ASA: VPN de acceso remoto en modo multicontexto (AnyConnect)

Opciones de descarga

  • PDF     (282.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (179.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (192.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:6 de agosto de 2020
ID del documento:1455201386072519

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar la red privada virtual (VPN) de acceso remoto (RA) en el firewall Cisco Adaptive Security Appliance (ASA) en modo de contexto múltiple (MC) mediante la CLI. Muestra el Cisco ASA en el modo de contexto múltiple con características soportadas/no soportadas y requisitos de licencia con respecto a RA VPN.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Configuración de ASA AnyConnect SSL
    • Configuración de Contexto Múltiple ASA

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • AnyConnect Secure Mobility Client versión 4.4.00243
    • Dos ASA5525 con la versión 9.6(2) del software ASA

    Nota: Descargue el paquete AnyConnect VPN Client de Cisco Software Download (sólo clientes registrados) .

    Nota: The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Antecedentes

    Multi-context es una forma de virtualización que permite que varias copias independientes de una aplicación se ejecuten simultáneamente en el mismo hardware, con cada copia (o dispositivo virtual) apareciendo como un dispositivo físico independiente para el usuario. Esto permite que un solo ASA aparezca como varios ASA para varios usuarios independientes. La familia ASA ha soportado firewalls virtuales desde su lanzamiento inicial; sin embargo, no había compatibilidad con virtualización para el acceso remoto en el ASA. Se agregó compatibilidad con VPN LAN2LAN (L2L) para la versión 9.0 con múltiples contextos.

    Nota: Desde 9.5.2 compatibilidad con virtualización basada en múltiples contextos para conexiones VPN Remote Access (RA) al ASA.

    A partir de 9.6.2 contamos con soporte para la virtualización de Flash, lo que significa que podemos tener la imagen de Anyconnect por contexto.

    Historial de características para multicontexto

    Nuevas funciones añadidas en ASA 9.6(2)

    Función Descripción
    Función Pre-fill/Username-from-cert para el modo multiple context

    La compatibilidad con AnyConnect SSL se amplía, lo que permite que las CLI de características pre-fill/username-from-certificate, previamente disponibles sólo en modo único, se habiliten también en modo de contexto múltiple.
    Virtualización Flash para VPN de acceso remoto La VPN de acceso remoto en modo de contexto múltiple ahora admite la virtualización flash. Cada contexto puede tener un espacio de almacenamiento privado y un lugar de almacenamiento compartido basado en la memoria flash total disponible.
    Perfiles de cliente AnyConnect compatibles con dispositivos multicontexto Los perfiles de cliente de AnyConnect son compatibles con dispositivos multicontexto. Para agregar un nuevo perfil mediante ASDM, debe tener AnyConnect Secure Mobility Client versión 4.2.00748 o 4.3.03013 y posteriores.
    Conmutación por fallo stateful para conexiones AnyConnect en modo de contexto múltiple La conmutación por fallas stateful ahora es compatible con las conexiones de AnyConnect en el modo multiple context.
    La política de acceso dinámico (DAP) de VPN de acceso remoto se admite en modo de contexto múltiple Ahora puede configurar DAP por contexto en el modo de contexto múltiple.
    Remote Access VPN CoA (Cambio de autorización) es compatible en modo de contexto múltiple Ahora puede configurar CoA por contexto en el modo de contexto múltiple.
    La localización de VPN de acceso remoto se admite en el modo de contexto múltiple

    La localización es compatible de forma global. Sólo hay un conjunto de archivos de localización que se comparten en diferentes contextos.
    Se soporta el almacenamiento de captura de paquetes por contexto.

    El propósito de esta función es permitir al usuario copiar una captura directamente desde un contexto al almacenamiento externo o al almacenamiento privado de contexto en la memoria flash. Esta función también permite copiar la captura sin procesar a las herramientas de captura de paquetes externas como, por ejemplo, el tiburón de alambre desde un contexto. 

    Características de ASA 9.5(2)

    Función Descripción
    AnyConnect 4.x y versiones posteriores (sólo SSL VPN; sin compatibilidad con IKEv2)

    Compatibilidad con virtualización basada en múltiples contextos para conexiones VPN Remote Access (RA) al ASA.

