本文檔介紹如何通過ASDM為動態拆分排除隧道配置AnyConnect安全移動客戶端。
思科建議您瞭解以下主題:
本文件的資訊是以下列軟體版本為依據:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
AnyConnect拆分隧道允許Cisco AnyConnect安全移動客戶端通過IKEV2或安全套接字層(SSL)安全訪問公司資源。 在AnyConnect版本4.5之前,根據在自適應安全裝置(ASA)上配置的策略,拆分隧道行為可以是Tunnel Specified、Tunnel All或Exclude Specified。
隨著雲託管電腦資源的出現,服務有時會根據使用者的位置或雲託管資源的負載解析到不同的IP地址。
由於AnyConnect安全移動客戶端提供到靜態子網範圍、主機或IPV4或IPV6池的分割隧道,因此網路管理員很難在配置AnyConnect時排除域/FQDN。例如,網路管理員希望將Cisco.com域從拆分隧道配置中排除,但由於Cisco.com的DNS對映是雲託管的,因此該域將更改。
通過使用動態分割排除隧道,AnyConnect動態解析託管應用程式的IPv4/IPv6地址,並確保路由表和過濾器中的必要更改以允許隧道外部進行連線。
從AnyConnect 4.5開始,可以使用動態交換隧道,其中AnyConnect動態解析託管應用程式的IPv4/IPv6地址,並對路由表和過濾器進行必要的更改,以允許隧道外部進行連線
本節介紹如何在ASA上配置Cisco AnyConnect安全移動客戶端。
此圖顯示用於本文檔中示例的拓撲。

導航至Configuration > Remote Access VPN > Network(Client)Access > Advanced > AnyConnect Custom Attributes。按一下Add按鈕,並設定dynamic-split-exclude-domains屬性和可選說明,如下圖所示:

導航至Configuration > Remote Access VPN > Network(Client)Access > Advanced > AnyConnect Custom Attribute Names。按一下Add按鈕,並設定先前從Type(型別)、任意名稱和值(如下圖所示)建立的dynamic-split-exclude-domains屬性:
請注意不要在「名稱」中輸入空格(例如,可以使用cisco-site,但是cisco site是不可能的)。 在值中註冊多個域或FQDN時,用逗號(,)分隔。

導航到Configuration > Remote Access VPN > Network(Client)Access > Group Policies並選擇一個組策略。接下來,導覽至Advanced > AnyConnect Client > Custom Attributes,然後新增已設定的Type和Name,如下圖所示:

本節提供動態分割隧道的CLI配置以供參考:
ASAv10# show run
--- snip ---
webvpn
enable outside
AnyConnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
hsts
enable
max-age 31536000
include-sub-domains
no preload
AnyConnect image disk0:/AnyConnect-win-4.7.04056-webdeploy-k9.pkg 1
AnyConnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
AnyConnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
group-policy GroupPolicy_AnyConnect-01 internal
group-policy GroupPolicy_AnyConnect-01 attributes
wins-server none
dns-server value 10.0.0.0
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
split-tunnel-network-list value SplitACL
default-domain value cisco.com
AnyConnect-custom dynamic-split-exclude-domains value cisco-site
要驗證已配置的動態隧道排除,AnyConnect請在客戶端上啟動軟體,按一下Advanced Window > Statistics,如下圖所示:

您還可以導覽至Advanced Window > Route Details索引標籤,從中可以驗證Dynamic Tunnel Exclusions是否列在Non-Secure Routes下,如下圖所示。

在本例中,您在動態通道排除清單中配置了www.cisco.com,並且在AnyConnect客戶端物理介面上收集的Wireshark捕獲會確認到www.cisco.com(198.51.100.0)的流量不會被DTLS加密。

如果在「值」欄位中配置了萬用字元,例如,在「值」中配置了*.cisco.com,則AnyConnect會話會斷開,如日誌所示:
Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested
附註:或者,您可以在Values中使用cisco.com域來允許www.cisco.com和tools.cisco.com等FQDN。
當客戶端啟動排除目標的流量時,AnyConnect客戶端會自動在「路由詳細資訊」(Route Details)頁籤中獲取並新增IP地址和FQDN。
要驗證AnyConnect使用者是否分配到正確的Anyconnect組策略,可以運行命令show vpn-sessiondb anyconnect filter name <username>:
ASAv10# show vpn-sessiondb anyconnect filter name cisco
Session Type: AnyConnect
Username : cisco Index : 7
Assigned IP : 172.16.0.0 Public IP : 10.0.0.0
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 7795373 Bytes Rx : 390956
Group Policy : GroupPolicy_AnyConnect-01
Tunnel Group : AnyConnect-01
Login Time : 13:20:48 UTC Tue Mar 31 2020
Duration : 20h:19m:47s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 019600a9000070005e8343b0
Security Grp : none
您可以使用AnyConnect診斷和報告工具(DART)收集有助於解決AnyConnect安裝和連線問題的資料。DART嚮導用於運行AnyConnect的電腦。DART會彙集思科技術支援中心(TAC)分析的日誌、狀態和診斷資訊,不需要管理員許可權即可在客戶端電腦上運行。
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
5.0 |
10-Jul-2026
|
更新的拼寫、語法、間距、插入行到各個部分的可讀性、更新的URL、編輯的內部部分和CCW警報。 |
4.0 |
19-Sep-2023
|
已更新樣式要求、外觀設定和格式。 |
3.0 |
21-Jun-2023
|
更新 |
2.0 |
02-Aug-2022
|
機器翻譯掩蔽,結構,語法。 |
1.0 |
14-Apr-2020
|
初始版本 |