تم تمكين ASDM و WebVPN على نفس واجهة ASA

المقدمة

يصف هذا المستند كيفية الوصول إلى مدير أجهزة الأمان المعدلة (ASDM) من Cisco وبوابة WebVPN عند تمكين كليهما على نفس الواجهة الخاصة بجهاز الأمان القابل للتكيف (ASA) من السلسلة Cisco 5500.

ملاحظة: لا ينطبق هذا المستند على جدار حماية Cisco 500 Series PIX، لأنه لا يدعم WebVPN.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• WebVPN Configuration€“ إلى SSL VPN (WebVPN) بدون عميل في مثال تكوين ASA للحصول على مزيد من المعلومات. 
• التكوين الأساسي المطلوب لتشغيل ASDM€“ ارجع إلى قسم إستخدام ASDM من دليل تكوين ASDM من السلسلة Cisco ASA Series، الإصدار 7.0 للحصول على مزيد من المعلومات.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى Cisco 5500 Series ASA.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

المشكلة

في إصدارات ASA الأقدم من الإصدار 8.0(2)، لا يمكن تمكين ASDM و WebVPN على نفس واجهة ASA، نظرا لأن كلا منهما ينصت على نفس المنفذ (443) بشكل افتراضي. في الإصدارات 8.0(2) والإصدارات الأحدث، يدعم ASA كلا من جلسات عمل طبقة مآخذ التوصيل الآمنة (SSL) VPN (WebVPN) والجلسات الإدارية ل ASDM في آن واحد على المنفذ 443 من الواجهة الخارجية. ومع ذلك، عند تمكين كلا الخدمتين معا، فإن عنوان URL الافتراضي لواجهة معينة على ASA يكون دائما افتراضيا في خدمة WebVPN. على سبيل المثال، ضع في الاعتبار بيانات تكوين ASA هذه&colon؛

rtpvpnoutbound6# show run ip
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.150.172.46 255.255.252.0 
!
interface Vlan3
 nameif dmz
 security-level 50
 ip address dhcp 
!
interface Vlan5
 nameif test
 security-level 0
 ip address 1.1.1.1 255.255.255.255 pppoe setroute 
!
rtpvpnoutbound6# show run web
webvpn
 enable outside
 enable dmz
 anyconnect image disk0:/anyconnect-win-3.1.06078-k9.pkg 1
 anyconnect image disk0:/anyconnect-macosx-i386-3.1.06079-k9.pkg 2
 anyconnect enable
 tunnel-group-list enable
 tunnel-group-preference group-url

rtpvpnoutbound6#  show run http
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 dmz
http 0.0.0.0 0.0.0.0 outside

rtpvpnoutbound6# show run tun
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool ap_fw-policy
 authentication-server-group ldap2
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 group-url https://rtpvpnoutbound6.cisco.com/admin enable
 without-csd

الحل

لحل هذه المشكلة، يمكنك إما إستخدام عنوان URL المناسب للوصول إلى الخدمة المقابلة أو تغيير المنفذ الذي يتم الوصول إلى الخدمات عليه.

ملاحظة: يتمثل أحد عيوب الحل الأخير في تغيير المنفذ بشكل عام، لذلك تتأثر كل واجهة بهذا التغيير.

إستخدام عنوان URL المناسب

في مثال تشكيل معطيات يزود في المشكلة قسم، القارن خارجي من ال ASA يستطيع كنت وصلت ب HTTPS عن طريق هذا إثنان url:

https://<ip-address> <=> https://10.150.172.46
https://<domain-name> <=> https://rtpvpnoutbound6.cisco.com

ومع ذلك، إذا حاولت الوصول إلى عناوين URL هذه أثناء تمكين خدمة WebVPN، يقوم ASA بإعادة توجيهك إلى مدخل WebVPN:

https://rtpvpnoutbound6.cisco.com/+CSCOE+/logon.html

للوصول إلى ASDM، يمكنك إستخدام عنوان URL هذا:

https://rtpvpnoutbound6.cisco.com/admin

ملاحظة: كما هو موضح في بيانات التكوين على سبيل المثال، تحتوي مجموعة النفق الافتراضية على عنوان URL محدد باستخدام الأمر group-url https://rtpvpnoutbound6.cisco.com/admin enable، والذي يجب أن يتعارض مع وصول ASDM. ومع ذلك، يتم حجز عنوان URL https://<ip-address/domain>/admin للوصول إلى ASDM، وإذا قمت بتعيينه ضمن مجموعة النفق، فلن يكون هناك أي تأثير. تتم إعادة توجيهك دائما إلى https://<ip-address/domain>/admin/public/index.html.

تغيير المنفذ الذي تستمع إليه كل خدمة

يوضح هذا القسم كيفية تغيير المنفذ لكل من خدمات ASDM و WebVPN.

تغيير منفذ خدمة خادم HTTPS بشكل عام

أتمت هذا steps in order to غيرت الميناء ل ال ASDM خدمة:

1. قم بتمكين خادم HTTPS للاستماع على منفذ مختلف لتغيير التكوين المرتبط بخدمة ASDM على ASA، كما هو موضح هنا:
   

   ASA(config)#http server enable <1-65535>
   
   configure mode commands/options:
     <1-65535>  The management server's SSL listening port. TCP port 443 is the
                default.

   فيما يلي مثال:
   

   ASA(config)#http server enable 65000

2. بعد تغيير تكوين المنفذ الافتراضي، أستخدم هذا التنسيق من أجل تشغيل ASDM من مستعرض ويب مدعوم على شبكة جهاز الأمان:
   

   https://interface_ip_address:
          
          

   فيما يلي مثال:
   

   https://192.168.1.1:65000

تغيير المنفذ لخدمة WebVPN بشكل عام

أتمت هذا steps in order to غيرت الميناء ل WebVPN خدمة:

1. السماح ل WebVPN بالإصغاء على منفذ مختلف لتغيير التكوين المرتبط بخدمة WebVPN على ASA:
   
   
   1. مكنت ال WebVPN سمة على ال ASA:
      

      ASA(config)#webvpn

   2. مكنت ال WebVPN خدمة للقارن خارجي من ال ASA:
      

      ASA(config-webvpn)#enable outside

   3. يسمح ال ASA أن يستمع إلى WebVPN حركة مرور على ال يعين ميناء رقم:
      

      ASA(config-webvpn)#port <1-65535>
      
      webvpn mode commands/options:
        <1-65535>  The WebVPN server's SSL listening port. TCP port 443 is the
                   default.

   فيما يلي مثال:
   

   ASA(config)#webvpn
   ASA(config-webvpn)#enable outside
   ASA(config-webvpn)#port 65010

2. بعد تغيير تكوين المنفذ الافتراضي، افتح مستعرض ويب مدعوما واستخدم هذا التنسيق للاتصال بخادم WebVPN:
   

   https://interface_ip_address:
          
          

   فيما يلي مثال:
   

   https://192.168.1.1:65010

معلومات ذات صلة

• مدير أجهزة حلول الأمان المعدلة من Cisco - صفحة الدعم
• جدران الحماية من الجيل التالي من Cisco ASA 5500-X Series
• الدعم التقني والمستندات - Cisco Systems