AnyConnect :配置IOS路由器头端的基本SSLVPN与使用CLI
目录
步骤6.定义客户端将使用的地址池和分割隧道访问列表
本地IP地址池必须创建为了AnyConnect客户端适配器能获取IP地址。保证您配置一个足够大池支持同时AnyConnect客户端连接最大。
默认情况下, AnyConnect在意味着的全通道模式将运行客户端机器生成的所有流量在通道间将发送。因为这不典型地是理想,配置访问控制表(ACL)然后定义了流量应该或不应该在通道间发送的是可能的。如同其他ACL实施,隐式拒绝在末端排除需要对于明确拒绝;因此,配置应该以隧道传输的流量的permit语句只是必要的。
ip local pool SSLVPN_POOL 192.168.10.1 192.168.10.10 access-list 1 permit 192.168.0.0 0.0.255.255
步骤7.配置虚拟模板接口(VTI)
动态VTIs 为允许高度安全和可扩展连接远程访问VPN的每VPN会话提供一个根据要求分开的虚拟访问接口。DVTI技术替换动态加密映射和帮助建立通道的动态星型网方法。 由于DVTIs功能类似他们允许更加复杂的远程Accesss部署的其他真正的接口,因为他们支持QoS、防火墙、每用户attribtues和其他安全服务,当通道是活跃的。
interface Loopback0 ip address 172.16.1.1 255.255.255.255
!
interface Virtual-Template 1 ip unnumbered Loopback0
步骤8.配置Webvpn gateway
Webvpn gateway是什么定义了将由AnyConnect头端使用的IP地址和端口,以及Ssl encryption算法和将被提交给客户端的PKI证书。默认情况下,网关将支持所有可能的加密算法,根据在路由器的IOS版本变化。
webvpn gateway SSLVPN_GATEWAY ip address 209.165.201.1 port 443 http-redirect port 80 ssl trustpoint SSLVPN_CERT inservice
步骤9.配置WebVPN上下文并且分组策略
WebVPN上下文和组策略定义了将使用AnyConnect客户端连接的一些另外的参数。对于一基本AnyConnect配置,上下文担当用于的机制呼叫将使用AnyConnect的默认组策略。然而,上下文可以用于进一步定制WebVPN飞溅页和WebVPN操作。在定义的策略组中, SSLVPN_AAA列表配置作为用户是成员的AAA认证列表。功能svc启用的命令是允许用户连接AnyConnect SSL VPN客户端而不是WebVPN通过浏览器配置的片段。最后,与SVC连接是仅相关的其他SVC define命令参数:svc地址池通知网关对在ACPool的赠送品地址对客户端, svc split包括定义了分割隧道策略每个1定义的ACL以上,并且svc dns-server定义了DNS服务器哪些将使用域名解决方法。使用此配置,所有DNS查询将被发送到指定的DNS服务器。在查询答复接收的地址指明流量是否在通道间发送。
webvpn context SSL_Context gateway SSLVPN_Gateway inservice policy group SSL_Policy aaa authentication list SSLVPN_AAA functions svc-enabled svc address-pool "SSLVPN_POOL" netmask 255.255.255.0 svc split include acl 1 svc dns-server primary 8.8.8.8
virtual-template 1
default-group-policy SSL_Policy
步骤10 (可选)。配置客户端配置文件
不同于在ASA, Cisco IOS没有能协助解决在创建客户端配置文件的admins的一个内置的GUI界面。AnyConnect客户端配置文件需要用独立配置文件编辑器分开创建/编辑。
遵从这些步骤安排路由器部署配置文件:
- 使用ftp/tftp,上传它对IOS闪存
- 请使用此命令识别上传的配置文件:
-
crypto vpn annyconnect profile SSL_profile flash:test-profile.xml
3. 在上下文下,请使用此命令与该上下文连接配置文件:
-
webvpn contextSSL_Contextpolicy groupSSL_Policysvc profileSSL_profile
验证
一旦配置完成,当您通过浏览器访问网关地址和端口,将回到WebVPN飞溅页。
在您登陆后, WebVPN主页显示。从这里,请点击隧道连接(AnyConnect)。 当使用时Internet Explorer, ActiveX使用增加和安装AnyConnect客户端。如果它没有检测,将使用Java。其他浏览器立即使用Java。
一旦安装完成, AnyConnect将自动地尝试连接到Webvpn gateway。因为自签名证书用于网关识别,在连接尝试期间,多份证书警告将出现。这些预计并且必须接受为了连接能继续。要避免这些证书警告,在客户端机器的信任证书存储必须安装被提交的自签名证书,或者,如果一第三方证书是然后使用的认证机关证书必须在信任证书存储。
当连接完成协商时,请点击在AnyConnect左下的齿轮图标将显示关于连接的若干预先信息。在此页查看从分割隧道ACL和路由详细信息获得的一些连接统计在组策略配置里是可能的。
这是从配置步骤的最终running-configuration结果:
crypto pki trustpoint SSLVPN_TP_SELFSIGNED enrollment selfsigned serial-number subject-name cn=892_SELF_SIGNED_CERT revocation-check none rsakeypair SELF_SIGNED_RSA ! crypto vpn anyconnect flash:/webvpn/anyconnect-win-3.1.08009-k9.pkg sequence 1
crypto vpn anyconnect profile SSL_profile flash:test-profile.xml ! access-list 1 permit 192.168.0.0 0.0.255.255 ! webvpn gateway SSL_Gateway ip address 209.165.201.1 port 443 ssl trustpoint SSLVPN_TP_SELFSIGNED inservice ! webvpn context SSL_Context gateway SSL_Gateway ! ssl authenticate verify all inservice ! policy group SSL_Policy functions svc-enabled svc address-pool "ACPool" netmask 255.255.255.0 svc split include acl 1 svc dns-server primary 8.8.8.8
svc profile SSL_profile default-group-policy SSL_Policy
故障排除
当您排除故障AnyConnect连接问题时,有检查的一些个普通的组件:
- 客户端必须提交证书,它是证书在Webvpn gateway指定有效的要求。要发行显示crypto pki证书将显示适合于对在路由器的所有证书的信息。
- 每当变化做出对WebVPN配置,它是最佳实践发出没有在职和在职在网关和上下文。这将保证更改适当地生效。
- 如前面提到,它是需求有将连接到此网关的每个客户端操作系统的一AnyConnect PKG。例如, Windows客户端需要Windows PKG, 32位客户端需要Linux 32位PKG的Linux,等等。
- 当您考虑AnyConnect客户端时,并且基于浏览器的WebVPN使用SSL,能访问WebVPN飞溅页通常表明AnyConnect能连接(假设,有关AnyConnect配置正确)。
Cisco IOS提供可以用于排除故障失败连接的一些多种调试WebVPN选项。这是从调试WebVPN aaa,调试wevpn通道和show webvpn session生成的输出在成功的连接尝试:
fdenofa-892#show debugging
WebVPN Subsystem:
WebVPN AAA debugging is on
WebVPN tunnel debugging is on
WebVPN Tunnel Events debugging is on
WebVPN Tunnel Errors debugging is on
*May 26 20:11:06.381: WV-AAA: Nas Port ID set to 64.102.157.2.
*May 26 20:11:06.381: WV-AAA: AAA authentication request sent for user: "fdenofa"AAA returned status: 2 for session 37
*May 26 20:11:06.381: WV-AAA: AAA Authentication Passed!
*May 26 20:11:06.381: WV-AAA: User "fdenofa" has logged in from "64.102.157.2" to gateway "SSL_Gateway"
context "SSL_Context"
*May 26 20:11:12.265:
*May 26 20:11:12.265:
*May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] CSTP Version recd , using 1
*May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Allocating IP 192.168.10.9 from address-pool ACPool
*May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Using new allocated IP 192.168.10.9 255.255.255.0
*May 26 20:11:12.265: Inserting static route: 192.168.10.9 255.255.255.255 Virtual-Access2 to routing table
*May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Full Tunnel CONNECT request processed, HTTP reply created
*May 26 20:11:12.265: HTTP/1.1 200 OK
*May 26 20:11:12.265: Server: Cisco IOS SSLVPN
*May 26 20:11:12.265: X-CSTP-Version: 1
*May 26 20:11:12.265: X-CSTP-Address: 192.168.10.9
*May 26 20:11:12.269: X-CSTP-Netmask: 255.255.255.0
*May 26 20:11:12.269: X-CSTP-Keep: false
*May 26 20:11:12.269: X-CSTP-DNS: 8.8.8.8
*May 26 20:11:12.269: X-CSTP-Lease-Duration: 43200
*May 26 20:11:12.269: X-CSTP-MTU: 1280
*May 26 20:11:12.269: X-CSTP-Split-Include: 192.168.0.0/255.255.0.0
*May 26 20:11:12.269: X-CSTP-DPD: 300
*May 26 20:11:12.269: X-CSTP-Disconnected-Timeout: 2100
*May 26 20:11:12.269: X-CSTP-Idle-Timeout: 2100
*May 26 20:11:12.269: X-CSTP-Session-Timeout: 0
*May 26 20:11:12.269: X-CSTP-Keepalive: 30
*May 26 20:11:12.269: X-DTLS-Session-ID: 85939A3FE33ABAE5F02F8594D56DEDE389F6FB3C9EEC4D211EB71C0820DF8DC8
*May 26 20:11:12.269: X-DTLS-Port: 443
*May 26 20:11:12.269: X-DTLS-Header-Pad-Length: 3
*May 26 20:11:12.269: X-DTLS-CipherSuite: AES256-SHA
*May 26 20:11:12.269: X-DTLS-DPD: 300
*May 26 20:11:12.269: X-DTLS-KeepAlive: 30
*May 26 20:11:12.269:
*May 26 20:11:12.269:
*May 26 20:11:12.269:
*May 26 20:11:12.269: [WV-TUNL-EVT]:[8A3AE410] For User fdenofa, DPD timer started for 300 seconds
