ASA: الوضع متعدد السياقات الوصول عن بعد (AnyConnect) VPN
المقدمة
يصف هذا المستند كيفية تكوين جدار حماية جهاز الأمان القابل للتكيف (ASA) للوصول عن بعد (RA) على شبكة الوصول الخاص الظاهري (VPN) من Cisco في وضع Multi Context (MC) باستخدام واجهة سطر الأوامر (CLI). وهو يعرض Cisco ASA في وضع سياق متعدد مدعوم/غير مدعوم ومتطلب الترخيص فيما يتعلق بشبكة RA VPN.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- تكوين ASA AnyConnect SSL
- تكوين السياق المتعدد ASA
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- AnyConnect Secure Mobility Client، الإصدار 4.4.00243
- إثنان ASA5525 مع برنامج ASA، الإصدار 9.6(2)
معلومات أساسية
Multi-context هو شكل من أشكال المحاكاة الافتراضية التي تسمح بتشغيل عدة نسخ مستقلة من أحد التطبيقات في نفس الوقت على نفس الجهاز، بحيث يظهر كل نسخة (أو جهاز ظاهري) كجهاز فعلي منفصل للمستخدم. وهذا يسمح بأن تظهر ASA واحدة على هيئة ASA متعدد إلى مستخدمين مستقلين متعددين. قامت عائلة ASA بدعم جدران الحماية الظاهرية منذ إصدارها الأولي، ومع ذلك، لم يكن هناك دعم للمحاكاة الافتراضية للوصول عن بعد في مكتب asa. تمت إضافة دعم VPN LAN2LAN (L2L) للسياق المتعدد لإصدار 9.0.
محفوظات الميزات للسياق المتعدد
الميزات الجديدة التي تمت إضافتها في ASA 9.6(2)
| الميزة | الوصف |
| ميزة ما قبل التعبئة/اسم المستخدم-من-cert لوضع السياق المتعدد | يكون دعم AnyConnect SSL ممتدا، مما يسمح لواجهات سطر الأوامر الخاصة بميزة التعبئة المسبقة/اسم المستخدم من الشهادة، التي كانت تتوفر سابقا في الوضع الواحد فقط، بأن يتم تمكينها في وضع سياق متعدد كذلك. |
| المحاكاة الافتراضية لذاكرة Flash الخاصة بالشبكة الخاصة الظاهرية (VPN) للوصول عن بعد | تدعم الشبكة الخاصة الظاهرية (VPN) للوصول عن بعد في وضع سياق متعدد الآن المحاكاة الافتراضية لذاكرة الفلاش. يمكن أن يحتوي كل سياق على مساحة تخزين خاصة ومكان تخزين مشترك استنادا إلى إجمالي الذاكرة المؤقتة المتوفرة. |
| ملفات تعريف عميل AnyConnect المدعومة في الأجهزة متعددة السياقات | تكون ملفات تعريف عميل AnyConnect مدعومة في الأجهزة متعددة السياقات. لإضافة ملف تعريف جديد باستخدام ASDM، يجب أن يكون لديك AnyConnect Secure Mobility Client الإصدار 4.2.00748 أو 4.3.03013 والإصدارات الأحدث. |
| تجاوز الفشل ذو الحالة لاتصالات AnyConnect في وضع سياق متعدد | يتم الآن دعم تجاوز الفشل ذو الحالة لاتصالات AnyConnect في وضع سياق متعدد. |
| يتم دعم سياسة الوصول الديناميكي ل VPN للوصول عن بعد (DAP) في وضع السياق المتعدد | يمكنك الآن تكوين DAP لكل سياق في وضع سياق متعدد. |
| يتم دعم ميزة CoA للوصول عن بعد إلى شبكة VPN (تغيير التفويض) في وضع سياق متعدد | يمكنك الآن تكوين CoA لكل سياق في وضع سياق متعدد. |
| يتم دعم ترجمة Remote Access VPN في وضع سياق متعدد | التعريب مدعوم بشكل عام. هناك مجموعة واحدة فقط من ملفات الترجمة التي تتم مشاركتها عبر سياقات مختلفة. |
| تخزين التقاط الحزمة لكل سياق مدعوم. | الغرض من هذه الميزة هو السماح للمستخدم بنسخ التقاط مباشرة من سياق ما إلى التخزين الخارجي أو إلى التخزين الخاص للسياق على flash. كما تتيح هذه الميزة نسخ الالتقاط الخام إلى أدوات التقاط الحزمة الخارجية مثل القرش السلك من داخل السياق. |
ميزات في ASA 9.5(2)
| الميزة | الوصف |
| AnyConnect 4.x والإصدارات الأحدث (الشبكة الخاصة الظاهرية (VPN) لمحولات SSL فقط، لا يوجد دعم للإصدار الثاني من بروتوكول IKEv2) | دعم المحاكاة الظاهرية متعددة السياقات لاتصالات الوصول عن بعد إلى VPN (RA) إلى ASA. |
| تهيئة صورة AnyConnect مركزية |
|
| ترقية صورة AnyConnect |
تكون ملفات تعريف عميل AnyConnect مدعومة في الأجهزة متعددة السياقات. لإضافة ملف تعريف جديد باستخدام ASDM، يجب أن يكون لديك AnyConnect Secure Mobility Client الإصدار 4.2.00748 أو 4.3.03013 والإصدارات الأحدث. |
| إدارة موارد السياق لاتصالات AnyConnect |
|
الترخيص
- ترخيص AnyConnect Apex مطلوب
- تراخيص الأساسيات التي تم تجاهلها/غير مسموح بها
- القابلية للتكوين للتحكم في الحد الأقصى لاستخدام الترخيص لكل سياق
- قابلية التكوين للسماح بتنفيذ الترخيص لكل سياق
التكوين
الرسم التخطيطي للشبكة
يتم إجراء التكوين التالي باستخدام إصدار ASA 9.6.2 والإصدارات الأحدث منه، وهو ما يوضح بعض الميزات الجديدة المتوفرة.يتم توثيق الاختلافات في إجراء التكوين لإصدارات ASA قبل 9.6.2 (والإصدارات الأحدث من 9.5.2) في الملحق أ من المستند.
فيما يلي وصف للتكوينات اللازمة في سياق النظام والسياقات المخصصة لإعداد شبكة خاصة ظاهرية (VPN) للوصول عن بعد:
التكوينات الأولية في سياق النظام
للبدء، في "سياق النظام"، قم بتكوين تجاوز الفشل وتخصيص موارد VPN والسياقات المخصصة والتحقق من ترخيص Apex. يتم وصف الإجراء والتكوينات في هذا القسم، وفي القسم التالي
الخطوة 1. تهيئة تجاوز الفشل.
!! Active Firewall failover failover lan unit primary failover lan interface LAN_FAIL GigabitEthernet0/3 failover link LAN_FAIL GigabitEthernet0/3 failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover group 1 failover group 2 !! Secondary Firewall failover failover lan unit secondary failover lan interface LAN_FAIL GigabitEthernet0/3 failover link LAN_FAIL GigabitEthernet0/3 failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover group 1 failover group 2
الخطوة 2. تخصيص موارد شبكات VPN.
تتم تهيئته عبر تهيئة فئة موجودة. يتم السماح بالتراخيص من خلال عدد التراخيص أو النسبة المئوية من الإجمالي لكل سياق
أنواع الموارد الجديدة التي تم إدخالها إلى MC RAVPN:
- VPN AnyConnect: مضمون لسياق ولا يمكن زيادة الاشتراك فيه
- VPN Burst AnyConnect: السماح بتراخيص إضافية للسياق تتجاوز الحد المضمون. يتألف تجمع الاندفاع من أي تراخيص غير مضمونة في السياق ويتم السماح لها بسياق انفجار على أساس أول خدمة
نموذج إمداد ترخيص VPN:
class resource02
limit-resource VPN AnyConnect 4000
limit-resource VPN Burst AnyConnect 2000
class resource01
limit-resource VPN AnyConnect 4000
limit-resource VPN Burst AnyConnect 2000
الخطوة 3. تكوين السياقات وتعيين الموارد.
admin-context admin context admin allocate-interface GigabitEthernet0/0 config-url disk0:/admin context context1 member resource01 allocate-interface GigabitEthernet0/0 allocate-interface GigabitEthernet0/1 config-url disk0:/context1 join-failover-group 1 context context2 member resource02 allocate-interface GigabitEthernet0/0 allocate-interface GigabitEthernet0/2 config-url disk0:/context2 join-failover-group 2
الخطوة 4. تحقق من تثبيت ترخيص Apex على ASA، ارجع إلى الارتباط أدناه للحصول على مزيد من التفاصيل.
