ASA: VPN de acceso remoto en modo multicontexto (AnyConnect)

Opciones de descarga

PDF (391.9 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (183.2 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (187.9 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:6 de agosto de 2020

ID del documento:200353

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

En este documento se describe cómo configurar la red privada virtual (VPN) de acceso remoto (RA) en el firewall del dispositivo de seguridad adaptable (ASA) de Cisco en modo de múltiples contextos (MC) mediante la CLI. Muestra el Cisco ASA en modo de contexto múltiple, características admitidas/no admitidas y requisitos de licencia con respecto a RA VPN.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

Configuración de ASA AnyConnect SSL
Configuración de múltiples contextos ASA

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

AnyConnect Secure Mobility Client versión 4.4.00243
Dos ASA5525 con software ASA versión 9.6(2)

Nota: Descargue el paquete AnyConnect VPN Client desde Cisco Software Download (sólo para clientes registrados) .

Nota: La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Antecedentes

El contexto múltiple es una forma de virtualización que permite ejecutar simultáneamente varias copias independientes de una aplicación en el mismo hardware, y que cada copia (o dispositivo virtual) aparezca como un dispositivo físico independiente para el usuario. Esto permite que un único ASA aparezca como varios ASA para varios usuarios independientes. La familia ASA admite firewalls virtuales desde su lanzamiento inicial. sin embargo, no había compatibilidad de virtualización para el acceso remoto en ASA. Se añadió el soporte VPN LAN2LAN (L2L) para multicontexto para la versión 9.0.

Nota: Desde 9.5.2, la virtualización basada en múltiples contextos admite conexiones de acceso remoto VPN (RA) a ASA.

Desde la versión 9.6.2 tenemos soporte para la virtualización de Flash, lo que significa que podemos tener una imagen de Anyconnect por contexto.

Historial de funciones para multicontexto

Nuevas funciones añadidas en ASA 9.6(2)

Función	Descripción
Función Pre-fill/Username-from-cert para modo multiple context	Se amplía la compatibilidad con AnyConnect SSL, lo que permite habilitar también las CLI de las funciones de prellenado/nombre de usuario a partir de certificados, que antes solo estaban disponibles en modo único, en modo de contexto múltiple.
Virtualización Flash para VPN de acceso remoto	La VPN de acceso remoto en modo de contexto múltiple ahora admite la virtualización de flash. Cada contexto puede tener un espacio de almacenamiento privado y un lugar de almacenamiento compartido en función de la memoria flash total disponible.
Perfiles de cliente AnyConnect admitidos en dispositivos multicontexto	Los perfiles de cliente AnyConnect son compatibles con dispositivos multicontexto. Para agregar un nuevo perfil mediante ASDM, debe tener AnyConnect Secure Mobility Client versión 4.2.00748 o 4.3.03013 y versiones posteriores.
Conmutación por fallo stateful para conexiones AnyConnect en modo de contexto múltiple	La conmutación por fallo stateful ahora es compatible con las conexiones de AnyConnect en el modo de contexto múltiple.
La directiva de acceso dinámico (DAP) VPN de acceso remoto es compatible con el modo de contexto múltiple	Ahora puede configurar DAP por contexto en el modo de contexto múltiple.
La CoA de VPN de acceso remoto (cambio de autorización) es compatible con el modo de contexto múltiple	Ahora puede configurar CoA por contexto en el modo de contexto múltiple.
La localización de VPN de acceso remoto se admite en el modo de contexto múltiple	La localización se admite globalmente. Solo hay un conjunto de archivos de localización que se comparten en diferentes contextos.
Se admite el almacenamiento de captura de paquetes por contexto.	El propósito de esta función es permitir al usuario copiar una captura directamente desde un contexto al almacenamiento externo o al almacenamiento privado de contexto en flash. Esta función también permite copiar la captura sin procesar en las herramientas de captura de paquetes externas, como wire-shark, desde dentro de un contexto.

