簡介
本文檔介紹如何通過ASDM為動態拆分排除隧道配置AnyConnect安全移動客戶端。
必要條件
需求
思科建議您瞭解以下主題:
- ASA基礎知識。
- Cisco AnyConnect安全移動客戶端基礎知識。
採用元件
本檔案中的資訊是根據以下軟體版本:
- ASA 9.12(3)9
- 調適型安全裝置管理員(ASDM)7.13(1)
- AnyConnect 4.7.0
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
AnyConnect拆分隧道允許Cisco AnyConnect安全移動客戶端通過IKEV2或安全套接字層(SSL)安全訪問公司資源。
在AnyConnect版本4.5之前,根據在自適應安全裝置(ASA)上配置的策略,拆分隧道行為可以是指定的隧道、指定的全部隧道或排除隧道。
隨著雲託管電腦資源的出現,服務有時會根據使用者的位置或雲託管資源的負載解析到不同的IP地址。
由於AnyConnect安全移動客戶端提供到IPV4或IPV6的靜態子網範圍、主機或池的分割隧道,因此網路管理員很難在配置AnyConnect時排除域/FQDN。
例如,網路管理員希望將Cisco.com域從拆分隧道配置中排除,但由於Cisco.com的DNS對映是雲託管的,因此該域將更改。
使用動態分割排除隧道時,AnyConnect會動態解析託管應用程式的IPv4/IPv6地址,並對路由表和過濾器進行必要的更改,以允許隧道外部進行連線。
從AnyConnect 4.5開始,可以使用動態交換隧道,其中AnyConnect動態解析託管應用程式的IPv4/IPv6地址,並對路由表和過濾器進行必要的更改,以允許隧道外部進行連線
組態
本節介紹如何在ASA上配置Cisco AnyConnect安全移動客戶端。
網路圖表
此圖顯示用於本文檔示例的拓撲。
步驟 1.建立AnyConnect自定義屬性
導航至 Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes
.按一下 Add
按鈕,並設定 dynamic-split-exclude-domains
屬性和可選說明,如下圖所示:
步驟 2.建立AnyConnect自定義名稱和配置值
導航至 Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names
.按一下 Add
按鈕,並設定 dynamic-split-exclude-domains
先前從Type建立的屬性,任意名稱和值,如下圖所示:
請注意不要在名稱中輸入空格。(例如:可能的思科站點,不可能的思科站點)在值中註冊多個域或FQDN時,用逗號(,)分隔它們。
步驟 3.向組策略新增型別和名稱
導航至 Configuration> Remote Access VPN> Network (Client) Access> Group Policies
並選擇一個組策略。此後,導航至 Advanced> AnyConnect Client> Custom Attributes
並新增已配置的 Type
和 Name
中,如下圖所示:
CLI配置示例
本節提供動態分割隧道的CLI配置以供參考。
ASAv10# show run
--- snip ---
webvpn
enable outside
AnyConnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
hsts
enable
max-age 31536000
include-sub-domains
no preload
AnyConnect image disk0:/AnyConnect-win-4.7.04056-webdeploy-k9.pkg 1
AnyConnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
AnyConnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
group-policy GroupPolicy_AnyConnect-01 internal
group-policy GroupPolicy_AnyConnect-01 attributes
wins-server none
dns-server value 10.0.0.0
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
split-tunnel-network-list value SplitACL
default-domain value cisco.com
AnyConnect-custom dynamic-split-exclude-domains value cisco-site
限制
- 需要ASA 9.0或更高版本才能使用動態分割隧道自定義屬性。
- 不支援值欄位中的萬用字元。
- iOS(Apple)裝置不支援動態分割通道(增強功能要求:思科錯誤ID CSCvr54798)。
驗證
若要驗證已設定 Dynamic Tunnel Exclusions,
啟動AnyConnect
軟體,按一下 Advanced Window
>Statistics
,如下圖所示:
您也可以導航至 Advanced Window
>Route Details
頁籤,您可以在其中驗證Dynamic Tunnel Exclusions
列在Non-Secured Routes,
如下圖所示。
www.cisco.com在本示例中,您已在Dynamic Tunnel Exclusion list
在AnyConnect客戶端物理介面上收集的Wireshark捕獲可確認到www.cisco.com(198.51.100.0)的流量未被DTLS加密。
疑難排解
如果值欄位中使用了萬用字元
如果在「值」欄位中配置了萬用字元,例如,在「值」中配置了*.cisco.com,則AnyConnect會話將斷開,如日誌所示:
Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested
注意:作為替代方法,您可以在Values中使用cisco.com域來允許FQDN,例如www.cisco.com和tools.cisco.com。
在Route Details頁籤中未看到非安全路由的情況
當客戶端啟動排除目標的流量時,AnyConnect客戶端會自動在「路由詳細資訊」(Route Details)頁籤中獲取並新增IP地址和FQDN。
為了驗證AnyConnect使用者是否分配到正確的Anyconnect組策略,可以運行命令 show vpn-sessiondb anyconnect filter name
ASAv10# show vpn-sessiondb anyconnect filter name cisco
Session Type: AnyConnect
Username : cisco Index : 7
Assigned IP : 172.16.0.0 Public IP : 10.0.0.0
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 7795373 Bytes Rx : 390956
Group Policy : GroupPolicy_AnyConnect-01
Tunnel Group : AnyConnect-01
Login Time : 13:20:48 UTC Tue Mar 31 2020
Duration : 20h:19m:47s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 019600a9000070005e8343b0
Security Grp : none
一般疑難排解
您可以使用AnyConnect診斷和報告工具(DART)來收集有助於排除AnyConnect安裝和連線問題的資料。 DART嚮導用於運行AnyConnect的電腦。DART彙編了思科技術支援中心(TAC)分析的日誌、狀態和診斷資訊,不需要管理員許可權即可在客戶端電腦上運行。
相關資訊