ASA/PIX:在 ASA 上允许 VPN Client 使用分割隧道的配置示例

下载选项

  • PDF     (846.3 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (968.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.3 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2008 年 1 月 10 日
文档 ID:70917

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

Introduction

本文档提供在 VPN 客户端通过隧道连接到 Cisco 自适应安全设备 (ASA) 5500 系列安全设备时如何允许 VPN 客户端访问 Internet 的分步说明。此配置允许 VPN 客户端在无法安全访问 Internet 时通过 IPsec 安全地访问公司资源。

Note: 因为不对互联网和公司LAN的enable (event)同时设备访问充分的隧道认为多数安全的配置。在充分的隧道和分割隧道之间的一妥协允许VPN客户端仅本地LAN访问。请参阅 PIX/ASA 7.x:允许 VPN 客户端访问本地 LAN 的配置示例

Prerequisites

Requirements

本文档假定 ASA 上已存在有效的远程访问 VPN 配置。如果尚未配置此配置,请参阅使用 ASDM 将 PIX/ASA 7.x 配置为远程 VPN 服务器的配置示例

Components Used

本文档中的信息基于以下软件和硬件版本:

  • Cisco ASA 5500 系列安全设备软件版本 7.x 及更高版本

  • Cisco Systems VPN 客户端 4.0.5 版

Note: 本文档还包含与 Cisco VPN 客户端 3.x 兼容的 PIX 6.x CLI 配置。

The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.

Network Diagram

VPN 客户端位于典型的 SOHO 网络中,并通过 Internet 连接到总部。

asa-split-tunnel-vpn-client-1.gif

相关产品

此配置还可用于 Cisco PIX 500 系列安全设备软件版本 7.x。

Conventions

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

在 VPN 客户端到 ASA 的基本方案中,不管流量目标如何,将对来自 VPN 客户端的所有流量进行加密并将其发送到 ASA。根据您的配置和支持的用户数量,此设置可变为带宽密集型设置。运行分割隧道可以缓解此问题,这是因为它允许用户通过隧道只发送要发送到公司网络的流量。即时消息、电子邮件或临时浏览等所有其他流量将通过 VPN 客户端的本地 LAN 向外发送到 Internet。

在 ASA 上配置分割隧道

使用自适应安全设备管理器 (ASDM) 5.x 配置 ASA 7.x

完成以下步骤以便将隧道组配置为允许该组中的用户使用分割隧道。

  1. 依次选择 Configuration > VPN > General > Group Policy,并选择您希望在其中启用本地 LAN 访问的组策略。然后单击 Edit

    asa-split-tunnel-vpn-client-2.gif

  2. 转至 Client Configuration 选项卡。

    asa-split-tunnel-vpn-client-3.gif

  3. 取消选中 Split Tunnel Policy 所对应的 Inherit 框,然后选择 Tunnel Network List Below。

    asa-split-tunnel-vpn-client-4.gif

  4. 取消选中 Split Tunnel Network List 所对应的 Inherit 框,然后单击 Manage 启动 ACL Manager。

    asa-split-tunnel-vpn-client-5.gif

  5. 在 ACL Manager 中,选择 Add > Add ACL... 以创建新的访问列表。

    asa-split-tunnel-vpn-client-6.gif

  6. 为 ACL 提供一个名称,然后单击 OK

    asa-split-tunnel-vpn-client-7.gif

  7. 创建 ACL 之后,依次选择 Add > Add ACE... 以添加访问控制条目 (ACE)。

    asa-split-tunnel-vpn-client-8.gif

  8. 定义与 ASA 后的 LAN 对应的 ACE。在本示例中,该网络为 10.0.1.0/24。

    1. 选择 Permit

    2. 选择 IP 地址 10.0.1.0

    3. 选择网络掩码 255.255.255.0

    4. (可选)请提供一个说明。

    5. 单击 Ok

      asa-split-tunnel-vpn-client-9.gif

  9. 单击 OK 以退出 ACL Manager。

    asa-split-tunnel-vpn-client-10.gif

  10. 确保在 Split Tunnel Network List 中选择刚刚创建的 ACL。

    asa-split-tunnel-vpn-client-11.gif

  11. 单击 OK 以返回组策略配置。

    asa-split-tunnel-vpn-client-12.gif

  12. 单击 Apply,然后单击 Send(如果需要),以将命令发送到 ASA。

    asa-split-tunnel-vpn-client-13.gif

使用自适应安全设备管理器 (ASDM) 6.x 配置 ASA 8.x

完成以下步骤以便将隧道组配置为允许该组中的用户使用分割隧道。

  1. 依次选择 Configuration > Remote Access VPN > Network (Client) Access > Group Policies,并选择您希望在其中启用本地 LAN 访问的组策略。然后单击 Edit

    asa-split-tunnel-vpn-client-19.gif

  2. 单击 Split Tunneling

    asa-split-tunnel-vpn-client-20.gif

  3. 取消选中 Split Tunnel Policy 所对应的 Inherit 框,然后选择 Tunnel Network List Below。

    asa-split-tunnel-vpn-client-21.gif

  4. 取消选中 Split Tunnel Network List 所对应的 Inherit 框,然后单击 Manage 启动 ACL Manager。

    asa-split-tunnel-vpn-client-22.gif

  5. 在 ACL Manager 中,选择 Add > Add ACL... 以创建新的访问列表。

    asa-split-tunnel-vpn-client-23.gif

  6. 为此 ACL 提供一个名称,然后单击 OK

    asa-split-tunnel-vpn-client-24.gif

  7. 创建 ACL 之后,依次选择 Add > Add ACE... 以添加访问控制条目 (ACE)。

    asa-split-tunnel-vpn-client-25.gif

  8. 定义与 ASA 后的 LAN 对应的 ACE。在本示例中,该网络为 10.0.1.0/24。

    1. 单击 Permit 单选按钮。

    2. 选择掩码为 10.0.1.0/24 的网络地址。

    3. (可选)请提供一个说明。

    4. 单击 Ok

    asa-split-tunnel-vpn-client-26.gif

  9. 单击 OK 以退出 ACL Manager。

    asa-split-tunnel-vpn-client-27.gif

  10. 确保在 Split Tunnel Network List 中选择刚刚创建的 ACL。

    asa-split-tunnel-vpn-client-28.gif

  11. 单击 OK 以返回组策略配置。

    asa-split-tunnel-vpn-client-29.gif

  12. 单击 Apply,然后单击 Send(如果需要),以将命令发送到 ASA。

    asa-split-tunnel-vpn-client-30.gif

通过 CLI 配置 ASA 7.x 及更高版本

您可以在 ASA CLI 中完成以下步骤(而不是使用 ASDM),以便允许在 ASA 上使用分割隧道:

Note: 在 ASA 7.x 和 8.x 中,CLI 分割隧道配置都是相同的。

  1. 输入配置模式。

    ciscoasa>enable
Password: ********
ciscoasa#configure terminal
ciscoasa(config)#

  2. 创建定义 ASA 后台网络的访问列表。

    ciscoasa(config)#access-list Split_Tunnel_List remark The corporate network behind the ASA.
ciscoasa(config)#access-list Split_Tunnel_List standard permit 10.0.1.0 255.255.255.0

  3. 进入您希望对其进行修改的策略的组策略配置模式。

    ciscoasa(config)#group-policy hillvalleyvpn attributes
ciscoasa(config-group-policy)#

  4. 指定分割隧道策略。在本示例中,此策略为 tunnelspecified

    ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified

  5. 指定分割隧道访问列表。在本示例中,此列表为 Split_Tunnel_List

    ciscoasa(config-group-policy)#split-tunnel-network-list value Split_Tunnel_List

  6. 发出此命令:

    ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes

  7. 将组策略与隧道组关联

    ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn

  8. 退出上述两种配置模式。

    ciscoasa(config-group-policy)#exit
ciscoasa(config)#exit
ciscoasa#

  9. 将配置保存到非易失性 RAM (NVRAM),并在系统提示指定源文件名时按 Enter

    ciscoasa#copy running-config startup-config

Source filename [running-config]?
Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

3847 bytes copied in 3.470 secs (1282 bytes/sec)
ciscoasa#

通过 CLI 配置 PIX 6.x

完成这些步骤:

  1. 创建定义 PIX 后台网络的访问列表。

    PIX(config)#access-list Split_Tunnel_List standard permit 10.0.1.0 255.255.255.0

  2. 创建一个 VPN 组 vpn3000,并向其指定分割隧道 ACL,如下所示:

    PIX(config)#vpngroup vpn3000 split-tunnel Split_Tunnel_List

    Note: 有关适用于 PIX 6.x 的远程访问 VPN 配置的详细信息,请参阅使用 Microsoft Windows 2000 和 2003 IAS RADIUS 身份验证配置适用于 Windows 的 Cisco Secure PIX Firewall 6.x 和 Cisco VPN 客户端 3.5

Verify

请完成以下部分中的步骤,以便验证配置。

连接 VPN 客户端

将 VPN 客户端连接到 VPN 集中器,以便验证配置。

  1. 从列表中选择连接条目,并单击 Connect

    asa-split-tunnel-vpn-client-14.gif

  2. 输入您的凭证。

    asa-split-tunnel-vpn-client-15.gif

  3. 选择 Status > Statistics... 以便显示 Tunnel Details 窗口,您可以在此窗口中检查隧道特定信息并查看数据流。

    asa-split-tunnel-vpn-client-16.gif

  4. 转至 Route Details 选项卡,以便查看 VPN 客户端已安全连接到 ASA 的路由。

    在本示例中,VPN 客户端可以安全地访问 10.0.1.0/24,而所有其他流量将被加密并通过隧道发送。

    asa-split-tunnel-vpn-client-17.gif

查看 VPN 客户端日志

当检查 VPN 客户端日志时,您可以确定是否已设置指定分割隧道的参数。要查看日志,请在 VPN 客户端中转至 Log 选项卡。然后单击 Log Settings 以调整所记录的内容。在本示例中,IKE 设置为 3 - High,而所有其他日志元素设置为 1 - Low。

asa-split-tunnel-vpn-client-18.gif 

Cisco Systems VPN Client Version 4.0.5 (Rel)
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2

1      14:20:09.532  07/27/06  Sev=Info/6	IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- Output is supressed


18     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005D
Client sending a firewall request to concentrator

19     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client, 
Capability= (Centralized Protection Policy).

20     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent, 
Capability= (Are you There?).

21     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, 
Inc ASA5510 Version 7.2(1) built by root on Wed 31-May-06 14:45

!--- Split tunneling is permitted and the remote LAN is defined.

29     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), 
value = 0x00000001

30     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000F
SPLIT_NET #1
	subnet = 10.0.1.0 
	mask = 255.255.255.0
	protocol = 0
	src port = 0
	dest port=0

!--- Output is supressed.

通过 Ping 测试本地 LAN 访问

测试 VPN 客户端在通过隧道连接到 ASA 时是否配置了分割隧道的另一种方法是:在 Windows 命令行中使用 ping 命令。VPN 客户端的本地 LAN 为 192.168.0.0/24,并且网络中存在另一台 IP 地址为 192.168.0.3 的主机。

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Troubleshoot

以条目的数量限制在分割隧道ACL

有与条目的数量的一个限制在用于分割隧道的ACL的。推荐不使用超过50-60个ACE条目令人满意的功能。您建议实现子网划分功能报道IP地址的范围。

Related Information

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品