Características de ASA 9.5(2)

Función	Descripción
AnyConnect 4.x y versiones posteriores (solo SSL VPN; no admite IKEv2)	Compatibilidad con virtualización basada en múltiples contextos para conexiones VPN de acceso remoto (RA) a ASA.
Configuración de imagen de AnyConnect centralizada	El almacenamiento flash no está virtualizado. La imagen de AnyConnect se configura globalmente en el contexto de administración y la configuración se aplica a todos los contextos
Actualización de imagen de AnyConnect	Los perfiles de cliente AnyConnect son compatibles con dispositivos multicontexto. Para agregar un nuevo perfil mediante ASDM, debe tener AnyConnect Secure Mobility Client versión 4.2.00748 o 4.3.03013 y versiones posteriores.
Context Resource Management para conexiones AnyConnect	Configurabilidad para controlar el uso máximo de licencias por contexto Configurabilidad para permitir la fragmentación de licencias por contexto

Licencias

Se requiere licencia AnyConnect Apex
Licencias Essentials ignoradas/no permitidas
Configurabilidad para controlar el uso máximo de licencias por contexto
Configurabilidad para permitir la fragmentación de licencias por contexto

Configurar

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

Nota: Varios contextos en este ejemplo comparten una interfaz (OUTSIDE), luego el clasificador utiliza las direcciones MAC únicas de la interfaz (automática o manual) para reenviar paquetes. Para obtener más detalles sobre cómo el dispositivo de seguridad clasifica los paquetes en múltiples contextos, consulte Cómo el ASA clasifica los paquetes

El siguiente procedimiento de configuración es con la versión de ASA 9.6.2 y posterior, que ilustra algunas de las nuevas funciones disponibles.Las diferencias en el procedimiento de configuración para las versiones de ASA anteriores a la 9.6.2 (y posteriores a la 9.5.2) se documentan en el Apéndice A del documento.

A continuación se describen las configuraciones necesarias en Contexto del sistema y Contextos personalizados para configurar VPN de acceso remoto:

Configuraciones iniciales en el contexto del sistema

Para empezar, en Contexto del sistema, configure la conmutación por error, la asignación de recursos VPN, los contextos personalizados y la verificación de licencias Apex. El procedimiento y las configuraciones se describen en esta sección y en la siguiente

Paso 1. Configuración de failover.

 !! Active Firewall 

failover
failover lan unit primary
failover lan interface LAN_FAIL GigabitEthernet0/3
failover link LAN_FAIL GigabitEthernet0/3
failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2
failover group 1
failover group 2

 !! Secondary Firewall 

failover
failover lan unit secondary
failover lan interface LAN_FAIL GigabitEthernet0/3
failover link LAN_FAIL GigabitEthernet0/3
failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2
failover group 1
failover group 2

Paso 2. Asigne el recurso VPN.

Configurado mediante una configuración de clase existente. El número de licencias o el % del total por contexto permiten las licencias

Nuevos tipos de recursos introducidos para MC RAVPN:

VPN AnyConnect: Garantizado a un contexto y no se puede sobresuscribir

Ráfaga VPN AnyConnect: Permitir licencias adicionales de contexto más allá del límite garantizado. El conjunto de ráfagas consta de licencias que no están garantizadas para un contexto y se permiten para un contexto de ráfaga en base al orden de llegada

Modelo de aprovisionamiento de licencias VPN:

Nota: ASA5585 ofrece un máximo de 10 000 sesiones de usuario de Cisco AnyConnect y, en este ejemplo, se asignan 4000 sesiones de usuario de Cisco AnyConnect por contexto.

class resource02 
  limit-resource VPN AnyConnect 4000
  limit-resource VPN Burst AnyConnect 2000

class resource01 
  limit-resource VPN AnyConnect 4000
  limit-resource VPN Burst AnyConnect 2000

Paso 3. Configure contextos y asigne recursos.