تنشيط مفاتيح التنشيط أو إلغاء تنشيطها
الخطوة 5. تكوين حزمة صورة AnyConnect. حسب إصدار ASA الذي يتم إستخدامه، هناك طريقتان لتحميل صورة AnyConnect وتكوينه لشبكة VPN RA. إذا كان الإصدار هو 9.6.2 وأعلى، يمكن إستخدام المحاكاة الافتراضية لذاكرة Flash. للحصول على الإصدارات الأقدم من 9.6.2، ارجع إلى الملحق أ
المحاكاة الافتراضية لذاكرة Flash
يتطلب الوصول عن بعد للشبكة الخاصة الظاهرية (VPN) تخزين فلاش للعديد من الصور والتكوينات مثل حزم AnyConnect وحزم hostscan وتكوين DAP وإضافات وتخصيص وتعريب، وما إلى ذلك. في الوضع متعدد السياق قبل 9.6.2، لا يمكن لسياقات المستخدم الوصول إلى أي جزء من ذاكرة Flash (الذاكرة المؤقتة) ويتم إدارة ذاكرة Flash (الذاكرة المؤقتة) والوصول إليها من قبل مسؤول النظام عبر سياق النظام فقط.
لحل هذه القيود، مع الاستمرار في الحفاظ على أمان الملفات وخصوصيتها على ذاكرة Flash (الذاكرة المؤقتة) بالإضافة إلى إمكانية مشاركة ذاكرة Flash (الذاكرة المؤقتة) بشكل عادل بين السياقات، يتم إنشاء نظام ملفات ظاهري لذاكرة Flash (الذاكرة المؤقتة) في الوضع متعدد السياقات. الغرض من هذه الميزة هو السماح بتكوين صور AnyConnect على أساس كل سياق بدلا من تكوينها بشكل عام. وهذا يسمح للمستخدمين المختلفين بتثبيت صور AnyConnect مختلفة. بالإضافة إلى ذلك، من خلال السماح بمشاركة صور AnyConnect، يمكن تقليل مقدار الذاكرة التي تستهلكها هذه الصور. يتم إستخدام التخزين المشترك لتخزين الملفات والحزم الشائعة لكل السياقات.
سيكون لكل سياق إذن قراءة/كتابة/حذف على وحدة التخزين الخاصة به، كما سيكون له حق الوصول للقراءة فقط إلى وحدة التخزين المشتركة الخاصة به. سيكون لسياق النظام فقط حق الوصول للكتابة إلى التخزين المشترك.
في عمليات التكوين التالية، سيتم تكوين السياق المخصص 1 لتوضيح التخزين الخاص، وسيتم تكوين السياق المخصص 2 لتوضيح التخزين المشترك.
تخزين خاص
يمكنك تحديد مساحة تخزين خاصة واحدة لكل سياق. يمكنك القراءة/الكتابة/الحذف من هذا الدليل ضمن السياق (وكذلك من مساحة تنفيذ النظام). تحت المسار المحدد، يقوم ASA بإنشاء دليل فرعي مسمى بعد السياق.
على سبيل المثال، في حالة تحديد disk0:/private-storage للمسار، يقوم ASA بإنشاء دليل فرعي لهذا السياق على disk0:/private-storage/context1/.
وحدات التخزين المشتركة
يمكن تحديد مساحة تخزين مشتركة للقراءة فقط لكل سياق. لتقليل تكرار الملفات الكبيرة الشائعة التي يمكن مشاركتها بين جميع السياقات (مثل حزم AnyConnect)، يمكن إستخدام مساحة التخزين المشتركة.
عمليات تهيئة لاستخدام مساحة التخزين الخاصة
!! Create a directory in the system context.
ciscoasa(config)# mkdir private_context1
!! Define the directory as private storage url in the respective context.
ciscoasa(config)# context context1 ciscoasa(config-ctx)# storage-url private disk0:/private_context1 context1
!! Transfer the anyconnect image in the sub directory.
ciscoasa(config)# copy flash:/anyconnect-win-4.2.01035-k9.pkg flash:/private_context1/context1
التكوينات اللازمة لاستخدام مساحة التخزين المشتركة
!! Create a directory in the system context.
ciscoasa(config)# mkdir shared
!! Define the directory as shared storage url in the respective contexts.
ciscoasa(config)# context context2 ciscoasa(config-ctx)# storage-url shared disk0:/shared shared
!! Transfer the anyconnect image in the shared directory.
ciscoasa(config)# copy disk0:/anyconnect-win-4.3.05019-k9.pkg disk0:/shared
التحقق من الصورة تحت السياقات المقابلة
!! Custom Context 1 configured for private storage.
ciscoasa(config)#changeto context context1
ciscoasa/context1(config)# show context1:
213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg
!! Custom Context 2 configured for shared storage.
ciscoasa(config)#changeto context context2
ciscoasa/context2(config)# show shared:
195 25356342 May 24 2017 08:07:02 shared:/anyconnect-win-4.3.05017-k9.pkg
الخطوة 6. فيما يلي ملخص للتكوينات الموجودة في سياق النظام والتي تتضمن تكوينات المحاكاة الافتراضية flash (الذاكرة المؤقتة) الموضحة أعلاه:
سياق النظام
context context1
member resource01
allocate-interface GigabitEthernet0/0
storage-url private disk0:/private_context1 context1
config-url disk0:/context1.cfg
join-failover-group 1
!
context context2
member resource02
allocate-interface GigabitEthernet0/1
storage-url shared disk0:/shared shared
config-url disk0:/context2.cfg
join-failover-group 2
الخطوة 7: تكوين السياقين المخصصين كما هو موضح أدناه
سياق مخصص 1
!! Enable WebVPN on respective interfaces
webvpn
enable outside
anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
anyconnect enable
tunnel-group-list enable
!! IP pool and username configuration
ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
username cisco password cisco
!! Configure the required connection profile for SSL VPN
access-list split standard permit 192.168.1.0 255.255.255.0
group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
banner value "Welcome to Context1 SSLVPN"
wins-server none
dns-server value 192.168.20.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
group-alias MC_RAVPN_1 enable
سياق مخصص 2
!! Enable WebVPN on respective interfaces
webvpn
enable outside
anyconnect image shared:/anyconnect-win-4.3.05017-k9.pkg 1
anyconnect enable
tunnel-group-list enable
!! IP pool and username configuration
ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
username cisco password cisco
!! Configure the required connection profile for SSL VPN
access-list split standard permit 192.168.1.0 255.255.255.0
group-policy GroupPolicy_MC_RAVPN_2 internal
group-policy GroupPolicy_MC_RAVPN_2 attributes
banner value "Welcome to Context2 SSLVPN"
wins-server none
dns-server value 192.168.60.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
!
!
tunnel-group MC_RAVPN_2 type remote-access
tunnel-group MC_RAVPN_2 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_2
tunnel-group MC_RAVPN_2 webvpn-attributes
group-alias MC_RAVPN_2 enable
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
التحقق من تثبيت ترخيص Apex
لا يتعرف ASA تحديدا على ترخيص AnyConnect Apex ولكنه يفرض خصائص ترخيص ترخيص APEX التي تتضمن:
- AnyConnect Premium المرخص لها بحد النظام الأساسي
- AnyConnect for Mobile
- AnyConnect لهاتف Cisco VPN
- تقييم متقدم لنقطة النهاية
سيتم إنشاء syslog عند حظر اتصال بسبب عدم تثبيت ترخيص AnyConnect Apex.
التحقق من توفر حزمة AnyConnect في سياقات مخصصة (9.6.2 وأعلى)
! AnyConnect package is available in context1
ciscoasa/context1(config)# show context1:
213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg
ciscoasa/pri/context1/act# show run webvpn
webvpn
enable outside
anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
anyconnect enable
tunnel-group-list enable
في الحالة، الصورة غير موجودة ضمن السياق المخصص، يرجى الرجوع إلى تكوين صورة AnyConnect (9.6.2 وأعلى).
التحقق من إمكانية اتصال المستخدمين عبر AnyConnect على سياقات مخصصة
!! One Active Connection on Context1
ciscoasa/pri/context1/act# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 5
Assigned IP : 192.168.1.1 Public IP : 10.142.168.102
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Mobile
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 3186 Bytes Rx : 426
Group Policy : GroupPolicy_MC_RAVPN_1 Tunnel Group : MC_RAVPN_1
Login Time : 15:33:25 UTC Thu Dec 3 2015
Duration : 0h:00m:05s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2600005000566060c5
Security Grp : none
!! Changing Context to Context2
ciscoasa/pri/context1/act# changeto context context2
!! One Active Connection on Context2
ciscoasa/pri/context2/act# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 1
Assigned IP : 192.168.51.1 Public IP : 10.142.168.94
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 10550 Bytes Rx : 1836
Group Policy : GroupPolicy_MC_RAVPN_2 Tunnel Group : MC_RAVPN_2
Login Time : 15:34:16 UTC Thu Dec 3 2015
Duration : 0h:00m:17s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2400001000566060f8
Security Grp : none
!! Changing Context to System
ciscoasa/pri/context2/act# changeto system
!! Notice total number of connections are two (for the device)
ciscoasa/pri/act# show vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 10000 : 10000 : NONE
Other VPN (Available by Default) : ENABLED : 10000 : 10000 : NONE
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
Local : Shared : All : Peak : Eff. :
In Use : In Use : In Use : In Use : Limit : Usage
----------------------------------------------------
AnyConnect Premium : 2 : 0 : 2 : 2 : 10000 : 0%
AnyConnect Client : : 2 : 2 : 0%
AnyConnect Mobile : : 2 : 2 : 0%
Other VPN : : 0 : 0 : 10000 : 0%
Site-to-Site VPN : : 0 : 0 : 0%
---------------------------------------------------------------------------
!! Notice the resource usage per Context
ciscoasa/pri/act# show resource usage all resource VPN AnyConnect
Resource Current Peak Limit Denied Context
AnyConnect 1 1 4000 0 context1
AnyConnect 1 1 4000 0 context2
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم المعلومات التي يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.
أستكشاف أخطاء AnyConnect وإصلاحها
الملحق أ - تكوين صورة AnyConnect للإصدارات قبل 9.6.2
يتم تكوين صورة AnyConnect بشكل عام في سياق الإدارة لإصدارات ASA قبل 9.6.2 (لاحظ أن الميزة متوفرة من 9.5.2) لأن تخزين Flash غير افتراضي ويمكن الوصول إليه فقط من سياق النظام.
الخطوة 5.1. انسخ ملف حزمة AnyConnect إلى ذاكرة Flash (الذاكرة المؤقتة) في سياق النظام.
سياق النظام:
ciscoasa(config)# show flash:
195 25356342 May 24 2017 08:07:02 anyconnect-win-4.3.05017-k9.pkg
الخطوة 5.2. تكوين صورة AnyConnect في سياق Admin.
سياق المسؤول::
webvpn
anyconnect image disk0:/anyconnect-win-4.3.05017-k9.pkg 1
anyconnect enable
ملاحظة: يمكن تكوين صورة AnyConnect في سياق الإدارة فقط. تشير جميع السياقات تلقائيا إلى تكوين صورة AnyConnect العام هذا.
سياق مخصص 1:
!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
interface GigabitEthernet0/0
nameif OUTSIDE
security-level 0
ip address 10.106.44.38 255.255.255.0 standby 10.106.44.39
!! Enable WebVPN on respective interfaces
webvpn
enable OUTSIDE
anyconnect enable
!! IP pool and username configuration
ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
username cisco password cisco
!! Configure the require connection profile for SSL VPN
group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
banner value "Welcome to Context1 SSLVPN"
wins-server none
dns-server value 192.168.20.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
group-alias MC_RAVPN_1 enable
group-url https://10.106.44.38/context1 enable
سياق مخصص 2:
!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
interface GigabitEthernet0/0
nameif OUTSIDE
security-level 0
ip address 10.106.44.36 255.255.255.0 standby 10.106.44.37
!! Enable WebVPN on respective interface
webvpn
enable OUTSIDE
anyconnect enable
!! IP pool and username configuration
ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
username cisco password cisco
!! Configure the require connection profile for SSL VPN
group-policy GroupPolicy_MC_RAVPN_2 internal
group-policy GroupPolicy_MC_RAVPN_2 attributes
banner value "Welcome to Context2 SSLVPN"
wins-server none
dns-server value 192.168.60.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_2 type remote-access
tunnel-group MC_RAVPN_2 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_2
tunnel-group MC_RAVPN_2 webvpn-attributes
group-alias MC_RAVPN_2 enable
group-url https://10.106.44.36/context2 enable
تحقق من تثبيت حزمة AnyConnect في سياق الإدارة ومن توفرها في سياقات مخصصة (قبل 9.6.2)
!! AnyConnect package is installed in Admin Context
ciscoasa/pri/admin/act# show run webvpn
webvpn
anyconnect image disk0:/anyconnect-win-3.1.10010-k9.pkg 1
anyconnect enable
ciscoasa/pri/admin/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
CISCO STC win2k+
3,1,10010
Hostscan Version 3.1.10010
Wed 07/22/2015 12:06:07.65
1 AnyConnect Client(s) installed
!! AnyConnect package is available in context1
ciscoasa/pri/admin/act# changeto context context1
ciscoasa/pri/context1/act# show run webvpn
webvpn
enable OUTSIDE
anyconnect enable
tunnel-group-list enable
ciscoasa/pri/context1/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
CISCO STC win2k+
3,1,10010
Hostscan Version 3.1.10010
Wed 07/22/2015 12:06:07.65
1 AnyConnect Client(s) installed
المراجع
معلومات ذات صلة
- أجهزة الأمان المعدلة Cisco ASA 5500 Series Adaptive Security Appliances
- دليل أستكشاف أخطاء عميل AnyConnect VPN وإصلاحها - مشاكل شائعة
- إدارة جلسات عمل AnyConnect ومراقبتها واستكشاف أخطائها وإصلاحها
- الدعم التقني والمستندات - Cisco Systems
- https://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/asa_new_features.pdf
التعليقات