Utiliser AnyConnect pour configurer le VPN SSL de base pour la tête de réseau du routeur avec CLI

Options de téléchargement

  • PDF     (972.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (828.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (528.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:7 mars 2024
ID du document:200533

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la configuration de base d'un routeur Cisco IOS® comme tête de réseau VPN SSL (Secure Sockets Layer VPN) AnyConnect.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Cisco IOS
    • Client de mobilité sécurisée AnyConnect
    • Fonctionnement général de SSL

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Routeur Cisco 892W avec version 15.3(3)M5
    • Client AnyConnect Secure Mobility 3.1.08009

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    note-icon

    Remarque : AnyConnect a été renommé Cisco Secure Client. Rien d'autre n'a changé, juste le nom, et le processus d'installation est le même.

     Informations de licence pour différentes versions d'IOS

    • Le jeu de fonctions securityk9 est requis pour utiliser les fonctions VPN SSL, quelle que soit la version de Cisco IOS utilisée.
    • Cisco IOS 12.x : la fonctionnalité VPN SSL est intégrée à toutes les images 12.x commençant par 12.4(6)T qui possèdent au moins une licence de sécurité (c'est-à-dire advsecurityk9, adventerprisek9, etc.).
    • Cisco IOS 15.0 : les versions antérieures requièrent l'installation d'un fichier LIC sur le routeur, ce qui permet d'établir des connexions pour 10, 25 ou 100 utilisateurs. Les licences de droit d'utilisation* ont été implémentées dans la version 15.0(1)M4.
    • Cisco IOS 15.1 : les versions antérieures requièrent l'installation d'un fichier LIC sur le routeur, ce qui permet d'établir des connexions pour 10, 25 ou 100 utilisateurs. Les licences de droit d'utilisation* ont été implémentées dans les versions 15.1(1)T2, 15.1(2)T2, 15.1(3)T et 15.1(4)M1.
    • Cisco IOS 15.2 : toutes les versions 15.2 offrent des licences de droit d'utilisation* pour VPN SSL.
    • Cisco IOS 15.3 et versions ultérieures : les versions antérieures offrent des licences de droit d'utilisation*. Depuis la version 15.3(3)M, la fonctionnalité VPN SSL est disponible après le démarrage dans un package technologique securityk9.

    Pour la licence RTU, une licence d'évaluation est activée lorsque la première fonction webvpn est configurée (c'est-à-dire, la passerelle webvpn GATEWAY1) et que le Contrat de licence d'utilisateur final (CLUF) a été accepté. Au bout de 60 jours, cette licence d'évaluation devient une licence permanente. Ces licences sont basées sur l'honneur et nécessitent l'achat d'une licence papier pour pouvoir utiliser la fonction. En outre, plutôt que de limiter un certain nombre d'utilisations, la RTU permet le nombre maximal de connexions simultanées que la plate-forme du routeur peut prendre en charge simultanément.

    Améliorations logicielles significatives

    Ces ID de bogue ont entraîné des fonctionnalités ou des correctifs significatifs pour AnyConnect :

    • ID de bogue Cisco CSCti8976 Ajout de la prise en charge d'AnyConnect 3.x sur IOS.
    • ID de bogue Cisco CSCtx3806 Fix for BEAST Vulnerability, Microsoft KB2585542.

    Configurer

    Étape 1. Confirmer l'activation de la licence

    La première étape de la configuration d’AnyConnect sur une tête de réseau de routeur IOS consiste à vérifier que la licence a été correctement installée (le cas échéant) et activée. Reportez-vous aux informations de licence de la section précédente pour connaître les caractéristiques de licence des différentes versions. Selon la version du code et de la plate-forme, la commande show license affiche une licence SSL_VPN ou securityk9. Quelle que soit la version et la licence, le CLUF doit être accepté et la licence s'affiche alors comme étant active.