Nota: En este ejemplo, GigabitEthernet0/0 se comparte entre todo el contexto.

admin-context admin
context admin
  allocate-interface GigabitEthernet0/0 
  config-url disk0:/admin

context context1
  member resource01 
  allocate-interface GigabitEthernet0/0 
  allocate-interface GigabitEthernet0/1
  config-url disk0:/context1
  join-failover-group 1

context context2
  member resource02 
  allocate-interface GigabitEthernet0/0 
  allocate-interface GigabitEthernet0/2
  config-url disk0:/context2
  join-failover-group 2

Paso 4. Verifique que Apex License esté instalado en el ASA, consulte el siguiente enlace para obtener más detalles.

Activación o desactivación de claves de activación

Paso 5. Configure un paquete de imagen de Anyconnect. Dependiendo de la versión de ASA que se utilice, hay dos maneras de cargar la imagen de Anyconnect y configurarla para RA VPN. Si la versión es 9.6.2 y posterior, se puede utilizar la virtualización de Flash. Para versiones anteriores a la 9.6.2, consulte el Apéndice A

Nota: En la versión 9.6.2 y posteriores, contamos con soporte para la virtualización de Flash, lo que significa que podemos tener una imagen de Anyconnect por contexto.

Virtualización de Flash

VPN de acceso remoto requiere almacenamiento flash para varias configuraciones e imágenes como paquetes AnyConnect, paquetes hostscan, configuración DAP, plugins, personalización y localización, etc. En el modo multicontexto anterior a la versión 9.6.2, los contextos de usuario no pueden acceder a ninguna parte de la memoria flash y esta se administra y es accesible para el administrador del sistema sólo a través del contexto del sistema.

Para resolver esta limitación, manteniendo la seguridad y la privacidad de los archivos en la memoria flash, así como poder compartir la memoria flash de forma justa entre contextos, se crea un sistema de archivos virtuales para la memoria flash en modo multicontexto. El propósito de esta función es permitir que las imágenes de AnyConnect se configuren por contexto en lugar de configurarlas globalmente. Esto permite que diferentes usuarios tengan instaladas diferentes imágenes de AnyConnect. Además, al permitir que se compartan imágenes de AnyConnect, se puede reducir la cantidad de memoria que consumen estas imágenes. El almacenamiento compartido se utiliza para almacenar archivos y paquetes que son comunes a todos los contextos.

Nota: El administrador de contexto del sistema seguirá teniendo acceso de lectura y escritura completo a la memoria flash completa y a los sistemas de archivos de almacenamiento privado y compartido.El administrador del sistema deberá crear una estructura de directorios y organizar todos los archivos privados y compartidos en directorios diferentes de modo que estos directorios se puedan configurar para que los contextos accedan como almacenamiento compartido y almacenamiento privado respectivamente.

Cada contexto tendrá permiso de lectura/escritura/eliminación para su propio almacenamiento privado y acceso de solo lectura a su almacenamiento compartido. Sólo el contexto del sistema tendrá acceso de escritura al almacenamiento compartido.

En las configuraciones siguientes, el Contexto personalizado 1 se configurará para ilustrar el almacenamiento privado, y el Contexto personalizado 2 se configurará para ilustrar el almacenamiento compartido.

Almacenamiento privado

Puede especificar un espacio de almacenamiento privado por contexto. Puede leer/escribir/eliminar desde este directorio dentro del contexto (así como desde el espacio de ejecución del sistema). Bajo la trayectoria especificada, ASA crea un subdirectorio con el nombre del contexto.

Por ejemplo, para context1 si especifica disk0:/private-storage para la trayectoria, el ASA crea un subdirectorio para este contexto en disk0:/private-storage/context1/.

Almacenamiento compartido

Se puede especificar un espacio de almacenamiento compartido de solo lectura por contexto. Para reducir la duplicación de archivos grandes comunes que se pueden compartir entre todos los contextos (como paquetes AnyConnect), se puede utilizar el espacio de almacenamiento compartido.

Configuraciones para utilizar el espacio de almacenamiento privado

!! Create a directory in the system context.
ciscoasa(config)# mkdir private_context1

!! Define the directory as private storage url in the respective context.

ciscoasa(config)# context context1
ciscoasa(config-ctx)# storage-url private disk0:/private_context1 context1 

!! Transfer the anyconnect image in the sub directory.
ciscoasa(config)# copy flash:/anyconnect-win-4.2.01035-k9.pkg flash:/private_context1/context1

Configuraciones para utilizar el espacio de almacenamiento compartido

!! Create a directory in the system context.

ciscoasa(config)# mkdir shared

!! Define the directory as shared storage url in the respective contexts.

ciscoasa(config)# context context2
ciscoasa(config-ctx)# storage-url shared disk0:/shared shared 

!! Transfer the anyconnect image in the shared directory.
ciscoasa(config)# copy disk0:/anyconnect-win-4.3.05019-k9.pkg disk0:/shared

Verifique la imagen en los contextos respectivos

!! Custom Context 1 configured for private storage.

ciscoasa(config)#changeto context context1
ciscoasa/context1(config)# show context1:
213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg

!! Custom Context 2  configured for shared storage.

ciscoasa(config)#changeto context context2
ciscoasa/context2(config)# show shared:
195 25356342 May 24 2017 08:07:02 shared:/anyconnect-win-4.3.05017-k9.pkg

Paso 6. A continuación se muestra el resumen de las configuraciones en el contexto del sistema que incluye las configuraciones de virtualización de flash descritas anteriormente:

Contexto del sistema

context context1
 member resource01
 allocate-interface GigabitEthernet0/0
 storage-url private disk0:/private_context1 context1
 config-url disk0:/context1.cfg
 join-failover-group 1
! 
context context2
 member resource02
 allocate-interface GigabitEthernet0/1
 storage-url shared disk0:/shared shared
 config-url disk0:/context2.cfg
 join-failover-group 2

Paso 7: Configure los dos contextos personalizados como se muestra a continuación

Contexto personalizado 1

!! Enable WebVPN on respective interfaces 

 webvpn
 enable outside
 anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1 
 anyconnect enable
 tunnel-group-list enable
 
!! IP pool and username configuration 

ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
username cisco password cisco 
 
!! Configure the required connection profile for SSL VPN 

access-list split standard permit 192.168.1.0 255.255.255.0

group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
 banner value "Welcome to Context1 SSLVPN"
 wins-server none
 dns-server value 192.168.20.10
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
 default-domain value cisco.com

tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
 address-pool mypool
 default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
 group-alias MC_RAVPN_1 enable

Contexto personalizado 2

!! Enable WebVPN on respective interfaces 

 webvpn
 enable outside
 anyconnect image shared:/anyconnect-win-4.3.05017-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 
!! IP pool and username configuration

 ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
 username cisco password cisco 
 
!! Configure the required connection profile for SSL VPN 

 access-list split standard permit 192.168.1.0 255.255.255.0
 
 group-policy GroupPolicy_MC_RAVPN_2 internal
 group-policy GroupPolicy_MC_RAVPN_2 attributes
 banner value "Welcome to Context2 SSLVPN"
 wins-server none
 dns-server value 192.168.60.10
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
 default-domain value cisco.com
 !
 !
 tunnel-group MC_RAVPN_2 type remote-access
 tunnel-group MC_RAVPN_2 general-attributes
 address-pool mypool
 default-group-policy GroupPolicy_MC_RAVPN_2
 tunnel-group MC_RAVPN_2 webvpn-attributes
 group-alias MC_RAVPN_2 enable

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Verifique si la licencia Apex está instalada

ASA no reconoce específicamente una licencia AnyConnect Apex, pero aplica las características de la licencia de una licencia Apex, que incluyen:

Licencia de AnyConnect Premium hasta el límite de la plataforma
AnyConnect para dispositivos móviles
AnyConnect para teléfono VPN de Cisco
Evaluación de terminales avanzada

Se generará un registro del sistema cuando se bloquee una conexión porque no está instalada una licencia AnyConnect Apex.

Verificar si el paquete AnyConnect está disponible en contextos personalizados (9.6.2 y superiores)

! AnyConnect package is available in context1 

 ciscoasa/context1(config)# show context1:

213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg

ciscoasa/pri/context1/act# show run webvpn
webvpn
 enable outside
 anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable

En caso de que la imagen no esté presente en el contexto personalizado, consulte la configuración de la imagen de Anyconnect (9.6.2 y posterior).

Comprobar si los usuarios pueden conectarse mediante AnyConnect en contextos personalizados

Sugerencia: Para una mejor visualización, vea los vídeos que aparecen a continuación en pantalla completa.

!! One Active Connection on Context1 

ciscoasa/pri/context1/act# show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username : cisco Index : 5
Assigned IP : 192.168.1.1 Public IP : 10.142.168.102
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Mobile
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 3186 Bytes Rx : 426
Group Policy : GroupPolicy_MC_RAVPN_1 Tunnel Group : MC_RAVPN_1
Login Time : 15:33:25 UTC Thu Dec 3 2015
Duration : 0h:00m:05s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2600005000566060c5
Security Grp : none

 !! Changing Context to Context2 

ciscoasa/pri/context1/act# changeto context context2

 !! One Active Connection on Context2 

ciscoasa/pri/context2/act# show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username : cisco Index : 1
Assigned IP : 192.168.51.1 Public IP : 10.142.168.94
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 10550 Bytes Rx : 1836
Group Policy : GroupPolicy_MC_RAVPN_2 Tunnel Group : MC_RAVPN_2
Login Time : 15:34:16 UTC Thu Dec 3 2015
Duration : 0h:00m:17s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2400001000566060f8
Security Grp : none

 !! Changing Context to System 

ciscoasa/pri/context2/act# changeto system

 !! Notice total number of connections are two (for the device) 

ciscoasa/pri/act# show vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
 Status : Capacity : Installed : Limit
 -----------------------------------------
AnyConnect Premium : ENABLED : 10000 : 10000 : NONE
Other VPN (Available by Default) : ENABLED : 10000 : 10000 : NONE
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------

---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
 Local : Shared : All : Peak : Eff. :
 In Use : In Use : In Use : In Use : Limit : Usage
 ----------------------------------------------------
AnyConnect Premium : 2 : 0 : 2 : 2 : 10000 : 0%
 AnyConnect Client : : 2 : 2 : 0%
 AnyConnect Mobile : : 2 : 2 : 0%
Other VPN : : 0 : 0 : 10000 : 0%
 Site-to-Site VPN : : 0 : 0 : 0%
---------------------------------------------------------------------------

 !! Notice the resource usage per Context 

ciscoasa/pri/act# show resource usage all resource VPN AnyConnect
Resource Current Peak Limit Denied Context
AnyConnect 1 1 4000 0 context1
AnyConnect 1 1 4000 0 context2

Troubleshoot

Esta sección proporciona la información que puede utilizar para resolver problemas de su configuración.

Solución de problemas de AnyConnect

Consejo: En caso de que ASA no tenga instalada la licencia Apex, la sesión de AnyConnect finalizaría con el registro del sistema siguiente:

%ASA-6-725002: El dispositivo completó el protocolo de enlace SSL con el cliente OUTSIDE:10.142.168.86/51577 a 10.106.44.38/443 para la sesión TLSv1
%ASA-6-113012: Autenticación de usuario AAA satisfactoria: base de datos local: usuario = cisco
%ASA-6-113009: AAA recuperó la política de grupo predeterminada (GroupPolicy_MC_RAVPN_1) para el usuario = cisco
%ASA-6-113008: Estado de la transacción AAA ACEPTAR: usuario = cisco
%ASA-3-716057: IP de usuario de grupo <10.142.168.86> Sesión finalizada, no hay licencia AnyConnect Apex disponible
%ASA-4-113038: Group User IP <10.142.168.86> No se puede crear la sesión principal de AnyConnect.

Apéndice A: Configuración de la imagen de Anyconnect para las versiones anteriores a la 9.6.2

La imagen de AnyConnect se configura globalmente en el contexto de administración para las versiones de ASA anteriores a la 9.6.2 (tenga en cuenta que la función está disponible desde la 9.5.2) porque el almacenamiento flash no está virtualizado y solo se puede acceder a él desde el contexto del sistema.

Paso 5.1. Copie el archivo de paquete de AnyConnect en la memoria flash en el contexto del sistema.

