ASA: Acesso remoto do modo do Multi-contexto (AnyConnect) VPN

Documentos relacionados
Configurar o 2.1 ISE e a verificação da postura USB de AnyConnect 4.3

AnyConnect SSL sobre IPv4+IPv6 à configuração ASA

Atribuição do grupo de política para os clientes de AnyConnect que usam o LDAP no exemplo de configuração dos finais do cabeçalho do Cisco IOS

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Postura da versão ASA VPN com exemplo de configuração ISE

Configurar a postura ASA VPN com CSD, DAP e AnyConnect 4.0

Configurando o PPTP através da PAT para um Microsoft PPTP Server

AnyConnect sobre IKEv2 ao ASA com AAA e certificado de autenticação

Configurando Modo de Roteador-config, Caractere Geral, Chaves Pré-compartilhadas, sem NAT

Legado SCEP com o uso do exemplo da configuração de CLI

SSLVPN com exemplo de configuração dos Telefones IP

Permita o acesso ao Internet para o módulo ips ASA 5500-X

Configurar a integração WSA com o ISE para serviços cientes de TrustSec

Configurar o cliente seguro da mobilidade de AnyConnect que usa a senha de uma vez (OTP) para a autenticação de dois fatores em um ASA

ASA/PIX: Configurar e pesquise defeitos o Reverse Route Injection (RRI)

Configurar um server público com Cisco ASDM

Configurar o ASA com regras do controle de acesso dos serviços da potência de fogo para filtrar o tráfego do cliente VPN de AnyConnect ao Internet

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

Client e configuração Nenhum-MODE

Postura Inline VPN usando o ipep ISE e ASA

ASA 8.3(x): Conecte três redes internas com o exemplo de configuração do Internet

Aplicação do aprimoramento de recursos ASA SNMP

Configurando a Autenticação de Requisições HTTP com o CE Executando o ACNS e o Microsoft Active Directory

Configurar o Access point de pouco peso como um suplicante do 802.1x

SASAC (IMPLEMENTING CORE CISCO ASA SECURITY) 1.0

O cliente VPN de AnyConnect no IOS Router com zona IO baseou o exemplo da configuração de firewall da política

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Função de balanceamento de carga IO NAT com roteamento de extremidade aperfeiçoado para duas conexões com o Internet

Configurar ISE 2.0 e cifre a criptografia de BitlLocker da postura de AnyConnect 4.2

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

Configurar o Access point de pouco peso como um suplicante do 802.1x

Igualmente o CSD e AnyConnect 4.0 fluxos do abastecimento são apresentados.

Guia de distribuição vagueando do módulo da Segurança de AnyConnect OpenDNS

Usando o Cisco IOS Firewall para permitir Java applets dos locais conhecidos ao negar outro

L2 que constrói uma ponte sobre através de um exemplo da configuração de rede L3

Exemplo da configuração de HSRP do IPv6

ASA 8.X: Exemplo de configuração do registro SCEP de AnyConnect

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Mobilidade DHCP interno expresso

ASA 8.x: Cisco ASA no modo de contexto múltiplo sincronizado com o exemplo de configuração do servidor de NTP

Configuração de WPA/WPA2 com chave précompartilhada:

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

Função de balanceamento de carga IO NAT para duas conexões ISP

Switches do 3550/3560 Series do catalizador usando o exemplo de configuração com base na porta do controle de tráfego

Configurando IPSec entre três roteadores usando endereços privados

Configuração do Cisco 1417 ADSL Bridge with NAT

PIX/ASA 7.x e mais tarde: Exemplo de configuração do filtro VPN (porta específica ou protocolo da licença) para o L2L e o Acesso remoto

Configurar o acesso do telnet/ssh ao dispositivo com VRF

Autenticação dupla ASA AnyConnect com validação certificada, mapeamento, e manual de configuração do Pre-Fill

Configurando IPSec de IOS para IOS usando criptografia de AES

Configurar a postura da versão 1.4 ISE com Microsoft WSUS

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Transferência de arquivo ASA com exemplo de configuração FXP

Configurar o Multicast na mobilidade AP expressos de Cisco

Cisco recomenda que você tem o conhecimento da configuração de VPN SSL no Roteadores do Cisco IOS.

Edição ASA 8.3: MSS excedido - Os clientes HTTP não podem consultar a alguns Web site

Configurando a autenticação radius por meio de Cisco cache engine

RADIUS avançado para clientes PPP de discagem

Usando o ASDM para controlar um módulo de FirePOWER no ASA

Configurando Perfis de discagem para construir uma ponte sobre usando o ISDN

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Configurando o redirecionamento transparente e de media proxy com uso do software ACNS 4.x

Cliente de Anyconnect ao ASA com uso do DHCP para a atribuição de endereço

Roteador Wireless de 1800 ISR com exemplo de configuração interno DHCP e de autenticação aberta

Interop entre AnyConnect e o cliente vagueando de OpenDNS

Backup da fineza e configuração da elevação com SFTP

Configurar o proxy WebRTC com o CMS sobre Expressway com domínio duplo

Encaixe da importação VNC de Cisco ASA 8.x para o uso com WebVPN

Características do Grupo-fechamento ASA e de Cisco IOS e atributos AAA e exemplo de configuração WebVPN

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

Exemplos da configuração de canal de porta dos 1000V Series Switch do nexo

Desenvolvimento zero do toque (ZTD) do exemplo de configuração dos escritórios remotos/spokes VPN

Configurar serviços da remediação com integração ISE e de FirePOWER

Configurando um roteador como uma ALMOFADA para o XOT a um host assíncrono

Papel da autenticação chap configurado sob a relação celular

Configurando IPSec - Cisco Secure VPN Client para acesso de controle do roteador central

Configurar os sem clientes SSL VPN (WebVPN) no ASA

Configurar a característica da reserva do servidor Radius em controladores do Wireless LAN

Configurar a Conectividade do Virtual Private Network (VPN) de AnyConnect no roteador do RV34x Series

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

ASA 8.X: Distribuindo o tráfego SSL VPN com o exemplo em túnel da configuração de gateway de voz padrão

Como instalar, configurar e pesquise defeitos? SORVA o App da câmera de vídeo? s

Configurando dinamicamente as opções do servidor de DHCP

Configuração automática CUCM para gateways SCCP

Cisco Jabber para Windows no exemplo de configuração expresso do CallManager

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Policy Routing with Catalyst 3550 Series Switch Configuration Example

Failover ISP com rotas padrão usando o seguimento IP SLA

Configuração do acesso remoto VPN de AnyConnect em FTD

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

Exemplo de configuração do módulo do shell CLI do Cisco IOS

Este documento não se restringe a versões de software e hardware específicas.

WLC 5760/3850 WebAuth feito sob encomenda com exemplo de configuração da autenticação local

Encaixe da importação RDP ASA 8.x para o uso com exemplo de configuração WebVPN

Configurar servidores de raio externos no ISE

Configurar o proxy WebRTC com o CMS sobre a via expressa com domínio duplo

Negociação de Identificador de Ponto Final de Terminal ISDN BRI

O cliente de AnyConnect reconecta cada minuto que causa um rompimento no fluxo de tráfego

Exemplo de configuração do gerenciamento de largura de banda do VPN 3000 concentrator

Transcrição:

ASA: Acesso remoto do modo do Multi-contexto (AnyConnect) VPN Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio Recursos suportados Recursos não suportados Licenciar Configurar Diagrama de Rede Configurações Contexto do sistema Contexto Admin Contexto feito sob encomenda 1 Contexto feito sob encomenda 2 Verificar Verifique se a licença do vértice é instalada Verifique se o pacote de AnyConnect é instalado no contexto Admin e está disponível em contextos feitos sob encomenda Verifique se os usuários podem conectar através de AnyConnect em contextos feitos sob encomenda Troubleshooting Referências Informações Relacionadas Introdução Este documento descreve como configurar o Virtual Private Network (VPN) do Acesso remoto (RA) no Firewall adaptável da ferramenta de segurança de Cisco (ASA) no modo do contexto múltiplo (MC). Mostra Cisco ASA no modo de contexto múltiplo apoiado/recursos não suportados e requisito de licenciamento no que diz respeito a RA VPN. Pré-requisitos Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: Configuração de SSL ASA AnyConnect