*May 26 20:11:12.273: [WV-TUNL-EVT]:[8A3AE410] CSTP Control, Recvd a Req Cntl Frame (User fdenofa, IP 192.168.10.9)
Severity ERROR, Type CLOSE_ERROR
Text: reinitiate tunnel to negotiate a different MTU
*May 26 20:11:12.273: [WV-TUNL-EVT]:[8A3AE410] CSTP Control, Recvd Close Error Frame
*May 26 20:11:14.105:
*May 26 20:11:14.105:
*May 26 20:11:14.105: [WV-TUNL-EVT]:[8A3AE690] CSTP Version recd , using 1
*May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Tunnel Client reconnecting removing existing tunl ctx
*May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE410] Closing Tunnel Context 0x8A3AE410 for Session 0x8A3C2EF8 and User fdenofa
*May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Reusing IP 192.168.10.9 255.255.255.0
*May 26 20:11:14.109: Inserting static route: 192.168.10.9 255.255.255.255 Virtual-Access2 to routing table
*May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Full Tunnel CONNECT request processed, HTTP reply created
*May 26 20:11:14.109: HTTP/1.1 200 OK
*May 26 20:11:14.109: Server: Cisco IOS SSLVPN
*May 26 20:11:14.109: X-CSTP-Version: 1
*May 26 20:11:14.109: X-CSTP-Address: 192.168.10.9
*May 26 20:11:14.109: X-CSTP-Netmask: 255.255.255.0
*May 26 20:11:14.109: X-CSTP-Keep: false
*May 26 20:11:14.109: X-CSTP-DNS: 8.8.8.8
*May 26 20:11:14.113: X-CSTP-Lease-Duration: 43200
*May 26 20:11:14.113: X-CSTP-MTU: 1199
*May 26 20:11:14.113: X-CSTP-Split-Include: 192.168.0.0/255.255.0.0
*May 26 20:11:14.113: X-CSTP-DPD: 300
*May 26 20:11:14.113: X-CSTP-Disconnected-Timeout: 2100
*May 26 20:11:14.113: X-CSTP-Idle-Timeout: 2100
*May 26 20:11:14.113: X-CSTP-Session-Timeout: 0
*May 26 20:11:14.113: X-CSTP-Keepalive: 30
*May 26 20:11:14.113: X-DTLS-Session-ID: 22E54D9F1F6344BCB5BB30BC8BB3737907795E6F3C3665CDD294CBBA1DA4D0CF
*May 26 20:11:14.113: X-DTLS-Port: 443
*May 26 20:11:14.113: X-DTLS-Header-Pad-Length: 3
*May 26 20:11:14.113: X-DTLS-CipherSuite: AES256-SHA
*May 26 20:11:14.113: X-DTLS-DPD: 300
*May 26 20:11:14.113: X-DTLS-KeepAlive: 30
*May 26 20:11:14.113:
*May 26 20:11:14.113:
*May 26 20:11:14.113:
*May 26 20:11:14.113: [WV-TUNL-EVT]:[8A3AE690] For User fdenofa, DPD timer started for 300 seconds
fdenofa-892#show webvpn session user fdenofa context SSL_Context
Session Type : Full Tunnel
Client User-Agent : AnyConnect Windows 3.1.08009
Username : fdenofa Num Connection : 5
Public IP : 64.102.157.2 VRF Name : None
Context : SSL_Context Policy Group : SSL_Policy
Last-Used : 00:00:00 Created : *16:11:06.381 EDT Tue May 26 2015
Session Timeout : Disabled Idle Timeout : 2100
DNS primary serve : 8.8.8.8
DPD GW Timeout : 300 DPD CL Timeout : 300
Address Pool : ACPool MTU Size : 1199
Rekey Time : 3600 Rekey Method :
Lease Duration : 43200
Tunnel IP : 192.168.10.9 Netmask : 255.255.255.0
Rx IP Packets : 0 Tx IP Packets : 42
CSTP Started : 00:00:13 Last-Received : 00:00:00
CSTP DPD-Req sent : 0 Virtual Access : 2
Msie-ProxyServer : None Msie-PxyPolicy : Disabled
Msie-Exception :
Split Include : ACL 1
Client Ports : 17462 17463 17464 17465 17471
相关信息
反馈