配置對本地LAN的AnyConnect客戶端訪問

簡介

本文檔介紹在連線到Cisco ASA時，如何允許Cisco AnyConnect安全移動客戶端訪問本地LAN。

必要條件

需求

本文檔假設思科自適應安全裝置(ASA)上已存在功能正常的遠端訪問VPN配置。

如果需要，請參閱CLI手冊3:Cisco ASA系列VPN CLI配置指南9.17以獲得配置幫助。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco ASA 5500系列版本9(2)1
• 思科調適型安全裝置管理員(ASDM)版本7.1(6)
• Cisco AnyConnect安全行動化使用者端版本3.1.05152

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

網路圖表

客戶端位於典型的小型辦公室/家庭辦公室(SOHO)網路上，通過Internet連線到總部。

背景資訊

此配置允許Cisco AnyConnect安全移動客戶端通過IPsec、安全套接字層(SSL)或Internet金鑰交換版本2(IKEv2)安全訪問公司資源，並且仍然使客戶端能夠執行活動，例如列印客戶端所在的位置。如果允許，發往Internet的流量仍然通過隧道連線到ASA。

與典型的分割隧道方案（其中所有Internet流量都以未加密方式傳送）不同，當您為VPN客戶端啟用本地LAN訪問時，它允許這些客戶端僅與所在網路上的裝置以未加密的方式通訊。例如，在連線到ASA時允許本地LAN訪問的客戶端可以列印到自己的印表機，但無法訪問Internet，除非它首先通過隧道傳送流量。

使用訪問清單可以採用與在ASA上配置拆分隧道大致相同的方式允許本地LAN訪問。但是，與分割通道的情況不同，此存取清單並未定義必須加密的網路。反之，它會定義哪些網路不得加密。此外，與分割隧道場景不同，不需要知道清單中的實際網路。相反，ASA提供0.0.0.0/255.255.255.255的預設網路，這表示客戶端的本地LAN。

注意：當客戶端連線並配置為本地LAN訪問時，無法在本地LAN上按名稱列印或瀏覽。但是，您可以按IP地址瀏覽或列印。如需詳細資訊和此情況的解決方法，請參閱本檔案的疑難排解一節。

為AnyConnect安全移動客戶端配置本地LAN訪問

完成以下任務，以允許Cisco AnyConnect安全移動客戶端在連線到ASA時訪問其本地LAN:

• 通過ASDM配置ASA或通過CLI配置ASA
• 配置Cisco AnyConnect安全移動客戶端

通過ASDM配置ASA

在ASDM中完成以下步驟，以允許VPN客戶端在連線到ASA時訪問本地LAN:

1. 選Configuration > Remote Access VPN > Network (Client) Access > Group Policy擇並選擇要啟用本地LAN訪問的組策略。然後單Edit擊。
   
   

   

   
   
   
2. 請參Advanced > Split Tunneling閱。
   
   

   

   
   
   
3. 取消選中InheritPolicy覈取方塊，然後選擇Exclude Network List Below。
   
   

   

   
   
   
4. 取消選中「InheritNetwork List（網路清單）」覈取方塊，Manage然後按一下以啟動訪問控制清單(ACL)管理器。
   
   

   

   
   
   
5. 在ACL Manager中，Add > Add ACL...選擇以建立新的存取清單。
   
   

   

   
   
   
6. 提供該ACL的名稱，然後單OK擊。
   
   

   

   
   
   
7. 建立ACL後，選擇Add > Add ACE...以新增訪問控制條目(ACE)。
   
   

   

   
   
   
8. 定義與客戶端的本地LAN對應的ACE。
   
   
   1. 選擇.Permit
   2. 選擇IP地址0.0.0.0
   3. 選擇網路掩碼/32。
   4. （可選）提供說明。
   5. 按一OK下。
      
      

      

   
   
   
9. 按一下OK以退出ACL Manager。
   
   

   

   
   
   
10. 確保您剛剛建立的ACL已選擇用於Split Tunnel Network List。
    
    

    

    
    
    
11. 按一下OK可返回組策略配置。
    
    

    

    
    
    
12. 單Apply擊，然Send後（如果需要），將命令傳送到ASA。
    
    

    

通過CLI配置ASA

您無需使用ASDM，而是可以在ASA CLI中完成以下步驟，以允許VPN客戶端在連線到ASA時具有本地LAN訪問許可權：

1. 進入配置模式。
   
   

   ciscoasa>enable
   Password:
   ciscoasa#configure terminal
   ciscoasa(config)#

2. 建立存取清單以便允許本地LAN存取。
   
   

   ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
   ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
   

3. 進入要修改的策略的組策略配置模式。
   
   

   ciscoasa(config)#group-policy hillvalleyvpn attributes
   ciscoasa(config-group-policy)#

4. 指定拆分隧道策略。在本例中，策略為excludespecified。
   
   

   ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
   

5. 指定拆分隧道訪問清單。在本例中，清單為Local_LAN_Access。
   
   

   ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
   

6. 發出以下命令：
   
   

   ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
   

7. 將組策略與隧道組關聯。
   
   

   ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
   

8. 退出兩種配置模式。
   
   

   ciscoasa(config-group-policy)#exit
   ciscoasa(config)#exit
   ciscoasa#

9. 將配置儲存到非易失性RAM(NVRAM)，並在系統提示時按Enter以指定源檔名。
   
   

   ciscoasa#copy running-config startup-config
   
   Source filename [running-config]?
   Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
   