Contexto del sistema:

ciscoasa(config)# show flash:

195 25356342 May 24 2017 08:07:02 anyconnect-win-4.3.05017-k9.pkg

Paso 5.2. Configuración de la imagen de Anyconnect en el contexto Admin.

Contexto de administración:

webvpn
 anyconnect image disk0:/anyconnect-win-4.3.05017-k9.pkg 1
 anyconnect enable

Nota: La imagen de Anyconnect solo se puede configurar en el contexto de administración. Todos los contextos hacen referencia automáticamente a esta configuración de imagen global de Anyconnect.

Contexto personalizado 1:

 !! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
 
 interface GigabitEthernet0/0
 nameif OUTSIDE 
 security-level 0
 ip address 10.106.44.38 255.255.255.0 standby 10.106.44.39 

!! Enable WebVPN on respective interfaces 

webvpn
 enable OUTSIDE
 anyconnect enable

 !! IP pool and username configuration 

ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0

username cisco password cisco 

 !! Configure the require connection profile for SSL VPN 
 
group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
 banner value "Welcome to Context1 SSLVPN"
 wins-server none
 dns-server value 192.168.20.10
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
 default-domain value cisco.com

tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
 address-pool mypool
 default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
 group-alias MC_RAVPN_1 enable
 group-url https://10.106.44.38/context1 enable

Contexto personalizado 2:

!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)

interface GigabitEthernet0/0 
 nameif OUTSIDE 
 security-level 0 
 ip address 10.106.44.36 255.255.255.0 standby 10.106.44.37 

!! Enable WebVPN on respective interface 

webvpn
 enable OUTSIDE
 anyconnect enable

 !! IP pool and username configuration 

ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0

username cisco password cisco

 !! Configure the require connection profile for SSL VPN 
 
group-policy GroupPolicy_MC_RAVPN_2 internal
group-policy GroupPolicy_MC_RAVPN_2 attributes
 banner value "Welcome to Context2 SSLVPN"
 wins-server none
 dns-server value 192.168.60.10
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
 default-domain value cisco.com

tunnel-group MC_RAVPN_2 type remote-access
tunnel-group MC_RAVPN_2 general-attributes
 address-pool mypool
 default-group-policy GroupPolicy_MC_RAVPN_2
tunnel-group MC_RAVPN_2 webvpn-attributes
 group-alias MC_RAVPN_2 enable
 group-url https://10.106.44.36/context2 enable

Verifique si el paquete AnyConnect está instalado en el contexto de administración y está disponible en contextos personalizados (antes de la versión 9.6.2)

!! AnyConnect package is installed in Admin Context 

ciscoasa/pri/admin/act# show run webvpn
webvpn
 anyconnect image disk0:/anyconnect-win-3.1.10010-k9.pkg 1
 anyconnect enable

ciscoasa/pri/admin/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
 CISCO STC win2k+
 3,1,10010
 Hostscan Version 3.1.10010
 Wed 07/22/2015 12:06:07.65

1 AnyConnect Client(s) installed

 !! AnyConnect package is available in context1 

ciscoasa/pri/admin/act# changeto context context1

ciscoasa/pri/context1/act# show run webvpn
webvpn
 enable OUTSIDE
 anyconnect enable
 tunnel-group-list enable

ciscoasa/pri/context1/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
 CISCO STC win2k+
 3,1,10010
 Hostscan Version 3.1.10010
 Wed 07/22/2015 12:06:07.65

1 AnyConnect Client(s) installed

Referencias

Release Notes: 9.5(2)

Release Notes: 9.6(2)

Información Relacionada

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
1.0	11-Feb-2016	Versión inicial

Con la colaboración de ingenieros de Cisco

Created by Adesh Gairola
Cisco TAC Engineer
Created by Monal Mahajan
Cisco TAC Engineer
Edited by Cesar Lopez Zamarripa
Security Technical Leader

¿Resultó útil este documento?

Comentarios

Contacte a Cisco

Abrir un caso de soporte
(Requiere un Cisco Service Contract)