Este documento descreve como configurar o AnyConnect Secure Mobility Client para Dynamic Split Exclude Tunneling via ASDM.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
O tunelamento dividido do AnyConnect permite acesso seguro do Cisco AnyConnect Secure Mobility Client aos recursos corporativos via IKEV2 ou Secure Sockets Layer (SSL). Antes do AnyConnect versão 4.5, com base na política configurada no Adaptive Security Appliance (ASA), o comportamento do túnel dividido pode ser Tunnel Specified, Tunnel All ou Exclude Specified.
Com o advento dos recursos de computador hospedados na nuvem, os serviços às vezes resolvem para um endereço IP diferente com base na localização do usuário ou na carga dos recursos hospedados na nuvem.
Como o AnyConnect Secure Mobility Client fornece tunelamento dividido para intervalo de sub-rede estática, host ou um pool de IPV4 ou IPV6, torna-se difícil para os administradores de rede excluir domínios/FQDNs enquanto configuram o AnyConnect. Por exemplo, um administrador de rede deseja excluir o domínio Cisco.com da configuração de túnel dividido, mas o mapeamento DNS para Cisco.com é alterado, já que ele é hospedado na nuvem.
Usando o encapsulamento Dynamic Split Exclude, o AnyConnect resolve dinamicamente o endereço IPv4/IPv6 do aplicativo hospedado e garante as alterações necessárias na tabela de roteamento e nos filtros para permitir que a conexão seja feita fora do túnel.
A partir do AnyConnect 4.5, o Dynamic Spit Tunneling pode ser usado em que o AnyConnect resolve dinamicamente o endereço IPv4/IPv6 do aplicativo hospedado e faz as alterações necessárias na tabela de roteamento e nos filtros para permitir que a conexão seja feita fora do túnel
Esta seção descreve como configurar o Cisco AnyConnect Secure Mobility Client no ASA.
Esta imagem mostra a topologia usada para os exemplos neste documento.

Navegue até Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes. Clique no botão Add e defina o atributo dynamic-split-exclude-domains e a descrição opcional, como mostrado na imagem:

Navegue até Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names. Clique no botão Add e defina o atributo dynamic-split-exclude-domains criado anteriormente a partir de Type, um nome arbitrário e Values, como mostrado na imagem:
Tome cuidado para não digitar um espaço em Nome (por exemplo, é possível usar cisco-site, no entanto, é impossível usar cisco-site). Quando vários domínios ou FQDNs em Valores forem registrados, separe-os com uma vírgula (,).

Navegue para Configuration > Remote Access VPN > Network (Client) Access > Group Policies e selecione uma Group Policy. Em seguida, navegue para Advanced > AnyConnect Client > Custom Attributes e adicione o Type e o Name configurados, como mostrado na imagem:

Esta seção fornece a configuração CLI do Dynamic Split Tunneling para fins de referência:
ASAv10# show run
--- snip ---
webvpn
enable outside
AnyConnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
hsts
enable
max-age 31536000
include-sub-domains
no preload
AnyConnect image disk0:/AnyConnect-win-4.7.04056-webdeploy-k9.pkg 1
AnyConnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
AnyConnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
group-policy GroupPolicy_AnyConnect-01 internal
group-policy GroupPolicy_AnyConnect-01 attributes
wins-server none
dns-server value 10.0.0.0
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
split-tunnel-network-list value SplitACL
default-domain value cisco.com
AnyConnect-custom dynamic-split-exclude-domains value cisco-site
Para verificar as Exclusões de túnel dinâmico configuradas,AnyConnectinicie o software no cliente, clique em Janela avançada > Estatísticas, conforme mostrado na imagem:

Você também pode navegar para a guia Advanced Window > Route Details, onde você pode verificar se as Dynamic Tunnel Exclusions estão listadas em Non-Secured Routes, como mostrado na imagem.

Neste exemplo, você configurou www.cisco.com na lista Dynamic Tunnel Exclusion e a captura do Wireshark coletada na interface física do cliente AnyConnect confirma o tráfego para www.cisco.com (198.51.100.0), não é criptografado por DTLS.

Se um curinga estiver configurado no campo Valores, por exemplo, *.cisco.com estiver configurado em Valores, a sessão do AnyConnect será desconectada, como mostrado nos logs:
Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested
Note: Como alternativa, você pode usar o domínio cisco.com em Valores, para permitir FQDNs como www.cisco.com e tools.cisco.com.
O cliente AnyConnect aprende e adiciona automaticamente o endereço IP e o FQDN na guia Detalhes da rota, quando o cliente inicia o tráfego para os destinos excluídos.
Para verificar se os usuários do AnyConnect estão atribuídos à política de grupo do Anyconnect correta, você pode executar o comando show vpn-sessiondb anyconnect filter name <username>:
ASAv10# show vpn-sessiondb anyconnect filter name cisco
Session Type: AnyConnect
Username : cisco Index : 7
Assigned IP : 172.16.0.0 Public IP : 10.0.0.0
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 7795373 Bytes Rx : 390956
Group Policy : GroupPolicy_AnyConnect-01
Tunnel Group : AnyConnect-01
Login Time : 13:20:48 UTC Tue Mar 31 2020
Duration : 20h:19m:47s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 019600a9000070005e8343b0
Security Grp : none
Você pode usar o AnyConnect Diagnostics and Reporting Tool (DART) para coletar dados que são úteis para solucionar problemas de instalação e conexão do AnyConnect. O Assistente DART é usado no computador que executa o AnyConnect. O DART reúne os logs, o status e as informações de diagnóstico para a análise do Cisco Technical Assistance Center (TAC) e não requer privilégios de administrador para ser executado na máquina cliente.
| Revisão | Data de publicação | Comentários |
|---|---|---|
5.0 |
10-Jul-2026
|
Ortografia, gramática, espaçamento atualizados, linhas inseridas em seções separadas para legibilidade, URLs atualizados, seção interna editada e alertas do CCW. |
4.0 |
19-Sep-2023
|
Requisitos de estilo, marca e formatação atualizados. |
3.0 |
21-Jun-2023
|
Atualizar |
2.0 |
02-Aug-2022
|
Máscara de tradução automática, estrutura, gramática. |
1.0 |
14-Apr-2020
|
Versão inicial |