    Configuración centralizada de la imagen de AnyConnect
    • El almacenamiento flash no está virtualizado.
    • La imagen de AnyConnect se configura globalmente en el contexto de administración y la configuración se aplica a todos los contextos

    Actualización de imagen de AnyConnect

    		 Los perfiles de cliente de AnyConnect son compatibles con dispositivos multicontexto. Para agregar un nuevo perfil mediante ASDM, debe tener AnyConnect Secure Mobility Client versión 4.2.00748 o 4.3.03013 y posteriores.
    Administración de recursos de contexto para conexiones AnyConnect
    • Capacidad de configuración para controlar el uso máximo de licencias por contexto
    • Capacidad de configuración para permitir la ráfaga de licencias por contexto

    Licencias

    • Se requiere licencia AnyConnect Apex
    • Licencias Essentials ignoradas/no permitidas
    • Capacidad de configuración para controlar el uso máximo de licencias por contexto
    • Capacidad de configuración para permitir la ráfaga de licencias por contexto

    Configurar

    Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

    Diagrama de la red

    Nota: Varios contextos en este ejemplo comparten una interfaz (EXTERNA) y, a continuación, el clasificador utiliza las direcciones MAC únicas (automáticas o manuales) de la interfaz para reenviar paquetes. Para obtener más detalles sobre cómo el dispositivo de seguridad clasifica los paquetes en múltiples contextos, consulte Cómo clasifica el ASA los paquetes

    El siguiente procedimiento de configuración es con la versión ASA 9.6.2 y posterior, que ilustra algunas de las nuevas funciones disponibles.Las diferencias en el procedimiento de configuración para las versiones ASA anteriores a 9.6.2 (y superiores a 9.5.2) se documentan en el Apéndice A del documento.

    A continuación se describen las configuraciones necesarias en Contexto del sistema y Contextos personalizados para configurar VPN de acceso remoto:

    Configuraciones iniciales en el contexto del sistema

    Para empezar, en el contexto del sistema configure la conmutación por fallas, la asignación de recursos VPN, los contextos personalizados y la verificación de la licencia Apex. El procedimiento y las configuraciones se describen en esta sección y en la siguiente 

    Paso 1. Configuración de conmutación por fallas.

     !! Active Firewall 

failover
failover lan unit primary
failover lan interface LAN_FAIL GigabitEthernet0/3
failover link LAN_FAIL GigabitEthernet0/3
failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2
failover group 1
failover group 2

 !! Secondary Firewall 

failover
failover lan unit secondary
failover lan interface LAN_FAIL GigabitEthernet0/3
failover link LAN_FAIL GigabitEthernet0/3
failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2
failover group 1
failover group 2

    Paso 2. Asigne un recurso VPN.

    Configurado mediante la configuración de clase existente. Las licencias se permiten por el número de licencias o el % del total por contexto

    Nuevos tipos de recursos introducidos para MC RAVPN:

    • VPN AnyConnect: Garantizado a un contexto y que no puede sobresuscribirse
    • VPN Burst AnyConnect: Permitir licencias adicionales de contexto más allá del límite garantizado. La agrupación de ráfagas consiste en licencias que no están garantizadas a un contexto y se permite a un contexto de ráfaga por orden de llegada

    Modelo de aprovisionamiento de licencias VPN:

    Nota: ASA5585 ofrece un máximo de 10 000 sesiones de usuario de Cisco AnyConnect y, en este ejemplo, 4000 sesiones de usuario de Cisco AnyConnect se asignan por contexto.

    class resource02 
      limit-resource VPN AnyConnect 4000
      limit-resource VPN Burst AnyConnect 2000

    class resource01 
      limit-resource VPN AnyConnect 4000
      limit-resource VPN Burst AnyConnect 2000

    Paso 3. Configure contextos y asigne recursos.

    Nota: En este ejemplo, GigabitEthernet0/0 se comparte entre todo el contexto.

      

    admin-context admin
context admin
  allocate-interface GigabitEthernet0/0 
  config-url disk0:/admin

context context1
  member resource01 
  allocate-interface GigabitEthernet0/0 
  allocate-interface GigabitEthernet0/1
  config-url disk0:/context1
  join-failover-group 1

context context2
  member resource02 
  allocate-interface GigabitEthernet0/0 
  allocate-interface GigabitEthernet0/2
  config-url disk0:/context2
  join-failover-group 2

    Paso 4. Verifique que Apex License esté instalada en el ASA, consulte el siguiente enlace para obtener más detalles.

    Activación o desactivación de claves de activación

    Paso 5. Configure un paquete de imagen de Anyconnect. Dependiendo de la versión de ASA que se esté utilizando, hay dos maneras de cargar la imagen de Anyconnect y configurar para RA VPN. Si la versión es 9.6.2 y posterior, se puede utilizar la virtualización de Flash. Para las versiones anteriores a la 9.6.2, consulte el Apéndice A

    Nota: En la versión 9.6.2 y superiores, contamos con soporte para la virtualización de Flash, lo que significa que podemos tener la imagen de Anyconnect por contexto.

    Virtualización Flash

    La VPN de acceso remoto requiere almacenamiento flash para varias configuraciones e imágenes como paquetes de AnyConnect, paquetes de análisis de host, configuración de DAP, complementos, personalización y localización, etc. En el modo multicontexto antes de 9.6.2, los contextos de usuario no pueden acceder a ninguna parte de la memoria flash y la memoria flash se administra y se puede acceder a ella sólo a través del contexto del sistema. 

    Para resolver esta limitación, mientras se mantiene la seguridad y privacidad de los archivos en la memoria flash, así como la capacidad de compartir la memoria flash de forma justa entre contextos, se crea un sistema de archivos virtual para la memoria flash en modo multicontexto. El propósito de esta función es permitir que las imágenes de AnyConnect se configuren por contexto en lugar de que se configuren globalmente. Esto permite que diferentes usuarios tengan instaladas diferentes imágenes de AnyConnect. Además, al permitir compartir imágenes de AnyConnect, se puede reducir la cantidad de memoria que consumen estas imágenes. El almacenamiento compartido se utiliza para almacenar archivos y paquetes comunes a todos los contextos. 

    Nota: El administrador del contexto del sistema seguirá teniendo acceso de lectura y escritura completo a toda la memoria flash y a los sistemas de archivos de almacenamiento privado y compartido.El administrador del sistema deberá crear una estructura de directorios y organizar todos los archivos privados y compartidos en diferentes directorios para que estos directorios puedan configurarse para que los contextos accedan como almacenamiento compartido y almacenamiento privado, respectivamente.

    Cada contexto tendrá permiso de lectura/escritura/eliminación para su propio almacenamiento privado y tendrá acceso de sólo lectura a su almacenamiento compartido. Sólo el contexto del sistema tendrá acceso de escritura al almacenamiento compartido

    En las siguientes configuraciones, se configurará el contexto personalizado 1 para ilustrar el almacenamiento privado, y el contexto personalizado 2 se configurará para ilustrar el almacenamiento compartido.

    Almacenamiento privado

          Puede especificar un espacio de almacenamiento privado por contexto. Puede leer/escribir/eliminar desde este directorio dentro del contexto (así como desde el espacio de ejecución del sistema). En la ruta especificada, ASA crea un subdirectorio con el nombre del contexto.

    Por ejemplo, para context1 si especifica disk0:/private-storage para la trayectoria, el ASA crea un sub-directorio para este contexto en disk0:/private-storage/context1/.

    Almacenamiento compartido

           Se puede especificar un espacio de almacenamiento compartido de sólo lectura por contexto. Para reducir la duplicación de archivos grandes comunes que se pueden compartir en todos los contextos (como los paquetes de AnyConnect), se puede utilizar el espacio de almacenamiento compartido.


    Configuraciones para utilizar el espacio de almacenamiento privado

    !! Create a directory in the system context.
    ciscoasa(config)# mkdir private_context1

    !! Define the directory as private storage url in the respective context.

    ciscoasa(config)# context context1
ciscoasa(config-ctx)# storage-url private disk0:/private_context1 context1 

    !! Transfer the anyconnect image in the sub directory.
    ciscoasa(config)# copy flash:/anyconnect-win-4.2.01035-k9.pkg flash:/private_context1/context1

    Configuraciones para utilizar el espacio de almacenamiento compartido

    !! Create a directory in the system context.

    ciscoasa(config)# mkdir shared

    !! Define the directory as shared storage url in the respective contexts.

    ciscoasa(config)# context context2
ciscoasa(config-ctx)# storage-url shared disk0:/shared shared 

    !! Transfer the anyconnect image in the shared directory.
    ciscoasa(config)# copy disk0:/anyconnect-win-4.3.05019-k9.pkg disk0:/shared 

    Verificar la imagen en los contextos respectivos

    !! Custom Context 1 configured for private storage.

    ciscoasa(config)#changeto context context1
    ciscoasa/context1(config)# show context1:
    213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg

    !! Custom Context 2  configured for shared storage.

    ciscoasa(config)#changeto context context2
    ciscoasa/context2(config)# show shared:
    195 25356342 May 24 2017 08:07:02 shared:/anyconnect-win-4.3.05017-k9.pkg

    Paso 6. A continuación se muestra el resumen de las configuraciones en el contexto del sistema que incluye las configuraciones de virtualización de flash descritas anteriormente:

    Contexto del sistema

    context context1
     member resource01
     allocate-interface GigabitEthernet0/0
     storage-url private disk0:/private_context1 context1
     config-url disk0:/context1.cfg
     join-failover-group 1
    ! 
    context context2
     member resource02
     allocate-interface GigabitEthernet0/1
     storage-url shared disk0:/shared shared
     config-url disk0:/context2.cfg
     join-failover-group 2

    Paso 7: Configure los dos contextos personalizados como se muestra a continuación

    Contexto personalizado 1

    !! Enable WebVPN on respective interfaces 

     webvpn
     enable outside
     anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1 
     anyconnect enable
     tunnel-group-list enable
     
    !! IP pool and username configuration 

    ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
    username cisco password cisco 
     
    !! Configure the required connection profile for SSL VPN 

    access-list split standard permit 192.168.1.0 255.255.255.0

    group-policy GroupPolicy_MC_RAVPN_1 internal
    group-policy GroupPolicy_MC_RAVPN_1 attributes
     banner value "Welcome to Context1 SSLVPN"
     wins-server none
     dns-server value 192.168.20.10
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelspecified
     split-tunnel-network-list value split
     default-domain value cisco.com

    tunnel-group MC_RAVPN_1 type remote-access
    tunnel-group MC_RAVPN_1 general-attributes
     address-pool mypool
     default-group-policy GroupPolicy_MC_RAVPN_1
    tunnel-group MC_RAVPN_1 webvpn-attributes
     group-alias MC_RAVPN_1 enable

    Contexto personalizado 2

    !! Enable WebVPN on respective interfaces 

     webvpn
     enable outside
     anyconnect image shared:/anyconnect-win-4.3.05017-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable
     
    !! IP pool and username configuration

     ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
     username cisco password cisco 
     
    !! Configure the required connection profile for SSL VPN 

     access-list split standard permit 192.168.1.0 255.255.255.0
     
     group-policy GroupPolicy_MC_RAVPN_2 internal
     group-policy GroupPolicy_MC_RAVPN_2 attributes
     banner value "Welcome to Context2 SSLVPN"
     wins-server none
     dns-server value 192.168.60.10
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelspecified
     split-tunnel-network-list value split
     default-domain value cisco.com
     !
     !
     tunnel-group MC_RAVPN_2 type remote-access
     tunnel-group MC_RAVPN_2 general-attributes
     address-pool mypool
     default-group-policy GroupPolicy_MC_RAVPN_2
     tunnel-group MC_RAVPN_2 webvpn-attributes
     group-alias MC_RAVPN_2 enable

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente. 

    Verifique si la licencia Apex está instalada

    ASA no reconoce específicamente una licencia AnyConnect Apex, pero aplica las características de licencia de una licencia Apex que incluyen:

    • Licencia de AnyConnect Premium al límite de la plataforma
    • AnyConnect para móvil
    • AnyConnect para teléfono Cisco VPN
    • Evaluación avanzada de terminales

    Se generará un syslog cuando se bloquee una conexión porque no se ha instalado una licencia AnyConnect Apex.

    Verifique si el paquete AnyConnect está disponible en contextos personalizados (9.6.2 y superiores)

    ! AnyConnect package is available in context1 

     ciscoasa/context1(config)# show context1:

    213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg

    ciscoasa/pri/context1/act# show run webvpn
    webvpn
     enable outside
     anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable

    En caso de que la imagen no esté presente en el contexto personalizado, consulte la configuración de imagen de Anyconnect (9.6.2 y superiores).

    Verificar si los usuarios pueden conectarse a través de AnyConnect en contextos personalizados

    Sugerencia: Para una mejor visualización, vea los vídeos que aparecen a continuación en pantalla completa.