    Étape 2. Télécharger et installer le package client AnyConnect Secure Mobility sur le routeur

    Afin de télécharger une image AnyConnect sur le VPN, la tête de réseau a deux fonctions. Tout d’abord, seuls les systèmes d’exploitation dont la tête de réseau AnyConnect contient des images AnyConnect sont autorisés à se connecter. Par exemple, les clients Windows nécessitent l'installation d'un package Windows sur la tête de réseau, les clients Linux 64 bits nécessitent l'installation d'un package Linux 64 bits, etc. Ensuite, l’image AnyConnect installée sur la tête de réseau est automatiquement transmise à la machine cliente lors de la connexion. Les utilisateurs qui se connectent pour la première fois peuvent télécharger le client à partir du portail Web et les utilisateurs qui reviennent peuvent effectuer une mise à niveau, à condition que le package AnyConnect sur la tête de réseau soit plus récent que celui installé sur leur ordinateur client.

    Les packages AnyConnect peuvent être obtenus via la section AnyConnect Secure Mobility Client du site Web Cisco Software Downloads. Bien qu'il existe de nombreuses options, les packages à installer sur la tête de réseau sont étiquetés avec le système d'exploitation et le déploiement de tête de réseau (PKG). Des packages AnyConnect sont actuellement disponibles pour les plates-formes de système d'exploitation suivantes : Windows, Mac OS X, Linux (32 bits) et Linux 64 bits. Pour Linux, il existe des packages 32 bits et 64 bits. Chaque système d'exploitation nécessite l'installation du package approprié sur la tête de réseau pour que les connexions soient autorisées.

    Une fois le package AnyConnect téléchargé, il peut être téléchargé vers la mémoire flash du routeur à l’aide de la copy commande TFTP, FTP, SCP ou de quelques autres options. Voici un exemple :

    copy tftp: flash:/webvpn/

Address or name of remote host []? 192.168.100.100
Source filename []? anyconnect-win-3.1.08009-k9.pkg
Destination filename [/webvpn/anyconnect-win-3.1.08009-k9.pkg]?
Accessing tftp://192.168.100.100/anyconnect-win-3.1.08009-k9.pkg...
Loading anyconnect-win-3.1.08009-k9.pkg from 192.168.100.100 (via GigabitEthernet0): !!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 37997096 bytes]

37997096 bytes copied in 117.644 secs (322984 bytes/sec)

    Une fois que vous avez copié l’image AnyConnect dans la mémoire flash du routeur, elle doit être installée à l’aide de la ligne de commande. Plusieurs packages AnyConnect peuvent être installés lorsque vous spécifiez un numéro d’ordre à la fin de la commande d’installation. Cela permet au routeur d'agir comme tête de réseau pour plusieurs systèmes d'exploitation clients. Lorsque vous installez le package AnyConnect, il le déplace également vers l' flash:/webvpn/ directory s'il n'y a pas été copié initialement.

    crypto vpn anyconnect flash:/webvpn/anyconnect-win-3.1.08009-k9.pkg sequence 1 SSLVPN Package SSL-VPN-Client (seq:1): installed successfully

    Sur les versions de code qui ont été publiées avant 15.2(1)T, la commande pour installer le PKG est légèrement différente.

    webvpn install svc flash:/webvpn/anyconnect-win-3.1.08009-k9.pkg sequence 1

    Étape 3. Générer une paire de clés RSA et un certificat auto-signé

    Lorsque vous configurez SSL ou toute fonctionnalité qui implémente l'infrastructure à clé publique (PKI) et les certificats numériques, une paire de clés Rivest-Shamir-Adleman (RSA) est requise pour la signature du certificat. Cette commande génère une paire de clés RSA, qui est ensuite utilisée lors de la génération du certificat PKI auto-signé. Utilisez un module de 2 048 bits, ce n’est pas obligatoire, mais il est recommandé d’utiliser le plus grand module disponible pour une sécurité et une compatibilité améliorées avec les ordinateurs clients AnyConnect. Il est également recommandé d'utiliser une étiquette de clé descriptive qui s'associe à la gestion des clés. La génération de clé peut être confirmée à l’aide de la show crypto key mypubkey rsa commande.

