簡介
本文檔介紹在連線到Cisco ASA時,如何允許Cisco AnyConnect安全移動客戶端訪問本地LAN。
必要條件
需求
本文檔假設思科自適應安全裝置(ASA)上已存在功能正常的遠端訪問VPN配置。
如果需要,請參閱CLI手冊3:Cisco ASA系列VPN CLI配置指南9.17以獲得配置幫助。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco ASA 5500系列版本9(2)1
- 思科調適型安全裝置管理員(ASDM)版本7.1(6)
- Cisco AnyConnect安全行動化使用者端版本3.1.05152
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
網路圖表
客戶端位於典型的小型辦公室/家庭辦公室(SOHO)網路上,通過Internet連線到總部。
背景資訊
此配置允許Cisco AnyConnect安全移動客戶端通過IPsec、安全套接字層(SSL)或Internet金鑰交換版本2(IKEv2)安全訪問公司資源,並且仍然使客戶端能夠執行活動,例如列印客戶端所在的位置。如果允許,發往Internet的流量仍然通過隧道連線到ASA。
與典型的分割隧道方案(其中所有Internet流量都以未加密方式傳送)不同,當您為VPN客戶端啟用本地LAN訪問時,它允許這些客戶端僅與所在網路上的裝置以未加密的方式通訊。例如,在連線到ASA時允許本地LAN訪問的客戶端可以列印到自己的印表機,但無法訪問Internet,除非它首先通過隧道傳送流量。
使用訪問清單可以採用與在ASA上配置拆分隧道大致相同的方式允許本地LAN訪問。但是,與分割通道的情況不同,此存取清單並未定義必須加密的網路。反之,它會定義哪些網路不得加密。此外,與分割隧道場景不同,不需要知道清單中的實際網路。相反,ASA提供0.0.0.0/255.255.255.255的預設網路,這表示客戶端的本地LAN。
注意:這不是拆分隧道的配置,其中客戶端在連線到ASA時具有對Internet的未加密訪問。有關如何在ASA上配置分割隧道的資訊,請參閱CLI手冊3:Cisco ASA系列VPN CLI配置指南9.17中的設定分割隧道策略。
注意:當客戶端連線並配置為本地LAN訪問時,無法在本地LAN上按名稱列印或瀏覽。但是,您可以按IP地址瀏覽或列印。如需詳細資訊和此情況的解決方法,請參閱本檔案的疑難排解一節。
為AnyConnect安全移動客戶端配置本地LAN訪問
完成以下任務,以允許Cisco AnyConnect安全移動客戶端在連線到ASA時訪問其本地LAN:
通過ASDM配置ASA
在ASDM中完成以下步驟,以允許VPN客戶端在連線到ASA時訪問本地LAN:
- 選
Configuration > Remote Access VPN > Network (Client) Access > Group Policy
擇並選擇要啟用本地LAN訪問的組策略。然後單Edit
擊。
- 請參
Advanced > Split Tunneling
閱。
- 取消選中
Inherit
Policy覈取方塊,然後選擇Exclude Network List Below
。
- 取消選中「
Inherit
Network List(網路清單)」覈取方塊,Manage
然後按一下以啟動訪問控制清單(ACL)管理器。
- 在ACL Manager中,
Add > Add ACL...
選擇以建立新的存取清單。
- 提供該ACL的名稱,然後單
OK
擊。
- 建立ACL後,選擇
Add > Add ACE...
以新增訪問控制條目(ACE)。
- 定義與客戶端的本地LAN對應的ACE。
- 選擇.
