AnyConnect:使用CLI为Cisco IOS路由器头端配置基本SSL VPN
简介
目录
步骤5.定义客户端使用的地址池和拆分隧道访问列表
必须创建本地IP地址池,AnyConnect客户端适配器才能获取IP地址。确保配置足够大的池以支持最大数量的同步AnyConnect客户端连接。
默认情况下,AnyConnect将在全隧道模式下运行,这意味着客户端生成的任何流量都将通过隧道发送。由于这通常不理想,因此可以配置访问控制列表(ACL),该列表定义应该或不应该通过隧道发送的流量。与其他ACL实施一样,末尾的隐式deny消除了显式deny的需要;因此,只需为应通过隧道传输的流量配置permit语句。
ip local pool SSLVPN_POOL 192.168.10.1 192.168.10.10 access-list 1 permit 192.168.0.0 0.0.255.255
步骤6.配置虚拟模板接口(VTI)
动态VTI 为每个VPN会话提供按需独立的虚拟访问接口,为远程访问VPN提供高度安全且可扩展的连接。DVTI技术取代了动态加密映射和帮助建立隧道的动态星型方法。 由于DVTI的功能与任何其他实际接口类似,因此它们支持更复杂的远程访问部署,因为一旦隧道处于活动状态,它们就支持QoS、防火墙、每用户属性和其他安全服务。
interface Loopback0 ip address 172.16.1.1 255.255.255.255
!
interface Virtual-Template 1 ip unnumbered Loopback0
步骤7.配置WebVPN网关
WebVPN网关定义AnyConnect头端将使用的IP地址和端口,以及将提供给客户端的SSL加密算法和PKI证书。默认情况下,网关将支持所有可能的加密算法,具体取决于路由器上的Cisco IOS版本。
webvpn gateway SSLVPN_GATEWAY ip address 209.165.201.1 port 443 http-redirect port 80 ssl trustpoint SSLVPN_CERT inservice
步骤8.配置WebVPN环境和组策略
WebVPN上下文和组策略定义一些用于AnyConnect客户端连接的附加参数。对于基本AnyConnect配置,情景仅用作用于调用将用于AnyConnect的默认组策略的机制。但是,情景可用于进一步自定义WebVPN启动页和WebVPN操作。在定义的策略组中,SSLVPN_AAA列表配置为用户所属的AAA身份验证列表。functions svc-enabled 命令是允许用户通过浏览器连接AnyConnect SSL VPN客户端而非仅通过WebVPN的配置。最后,其他SVC命令定义仅与SVC连接相关的参数:svc address-pool告知网关将SSLVPN_POOL中的地址分发给客户端,svc split include根据上面定义的ACL 1定义拆分隧道策略,svc dns-server定义将用于域名解析的DNS服务器。使用此配置,所有DNS查询都将发送到指定的DNS服务器。在查询响应中收到的地址将规定流量是否通过隧道发送。
webvpn context SSLVPN_CONTEXT
virtual-template 1
aaa authentication list SSLVPN_AAA
gateway SSLVPN_GATEWAY inservice
policy group SSLVPN_POLICY functions svc-enabled svc address-pool "SSLVPN_POOL" netmask 255.255.255.0 svc split include acl 1 svc dns-server primary 8.8.8.8
default-group-policy SSLVPN_POLICY
第9步(可选)配置客户端配置文件
与ASA不同,Cisco IOS没有内置的GUI界面,无法帮助管理员创建客户端配置文件。需要使用独立配置文件编辑器单独创建/编辑AnyConnect客户端配置文件。
要让路由器部署配置文件,请执行以下步骤:
- 使用ftp/tftp将其上传到IOS闪存。
- 使用此命令可标识刚上传的配置文件:
crypto vpn annyconnect profile SSLVPN_PROFILE flash:test-profile.xml
3.在上下文下,使用此命令将配置文件链接到该上下文:
webvpn contextSSLVPN_CONTEXTpolicy groupSSLVPN_POLICYsvc profileSSLVPN_PROFILE
验证
使用本部分可确认配置能否正常运行。
配置完成后,当您通过浏览器访问网关地址和端口时,它将返回WebVPN启动页。
登录后,将显示WebVPN主页。在此处,单击隧道连接(AnyConnect)。使用Internet Explorer时,使用ActiveX向下推送并安装AnyConnect客户端。如果未检测到,将改用Java。所有其他浏览器都立即使用Java。
安装完成后,AnyConnect将自动尝试连接到WebVPN网关。当自签名证书用于网关识别自身时,连接尝试期间会出现多个证书警告。这些是预期的,必须接受,连接才能继续。为避免这些证书警告,提供的自签名证书必须安装在客户端计算机的受信任证书存储区中,或者如果使用第三方证书,则证书颁发机构证书必须位于受信任证书存储区中。
当连接完成协商后,单击AnyConnect左下角的齿轮图标,它将显示有关连接的一些高级信息。在此页面上,可以在组策略配置中查看从拆分隧道ACL获得的一些连接统计信息和路由详细信息。
以下是配置步骤的最终运行配置结果:
crypto pki trustpoint SSLVPN_TP_SELFSIGNED enrollment selfsigned serial-number subject-name cn=892_SELF_SIGNED_CERT revocation-check none rsakeypair SELF_SIGNED_RSA ! crypto vpn anyconnect flash:/webvpn/anyconnect-win-3.1.08009-k9.pkg sequence 1
crypto vpn anyconnect profile SSLVPN_PROFILE flash:test-profile.xml ! access-list 1 permit 192.168.0.0 0.0.255.255 ! ip local pool SSLVPN_POOL 192.168.10.1 192.168.10.10 ! webvpn gateway SSLVPN_GATEWAY ip address 209.165.201.1 port 443 ssl trustpoint SSLVPN_TP_SELFSIGNED inservice ! webvpn context SSLVPN_CONTEXT virtual-template 1
aaa authentication list SSLVPN_AAA
gateway SSLVPN_GATEWAY
! ssl authenticate verify all inservice ! policy group SSLVPN_POLICY functions svc-enabled svc address-pool "SSLVPN_POOL" netmask 255.255.255.0 svc split include acl 1 svc dns-server primary 8.8.8.8
svc profile SSLVPN_PROFILE default-group-policy SSLVPN_POLICY
故障排除
本部分提供了可用于对配置进行故障排除的信息。
排除AnyConnect连接故障时,需要检查几个常见组件:
- 由于客户端必须提供证书,因此WebVPN网关中指定的证书必须有效。要发出show crypto pki证书,将显示与路由器上所有证书相关的信息。
- 每当对WebVPN配置进行更改时,最好在网关和情景上发出no inservice和inservice。这可确保更改正常生效。
- 如前所述,每个将连接到此网关的客户端操作系统都需要有AnyConnect PKG。例如,Windows客户端需要Windows PKG,Linux 32位客户端需要Linux 32位PKG,等等。
- 当您认为AnyConnect客户端和基于浏览器的WebVPN都使用SSL时,能够访问WebVPN启动页通常表示AnyConnect能够连接(假设相关AnyConnect配置正确)。
Cisco IOS提供一些可用于排除连接故障的调试webvpn选项。以下是成功连接尝试后从debug webvpn aaa、debug wevpn tunnel和show webvpn session生成的输出:
fdenofa-892#show debugging
WebVPN Subsystem:
WebVPN AAA debugging is on
WebVPN tunnel debugging is on
WebVPN Tunnel Events debugging is on
WebVPN Tunnel Errors debugging is on
*May 26 20:11:06.381: WV-AAA: Nas Port ID set to 64.102.157.2.
*May 26 20:11:06.381: WV-AAA: AAA authentication request sent for user: "VPNUSER"AAA returned status: 2 for session 37
*May 26 20:11:06.381: WV-AAA: AAA Authentication Passed!
*May 26 20:11:06.381: WV-AAA: User "VPNUSER" has logged in from "64.102.157.2" to gateway "SSLVPN_GATEWAY"
context "SSLVPN_CONTEXT"
*May 26 20:11:12.265:
*May 26 20:11:12.265:
*May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] CSTP Version recd , using 1
*May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Allocating IP 192.168.10.9 from address-pool SSLVPN_POOL
*May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Using new allocated IP 192.168.10.9 255.255.255.0
*May 26 20:11:12.265: Inserting static route: 192.168.10.9 255.255.255.255 Virtual-Access2 to routing table
*May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Full Tunnel CONNECT request processed, HTTP reply created
*May 26 20:11:12.265: HTTP/1.1 200 OK
*May 26 20:11:12.265: Server: Cisco IOS SSLVPN
*May 26 20:11:12.265: X-CSTP-Version: 1
*May 26 20:11:12.265: X-CSTP-Address: 192.168.10.9
*May 26 20:11:12.269: X-CSTP-Netmask: 255.255.255.0
*May 26 20:11:12.269: X-CSTP-Keep: false
*May 26 20:11:12.269: X-CSTP-DNS: 8.8.8.8
*May 26 20:11:12.269: X-CSTP-Lease-Duration: 43200
*May 26 20:11:12.269: X-CSTP-MTU: 1280
*May 26 20:11:12.269: X-CSTP-Split-Include: 192.168.0.0/255.255.0.0
*May 26 20:11:12.269: X-CSTP-DPD: 300
*May 26 20:11:12.269: X-CSTP-Disconnected-Timeout: 2100
*May 26 20:11:12.269: X-CSTP-Idle-Timeout: 2100
*May 26 20:11:12.269: X-CSTP-Session-Timeout: 0
*May 26 20:11:12.269: X-CSTP-Keepalive: 30
*May 26 20:11:12.269: X-DTLS-Session-ID: 85939A3FE33ABAE5F02F8594D56DEDE389F6FB3C9EEC4D211EB71C0820DF8DC8
*May 26 20:11:12.269: X-DTLS-Port: 443
*May 26 20:11:12.269: X-DTLS-Header-Pad-Length: 3
*May 26 20:11:12.269: X-DTLS-CipherSuite: AES256-SHA
*May 26 20:11:12.269: X-DTLS-DPD: 300
*May 26 20:11:12.269: X-DTLS-KeepAlive: 30
*May 26 20:11:12.269:
*May 26 20:11:12.269:
*May 26 20:11:12.269:
*May 26 20:11:12.269: [WV-TUNL-EVT]:[8A3AE410] For User VPNUSER, DPD timer started for 300 seconds
*May 26 20:11:12.273: [WV-TUNL-EVT]:[8A3AE410] CSTP Control, Recvd a Req Cntl Frame (User VPNUSER, IP 192.168.10.9)
Severity ERROR, Type CLOSE_ERROR
Text: reinitiate tunnel to negotiate a different MTU
*May 26 20:11:12.273: [WV-TUNL-EVT]:[8A3AE410] CSTP Control, Recvd Close Error Frame
*May 26 20:11:14.105:
*May 26 20:11:14.105:
*May 26 20:11:14.105: [WV-TUNL-EVT]:[8A3AE690] CSTP Version recd , using 1
*May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Tunnel Client reconnecting removing existing tunl ctx
*May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE410] Closing Tunnel Context 0x8A3AE410 for Session 0x8A3C2EF8 and User VPNUSER
*May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Reusing IP 192.168.10.9 255.255.255.0
*May 26 20:11:14.109: Inserting static route: 192.168.10.9 255.255.255.255 Virtual-Access2 to routing table
*May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Full Tunnel CONNECT request processed, HTTP reply created
*May 26 20:11:14.109: HTTP/1.1 200 OK
*May 26 20:11:14.109: Server: Cisco IOS SSLVPN
*May 26 20:11:14.109: X-CSTP-Version: 1
*May 26 20:11:14.109: X-CSTP-Address: 192.168.10.9
*May 26 20:11:14.109: X-CSTP-Netmask: 255.255.255.0
*May 26 20:11:14.109: X-CSTP-Keep: false
*May 26 20:11:14.109: X-CSTP-DNS: 8.8.8.8
*May 26 20:11:14.113: X-CSTP-Lease-Duration: 43200
*May 26 20:11:14.113: X-CSTP-MTU: 1199
*May 26 20:11:14.113: X-CSTP-Split-Include: 192.168.0.0/255.255.0.0
*May 26 20:11:14.113: X-CSTP-DPD: 300
*May 26 20:11:14.113: X-CSTP-Disconnected-Timeout: 2100
*May 26 20:11:14.113: X-CSTP-Idle-Timeout: 2100
*May 26 20:11:14.113: X-CSTP-Session-Timeout: 0
*May 26 20:11:14.113: X-CSTP-Keepalive: 30
*May 26 20:11:14.113: X-DTLS-Session-ID: 22E54D9F1F6344BCB5BB30BC8BB3737907795E6F3C3665CDD294CBBA1DA4D0CF
*May 26 20:11:14.113: X-DTLS-Port: 443
*May 26 20:11:14.113: X-DTLS-Header-Pad-Length: 3
*May 26 20:11:14.113: X-DTLS-CipherSuite: AES256-SHA
*May 26 20:11:14.113: X-DTLS-DPD: 300
*May 26 20:11:14.113: X-DTLS-KeepAlive: 30
*May 26 20:11:14.113:
*May 26 20:11:14.113:
*May 26 20:11:14.113:
*May 26 20:11:14.113: [WV-TUNL-EVT]:[8A3AE690] For User VPNUSER, DPD timer started for 300 seconds
fdenofa-892#show webvpn session user VPNUSER context SSLVPN_CONTEXT
Session Type : Full Tunnel
Client User-Agent : AnyConnect Windows 3.1.08009
Username : VPNUSER Num Connection : 5
Public IP : 64.102.157.2 VRF Name : None
Context : SSLVPN_CONTEXT Policy Group : SSLVPN_POLICY
Last-Used : 00:00:00 Created : *16:11:06.381 EDT Tue May 26 2015
Session Timeout : Disabled Idle Timeout : 2100
DNS primary serve : 8.8.8.8
DPD GW Timeout : 300 DPD CL Timeout : 300
Address Pool : SSLVPN_POOL MTU Size : 1199
Rekey Time : 3600 Rekey Method :
Lease Duration : 43200
Tunnel IP : 192.168.10.9 Netmask : 255.255.255.0
Rx IP Packets : 0 Tx IP Packets : 42
CSTP Started : 00:00:13 Last-Received : 00:00:00
CSTP DPD-Req sent : 0 Virtual Access : 2
Msie-ProxyServer : None Msie-PxyPolicy : Disabled
Msie-Exception :
Split Include : ACL 1
Client Ports : 17462 17463 17464 17465 17471
反馈