사용자를 클라이언트가 필요한 것으로 식별하면 원격 컴퓨터의 운영 체제와 일치하는 클라이언트를 다운로드합니다. 다운로드 후 클라이언트는 자신을 설치하고 구성하며 보안 SSL 연결을 설정하며 연결이 종료되면 보안 어플라이언스 컨피그레이션에 따라 그대로 유지되거나 자동으로 제거됩니다.

이전에 설치된 클라이언트의 경우 사용자가 인증하면 보안 어플라이언스는 클라이언트의 수정 버전을 확인하고 필요에 따라 클라이언트를 업그레이드합니다.

클라이언트가 보안 어플라이언스와 SSL VPN 연결을 협상할 때 TLS(Transport Layer Security)를 사용하여 연결하고 선택에 따라 DTLS(Datagram Transport Layer Security)를 사용하여 연결합니다. DTLS는 일부 SSL 연결과 관련된 레이턴시 및 대역폭 문제를 방지하고 패킷 지연에 민감한 실시간 애플리케이션의 성능을 향상시킵니다.

AnyConnect 클라이언트는 보안 어플라이언스에서 다운로드할 수도 있고 시스템 관리자가 원격 PC에 수동으로 설치할 수도 있습니다. 클라이언트를 수동으로 설치하는 방법에 대한 자세한 내용은 Cisco AnyConnect VPN 클라이언트 관리자 설명서를 참조하십시오.

보안 어플라이언스는 연결을 설정하는 사용자의 그룹 정책 또는 사용자 이름 특성에 따라 클라이언트를 다운로드합니다. 클라이언트를 자동으로 다운로드하도록 보안 어플라이언스를 구성할 수도 있고, 원격 사용자에게 클라이언트 다운로드 여부를 묻는 메시지를 표시하도록 구성할 수도 있습니다. 후자의 경우 사용자가 응답하지 않을 경우 시간 초과 기간 후에 클라이언트를 다운로드하거나 로그인 페이지를 표시하도록 보안 어플라이언스를 구성할 수 있습니다.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 이 섹션에 사용된 명령에 대한 자세한 내용을 보려면 명령 조회 도구(등록된 고객만 해당)를 사용하십시오.

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

참고: 이 컨피그레이션에서 사용되는 IP 주소 지정 체계는 인터넷에서 합법적으로 라우팅할 수 없습니다. 랩 환경에서 사용된 RFC 1918 주소입니다.

ASDM 6.0(2)을 사용하는 ASA 컨피그레이션

이 문서에서는 인터페이스 컨피그레이션과 같은 기본 컨피그레이션이 이미 만들어져 제대로 작동한다고 가정합니다.

참고: ASDM에서 ASA를 구성하도록 허용하려면 ASDM에 대한 HTTPS 액세스 허용을 참조하십시오.

참고: 포트 번호를 변경하지 않는 한 동일한 ASA 인터페이스에서 WebVPN 및 ASDM을 활성화할 수 없습니다. 자세한 내용은 ASA의 동일한 인터페이스에서 활성화된 ASDM 및 WebVPN을 참조하십시오.

스플릿 터널링으로 ASA에서 SSL VPN을 구성하려면 다음 단계를 완료하십시오.

1. IP 주소 풀 vpnpool을 생성하려면 Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > Address Management(주소 관리) > Address Pools(주소 풀) > Add(추가)를 선택합니다.

   

2. 적용을 클릭합니다.

   동등한 CLI 컨피그레이션:

   Cisco ASA 8.0(2)
   ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0

3. WebVPN을 활성화합니다.

   1. Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > SSL VPN Connection Profiles(SSL VPN 연결 프로파일)를 선택하고 Access Interfaces(액세스 인터페이스)에서 Allow Access(액세스 허용) 및 Enable DTLS(DTLS 활성화) 확인란을 클릭하여 외부 인터페이스에 대해 DTLS를 활성화합니다. 또한 외부 인터페이스에서 SSL VPN을 활성화하려면 Enable Cisco AnyConnect VPN Client or legacy SSL VPN Client access on the interface below(아래 표에 선택된 인터페이스에서 Cisco AnyConnect VPN 클라이언트 또는 레거시 SSL VPN 클라이언트 액세스 활성화) 확인란을 선택합니다.

      

   2. 적용을 클릭합니다.

   3. 표시된 대로 ASA의 플래시 메모리에서 Cisco AnyConnect VPN 클라이언트 이미지를 추가하려면 Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > Advanced(고급) > SSL VPN > Client Settings(클라이언트 설정) > Add(추가)를 선택합니다.