Permit
- 選擇IP地址0.0.0.0
- 選擇網路掩碼/32。
- (可選)提供說明。
- 按一
OK
下。
- 按一下
OK
以退出ACL Manager。
- 確保您剛剛建立的ACL已選擇用於Split Tunnel Network List。
- 按一下
OK
可返回組策略配置。
- 單
Apply
擊,然Send
後(如果需要),將命令傳送到ASA。
通過CLI配置ASA
您無需使用ASDM,而是可以在ASA CLI中完成以下步驟,以允許VPN客戶端在連線到ASA時具有本地LAN訪問許可權:
- 進入配置模式。
ciscoasa>enable
Password:
ciscoasa#configure terminal
ciscoasa(config)#
- 建立存取清單以便允許本地LAN存取。
ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
- 進入要修改的策略的組策略配置模式。
ciscoasa(config)#group-policy hillvalleyvpn attributes
ciscoasa(config-group-policy)#
- 指定拆分隧道策略。在本例中,策略為
excludespecified
。
ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
- 指定拆分隧道訪問清單。在本例中,清單為
Local_LAN_Access
。
ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
- 發出以下命令:
ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
- 將組策略與隧道組關聯。
ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
- 退出兩種配置模式。
ciscoasa(config-group-policy)#exit
ciscoasa(config)#exit
ciscoasa#
- 將配置儲存到非易失性RAM(NVRAM),並在系統提示時按
Enter
以指定源檔名。
ciscoasa#copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
3847 bytes copied in 3.470 secs (1282 bytes/sec)
ciscoasa#
配置Cisco AnyConnect安全移動客戶端
要配置Cisco AnyConnect安全移動客戶端,請參閱CLI手冊3:Cisco ASA系列VPN CLI配置指南9.17的配置AnyConnect連線部分。
拆分 — 排除隧道需要在AnyConnect客AllowLocalLanAccess
戶端中啟用。所有切分 — 排除隧道都被視為本地LAN訪問。為了使用分割隧道的排除功能,必須在AnyConnect VPN客戶端首選AllowLocalLanAccess
項中啟用該首選項。預設情況下,本地LAN訪問處於禁用狀態。
為了允許本地LAN訪問以及分割排除隧道,網路管理員可以在配置檔案中啟用它,或者使用者可以在其首選項設定中啟用它(請參見下一節中的影象)。Allow Local LAN access
為了允許本地LAN訪問,如果在安全網關上啟用了分割隧道並且配置了策略,則使用者會選擇復split-tunnel-policy exclude specified
選框。此外,如果允許使用進行本地LAN訪問,還可以配置VPN客戶端配置
true
檔案。
使用者首選項
以下是您必須在Cisco AnyConnect安全移動客戶端的「首選項」頁籤中進行選擇,才能允許本地LAN訪問。
在Linux上
XML配置檔案示例
以下示例說明如何使用XML配置VPN客戶端配置檔案。
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">true</LocalLanAccess>
<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic
</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Disable
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="false">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
</ClientInitialization>
</AnyConnectProfile>
驗證
完成以下部分中的步驟以驗證您的配置:
將Cisco AnyConnect安全移動客戶端連線到ASA以驗證您的配置。
- 從伺服器清單中選擇您的連線條目,然後單
Connect
擊。
- 選擇
Advanced Window for All Components > Statistics...
以顯示通道模式。
在Linux上
- 按一下
Route Details
該頁籤以檢視Cisco AnyConnect安全移動客戶端仍然具有本地訪問許可權的路由。
在本範例中,允許使用者端存取10.150.52.0/22和169.254.0.0/16的本地LAN,而所有其他流量均經過加密並通過通道傳送。
在Linux上
Cisco AnyConnect Security Mobility Solution — 遠端存取
當您檢查診斷和報告工具(DART)捆綁包中的AnyConnect日誌時,可以確定是否設定了允許本地LAN訪問的引數。
******************************************
Date : 11/25/2011
Time : 13:01:48
Type : Information
Source : acvpndownloader
Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP:
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains:
TrustedDNSServers:
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true
******************************************
使用Ping測試本地LAN訪問
測試VPN客戶端在通過隧道連線到VPN頭端時仍具有本地LAN訪問的另一種方法是在Microsoft Windows命令列中使用命ping
令。以下範例顯示使用者端的本地LAN為192.168.0.0/24,而網路上有另一台主機,其IP位址為192.168.0.3。
C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
在Linux上
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
無法按名稱列印或瀏覽
當VPN客戶端連線並配置為本地LAN訪問時,無法在本地LAN上按名稱列印或瀏覽。有兩種方法可解決此問題:
相關資訊