    Remarque : comme il existe de nombreux risques de sécurité lorsque les clés RSA sont rendues exportables, la pratique recommandée est de s'assurer que les clés sont configurées pour ne pas être exportables, ce qui est le cas par défaut. Les risques qui sont impliqués lorsque vous rendez les clés RSA exportables sont discutés dans ce document : Déploiement des clés RSA dans une PKI.

    crypto key generate rsa label SSLVPN_KEYPAIR modulus 2048

    The name for the keys will be: SSLVPN_KEYPAIR

    % The key modulus size is 2048 bits
    % Generating 2048 bit RSA keys, keys will be non-exportable...
    [OK] (elapsed time was 3 seconds)

    show crypto key mypubkey rsa SSLVPN_KEYPAIR

    % Key pair was generated at: 14:01:34 EDT May 21 2015
    Key name: SSLVPN_KEYPAIR
    Key type: RSA KEYS
     Storage Device: not specified
     Usage: General Purpose Key
     Key is not exportable.
     Key Data:
     30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
     00C4C7D6 F9533CD3 A5489D5A 4DC3BAE7 6831E832 7326E322 CBECC41C 8395A5F7
     4613AF70 827F581E 57F72074 FD803EEA 693EBACC 0EE5CA65 5D1875C2 2F19A432
     84188F61 4E282EC3 D30AE4C9 1F2766EF 48269FE2 0C1AECAA 81511386 1BA6709C
     7C5A2A40 2FBB3035 04E3770B 01155368 C4A5B488 D38F425C 23E430ED 80A8E2BD
     E713860E F654695B C1780ED6 398096BC 55D410DB ECC0E2D9 2621E1AB A418986D
     39F241FE 798EF862 9D5EAEEB 5B06D73B E769F613 0FCE2585 E5E6DFF3 2E48D007
     3443AD87 0E66C2B1 4E0CB6E9 81569DF2 DB0FE9F1 1A9E737F 617DC68B 42B78A8B
     952CD997 78B96CE6 CB623328 C2C5FFD6 18C5DA2C 2EAFA936 5C866DE8 5184D2D3
     6D020301 0001

    Une fois la paire de clés RSA générée, un point de confiance PKI doit être configuré avec ces informations de routeur et cette paire de clés RSA. Le nom commun (CN) dans le champ Subject-Name peut être configuré avec l'adresse IP ou le nom de domaine complet (FQDN) que les utilisateurs utilisent pour se connecter à la passerelle AnyConnect. Dans cet exemple, les clients utilisent le nom de domaine complet de fdenofa-SSLVPN.cisco.com lorsqu'ils tentent de se connecter. Bien que ce ne soit pas obligatoire, lorsque vous entrez correctement dans le CN, cela permet de réduire le nombre d'erreurs de certificat qui sont demandées lors de la connexion.

    Remarque : plutôt que d'utiliser un certificat auto-signé généré par le routeur, il est possible d'utiliser un certificat émis par une autorité de certification tierce. Cela peut être fait par quelques méthodes différentes, comme discuté dans ce document : Configuration de l'inscription de certificat pour une PKI.

    crypto pki trustpoint SSLVPN_CERT enrollment selfsigned subject-name CN=fdenofa-SSLVPN.cisco.com rsakeypair SSLVPN_KEYPAIR

    Une fois le point de confiance correctement défini, le routeur doit générer le certificat à l’aide de la crypto pki enroll commande. Avec ce processus, il est possible de spécifier d'autres paramètres, tels que le numéro de série et l'adresse IP, mais cela n'est pas obligatoire. La génération du certificat peut être confirmée à l’aide de la show crypto pki certificates commande.

    crypto pki enroll SSLVPN_CERT % Include the router serial number in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]: no Generate Self Signed Router Certificate? [yes/no]: yes Router Self Signed Certificate successfully created show crypto pki certificates SSLVPN_CERT Router Self-Signed Certificate Status: Available Certificate Serial Number (hex): 01 Certificate Usage: General Purpose Issuer: hostname=fdenofa-892.fdenofa.lab cn=fdenofa-SSLVPN.cisco.com Subject: Name: fdenofa-892.fdenofa.lab hostname=fdenofa-892.fdenofa.lab cn=fdenofa-SSLVPN.cisco.com Validity Date: start date: 18:54:04 EDT Mar 30 2015 end date: 20:00:00 EDT Dec 31 2019 Associated Trustpoints: SSLVPN_CERT

    Étape 4. Configurer des comptes d'utilisateurs VPN locaux

    Bien qu'il soit possible d'utiliser un serveur AAA (Authentication, Authorization, and Accounting) externe, l'authentification locale est utilisée dans cet exemple. Ces commandes créent un nom d'utilisateur VPNUSER et créent également une liste d'authentification AAA nommée SSLVPN_AAA.

    aaa new-model aaa authentication login SSLVPN_AAA local username VPNUSER password TACO

    Étape 5. Définition du pool d'adresses et de la liste d'accès du tunnel partagé à utiliser par les clients

    Un pool d'adresses IP locales doit être créé pour que les adaptateurs client AnyConnect puissent obtenir une adresse IP. Assurez-vous de configurer un pool suffisamment grand pour prendre en charge le nombre maximal de connexions client AnyConnect simultanées.

    Par défaut, AnyConnect fonctionne en mode tunnel complet, ce qui signifie que tout trafic généré par la machine cliente est envoyé à travers le tunnel. Comme cela n'est généralement pas souhaitable, il est possible de configurer une liste de contrôle d'accès (ACL) qui définit le trafic, qui peut ou ne peut pas être envoyé à travers le tunnel. Comme avec d'autres implémentations de liste de contrôle d'accès, le refus implicite à la fin élimine le besoin d'un refus explicite ; par conséquent, il est seulement nécessaire de configurer des instructions d'autorisation pour le trafic qui peut être tunnellisé.

    ip local pool SSLVPN_POOL 192.168.10.1 192.168.10.10 access-list 1 permit 192.168.0.0 0.0.255.255

    Étape 6. Configuration de l'interface de modèle virtuel (VTI)

    Les VTI dynamiques fournissent une interface d'accès virtuel séparée à la demande pour chaque session VPN qui permet une connectivité hautement sécurisée et évolutive pour les VPN d'accès à distance. La technologie DVTI remplace les crypto-cartes dynamiques et la méthode Hub and Spoke dynamique qui permet d'établir des tunnels. Comme les DVTI fonctionnent comme toute autre interface réelle, elles permettent un déploiement d'accès à distance plus complexe, car elles prennent en charge la qualité de service, le pare-feu, les attributs par utilisateur et d'autres services de sécurité dès que le tunnel est actif.

    interface Loopback0 ip address 172.16.1.1 255.255.255.255
    !
    interface Virtual-Template 1 ip unnumbered Loopback0

    Étape 7. Configurer la passerelle WebVPN

    La passerelle WebVPN définit l’adresse IP et le ou les ports utilisés par la tête de réseau AnyConnect, ainsi que l’algorithme de cryptage SSL et le certificat PKI présentés aux clients. Par défaut, la passerelle prend en charge tous les algorithmes de cryptage possibles, qui varient en fonction de la version de Cisco IOS sur le routeur.

    webvpn gateway SSLVPN_GATEWAY ip address 10.165.201.1 port 443 http-redirect port 80 ssl trustpoint SSLVPN_CERT inservice

    Étape 8. Configurer le contexte WebVPN et la stratégie de groupe

    Le contexte WebVPN et la stratégie de groupe définissent des paramètres supplémentaires utilisés pour la connexion client AnyConnect. Pour une configuration AnyConnect de base, le contexte sert simplement de mécanisme utilisé pour appeler la stratégie de groupe par défaut utilisée pour AnyConnect. Cependant, le contexte peut être utilisé pour personnaliser davantage la page de démarrage WebVPN et le fonctionnement de WebVPN. Dans le groupe de stratégies défini, la liste SSLVPN_AAA est configurée comme la liste d'authentification AAA dont les utilisateurs sont membres. La functions svc-enabled commande est l'élément de configuration qui permet aux utilisateurs de se connecter au client VPN SSL AnyConnect plutôt qu'au seul WebVPN par le biais d'un navigateur. Enfin, les commandes SVC supplémentaires définissent des paramètres qui ne concernent que les connexions SVC : svc address-pool indique à la passerelle de distribuer les adresses dans le POOL SSLVPN aux clients, svc split include définit la politique de tunnel partagé par ACL 1 définie ci-dessus et svc dns-server définit le serveur DNS utilisé pour la résolution de noms de domaine. Avec cette configuration, toutes les requêtes DNS sont envoyées au serveur DNS spécifié. L'adresse reçue dans la réponse à la requête détermine si le trafic est envoyé ou non à travers le tunnel.

    webvpn context SSLVPN_CONTEXT
     virtual-template 1
     aaa authentication list SSLVPN_AAA 
     gateway SSLVPN_GATEWAY inservice
     policy group SSLVPN_POLICY functions svc-enabled svc address-pool "SSLVPN_POOL" netmask 255.255.255.0 svc split include acl 1 svc dns-server primary 8.8.8.8
     default-group-policy SSLVPN_POLICY

    Étape 9. Configurer un profil client (facultatif)

    Contrairement aux ASA, Cisco IOS ne dispose pas d'une interface utilisateur graphique intégrée qui peut aider les administrateurs à créer le profil client. Le profil client AnyConnect doit être créé/modifié séparément avec l’Éditeur de profil autonome.

    Conseil : recherchez anyconnect-profileeditor-win-3.1.03103-k9.exe.

    Pour que le routeur déploie le profil, procédez comme suit :

    • Téléchargez-le vers la mémoire Flash IOS à l’aide de ftp/tftp.
    • Utilisez cette commande pour identifier le profil qui vient d'être téléchargé :
      •  
    crypto vpn annyconnect profile SSLVPN_PROFILE flash:test-profile.xml

    Conseil : sur les versions de Cisco IOS antérieures à 15.2(1)T, cette commande doit être utilisée : webvpn import svc profile <profile_name> flash:<profile.xml>.

    Sous le contexte, utilisez cette commande pour lier le profil à ce contexte :

    webvpn context SSLVPN_CONTEXT
     policy group SSLVPN_POLICY
     svc profile SSLVPN_PROFILE

    Remarque : utilisez l'outil de recherche de commandes afin d'obtenir plus d'informations sur les commandes utilisées dans cette section.

    Vérifier

    Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

    Une fois la configuration terminée, lorsque vous accédez à l'adresse et au port de la passerelle par le navigateur, il revient à la page de démarrage WebVPN :

    Une fois connecté, la page d'accueil WebVPN s'affiche. À partir de là, cliquez sur Tunnel Connection (AnyConnect). Lorsqu’Internet Explorer est utilisé, ActiveX est utilisé pour pousser vers le bas et installer le client AnyConnect. S'il n'est pas détecté, Java est utilisé à la place. Tous les autres navigateurs utilisent Java immédiatement.

    Écran de démarrage du service VPN SSL

    Connexion du tunnel de service VPN SSL

    Une fois l'installation terminée, AnyConnect tente automatiquement de se connecter à la passerelle WebVPN. Comme un certificat auto-signé est utilisé pour que la passerelle s'identifie, plusieurs avertissements de certificat apparaissent lors de la tentative de connexion. Ils sont attendus et doivent être acceptés pour que la connexion puisse continuer. Afin d'éviter ces avertissements de certificat, le certificat auto-signé présenté doit être installé dans le magasin de certificats de confiance de l'ordinateur client, ou si un certificat tiers est utilisé, le certificat de l'autorité de certification doit être dans le magasin de certificats de confiance.

    Avertissement de sécurité - Certificat de serveur VPN non approuvé

    Lorsque la connexion a terminé la négociation, cliquez sur l’gear icône située en bas à gauche de AnyConnect. Elle affiche des informations avancées sur la connexion. Sur cette page, il est possible d'afficher certaines statistiques de connexion et les détails de route obtenus à partir de la liste de contrôle d'accès du tunnel partagé dans la configuration de la stratégie de groupe.