Configuração do contexto múltiplo ASA Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: Dois código sendo executado ASA 5585 9.5(2) Cliente 3.1.10010 de AnyConnect As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, entenda o possível impacto de todos os comandos Informações de Apoio o Multi-contexto é um formulário da virtualização que permite a múltiplo cópias independentes de um aplicativo ser executado simultaneamente no mesmo hardware, com cada cópia (ou dispositivo virtual) que aparecem que um dispositivo físico separado ao usuário. Isto permite que um único ASA apareça como ASA múltiplos aos usuários independentes múltiplos. A família ASA apoiou Firewall virtuais desde sua versão inicial; contudo, não havia nenhum apoio da virtualização para o Acesso remoto no ASA. O apoio VPN LAN2LAN (L2L) para o multi-contexto foi adicionado para a liberação 9.0. Do multi-contexto 9.5.2 baseado apoio da virtualização para conexões do Acesso remoto VPN (RA) ao ASA. Recursos suportados Conectividade de AnyConnect 3.X+ SSL (IPv4, IPv6) Configuração centralizada da imagem de AnyConnect Upgrade da imagem de AnyConnect Recursos não suportados IKEv2, IKEv1 Failover stateful Virtualização instantânea Configuração da imagem de AnyConnect pelo contexto WebLaunch Transferência do perfil do cliente DAP e CoA CSD/Hostscan Função de balanceamento de carga VPN Username--certificado e prefill-username Personalização/localização Licenciar Licença do vértice de AnyConnect exigida Os fundamentos licenciam ignorado/não reservado

Configurability para controlar o uso máximo da licença pelo contexto Configurability para permitir a licença que estoura pelo contexto Configurar Esta seção descreve como configurar Cisco ASA como um server local de CA. Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção. Diagrama de Rede Nota: Os contextos múltiplos neste exemplo compartilham de uma relação (FORA), a seguir o classificador usa os endereços originais da relação (auto ou) MAC manual para enviar pacotes. Para mais detalhes como a ferramenta de segurança classifica em pacotes no contexto múltiplo consulte como o ASA classifica pacotes Configurações Contexto do sistema Etapa 1. Configuração de failover.!! Active Firewall failover failover lan unit primary failover lan interface LAN_FAIL GigabitEthernet0/3

failover link LAN_FAIL GigabitEthernet0/3 failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover group 1 failover group 2!! Secondary Firewall failover failover lan unit secondary failover lan interface LAN_FAIL GigabitEthernet0/3 failover link LAN_FAIL GigabitEthernet0/3 failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover group 1 failover group 2 Etapa 2. Atribua VPN Resouce. Configurado através de configuração existente da classe. As licenças são permitidas pelo número de licenças ou pelos % do total pelo contexto Tipos de recurso novos introduzidos para MC RAVPN: VPN AnyConnect: Garantido a um contexto e não pode ser oversubscribed Explosão AnyConnect VPN: Permita a contexto licenças extra além do limite garantido. O pool da explosão consiste em todas as licenças não garantidas a um contexto e é permitido a um contexto de estouro em uma primeiro a chegar primeiro a ser servido base Modelo do abastecimento da licença VPN:

Nota: ASA5585 oferece 10,000 sessões do usuário máximas de Cisco AnyConnect e neste Cisco AnyConnect do exemplo 4000 a sessão do usuário é atribuída pelo contexto. class resource02 limit-resource VPN AnyConnect 4000 limit-resource VPN Burst AnyConnect 2000 class resource01 limit-resource VPN AnyConnect 4 000 limit-resource VPN Burst AnyConnect 2000 Etapa 3. Configurar contextos e atribua recursos. Nota: Neste exemplo GigabitEthernet0/0 é compartilhado entre todo o contexto. admin-context admin context admin allocate-interface GigabitEthernet0/0 config-url disk0:/admin context context1 member resource01

allocate-interfacegigabitethernet0/0 allocate-interface GigabitEthernet0/1 config-url disk0:/context1 join-failover-group 1 context context2 member resource02 allocate-interface GigabitEthernet0/0 allocate-interface GigabitEthernet0/2 config-url disk0:/context2 join-failover-group 2 Etapa 4. Instale a licença do vértice no Firewall. Ativando ou desativando chaves de ativação Contexto Admin Etapa 1. Instale o pacote do cliente de AnyConnect. Nota: 1. O armazenamento instantâneo não é virtualizado e é somente acessível do contexto do sistema. 2. Copie arquivos ao flash na imagem de AnyConnect do contexto do sistema isto é. 3. A imagem de AnyConnect é uma configuração compartilhada. 4. Configurado no contexto admin somente. Não disponível em outros contextos. 5. Todos os contextos referem automaticamente esta configuração global da imagem de AnyConnect. webvpn anyconnect image disk0:/anyconnect-win-3.1.10010-k9.pkg 1 anyconnect enable Contexto feito sob encomenda 1!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0) interface GigabitEthernet0/0 nameif OUTSIDE security-level 0 ip address 10.106.44.38 255.255.255.0 standby 10.106.44.39!! Enable WebVPN on respective interfaces webvpn enable OUTSIDE anyconnect enable!! IP pool and username configuration ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0 username cisco password cisco!! Configure the require connection profile for SSL VPN group-policy GroupPolicy_MC_RAVPN_1 internal group-policy GroupPolicy_MC_RAVPN_1 attributes banner value "Welcome to Context1 SSLVPN" wins-server none

dns-server value 192.168.20.10 vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value split default-domain value cisco.com tunnel-group MC_RAVPN_1 type remote-access tunnel-group MC_RAVPN_1 general-attributes address-pool mypool default-group-policy GroupPolicy_MC_RAVPN_1 tunnel-group MC_RAVPN_1 webvpn-attributes group-alias MC_RAVPN_1 enable group-url https://10.106.44.38/context1 enable Contexto feito sob encomenda 2!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0) interface GigabitEthernet0/0 nameif OUTSIDE security-level 0 ip address 10.106.44.36 255.255.255.0 standby 10.106.44.37!! Enable WebVPN on respective interface webvpn enable OUTSIDE anyconnect enable!! IP pool and username configuration ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0 username cisco password cisco!! Configure the require connection profile for SSL VPN group-policy GroupPolicy_MC_RAVPN_2 internal group-policy GroupPolicy_MC_RAVPN_2 attributes banner value "Welcome to Context2 SSLVPN" wins-server none dns-server value 192.168.60.10 vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value split default-domain value cisco.com tunnel-group MC_RAVPN_2 type remote-access tunnel-group MC_RAVPN_2 general-attributes address-pool mypool default-group-policy GroupPolicy_MC_RAVPN_2 tunnel-group MC_RAVPN_2 webvpn-attributes group-alias MC_RAVPN_2 enable group-url https://10.106.44.36/context2 enable Verificar Use esta seção para confirmar se a sua configuração funciona corretamente. Nota: A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do

emissor de comando de execução. Verifique se a licença do vértice é instalada O ASA não reconhece especificamente uma licença do vértice de AnyConnect mas reforça as características da licença de uma licença do vértice que incluem: Prêmio de AnyConnect licenciado ao limite da plataforma AnyConnect para o móbil AnyConnect para o telefone de Cisco VPN Avaliação avançada do valor-limite Verifique se o pacote de AnyConnect é instalado no contexto Admin e está disponível em contextos feitos sob encomenda!! AnyConnect package is installed in Admin Context ciscoasa/pri/ admin/act# show run webvpn webvpn anyconnect image disk0:/anyconnect-win-3.1.10010-k9.pkg 1 anyconnect enable ciscoasa/pri/admin/act# show webvpn anyconnect 1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/windows NT/ CISCO STC win2k+ 3,1,10010 Hostscan Version 3.1.10010 Wed 07/22/2015 12:06:07.65 1 AnyConnect Client(s) installed!! AnyConnect package is available in context1 ciscoasa/pri/admin/act# changeto context context1 ciscoasa/pri/context1/act# show run webvpn webvpn enable OUTSIDE anyconnect enable tunnel-group-list enable ciscoasa/pri/context1/act# show webvpn anyconnect 1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/windows NT/ CISCO STC win2k+ 3,1,10010 Hostscan Version 3.1.10010 Wed 07/22/2015 12:06:07.65 1 AnyConnect Client(s) installed Verifique se os usuários podem conectar através de AnyConnect em contextos feitos sob encomenda Dica: Para o melhor relógio do indicador abaixo dos vídeos na tela cheia.!! One Active Connection on Context1

ciscoasa/pri/context1/act# show vpn-sessiondb anyconnect Session Type: AnyConnect Username : cisco Index : 5 Assigned IP : 192.168.1.1 Public IP : 10.142.168.102 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium, AnyConnect for Mobile Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 3186 Bytes Rx : 426 Group Policy : GroupPolicy_MC_RAVPN_1 Tunnel Group : MC_RAVPN_1 Login Time : 15:33:25 UTC Thu Dec 3 2015 Duration : 0h:00m:05s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0a6a2c2600005000566060c5 Security Grp : none!! Changing Context to Context2 ciscoasa/pri/context1/act# changeto context context2!! One Active Connection on Context2 ciscoasa/pri/context2/act# show vpn-sessiondb anyconnect Session Type: AnyConnect Username : cisco Index : 1 Assigned IP : 192.168.51.1 Public IP : 10.142.168.94 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 10550 Bytes Rx : 1836 Group Policy : GroupPolicy_MC_RAVPN_2 Tunnel Group : MC_RAVPN_2 Login Time : 15:34:16 UTC Thu Dec 3 2015 Duration : 0h:00m:17s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0a6a2c2400001000566060f8 Security Grp : none!! Changing Context to System ciscoasa/pri/context2/act# changeto system!! Notice total number of connections are two (for the device) ciscoasa/pri/act# show vpn-sessiondb license-summary --------------------------------------------------------------------------- VPN Licenses and Configured Limits Summary --------------------------------------------------------------------------- Status : Capacity : Installed : Limit ----------------------------------------- AnyConnect Premium : ENABLED : 10000 : 10000 : NONE Other VPN (Available by Default) : ENABLED : 10000 : 10000 : NONE AnyConnect for Mobile : ENABLED(Requires Premium or Essentials) Advanced Endpoint Assessment : ENABLED(Requires Premium) AnyConnect for Cisco VPN Phone : ENABLED VPN-3DES-AES : ENABLED VPN-DES : ENABLED ---------------------------------------------------------------------------

--------------------------------------------------------------------------- VPN Licenses Usage Summary --------------------------------------------------------------------------- Local : Shared : All : Peak : Eff. : In Use : In Use : In Use : In Use : Limit : Usage ---------------------------------------------------- AnyConnect Premium : 2 : 0 : 2 : 2 : 10000 : 0% AnyConnect Client : : 2 : 2 : 0% AnyConnect Mobile : : 2 : 2 : 0% Other VPN : : 0 : 0 : 10000 : 0% Site-to-Site VPN : : 0 : 0 : 0% ---------------------------------------------------------------------------!! Notice the resource usage per Context ciscoasa/pri/act# show resource usage all resource VPN AnyConnect Resource Current Peak Limit Denied Context AnyConnect 1 1 4000 0 context1 AnyConnect 1 1 4000 0 context2 Troubleshooting Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração. Pesquisando defeitos AnyConnect Dica: Caso que o ASA não tem a licença do vértice instalada, a sessão de AnyConnect estaria terminada com Syslog abaixo: %ASA-6-725002: O dispositivo terminou a saudação de SSL com cliente OUTSIDE:10.142.168.86/51577 a 10.106.44.38/443 para a sessão TLSv1 %ASA-6-113012: Autenticação de usuário AAA bem sucedida: base de dados local: user = Cisco %ASA-6-113009: O AAA recuperou a política do grupo padrão (GroupPolicy_MC_RAVPN_1) para o user = Cisco %ASA-6-113008: O estado de transação AAA ACEITA: user = Cisco %ASA-3-716057: Sessão IP <10.142.168.86> do usuário do grupo terminada, nenhuma licença do vértice de AnyConnect disponível %ASA-4-113038: IP <10.142.168.86> do usuário do grupo incapaz de criar a sessão do pai de AnyConnect. Referências Notas de versão: 9.5(2) Informações Relacionadas Cisco ASA 5500 Series Adaptive Security Appliances Guia de Troubleshooting do cliente VPN de AnyConnect - Problemas comuns Controlando, monitorando, e pesquisando defeitos sessões de AnyConnect Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback