본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 Cisco VPN Client 또는 Cisco AnyConnect Secure Mobility Client가 Cisco ASA(Adaptive Security Appliance) 5500 Series 또는 ASA 5500-X Series로 터널링되는 동안 로컬 LAN에만 액세스하도록 허용하는 방법에 대해 설명합니다.이 컨피그레이션을 통해 Cisco VPN 클라이언트 또는 Cisco AnyConnect Secure Mobility Client는 IPsec, SSL(Secure Sockets Layer) 또는 IKEv2(Internet Key Exchange Version 2)를 통해 기업 리소스에 안전하게 액세스할 수 있으며 클라이언트가 있는 위치에 인쇄와 같은 작업을 수행할 수 있습니다.허용된 경우 인터넷으로 향하는 트래픽은 여전히 ASA로 터널링됩니다.
참고:이는 스플릿 터널링에 대한 컨피그레이션이 아닙니다. 이 경우 클라이언트는 ASA 또는 PIX에 연결된 상태에서 인터넷에 암호화되지 않은 액세스를 갖습니다.PIX/ASA 7.x 참조:ASA에서 스플릿 터널링을 구성하는 방법에 대한 자세한 내용은 ASA 컨피그레이션 예시에서 VPN 클라이언트에 대해 스플릿 터널링을 허용합니다.
이 문서에서는 기능 원격 액세스 VPN 컨피그레이션이 ASA에 이미 있다고 가정합니다.
Cisco VPN 클라이언트가 아직 구성되지 않은 경우 ASDM 구성 예를 사용하여 PIX/ASA 7.x를 원격 VPN 서버로 참조하십시오.
Cisco AnyConnect Secure Mobility Client가 아직 구성되지 않은 경우 AnyConnect SSL VPN 클라이언트 구성 예를 사용하여 ASA 8.x VPN 액세스를 참조하십시오.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 클라이언트는 일반적인 SOHO(Small Office/Home Office) 네트워크에 위치하며 인터넷을 통해 본사와 연결됩니다.
모든 인터넷 트래픽이 암호화되지 않은 상태로 전송되는 기존 스플릿 터널링 시나리오와 달리, VPN 클라이언트에 대해 로컬 LAN 액세스를 활성화하면 해당 클라이언트가 해당 클라이언트가 위치한 네트워크의 디바이스와만 암호화되지 않은 상태로 통신할 수 있습니다.예를 들어, 홈에서 ASA에 연결되어 있는 동안 로컬 LAN 액세스가 허용된 클라이언트는 자체 프린터로 인쇄할 수 있지만 터널을 통해 트래픽을 먼저 보내지 않고 인터넷에 액세스할 수는 없습니다.
액세스 목록은 ASA에서 스플릿 터널링이 구성된 방식과 거의 동일한 방식으로 로컬 LAN 액세스를 허용하는 데 사용됩니다.그러나 어떤 네트워크를 암호화해야 할지 정의하는 대신 이 경우 액세스 목록은 어떤 네트워크를 암호화해서는 안 되는지 정의합니다.또한 스플릿 터널링 시나리오와 달리 목록의 실제 네트워크를 알 필요가 없습니다.대신 ASA는 클라이언트의 로컬 LAN을 의미하는 기본 네트워크 0.0.0.0/255.255.255.255을 제공합니다.
참고:클라이언트가 로컬 LAN 액세스를 위해 연결되고 구성된 경우 로컬 LAN에서 이름으로 인쇄하거나 찾아볼 수 없습니다.그러나 IP 주소로 찾아보거나 인쇄할 수 있습니다.자세한 내용과 해결 방법은 이 문서의 문제 해결 섹션을 참조하십시오.
Cisco VPN Client 또는 Cisco AnyConnect Secure Mobility Client가 ASA에 연결된 상태에서 로컬 LAN에 액세스할 수 있도록 하려면 다음 작업을 완료합니다.
ASA에 연결된 동안 VPN 클라이언트에서 로컬 LAN 액세스를 허용하려면 ASDM에서 다음 단계를 완료합니다.
ASDM을 사용하는 대신 ASA에 연결된 동안 VPN 클라이언트가 로컬 LAN 액세스를 가질 수 있도록 ASA CLI에서 다음 단계를 완료할 수 있습니다.
ciscoasa>enable
Password:
ciscoasa#configure terminal
ciscoasa(config)#
ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
주의:ASA 소프트웨어 버전 8.x에서 9.x 사이의 ACL 구문이 변경되었으므로 이 ACL은 더 이상 허용되지 않으며 관리자가 구성을 시도할 때 이 오류 메시지가 표시됩니다.
rtpvpnoutbound6(config)# access-list test standard permit host 0.0.0.0
오류:잘못된 IP 주소
유일하게 허용되는 것은
rtpvpnoutbound6(config)# access-list 테스트 표준 permit any4
이 문제는 알려진 문제이며 Cisco 버그 ID CSCut3131로 해결되었습니다. 로컬 LAN 액세스를 구성하려면 이 버그에 대한 수정 사항이 있는 버전으로 업그레이드하십시오.
ciscoasa(config)#group-policy hillvalleyvpn attributes
ciscoasa(config-group-policy)#
ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
ciscoasa(config-group-policy)#exit
ciscoasa(config)#exit
ciscoasa#
ciscoasa#copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
3847 bytes copied in 3.470 secs (1282 bytes/sec)
ciscoasa#
Cisco AnyConnect Secure Mobility Client를 구성하려면 ASA 8.x의 Establish the SSL VPN Connection with SVC 섹션을 참조하십시오.ASA 컨피그레이션 예에서 AnyConnect VPN 클라이언트에 대해 스플릿 터널링을 허용합니다.
스플릿 제외 터널링을 사용하려면 AnyConnect 클라이언트에서 AllowLocalLanAccess를 활성화해야 합니다.모든 스플릿 제외 터널링은 로컬 LAN 액세스로 간주됩니다.스플릿 터널링의 제외 기능을 사용하려면 AnyConnect VPN Client 환경 설정에서 AllowLocalLanAccess 환경 설정을 활성화해야 합니다.기본적으로 로컬 LAN 액세스는 비활성화되어 있습니다.
로컬 LAN 액세스 및 스플릿 제외 터널링을 허용하려면 네트워크 관리자가 프로필에서 이를 활성화하거나 사용자가 기본 설정에서 활성화할 수 있습니다(다음 섹션의 이미지 참조). 로컬 LAN 액세스를 허용하기 위해 사용자는 보안 게이트웨이에서 스플릿 터널링이 활성화되고 스플릿 터널 정책 제외 지정된 정책으로 구성된 경우 로컬 LAN 액세스 허용 확인란을 선택합니다. 또한 <LocalLanAccess UserControlLable="true">true</LocalLanAccess>로 로컬 LAN 액세스가 허용되는 경우 VPN 클라이언트 프로파일을 구성할 수 있습니다.
다음은 로컬 LAN 액세스를 허용하기 위해 Cisco AnyConnect Secure Mobility Client의 Preferences(환경 설정) 탭에서 선택해야 하는 옵션입니다.
다음은 XML을 사용하여 VPN 클라이언트 프로파일을 구성하는 방법의 예입니다.
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
</AnyConnectProfile>
컨피그레이션을 확인하려면 이 섹션의 단계를 완료하십시오.
구성을 확인하려면 Cisco AnyConnect Secure Mobility Client를 ASA에 연결합니다.
DART(Diagnostics and Reporting Tool) 번들에서 AnyConnect 로그를 검사할 때 로컬 LAN 액세스를 허용하는 매개변수가 설정되었는지 여부를 결정할 수 있습니다.
******************************************
Date : 11/25/2011
Time : 13:01:48
Type : Information
Source : acvpndownloader
Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true
******************************************
VPN 헤드엔드로 터널링되는 동안 VPN 클라이언트가 여전히 로컬 LAN 액세스 권한을 가지고 있는지 테스트하는 또 다른 방법은 Microsoft Windows 명령줄에서 ping 명령을 사용하는 것입니다.다음은 클라이언트의 로컬 LAN이 192.168.0.0/24이고 IP 주소가 192.168.0.3인 다른 호스트가 네트워크에 있는 예입니다.
C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
VPN 클라이언트가 로컬 LAN 액세스를 위해 연결되고 구성된 경우 로컬 LAN에서 이름으로 인쇄하거나 찾아볼 수 없습니다.이 상황을 해결하기 위해 다음 두 가지 옵션을 사용할 수 있습니다.
192.168.0.3 SERVER1 192.168.0.4 SERVER2 192.168.0.5 SERVER3