      

    !! One Active Connection on Context1 

    ciscoasa/pri/context1/act# show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username : cisco Index : 5
    Assigned IP : 192.168.1.1 Public IP : 10.142.168.102
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium, AnyConnect for Mobile
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
    Bytes Tx : 3186 Bytes Rx : 426
    Group Policy : GroupPolicy_MC_RAVPN_1 Tunnel Group : MC_RAVPN_1
    Login Time : 15:33:25 UTC Thu Dec 3 2015
    Duration : 0h:00m:05s
    Inactivity : 0h:00m:00s
    VLAN Mapping : N/A VLAN : none
    Audt Sess ID : 0a6a2c2600005000566060c5
    Security Grp : none

     !! Changing Context to Context2 

    ciscoasa/pri/context1/act# changeto context context2

     !! One Active Connection on Context2 

    ciscoasa/pri/context2/act# show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username : cisco Index : 1
    Assigned IP : 192.168.51.1 Public IP : 10.142.168.94
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
    Bytes Tx : 10550 Bytes Rx : 1836
    Group Policy : GroupPolicy_MC_RAVPN_2 Tunnel Group : MC_RAVPN_2
    Login Time : 15:34:16 UTC Thu Dec 3 2015
    Duration : 0h:00m:17s
    Inactivity : 0h:00m:00s
    VLAN Mapping : N/A VLAN : none
    Audt Sess ID : 0a6a2c2400001000566060f8
    Security Grp : none

     !! Changing Context to System 

    ciscoasa/pri/context2/act# changeto system

     !! Notice total number of connections are two (for the device) 

    ciscoasa/pri/act# show vpn-sessiondb license-summary
    ---------------------------------------------------------------------------
    VPN Licenses and Configured Limits Summary
    ---------------------------------------------------------------------------
     Status : Capacity : Installed : Limit
     -----------------------------------------
    AnyConnect Premium : ENABLED : 10000 : 10000 : NONE
    Other VPN (Available by Default) : ENABLED : 10000 : 10000 : NONE
    AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
    Advanced Endpoint Assessment : ENABLED(Requires Premium)
    AnyConnect for Cisco VPN Phone : ENABLED
    VPN-3DES-AES : ENABLED
    VPN-DES : ENABLED
    ---------------------------------------------------------------------------

    ---------------------------------------------------------------------------
    VPN Licenses Usage Summary
    ---------------------------------------------------------------------------
     Local : Shared : All : Peak : Eff. :
     In Use : In Use : In Use : In Use : Limit : Usage
     ----------------------------------------------------
    AnyConnect Premium : 2 : 0 : 2 : 2 : 10000 : 0%
     AnyConnect Client : : 2 : 2 : 0%
     AnyConnect Mobile : : 2 : 2 : 0%
    Other VPN : : 0 : 0 : 10000 : 0%
     Site-to-Site VPN : : 0 : 0 : 0%
    ---------------------------------------------------------------------------

     !! Notice the resource usage per Context 

    ciscoasa/pri/act# show resource usage all resource VPN AnyConnect
    Resource Current Peak Limit Denied Context
    AnyConnect 1 1 4000 0 context1
    AnyConnect 1 1 4000 0 context2

    Troubleshoot

    Esta sección proporciona la información que puede utilizar para resolver problemas de su configuración.

    Resolución de problemas de AnyConnect

    Consejo: En caso de que ASA no tenga instalada la licencia Apex, la sesión de AnyConnect finalizará con el siguiente syslog:

    %ASA-6-725002: El dispositivo ha completado el intercambio de señales SSL con el cliente FUERA:10.142.168.86/51577 a 10.106.44.38/443 para la sesión TLSv1
    %ASA-6-113012: Autenticación de usuario AAA correcta: base de datos local: usuario = cisco
    %ASA-6-113009: AAA recuperó la política de grupo predeterminada (GroupPolicy_MC_RAVPN_1) para el usuario = cisco
    %ASA-6-113008: ACEPTACIÓN del estado de la transacción AAA: usuario = cisco
    %ASA-3-716057: Sesión IP de usuario de grupo <10.142.168.86> finalizada, no hay disponible ninguna licencia AnyConnect Apex
    %ASA-4-113038: IP de usuario de grupo <10.142.168.86> No se puede crear la sesión principal de AnyConnect.

    Apéndice A: Configuración de la imagen de Anyconnect para las versiones anteriores a la 9.6.2

    La imagen de AnyConnect se configura globalmente en el contexto de administración para las versiones de ASA anteriores a la 9.6.2 (tenga en cuenta que la función está disponible a partir de la 9.5.2) porque el almacenamiento flash no está virtualizado y sólo se puede acceder a él desde el contexto del sistema.

    Paso 5.1. Copie el archivo del paquete de AnyConnect en la memoria flash en el contexto del sistema.

    Contexto del sistema:

    ciscoasa(config)# show flash:

    195 25356342 May 24 2017 08:07:02 anyconnect-win-4.3.05017-k9.pkg

    Paso 5.2. Configurar la imagen de Anyconnect en el contexto Admin.

    Contexto de administración:

    webvpn
     anyconnect image disk0:/anyconnect-win-4.3.05017-k9.pkg 1
     anyconnect enable

    Nota: La imagen de Anyconnect sólo se puede configurar en el contexto de administración. Todos los contextos se refieren automáticamente a esta configuración global de la imagen de Anyconnect.

    Contexto personalizado 1:

     !! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
     
     interface GigabitEthernet0/0
     nameif OUTSIDE 
     security-level 0
     ip address 10.106.44.38 255.255.255.0 standby 10.106.44.39 

    !! Enable WebVPN on respective interfaces 

    webvpn
     enable OUTSIDE
     anyconnect enable

     !! IP pool and username configuration 

    ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0

    username cisco password cisco 

     !! Configure the require connection profile for SSL VPN 
     
    group-policy GroupPolicy_MC_RAVPN_1 internal
    group-policy GroupPolicy_MC_RAVPN_1 attributes
     banner value "Welcome to Context1 SSLVPN"
     wins-server none
     dns-server value 192.168.20.10
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelspecified
     split-tunnel-network-list value split
     default-domain value cisco.com

    tunnel-group MC_RAVPN_1 type remote-access
    tunnel-group MC_RAVPN_1 general-attributes
     address-pool mypool
     default-group-policy GroupPolicy_MC_RAVPN_1
    tunnel-group MC_RAVPN_1 webvpn-attributes
     group-alias MC_RAVPN_1 enable
     group-url https://10.106.44.38/context1 enable

    Contexto personalizado 2:

    !! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)

    interface GigabitEthernet0/0 
     nameif OUTSIDE 
     security-level 0 
     ip address 10.106.44.36 255.255.255.0 standby 10.106.44.37 

    !! Enable WebVPN on respective interface 

    webvpn
     enable OUTSIDE
     anyconnect enable

     !! IP pool and username configuration 

    ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0

    username cisco password cisco

     !! Configure the require connection profile for SSL VPN 
     
    group-policy GroupPolicy_MC_RAVPN_2 internal
    group-policy GroupPolicy_MC_RAVPN_2 attributes
     banner value "Welcome to Context2 SSLVPN"
     wins-server none
     dns-server value 192.168.60.10
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelspecified
     split-tunnel-network-list value split
     default-domain value cisco.com

    tunnel-group MC_RAVPN_2 type remote-access
    tunnel-group MC_RAVPN_2 general-attributes
     address-pool mypool
     default-group-policy GroupPolicy_MC_RAVPN_2
    tunnel-group MC_RAVPN_2 webvpn-attributes
     group-alias MC_RAVPN_2 enable
     group-url https://10.106.44.36/context2 enable

    Verifique si AnyConnect Package está instalado en el contexto de administración y está disponible en contextos personalizados (antes de 9.6.2)

    !! AnyConnect package is installed in Admin Context 

    ciscoasa/pri/admin/act# show run webvpn
    webvpn
     anyconnect image disk0:/anyconnect-win-3.1.10010-k9.pkg 1
     anyconnect enable

    ciscoasa/pri/admin/act# show webvpn anyconnect
    1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
     CISCO STC win2k+
     3,1,10010
     Hostscan Version 3.1.10010
     Wed 07/22/2015 12:06:07.65

    1 AnyConnect Client(s) installed

     !! AnyConnect package is available in context1 

    ciscoasa/pri/admin/act# changeto context context1

    ciscoasa/pri/context1/act# show run webvpn
    webvpn
     enable OUTSIDE
     anyconnect enable
     tunnel-group-list enable

    ciscoasa/pri/context1/act# show webvpn anyconnect
    1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
     CISCO STC win2k+
     3,1,10010
     Hostscan Version 3.1.10010
     Wed 07/22/2015 12:06:07.65

    1 AnyConnect Client(s) installed 

    Referencias

    Release Notes: 9.5(2)

    Release Notes: 9.6(2)

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Created by Adesh Gairola
      Cisco TAC Engineer
    • Created by Monal Mahajan
      Cisco TAC Engineer
    • Edited by Cesar Lopez Zamarripa
      Security Technical Leader

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos