Configurar ASA/AnyConnect: Dynamic Split Tunneling

Opções de download

  • PDF     (715.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (444.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (511.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de Agosto de 2022
ID do documento:215383

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar o Cisco AnyConnect Secure Mobility Client para Dynamic Split Exclude Tunneling através do Cisco Adaptive Security Device Manager (ASDM) em um parágrafo do Cisco Adaptive Security Appliance (ASA).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Conhecimento básico do ASA.
    • Conhecimento básico do Cisco Anyconnect Security Mobility Client.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • ASA 9.12(3)9
    • ASDM 7.13(1)
    • AnyConnect 4.7.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O tunelamento dividido Anyconnect permite que o Cisco AnyConnect Secure Mobility Client tenha acesso seguro aos recursos corporativos via IKEV2 ou Secure Sockets Layer (SSL).

    Antes do AnyConnect versão 4.5, com base na política configurada no Adaptive Security Appliance (ASA), o comportamento do túnel dividido poderia ser Tunnel Specified, Tunnel All ou Exclude Specified.

    Com o advento dos recursos de computador hospedados na nuvem, os serviços às vezes resolvem para um endereço IP diferente com base na localização do usuário ou na carga dos recursos hospedados na nuvem.

    Como o Anyconnect Secure Mobility Client fornece separação de túneis para intervalo de sub-rede estática, host ou pool de IPV4 ou IPV6, torna-se difícil para os administradores de rede excluir domínios/FQDNs enquanto configuram o AnyConnect.

    Por exemplo, um administrador de rede deseja excluir o domínio Cisco.com da configuração de túnel dividido, mas o mapeamento DNS para Cisco.com é alterado, pois ele é hospedado na nuvem.

    Usando o encapsulamento Dynamic Split Exclude, o Anyconnect resolve dinamicamente o endereço IPv4/IPv6 do aplicativo hospedado e faz as alterações necessárias na tabela de roteamento e nos filtros para permitir que a conexão seja feita fora do túnel.

    A partir do AnyConnect 4.5, o Dynamic Spit Tunneling pode ser usado onde o Anyconnect resolve dinamicamente o endereço IPv4/IPv6 do aplicativo hospedado e faz as alterações necessárias na tabela de roteamento e nos filtros para permitir que a conexão seja feita fora do túnel

    Configuração

    Esta seção descreve como configurar o Cisco AnyConnect Secure Mobility Client no ASA.

    Diagrama de Rede

    Esta imagem mostra a topologia usada para os exemplos deste documento.

    Dynamic-Split-Tunneling-Diagram

    Etapa 1. Criar atributos personalizados do AnyConnect.

      

    Navegue até Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes. clicar Add e definir dynamic-split-exclude-domains atributo e descrição opcional, como mostrado na imagem:

    Dynamic-Split-Tunneling-01

    Etapa 2. Criar nome personalizado do AnyConnect e configurar valores.

    Navegue até Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names. clicar Add e defina a dynamic-split-exclude-domains atributo criado anteriormente a partir de Tipo, um nome arbitrário e Valores, como mostrado na imagem:

    Tome cuidado para não inserir um espaço em Nome. (Exemplo: Possível "cisco-site" Impossível "cisco site") Quando vários domínios ou FQDNs em Valores são registrados, separe-os com uma vírgula (,).

    Dynamic-Split-Tunneling-02

    Etapa 3. Adicionar Tipo e Nome à Política de Grupo.

    Navegue até Configuration> Remote Access VPN> Network (Client) Access> Group Policies e selecione uma diretiva de grupo. Em seguida, navegue até Advanced> AnyConnect Client> Custom Attributes e adicionar o Type e Name,conforme mostrado na imagem:

    Dynamic-Split-Tunneling-03

    Exemplo de configuração CLI

    Esta seção fornece a configuração CLI do Dynamic Split Tunneling para fins de referência.

    ASAv10# show run
      --- snip ---
    webvpn
     enable outside
     anyconnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
     hsts
      enable
      max-age 31536000
      include-sub-domains
      no preload
     anyconnect image disk0:/anyconnect-win-4.7.04056-webdeploy-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable
     cache
      disable
     error-recovery disable
    anyconnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
    group-policy GroupPolicy_AnyConnect-01 internal
    group-policy GroupPolicy_AnyConnect-01 attributes
     wins-server none
     dns-server value 10.0.0.0
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelall
     split-tunnel-network-list value SplitACL
     default-domain value cisco.com
     anyconnect-custom dynamic-split-exclude-domains value cisco-site

    Limitações

    • O ASA versão 9.0 ou posterior é necessário para usar os atributos personalizados do Dynamic Split Tunneling.
    • Não há suporte para curinga no campo Valores.
    • Não há suporte para Dynamic Split Tunneling em dispositivos iOS (Apple) (Solicitação de Aprimoramento: 'ID de bug Cisco CSCvr54798').

    Verificar

    Para verificar se os Dynamic Tunnel Exclusions, Iniciar AnyConnect no cliente, clique em Advanced Window > Statistics, como mostra a imagem:

    Dynamic-Split-Tunneling-04

    Você também pode navegar para Advanced Window > Route Details onde você pode verificar Dynamic Tunnel Exclusions estão listados em Non-Secured Routes, conforme mostrado na imagem.

    Dynamic-Split-Tunneling-05

    Neste exemplo, você configurou www.cisco.com em Dynamic Tunnel Exclusion list e a captura do Wireshark coletada na interface física do cliente AnyConnect confirma que o tráfego para www.cisco.com (198.51.100.0) não é criptografado pelo DTLS.

    Dynamic-Split-Tunneling-06

    Troubleshoot

    Caso o curinga seja usado no campo Valores

    Se um curinga estiver configurado no campo Valores, por exemplo, *.cisco.com estiver configurado em Valores, a sessão do AnyConnect será desconectada, como mostrado nos logs:

    Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
    Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
    Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
    Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
    Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
    Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
    Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
    Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
    Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
    Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested

    Note: Como alternativa, você pode usar o domínio cisco.com em Valores para permitir FQDNs como www.cisco.com e tools.cisco.com.

    No caso de Rotas não seguras não serem vistas na guia Detalhes da rota

    O cliente AnyConnect aprende e adiciona automaticamente o endereço IP e o FQDN na guia Detalhes da rota, quando o cliente inicia o tráfego para os destinos excluídos.

    Para verificar se os usuários do AnyConnect estão atribuídos à política de grupo do Anyconnect correta, você pode executar o comando 'show vpn-sessiondb anyconnect filter name 

    ASAv10# show vpn-sessiondb anyconnect filter name cisco

    Session Type: AnyConnect

    Username     : cisco                 Index : 7
    Assigned IP  : 172.16.0.0         Public IP : 10.0.0.0
    Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
    Bytes Tx     : 7795373               Bytes Rx : 390956
    Group Policy : GroupPolicy_AnyConnect-01
    Tunnel Group : AnyConnect-01
    Login Time   : 13:20:48 UTC Tue Mar 31 2020
    Duration     : 20h:19m:47s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                   VLAN : none
    Audt Sess ID : 019600a9000070005e8343b0
    Security Grp : none

    Solução de problemas gerais

    Você pode usar o AnyConnect Diagnostics and Reporting Tool (DART) para coletar os dados que são úteis para solucionar problemas de instalação e conexão do AnyConnect. O Assistente DART é usado no computador que executa o AnyConnect. O DART reúne os registros, o status e as informações de diagnóstico para a análise do Cisco Technical Assistance Center (TAC) e não exige os privilégios de administrador para ser executado no computador cliente.

    Informações internas da Cisco 
    Alguns clientes querem usar curinga em um domínio como " *.cisco.com", mas não há suporte para curinga. Se um curinga for usado, a conexão anyconnect será desconectada daqui "O AnyConnect não conseguiu estabelecer uma conexão com o gateway seguro especificado. Tente se conectar novamente." erro no cliente anyconnect. 
    AnyConnect-error

    No ASA, o seguinte erro será visto se o curinga for usado no domínio.
    ----------------------------------------------------------------------------------------------------------------
    ##ASA CLI## 
    anyconnect-custom-data dynamic-split-exclude-domains site da cisco *.cisco.com
    ----------------------------------------------------------------------------------------------------------------
    ##ASA log de erros se o curinga for usado##
    02 de abril de 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Nenhum endereço IPv6 disponível para conexão SVC
    02 de abril de 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Primeira conexão TCP SVC estabelecida para a sessão SVC.
    02 de abril de 2020 10:01:09: %ASA-6-722022: Conexão SVC TCP de <GroupPolicy_AnyConnect-01> usuário <cisco> IP <172.16.0.0> estabelecida sem compactação
    02 de abril de 2020 10:01:09: %ASA-6-722055: Tipo de Cliente <GroupPolicy_AnyConnect-01> Usuário <cisco> IP <172.16.0.0>: Cisco AnyConnect VPN Agent para Windows 4.7.04056
    02 de abril de 2020 10:01:09: %ASA-4-722051: Grupo <GroupPolicy_AnyConnect-01> Usuário <cisco> IP <172.16.0.0> Endereço IPv4 <172.16.0.0> Endereço IPv6 <::> atribuído à sessão
    02 de abril de 2020 10:01:09: %ASA-6-302013: Conexão TCP de entrada 8570 criada para fora:172.16.0.0/44868 (172.16.0.0/44868) para identidade:203.0.113.0/443 (203.0.113.0/443)
    02 de abril de 2020 10:01:09: %ASA-4-722037: Grupo <GroupPolicy_AnyConnect-01> Usuário <cisco> IP <172.16.0.0> SVC fechando conexão: Fechamento de transporte.
    02 de abril de 2020 10:01:09: %ASA-5-722010: Mensagem SVC de <GroupPolicy_AnyConnect-01> usuário <cisco> IP <172.16.0.0> : 16/ERRO: A configuração recebida do gateway seguro era inválida.
    02 de abril de 2020 10:01:09: %ASA-6-716002: Sessão WebVPN do usuário <cisco> IP <172.16.0.0> do grupo <GroupPolicy_AnyConnect-01> encerrada: Usuário solicitado.
    02 de abril de 2020 10:01:09: %ASA-4-113019: Grupo = AnyConnect-01, Nome de usuário = cisco, IP = 172.16.0.0, Sessão desconectada. Tipo de sessão: AnyConnect-Parent, Duração: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Motivo: Usuário solicitado
    ----------------------------------------------------------------------------------------------------------------


    Em vez de usar curingas como " *.cisco.com", você pode usar "cisco.com" para permitir FQDN como www.cisco.com, tools.cisco.com ou community.cisco.com. Veja abaixo um exemplo de configuração e verificação.
    ----------------------------------------------------------------------------------------------------------------
    ##ASA CLI##
    anyconnect-custom-data dynamic-split-exclude-domains site da cisco cisco.com
    ----------------------------------------------------------------------------------------------------------------
    ##AnyConnect Cliente## 
    cisco.com-domain-01
    cisco.com-domain-02
    ----------------------------------------------------------------------------------------------------------------

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    02-Aug-2022
    Máscara de tradução automática, estrutura, gramática.
    1.0
    14-Apr-2020
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Taisuke Nakamura
      Engenheiro do Cisco TAC
    • Prashant Joshi
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco