Dieses Dokument enthält schrittweise Anweisungen, wie Cisco AnyConnect VPN-Client-Zugriff auf das Internet ermöglicht wird, während sie in eine Cisco Adaptive Security Appliance (ASA) 8.0.2 getunnelt werden. Diese Konfiguration ermöglicht dem Client den sicheren Zugriff auf Unternehmensressourcen über SSL und bietet gleichzeitig ungesicherten Zugriff auf das Internet durch Split-Tunneling.
Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:
ASA Security Appliance muss Version 8.x ausführen
Cisco AnyConnect VPN Client 2.x
Hinweis: Laden Sie das AnyConnect VPN Client-Paket (anyconnect-win*.pkg) vom Cisco Software Download herunter (nur registrierte Kunden). Kopieren Sie den AnyConnect VPN-Client in den Flash-Speicher der ASA, der auf die Computer der Remote-Benutzer heruntergeladen werden soll, um die SSL VPN-Verbindung mit der ASA herzustellen. Weitere Informationen finden Sie im Abschnitt Installation des AnyConnect Client im ASA-Konfigurationsleitfaden.
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Cisco ASA der Serie 5500 mit Softwareversion 8.0(2)
Cisco AnyConnect SSL VPN Client-Version für Windows 2.0.0343
PC mit Microsoft Vista, Windows XP SP2 oder Windows 2000 Professional SP4 und Microsoft Installer Version 3.1
Cisco Adaptive Security Device Manager (ASDM) Version 6.0(2)
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Der Cisco AnyConnect VPN Client stellt sichere SSL-Verbindungen zur Sicherheits-Appliance für Remote-Benutzer bereit. Ohne einen zuvor installierten Client geben Remote-Benutzer die IP-Adresse einer Schnittstelle in ihrem Browser ein, die für die Annahme von SSL VPN-Verbindungen konfiguriert ist. Wenn die Sicherheits-Appliance nicht so konfiguriert ist, dass http:// Anfragen an https:// umgeleitet werden, müssen Benutzer die URL im Formular https://<address> eingeben.
Nach der Eingabe der URL stellt der Browser eine Verbindung zu dieser Schnittstelle her und zeigt den Anmeldebildschirm an. Wenn der Benutzer die Anmeldung und Authentifizierung erfüllt und die Sicherheits-Appliance den Benutzer als den Client erfordert, lädt sie den Client herunter, der dem Betriebssystem des Remote-Computers entspricht. Nach dem Herunterladen installiert und konfiguriert sich der Client selbst, stellt eine sichere SSL-Verbindung her und bleibt bzw. deinstalliert sich beim Beenden der Verbindung (abhängig von der Konfiguration der Sicherheits-Appliance) selbst.
Bei einem bereits installierten Client überprüft die Sicherheits-Appliance bei der Benutzerauthentifizierung die Client-Version und aktualisiert den Client bei Bedarf.
Wenn der Client eine SSL VPN-Verbindung mit der Security Appliance aushandelt, wird die Verbindung über Transport Layer Security (TLS) und optional über Datagram Transport Layer Security (DTLS) hergestellt. DTLS vermeidet Latenz- und Bandbreitenprobleme im Zusammenhang mit einigen SSL-Verbindungen und verbessert die Leistung von Echtzeitanwendungen, die empfindlich auf Paketverzögerungen reagieren.
Der AnyConnect-Client kann von der Sicherheits-Appliance heruntergeladen oder vom Systemadministrator manuell auf dem Remote-PC installiert werden. Weitere Informationen zur manuellen Installation des Clients finden Sie im Administratorhandbuch für den Cisco AnyConnect VPN Client.
Die Sicherheits-Appliance lädt den Client basierend auf den Gruppenrichtlinien- oder Benutzernamen-Attributen des Benutzers, der die Verbindung herstellt, herunter. Sie können die Sicherheitsappliance so konfigurieren, dass der Client automatisch heruntergeladen wird, oder Sie können sie so konfigurieren, dass der Remote-Benutzer aufgefordert wird, den Client herunterzuladen. Im letzteren Fall, wenn der Benutzer nicht antwortet, können Sie die Sicherheits-Appliance so konfigurieren, dass der Client entweder nach einer Timeout-Periode heruntergeladen wird oder die Anmeldeseite angezeigt wird.
In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.
Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
Hinweis: Die in dieser Konfiguration verwendeten IP-Adressierungsschemata sind im Internet nicht rechtlich routbar. Sie sind RFC 1918 -Adressen, die in einer Laborumgebung verwendet werden.
In diesem Dokument wird davon ausgegangen, dass die Basiskonfiguration, z. B. die Schnittstellenkonfiguration, bereits erstellt wurde und ordnungsgemäß funktioniert.
Hinweis: Informationen zur Konfiguration der ASA durch den ASDM finden Sie unter Zulassen von HTTPS-Zugriff für ASDM.
Hinweis: WebVPN und ASDM können nicht auf derselben ASA-Schnittstelle aktiviert werden, es sei denn, Sie ändern die Portnummern. Weitere Informationen finden Sie unter ASDM und WebVPN Enabled auf derselben ASA-Schnittstelle.
Gehen Sie wie folgt vor, um das SSL VPN auf ASA mit Split-Tunneling zu konfigurieren:
Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > Address Management > Address Pools > Add aus, um einen IP-Adresspool vpnpool zu erstellen.
Klicken Sie auf Übernehmen.
Entsprechende CLI-Konfiguration:
Cisco ASA 8.0(2) |
---|
ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0 |
Aktivieren Sie WebVPN.
Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles aus, und klicken Sie unter Access Interfaces auf die Kontrollkästchen Allow Access and Enable DTLS for the external interface. Aktivieren Sie außerdem das Kontrollkästchen Enable Cisco AnyConnect VPN Client or Legacy SSL VPN Client access (Cisco AnyConnect VPN-Client oder Legacy-SSL VPN-Client-Zugriff aktivieren) in der in der Tabelle unten ausgewählten Schnittstelle, um SSL VPN auf der externen Schnittstelle zu aktivieren.
Klicken Sie auf Übernehmen.
Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > Advanced > SSL VPN > Client Settings > Add, um das Cisco AnyConnect VPN-Client-Image aus dem Flash-Speicher der ASA hinzuzufügen, wie gezeigt.
Klicken Sie auf OK.
Klicken Sie auf Hinzufügen.
Entsprechende CLI-Konfiguration:
Cisco ASA 8.0(2) |
---|
ciscoasa(config)#webvpn ciscoasa(config-webvpn)#enable outside ciscoasa(config-webvpn)#svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1 ciscoasa(config-webvpn)#tunnel-group-list enable ciscoasa(config-webvpn)#svc enable |
Konfigurieren Sie die Gruppenrichtlinie.
Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > Group Policies (Konfiguration > Remote Access VPN > Netzwerk (Client) Access > Group Policies (Konfigurationsrichtlinien), um eine interne Gruppenrichtlinien-Clientgruppe zu erstellen. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen SSL VPN Client, um das WebVPN als Tunneling-Protokoll zu aktivieren.
Deaktivieren Sie auf der Registerkarte Erweitert > Getrenntes Tunneling das Kontrollkästchen Erben für Split Tunnel Policy (Tunnel-Richtlinie teilen), und wählen Sie unten in der Dropdown-Liste die Option Tunnel Network List (Tunnel-Netzwerkliste) aus.
Deaktivieren Sie das Kontrollkästchen Erben für die Split Tunnel Network List (Kanalliste für Tunnel-Netzwerk teilen), und klicken Sie dann auf Manage (Verwalten), um den ACL Manager zu starten.
Wählen Sie im ACL Manager Hinzufügen > ACL hinzufügen aus.. um eine neue Zugriffsliste zu erstellen.
Geben Sie einen Namen für die ACL an, und klicken Sie auf OK.
Sobald der ACL-Name erstellt wurde, wählen Sie Add > Add ACE (Hinzufügen > ACE hinzufügen, um einen Zugriffssteuerungseintrag (ACE) hinzuzufügen.
Definieren Sie den ACE, der dem LAN hinter der ASA entspricht. In diesem Fall ist das Netzwerk 10.77.241.128/26 und wählen Zulassen als Aktion aus.
Klicken Sie auf OK, um den ACL Manager zu verlassen.
Stellen Sie sicher, dass die gerade erstellte ACL für die Split-Tunnel-Netzwerkliste ausgewählt ist. Klicken Sie auf OK, um zur Gruppenrichtlinienkonfiguration zurückzukehren.
Klicken Sie auf der Hauptseite auf Übernehmen und dann auf Senden (falls erforderlich), um die Befehle an die ASA zu senden.
Konfigurieren Sie die SSL VPN-Einstellungen im Gruppenrichtlinienmodus.
Deaktivieren Sie für die Option Installer auf Client-System beibehalten das Kontrollkästchen Erben, und klicken Sie auf das Optionsfeld Ja.
Dadurch kann die SVC-Software auf dem Client-Rechner verbleiben. Daher muss die ASA die SVC-Software nicht jedes Mal auf den Client herunterladen, wenn eine Verbindung hergestellt wird. Diese Option ist eine gute Wahl für Remote-Benutzer, die häufig auf das Unternehmensnetzwerk zugreifen.
Klicken Sie auf Login Setting, um die Post Login-Einstellung und die Post Login-Standardauswahl wie dargestellt festzulegen.
Deaktivieren Sie bei der Option zum Intervall der Neuverhandlung das Kontrollkästchen Erben, deaktivieren Sie das Kontrollkästchen Unlimited (Unbegrenzt), und geben Sie die Anzahl der Minuten bis zum erneuten Auftreten ein.
Die Sicherheit wird verbessert, indem die Gültigkeitsdauer eines Schlüssels beschränkt wird.
Deaktivieren Sie für die Option Methode der Neuverhandlung das Kontrollkästchen Erben, und klicken Sie auf das SSL-Optionsfeld.
Bei der Neuverhandlung kann der aktuelle SSL-Tunnel oder ein neuer Tunnel verwendet werden, der speziell für die Neuverhandlung erstellt wurde.
Klicken Sie auf OK und dann auf Übernehmen.
Entsprechende CLI-Konfiguration:
Cisco ASA 8.0(2) |
---|
ciscoasa(config)#access-list split-tunnel standard permit 10.77.241.128 255.255.255.1922 ciscoasa(config)#group-policy clientgroup internal ciscoasa(config)#group-policyclientgroup attributes ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified ciscoasa(config-group-policy)#split-tunnel-network-list value split-tunnel ciscoasa(config-group-policy)#webvpn ciscoasa(config-group-webvpn)#svc ask none default svc ciscoasa(config-group-webvpn)#svc keep-installer installed ciscoasa(config-group-webvpn)#svc rekey time 30 ciscoasa(config-group-webvpn)#svc rekey method ssl |
Wählen Sie Configuration > Remote Access VPN > AAA Setup > Local Users > Add aus, um ein neues Benutzerkonto ssluser1 zu erstellen. Klicken Sie auf OK und dann auf Übernehmen.
Entsprechende CLI-Konfiguration:
Cisco ASA 8.0(2) |
---|
ciscoasa(config)#username ssluser1 password asdmASA@ |
Wählen Sie Configuration > Remote Access VPN > AAA Setup > AAA Servers Groups > Edit aus, um die Standardservergruppe LOCAL zu ändern, indem Sie das Kontrollkästchen Enable Local User Lockout (Lokale Benutzersperre aktivieren) mit dem Wert für maximale Zugriffsversuche auf 16 aktivieren.
Klicken Sie auf OK und dann auf Übernehmen.
Entsprechende CLI-Konfiguration:
Cisco ASA 8.0(2) |
---|
ciscoasa(config)#aaa local authentication attempts max-fail 16 |
Konfigurieren Sie die Tunnelgruppe.
Wählen Sie Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles Connection Profiles Profile > Add, um eine neue Tunnelgruppen-SSL-Gruppe zu erstellen.
Auf der Registerkarte Basic (Grundlegende) können Sie die folgende Konfigurationsliste ausführen:
Geben Sie der Tunnelgruppe den Namen sslgroup.
Wählen Sie unter Client Address Assignment (Client-Adressenzuweisung) den Adresspool vpnpool aus der Dropdown-Liste aus.
Wählen Sie unter Default Group Policy (Standardgruppenrichtlinie) die Gruppenrichtlinien-Clientgruppe aus der Dropdown-Liste aus.
Geben Sie auf der Registerkarte SSL VPN > Connection Aliases (SSL VPN > VerbindungsAliase) den Namen des Gruppen-Alias als sslgroup_users an, und klicken Sie auf OK.
Klicken Sie auf OK und dann auf Übernehmen.
Entsprechende CLI-Konfiguration:
Cisco ASA 8.0(2) |
---|
ciscoasa(config)#tunnel-group sslgroup type remote-access ciscoasa(config)#tunnel-group sslgroup general-attributes ciscoasa(config-tunnel-general)#address-pool vpnpool ciscoasa(config-tunnel-general)#default-group-policy clientgroup ciscoasa(config-tunnel-general)#exit ciscoasa(config)#tunnel-group sslgroup webvpn-attributes ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable |
Konfigurieren Sie NAT.
Wählen Sie Configuration > Firewall > NAT Rules > Add Dynamic NAT Rule (Konfiguration > Firewall > NAT-Regeln > Dynamische NAT-Regel hinzufügen, damit der Datenverkehr aus dem internen Netzwerk mit der externen IP-Adresse 172.16.1.5 übersetzt werden kann.
Klicken Sie auf OK.
Klicken Sie auf OK.
Klicken Sie auf Übernehmen.
Entsprechende CLI-Konfiguration:
Cisco ASA 8.0(2) |
---|
ciscoasa(config)#global (outside) 1 172.16.1.5 ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0 |
Konfigurieren Sie die NAT-Ausnahme für den Rückverkehr vom internen Netzwerk zum VPN-Client.
ciscoasa(config)#access-list nonat permit ip 10.77.241.0 192.168.10.0 ciscoasa(config)#access-list nonat permit ip 192.168.10.0 10.77.241.0 ciscoasa(config)#nat (inside) 0 access-list nonat
Cisco ASA 8.0(2) |
---|
ciscoasa(config)#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif inside security-level 100 ip address 10.77.241.142 255.255.255.192 ! interface Ethernet0/1 nameif outside security-level 0 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa802-k8.bin ftp mode passive clock timezone IST 5 30 dns server-group DefaultDNS domain-name default.domain.invalid access-list split-tunnel standard permit 10.77.241.128 255.255.255.192 !--- ACL for Split Tunnel network list for encryption. access-list nonat permit ip 10.77.241.0 192.168.10.0 access-list nonat permit ip 192.168.10.0 10.77.241.0 !--- ACL to define the traffic to be exempted from NAT. pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0 !--- The address pool for the Cisco AnyConnect SSL VPN Clients no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin no asdm history enable arp timeout 14400 global (outside) 1 172.16.1.5 !--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. nat (inside) 0 access-list nonat !--- The traffic permitted in "nonat" ACL is exempted from NAT. nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 172.16.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no crypto isakmp nat-traversal telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global webvpn enable outside !--- Enable WebVPN on the outside interface svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1 !--- Assign an order to the AnyConnect SSL VPN Client image svc enable !--- Enable the security appliance to download SVC images to remote computers tunnel-group-list enable !--- Enable the display of the tunnel-group list on the WebVPN Login page group-policy clientgroup internal !--- Create an internal group policy "clientgroup" group-policy clientgroup attributes vpn-tunnel-protocol svc !--- Specify SSL as a permitted VPN tunneling protocol split-tunnel-policy tunnelspecified split-tunnel-network-list value split-tunnel !--- Encrypt the traffic specified in the split tunnel ACL only webvpn svc keep-installer installed !--- When the security appliance and the SVC perform a rekey, they renegotiate !--- the crypto keys and initialization vectors, increasing the security of the connection. svc rekey time 30 !--- Command that specifies the number of minutes from the start of the !--- session until the rekey takes place, from 1 to 10080 (1 week). svc rekey method ssl !--- Command that specifies that SSL renegotiation takes place during SVC rekey. svc ask none default svc username ssluser1 password ZRhW85jZqEaVd5P. encrypted !--- Create a user account "ssluser1" tunnel-group sslgroup type remote-access !--- Create a tunnel group "sslgroup" with type as remote access tunnel-group sslgroup general-attributes address-pool vpnpool !--- Associate the address pool vpnpool created default-group-policy clientgroup !--- Associate the group policy "clientgroup" created tunnel-group sslgroup webvpn-attributes group-alias sslgroup_users enable !--- Configure the group alias as sslgroup-users prompt hostname context Cryptochecksum:af3c4bfc4ffc07414c4dfbd29c5262a9 : end ciscoasa(config)# |
Gehen Sie wie folgt vor, um eine SSL VPN-Verbindung mit ASA herzustellen:
Geben Sie die URL oder die IP-Adresse der WebVPN-Schnittstelle der ASA in Ihrem Webbrowser im gezeigten Format ein.
https://url
ODER
https://<IP address of the ASA WebVPN interface>
Geben Sie Ihren Benutzernamen und Ihr Kennwort ein. Wählen Sie auch Ihre jeweilige Gruppe aus der Dropdown-Liste aus, wie dargestellt.
Dieses Fenster wird angezeigt, bevor die SSL VPN-Verbindung hergestellt wird.
Hinweis: Die ActiveX-Software muss auf Ihrem Computer installiert sein, bevor Sie den SVC herunterladen können.
Sie erhalten dieses Fenster, sobald die Verbindung hergestellt ist.
Klicken Sie auf die Sperre, die in der Taskleiste Ihres Computers angezeigt wird.
Dieses Fenster wird angezeigt und enthält Informationen zur SSL-Verbindung. Beispielsweise ist 192.168.10.1 die zugewiesene IP von der ASA usw.
In diesem Fenster werden die Versionsinformationen des Cisco AnyConnect VPN-Clients angezeigt.
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
show webvpn svc: Zeigt die im ASA-Flash-Speicher gespeicherten SVC-Images an.
ciscoasa#show webvpn svc 1. disk0:/anyconnect-win-2.0.0343-k9.pkg 1 CISCO STC win2k+ 2,0,0343 Mon 04/23/2007 4:16:34.63 1 SSL VPN Client(s) installed
show vpn-sessiondb svc: Zeigt Informationen über die aktuellen SSL-Verbindungen an.
ciscoasa#show vpn-sessiondb svc Session Type: SVC Username : ssluser1 Index : 12 Assigned IP : 192.168.10.1 Public IP : 192.168.1.1 Protocol : Clientless SSL-Tunnel DTLS-Tunnel Encryption : RC4 AES128 Hashing : SHA1 Bytes Tx : 194118 Bytes Rx : 197448 Group Policy : clientgroup Tunnel Group : sslgroup Login Time : 17:12:23 IST Mon Mar 24 2008 Duration : 0h:12m:00s NAC Result : Unknown VLAN Mapping : N/A VLAN : none
show webvpn group-alias: Zeigt den konfigurierten Alias für verschiedene Gruppen an.
ciscoasa#show webvpn group-alias Tunnel Group: sslgroup Group Alias: sslgroup_users enabled
Wählen Sie im ASDM Monitoring > VPN > VPN Statistics > Sessions aus, um die aktuellen WebVPN-Sitzungen in der ASA zu erfahren.
Dieser Abschnitt enthält Informationen zur Fehlerbehebung in Ihrer Konfiguration.
vpn-sessiondb logoff name <username>: Befehl zum Abmelden der SSL VPN-Sitzung für den jeweiligen Benutzernamen.
ciscoasa#vpn-sessiondb logoff name ssluser1 Do you want to logoff the VPN session(s)? [confirm] Y INFO: Number of sessions with name "ssluser1" logged off : 1 ciscoasa#Called vpn_remove_uauth: success! webvpn_svc_np_tear_down: no ACL webvpn_svc_np_tear_down: no IPv6 ACL np_svc_destroy_session(0xB000)
Ebenso können Sie den Befehl vpn-sessiondb logoff svc verwenden, um alle SVC-Sitzungen zu beenden.
Hinweis: Wenn der PC in den Standby- oder Ruhemodus wechselt, kann die SSL VPN-Verbindung beendet werden.
webvpn_rx_data_cstp webvpn_rx_data_cstp: got message SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, e tc) Called vpn_remove_uauth: success! webvpn_svc_np_tear_down: no ACL webvpn_svc_np_tear_down: no IPv6 ACL np_svc_destroy_session(0xA000)
ciscoasa#show vpn-sessiondb svc INFO: There are presently no active sessions
debug webvpn svc <1-255>: Stellt die Webvpn-Ereignisse in Echtzeit bereit, um die Sitzung einzurichten.
Ciscoasa#debug webvpn svc 7 webvpn_rx_data_tunnel_connect CSTP state = HEADER_PROCESSING http_parse_cstp_method() ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1' webvpn_cstp_parse_request_field() ...input: 'Host: 172.16.1.1' Processing CSTP header line: 'Host: 172.16.1.1' webvpn_cstp_parse_request_field() ...input: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343' Processing CSTP header line: 'User-Agent: Cisco AnyConnect VPN Client 2, 0, 0343 ' Setting user-agent to: 'Cisco AnyConnect VPN Client 2, 0, 0343' webvpn_cstp_parse_request_field() ...input: 'Cookie: webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B08B 7D75F4EDEF26' Processing CSTP header line: 'Cookie: webvpn=16885952@12288@1206098825@D251883E8 625B92C1338D631B08B7D75F4EDEF26' Found WebVPN cookie: 'webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B 08B7D75F4EDEF26' WebVPN Cookie: 'webvpn=16885952@12288@1206098825@D251883E8625B92C1338D631B08B7D7 5F4EDEF26' webvpn_cstp_parse_request_field() ...input: 'X-CSTP-Version: 1' Processing CSTP header line: 'X-CSTP-Version: 1' Setting version to '1' webvpn_cstp_parse_request_field() ...input: 'X-CSTP-Hostname: tacweb' Processing CSTP header line: 'X-CSTP-Hostname: tacweb' Setting hostname to: 'tacweb' webvpn_cstp_parse_request_field() ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0' Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0' webvpn_cstp_parse_request_field() ...input: 'X-CSTP-MTU: 1206' Processing CSTP header line: 'X-CSTP-MTU: 1206' webvpn_cstp_parse_request_field() ...input: 'X-CSTP-Address-Type: IPv4' Processing CSTP header line: 'X-CSTP-Address-Type: IPv4' webvpn_cstp_parse_request_field() ...input: 'X-DTLS-Master-Secret: CE151BA2107437EDE5EC4F5EE6AEBAC12031550B1812D40 642E22C6AFCB9501758FF3B7B5545973C06F6393C92E59693' Processing CSTP header line: 'X-DTLS-Master-Secret: CE151BA2107437EDE5EC4F5EE6AE BAC12031550B1812D40642E22C6AFCB9501758FF3B7B5545973C06F6393C92E59693' webvpn_cstp_parse_request_field() ...input: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA' Processing CSTP header line: 'X-DTLS-CipherSuite: AES256-SHA:AES128-SHA:DES-CBC3 -SHA:DES-CBC-SHA' Validating address: 0.0.0.0 CSTP state = WAIT_FOR_ADDRESS webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0 CSTP state = HAVE_ADDRESS No subnetmask... must calculate it SVC: NP setup np_svc_create_session(0x3000, 0xD41611E8, TRUE) webvpn_svc_np_setup SVC ACL Name: NULL SVC ACL ID: -1 SVC ACL ID: -1 vpn_put_uauth success! SVC IPv6 ACL Name: NULL SVC IPv6 ACL ID: -1 SVC: adding to sessmgmt SVC: Sending response Unable to initiate NAC, NAC might not be enabled or invalid policy CSTP state = CONNECTED webvpn_rx_data_cstp webvpn_rx_data_cstp: got internal message Unable to initiate NAC, NAC might not be enabled or invalid policy
Wählen Sie im ASDM Monitoring > Logging > Real-time Log Viewer > View (Überwachung > Anmeldung > Echtzeit-Protokollanzeige > Anzeigen), um die Ereignisse in Echtzeit anzuzeigen.
Dieses Beispiel zeigt, dass die SSL-Sitzung mit dem Headend-Gerät eingerichtet wurde.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
02-Oct-2009 |
Erstveröffentlichung |