   3847 bytes copied in 3.470 secs (1282 bytes/sec)
   ciscoasa#

配置Cisco AnyConnect安全移動客戶端

要配置Cisco AnyConnect安全移動客戶端，請參閱CLI手冊3:Cisco ASA系列VPN CLI配置指南9.17的配置AnyConnect連線部分。

拆分 — 排除隧道需要在AnyConnect客AllowLocalLanAccess戶端中啟用。所有切分 — 排除隧道都被視為本地LAN訪問。為了使用分割隧道的排除功能，必須在AnyConnect VPN客戶端首選AllowLocalLanAccess項中啟用該首選項。預設情況下，本地LAN訪問處於禁用狀態。

為了允許本地LAN訪問以及分割排除隧道，網路管理員可以在配置檔案中啟用它，或者使用者可以在其首選項設定中啟用它（請參見下一節中的影象）。Allow Local LAN access為了允許本地LAN訪問，如果在安全網關上啟用了分割隧道並且配置了策略，則使用者會選擇復split-tunnel-policy exclude specified選框。此外，如果允許使用進行本地LAN訪問，還可以配置VPN客戶端配置 true 檔案。

使用者首選項

以下是您必須在Cisco AnyConnect安全移動客戶端的「首選項」頁籤中進行選擇，才能允許本地LAN訪問。

在Linux上 

XML配置檔案示例

以下示例說明如何使用XML配置VPN客戶端配置檔案。

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
 xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
    <ClientInitialization>
        <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
        <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
        <ShowPreConnectMessage>false</ShowPreConnectMessage>
        <CertificateStore>All</CertificateStore>
        <CertificateStoreOverride>false</CertificateStoreOverride>
        <ProxySettings>Native</ProxySettings>
        <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
        <AuthenticationTimeout>12</AuthenticationTimeout>
        <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
        <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
        <LocalLanAccess UserControllable="true">true</LocalLanAccess>
        <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
        <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
        <AutoReconnect UserControllable="false">true
            <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
            </AutoReconnectBehavior>
        </AutoReconnect>
        <AutoUpdate UserControllable="false">true</AutoUpdate>
        <RSASecurIDIntegration UserControllable="false">Automatic
        </RSASecurIDIntegration>
        <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
        <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
        <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
        <PPPExclusion UserControllable="false">Disable
            <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
        </PPPExclusion>
        <EnableScripting UserControllable="false">false</EnableScripting>
        <EnableAutomaticServerSelection UserControllable="false">false
            <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
            <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
        </EnableAutomaticServerSelection>
        <RetainVpnOnLogoff>false
        </RetainVpnOnLogoff>
    </ClientInitialization>
</AnyConnectProfile>

驗證

完成以下部分中的步驟以驗證您的配置：

• 檢視DART
• 使用Ping測試本地LAN訪問

將Cisco AnyConnect安全移動客戶端連線到ASA以驗證您的配置。

1. 從伺服器清單中選擇您的連線條目，然後單Connect擊。
   
   

   

   
   
   
2. 選擇Advanced Window for All Components > Statistics...以顯示通道模式。
   
   

   

   
   
   
   在Linux上
   
   
   
   
   
   
   
   
   
3. 按一下Route Details該頁籤以檢視Cisco AnyConnect安全移動客戶端仍然具有本地訪問許可權的路由。
   
   在本範例中，允許使用者端存取10.150.52.0/22和169.254.0.0/16的本地LAN，而所有其他流量均經過加密並通過通道傳送。
   
   

在Linux上 

Cisco AnyConnect Security Mobility Solution — 遠端存取

當您檢查診斷和報告工具(DART)捆綁包中的AnyConnect日誌時，可以確定是否設定了允許本地LAN訪問的引數。

******************************************

Date        : 11/25/2011
Time        : 13:01:48
Type        : Information
Source      : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP: 
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains: 
TrustedDNSServers: 
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true



******************************************

使用Ping測試本地LAN訪問

測試VPN客戶端在通過隧道連線到VPN頭端時仍具有本地LAN訪問的另一種方法是在Microsoft Windows命令列中使用命ping令。以下範例顯示使用者端的本地LAN為192.168.0.0/24，而網路上有另一台主機，其IP位址為192.168.0.3。

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

在Linux上 

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

無法按名稱列印或瀏覽

當VPN客戶端連線並配置為本地LAN訪問時，無法在本地LAN上按名稱列印或瀏覽。有兩種方法可解決此問題：

• 按IP地址瀏覽或列印。
  
  
  • 若要瀏覽，請使用語法\\x.x.x.x\\sharename，其中x.x.x.x是主機電腦的IP地址。
    
    
  • 若要列印，請更改網路印表機的屬性，以便使用IP地址而不是名稱。例如，請改用語\\sharename\printername法，\\x.x.x.x\printername其中x.x.x.x是IP地址。
    
    
• 建立或修改VPN客戶端LMHOSTS檔案。Microsoft Windows PC上的LMHOSTS檔案允許您在主機名和IP地址之間建立靜態對映。例如，LMHOSTS檔案可以如下所示：
  
  

  192.168.0.3 SERVER1
  192.168.0.4 SERVER2
  192.168.0.5 SERVER3

  
  在Microsoft Windows XP Professional Edition中，LMHOSTS檔案位於中%SystemRoot%\System32\Drivers\Etc。有關詳細資訊，請參閱Microsoft文檔。

相關資訊

• CLI手冊3:Cisco ASA系列VPN CLI配置指南，9.17
• Cisco ASA 5500-X系列防火牆
• 技術支援與文件 - Cisco Systems