      

   4. OK(확인)를 클릭합니다.

      

   5. Add(추가)를 클릭합니다.

      

      동등한 CLI 컨피그레이션:

      Cisco ASA 8.0(2)
      ciscoasa(config)#webvpn ciscoasa(config-webvpn)#enable outside ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1 ciscoasa(config-webvpn)#tunnel-group-list enable ciscoasa(config-webvpn)#svc enable

4. 그룹 정책을 구성합니다.

   1. 내부 그룹 정책 클라이언트 그룹을 생성하려면 Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > Group Policies(그룹 정책)를 선택합니다. WebVPN을 터널링 프로토콜로 활성화하려면 General(일반) 탭에서 SSL VPN Client(SSL VPN 클라이언트) 확인란을 선택합니다.

      

   2. Advanced(고급) > Split Tunneling(스플릿 터널링) 탭에서 Inherit(상속) 확인란의 Split Tunnel Policy(스플릿 터널 정책)를 선택 취소하고 드롭다운 목록에서 Tunnel Network List Below(아래에 있는 터널 네트워크 목록)를 선택합니다.

      

   3. ACL Manager를 실행하려면 Split Tunnel Network List(스플릿 터널 네트워크 목록)의 Inherit(상속) 확인란의 선택을 취소한 다음 Manage(관리)를 클릭합니다.

      

   4. 새 액세스 목록을 생성하려면 ACL Manager에서 Add > Add ACL...(추가 > ACL 추가...)을 선택합니다.

      

   5. ACL의 이름을 입력하고 OK(확인)를 클릭합니다.

      

   6. ACL 이름이 생성되면 Add(추가) > Add ACE(ACE 추가)를 선택하여 ACE(Access Control Entry)를 추가합니다.

      ASA 뒤의 LAN에 해당하는 ACE를 정의합니다. 이 경우 네트워크는 10.77.241.128/26이며 Action(작업)으로 Permit(허용)을 선택합니다.

   7. ACL 관리자를 종료하려면 OK를 클릭합니다.

      

   8. 스플릿 터널 네트워크 목록에 대해 방금 생성한 ACL이 선택되었는지 확인합니다. OK(확인)를 클릭하여 그룹 정책 컨피그레이션으로 돌아갑니다.

      

   9. 명령을 ASA로 전송하려면 기본 페이지에서 Apply(적용)를 클릭한 다음 Send(필요한 경우)(보내기)를 클릭합니다.

   10. 그룹 정책 모드에서 SSL VPN 설정을 구성합니다.

       1. Keep Installer on Client System(클라이언트 시스템에 설치 프로그램 유지) 옵션의 경우 Inherit(상속) 확인란의 선택을 취소하고 Yes(예) 라디오 버튼을 클릭합니다.

          이 작업을 수행하면 SVC 소프트웨어가 클라이언트 컴퓨터에 남아 있을 수 있습니다. 따라서 ASA는 연결할 때마다 SVC 소프트웨어를 클라이언트에 다운로드할 필요가 없습니다. 이 옵션은 기업 네트워크에 자주 액세스하는 원격 사용자에게 적합합니다.

          

       2. 그림과 같이 Post Login Setting(로그인 후 설정) 및 Default Post Login Selection(기본 로그인 후 선택)을 설정하려면 Login Setting(로그인 설정)을 클릭합니다.

          

       3. Renegotiation Interval(재협상 간격) 옵션의 경우 Inherit(상속) 상자의 선택을 취소하고 Unlimited(무제한) 확인란의 선택을 취소한 후 재키가 발생할 때까지의 시간(분)을 입력합니다.

          키의 유효 기간에 제한을 설정하여 보안을 강화합니다.

       4. Renegotiation Method(재협상 방법) 옵션에서 Inherit(상속) 확인란의 선택을 취소하고 SSL 라디오 버튼을 클릭합니다.

          재협상에서는 재협상을 위해 명시적으로 생성된 새 터널 또는 현재 SSL 터널을 사용할 수 있습니다.

          

   11. OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.

       

       동등한 CLI 컨피그레이션:

       Cisco ASA 8.0(2)

       ciscoasa(config)#access-list split-tunnel standard permit 10.77.241.128 255.255.255.1922 ciscoasa(config)#group-policy clientgroup internal ciscoasa(config)#group-policyclientgroup attributes ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified ciscoasa(config-group-policy)#split-tunnel-network-list value split-tunnel ciscoasa(config-group-policy)#webvpn ciscoasa(config-group-webvpn)#svc ask none default svc ciscoasa(config-group-webvpn)#svc keep-installer installed ciscoasa(config-group-webvpn)#svc rekey time 30 ciscoasa(config-group-webvpn)#svc rekey method ssl

5. 새 사용자 계정 ssluser1을 생성하려면 Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > AAA Setup(AAA 설정) > Local Users(로컬 사용자) > Add(추가)를 선택합니다. OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.

   

   동등한 CLI 컨피그레이션:

   Cisco ASA 8.0(2)
   ciscoasa(config)#username ssluser1 password asdmASA@

6. 최대 시도 값이 16인 Enable Local User Lockout(로컬 사용자 잠금 활성화) 확인란을 선택하여 기본 서버 그룹 LOCAL을 수정하려면 Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > AAA Setup(AAA 설정) > AAA Servers Groups(AAA 서버 그룹) > Edit(편집)를 선택합니다.

   

7. OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.

   동등한 CLI 컨피그레이션:

   Cisco ASA 8.0(2)
   ciscoasa(config)#aaa local authentication attempts max-fail 16

8. 터널 그룹을 구성합니다.

   1. 새 터널 그룹 sslgroup을 생성하려면 Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > SSL VPN Connection Profiles(SSL VPN 연결 프로파일) Connection Profiles(연결 프로파일) > Add(추가)를 선택합니다.

   2. Basic(기본) 탭에서 다음과 같은 컨피그레이션 목록을 수행할 수 있습니다.

      • 터널 그룹의 이름을 sslgroup으로 지정합니다.

      • Client Address Assignment(클라이언트 주소 할당)의 드롭다운 목록에서 주소 풀 vpnpool을 선택합니다.

      • Default Group Policy(기본 그룹 정책)의 드롭다운 목록에서 그룹 정책 clientgroup(클라이언트 그룹)을 선택합니다.

      

   3. SSL VPN > Connection Aliases 탭 아래에서 그룹 별칭 이름을 sslgroup_users로 지정하고 OK를 클릭합니다.

      

   4. OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.

      동등한 CLI 컨피그레이션:

      Cisco ASA 8.0(2)
      ciscoasa(config)#tunnel-group sslgroup type remote-access ciscoasa(config)#tunnel-group sslgroup general-attributes ciscoasa(config-tunnel-general)#address-pool vpnpool ciscoasa(config-tunnel-general)#default-group-policy clientgroup ciscoasa(config-tunnel-general)#exit ciscoasa(config)#tunnel-group sslgroup webvpn-attributes ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

9. NAT를 구성합니다.

   1. 내부 네트워크에서 오는 트래픽을 외부 IP 주소 172.16.1.5로 변환할 수 있도록 Configuration(컨피그레이션) > Firewall(방화벽) > NAT Rules(NAT 규칙) > Add Dynamic NAT Rule(동적 NAT 규칙 추가)을 선택합니다.

      

   2. OK(확인)를 클릭합니다.

   3. OK(확인)를 클릭합니다.

      

   4. 적용을 클릭합니다.

      동등한 CLI 컨피그레이션:

      Cisco ASA 8.0(2)
      ciscoasa(config)#global (outside) 1 172.16.1.5 ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0

10. 내부 네트워크에서 VPN 클라이언트로 반환 트래픽을 위한 nat-exemption을 구성합니다.

    ciscoasa(config)#access-list nonat permit ip 10.77.241.0 192.168.10.0
    ciscoasa(config)#access-list nonat permit ip 192.168.10.0 10.77.241.0
    ciscoasa(config)#nat (inside) 0 access-list nonat
    

ASA CLI 컨피그레이션

ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone IST 5 30
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list split-tunnel standard permit 10.77.241.128 255.255.255.192

!--- ACL for Split Tunnel network list for encryption.

access-list nonat permit ip 10.77.241.0 192.168.10.0
access-list nonat permit ip 192.168.10.0 10.77.241.0

!--- ACL to define the traffic to be exempted from NAT.

pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0


!--- The address pool for the Cisco AnyConnect SSL VPN Clients


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP.

nat (inside) 0 access-list nonat

!--- The traffic permitted in "nonat" ACL is exempted from NAT.


nat (inside) 1 0.0.0.0 0.0.0.0


route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface


 svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1


!--- Assign an order to the AnyConnect SSL VPN Client image

 
svc enable


!--- Enable the security appliance to download SVC images to remote computers

 
tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page


group-policy clientgroup internal


!--- Create an internal group policy "clientgroup"


group-policy clientgroup attributes
 vpn-tunnel-protocol svc


!--- Specify SSL as a permitted VPN tunneling protocol

 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-tunnel


!--- Encrypt the traffic specified in the split tunnel ACL only


 webvpn
  svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate !--- the crypto keys and initialization vectors, increasing the security of the connection.

  
 svc rekey time 30


!--- Command that specifies the number of minutes from the start of the !--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey.


  svc ask none default svc

username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create a user account "ssluser1"


tunnel-group sslgroup type remote-access


!--- Create a tunnel group "sslgroup" with type as remote access


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created


tunnel-group sslgroup webvpn-attributes
 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users

prompt hostname context
Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9
: end
ciscoasa(config)#

SVC와 SSL VPN 연결 설정

ASA와 SSL VPN 연결을 설정하려면 다음 단계를 완료하십시오.

1. 표시된 형식으로 웹 브라우저에 ASA WebVPN 인터페이스의 URL 또는 IP 주소를 입력합니다.

   https://url

   또는

   https://<IP address of the ASA WebVPN interface>

   

2. 사용자 이름과 비밀번호를 입력합니다. 또한 표시된 대로 드롭다운 목록에서 해당 그룹을 선택합니다.

   

   이 창은 SSL VPN 연결이 설정되기 전에 나타납니다.

   

   참고: SVC를 다운로드하려면 먼저 컴퓨터에 ActiveX 소프트웨어가 설치되어 있어야 합니다.

   연결이 설정되면 이 창이 표시됩니다.

   

3. 컴퓨터의 작업 표시줄에 나타나는 잠금을 클릭합니다.

   

   이 창이 나타나고 SSL 연결에 대한 정보를 제공합니다. 예를 들어 192.168.10.1은 ASA에서 할당된 IP 등입니다.

   

   이 창에는 Cisco AnyConnect VPN 클라이언트 버전 정보가 표시됩니다.

   

다음을 확인합니다.

설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

OIT(Output Interpreter Tool)(등록된 고객만 해당)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력 분석을 볼 수 있습니다.

• show webvpn svc - ASA 플래시 메모리에 저장된 SVC 이미지를 표시합니다.

  ciscoasa#show webvpn svc
  1. disk0:/anyconnect-win-2.0.0343-k9.pkg 1
    CISCO STC win2k+
    2,0,0343
    Mon 04/23/2007  4:16:34.63
  
  1 SSL VPN Client(s) installed
  

• show vpn-sessiondb svc - 현재 SSL 연결에 대한 정보를 표시합니다.

  ciscoasa#show vpn-sessiondb svc
  
  Session Type: SVC
  
  Username     : ssluser1               Index        : 12
  Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
  Protocol     : Clientless SSL-Tunnel DTLS-Tunnel
  Encryption   : RC4 AES128             Hashing      : SHA1
  Bytes Tx     : 194118                 Bytes Rx     : 197448
  Group Policy : clientgroup            Tunnel Group : sslgroup
  Login Time   : 17:12:23 IST Mon Mar 24 2008
  Duration     : 0h:12m:00s
  NAC Result   : Unknown
  VLAN Mapping : N/A                    VLAN         : none

• show webvpn group-alias - 다양한 그룹에 대해 구성된 별칭을 표시합니다.

  ciscoasa#show webvpn group-alias
  Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
  

• ASA의 현재 WebVPN 세션을 알기 위해 ASDM에서 Monitoring(모니터링) > VPN > VPN Statistics(VPN 통계) > Sessions(세션)를 선택합니다.

  

문제 해결

이 섹션에서는 설정 문제 해결에 사용할 수 있는 정보를 제공합니다.

1. vpn-sessiondb logoff name <username> - 특정 사용자 이름에 대한 SSL VPN 세션을 로그오프하는 명령입니다.

   ciscoasa#vpn-sessiondb logoff name ssluser1
   Do you want to logoff the VPN session(s)? [confirm] Y
   INFO: Number of sessions with name "ssluser1" logged off : 1
   
   ciscoasa#Called vpn_remove_uauth: success!
   webvpn_svc_np_tear_down: no ACL
   webvpn_svc_np_tear_down: no IPv6 ACL
   np_svc_destroy_session(0xB000)
   

   마찬가지로 모든 SVC 세션을 종료하려면 vpn-sessiondb logoff svc 명령을 사용할 수 있습니다.

2. 참고: PC가 대기 또는 최대 절전 모드로 전환되면 SSL VPN 연결을 종료할 수 있습니다.

   webvpn_rx_data_cstp
   webvpn_rx_data_cstp: got message
   SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, e
   tc)
   Called vpn_remove_uauth: success!
   webvpn_svc_np_tear_down: no ACL
   webvpn_svc_np_tear_down: no IPv6 ACL
   np_svc_destroy_session(0xA000)
   

   ciscoasa#show vpn-sessiondb svc
   INFO: There are presently no active sessions

3. debug webvpn svc <1-255> - 세션을 설정하기 위해 실시간 webvpn 이벤트를 제공합니다.

   Ciscoasa#debug webvpn svc 7
   
   webvpn_rx_data_tunnel_connect
   CSTP state = HEADER_PROCESSING
   http_parse_cstp_method()
   ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
   webvpn_cstp_parse_request_field()
   ...input: 'Host: 172.16.1.1'
   Processing CSTP header line: 'Host: 172.16.1.1'
   webvpn_cstp_parse_request_field()
   ...input: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343'
   Processing CSTP header line: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343
   '
   Setting user-agent to: 'Cisco AnyConnect VPN Client 2, 0, 0343'
   webvpn_cstp_parse_request_field()
   ...input: 'Cookie: webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B08B
   7D75F4EDEF26'
   Processing CSTP header line: 'Cookie: webvpn=16885952@12288@1206098825@D251883E8
   625B92C1338D631B08B7D75F4EDEF26'
   Found WebVPN cookie: 'webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B
   08B7D75F4EDEF26'
   WebVPN Cookie: 'webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B08B7D7
   5F4EDEF26'
   webvpn_cstp_parse_request_field()
   ...input: 'X-CSTP-Version: 1'
   Processing CSTP header line: 'X-CSTP-Version: 1'
   Setting version to '1'
   webvpn_cstp_parse_request_field()
   ...input: 'X-CSTP-Hostname: tacweb'
   Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
   Setting hostname to: 'tacweb'
   webvpn_cstp_parse_request_field()
   ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
   Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
   webvpn_cstp_parse_request_field()
   ...input: 'X-CSTP-MTU: 1206'
   Processing CSTP header line: 'X-CSTP-MTU: 1206'
   webvpn_cstp_parse_request_field()
   ...input: 'X-CSTP-Address-Type: IPv4'
   Processing CSTP header line: 'X-CSTP-Address-Type: IPv4'
   webvpn_cstp_parse_request_field()
   ...input: 'X-DTLS-Master-Secret: CE151BA2107437EDE5EC4F5EE6AEBAC12031550B1812D40
   642E22C6AFCB9501758FF3B7B5545973C06F6393C92E59693'
   Processing CSTP header line: 'X-DTLS-Master-Secret: CE151BA2107437EDE5EC4F5EE6AE
   BAC12031550B1812D40642E22C6AFCB9501758FF3B7B5545973C06F6393C92E59693'
   webvpn_cstp_parse_request_field()
   ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA'
   Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3
   -SHA:DES-CBC-SHA'
   Validating address: 0.0.0.0
   CSTP state = WAIT_FOR_ADDRESS
   webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0
   CSTP state = HAVE_ADDRESS
   No subnetmask... must calculate it
   SVC: NP setup
   np_svc_create_session(0x3000, 0xD41611E8, TRUE)
   webvpn_svc_np_setup
   SVC ACL Name: NULL
   SVC ACL ID: -1
   SVC ACL ID: -1
   vpn_put_uauth success!
   SVC IPv6 ACL Name: NULL
   SVC IPv6 ACL ID: -1
   SVC: adding to sessmgmt
   SVC: Sending response
   Unable to initiate NAC, NAC might not be enabled or invalid policy
   CSTP state = CONNECTED
   webvpn_rx_data_cstp
   webvpn_rx_data_cstp: got internal message
   Unable to initiate NAC, NAC might not be enabled or invalid policy

4. 실시간 이벤트를 보려면 ASDM에서 Monitoring > Logging > Real-time Log Viewer > View를 선택합니다.

   

   이 예에서는 SSL 세션이 헤드 엔드 디바이스로 설정되었음을 보여 줍니다.

   

관련 정보

• Cisco 5500 Series Adaptive Security Appliance 지원 페이지
• AnyConnect VPN 클라이언트 릴리스 정보, 릴리스 2.0
• ASA/PIX: ASA 컨피그레이션에서 VPN 클라이언트에 대한 스플릿 터널링 허용 예
• 라우터는 VPN 클라이언트가 스플릿 터널링 구성을 사용하여 IPsec 및 인터넷에 연결할 수 있도록 허용합니다. 예
• PIX/ASA 7.x 및 Stick 컨피그레이션의 공용 인터넷 VPN용 VPN 클라이언트 예
• ASDM을 사용하는 ASA의 SVC(SSL VPN Client) 컨피그레이션 예
• 기술 지원 및 문서 − Cisco Systems