    Onglet Statistiques client AnyConnect Secure Mobility

    AC_Détails de la route

    Voici le résultat final de la configuration de l'exécution des étapes de configuration :

    crypto pki trustpoint SSLVPN_TP_SELFSIGNED enrollment selfsigned serial-number subject-name cn=892_SELF_SIGNED_CERT revocation-check none rsakeypair SELF_SIGNED_RSA ! crypto vpn anyconnect flash:/webvpn/anyconnect-win-3.1.08009-k9.pkg sequence 1
    crypto vpn anyconnect profile SSLVPN_PROFILE flash:test-profile.xml ! access-list 1 permit 192.168.0.0 0.0.255.255 ! ip local pool SSLVPN_POOL 192.168.10.1 192.168.10.10 ! webvpn gateway SSLVPN_GATEWAY ip address 10.165.201.1 port 443 ssl trustpoint SSLVPN_TP_SELFSIGNED inservice ! webvpn context SSLVPN_CONTEXT virtual-template 1
     aaa authentication list SSLVPN_AAA 
     gateway SSLVPN_GATEWAY
     ! ssl authenticate verify all inservice ! policy group SSLVPN_POLICY functions svc-enabled svc address-pool "SSLVPN_POOL" netmask 255.255.255.0 svc split include acl 1 svc dns-server primary 8.8.8.8
     svc profile SSLVPN_PROFILE default-group-policy SSLVPN_POLICY

    Dépannage

    Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

    Il existe quelques composants courants à vérifier lorsque vous dépannez des problèmes de connexion AnyConnect :

    • Comme le client doit présenter un certificat, le certificat spécifié dans la passerelle WebVPN doit être valide. L'émission d'une show crypto pki certificate affiche les informations relatives à tous les certificats du routeur.
    • Chaque fois qu'une modification est apportée à la configuration WebVPN, il est recommandé d'émettre un no inservice et inservice sur la passerelle et le contexte. Cela permet de s'assurer que les modifications prennent effet correctement.
    • Comme mentionné précédemment, il est nécessaire de disposer d’un PKG AnyConnect pour chaque système d’exploitation client qui se connecte à cette passerelle. Par exemple, les clients Windows nécessitent un PKG Windows, les clients Linux 32 bits nécessitent un PKG Linux 32 bits, etc.
    • Lorsque vous considérez que le client AnyConnect et le WebVPN basé sur navigateur utilisent SSL, le fait de pouvoir accéder à la page d’accueil WebVPN indique généralement qu’AnyConnect est en mesure de se connecter (en supposant que la configuration AnyConnect appropriée est correcte).
      •

    Cisco IOS offre diverses options de débogage WebVPN qui peuvent être utilisées pour dépanner les connexions défaillantes. Voici le résultat généré par debug WebVPN aaa, debug WebVPN tunnel et show WebVPN session lors d'une tentative de connexion réussie :

    fdenofa-892#show debugging WebVPN Subsystem: WebVPN AAA debugging is on WebVPN tunnel debugging is on WebVPN Tunnel Events debugging is on WebVPN Tunnel Errors debugging is on *May 26 20:11:06.381: WV-AAA: Nas Port ID set to 192.168.157.2. *May 26 20:11:06.381: WV-AAA: AAA authentication request sent for user: "VPNUSER"AAA returned status: 2 for session 37 *May 26 20:11:06.381: WV-AAA: AAA Authentication Passed! *May 26 20:11:06.381: WV-AAA: User "VPNUSER" has logged in from "192.168.157.2" to gateway "SSLVPN_GATEWAY" context "SSLVPN_CONTEXT" *May 26 20:11:12.265: *May 26 20:11:12.265: *May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] CSTP Version recd , using 1 *May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Allocating IP 192.168.10.9 from address-pool SSLVPN_POOL *May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Using new allocated IP 192.168.10.9 255.255.255.0 *May 26 20:11:12.265: Inserting static route: 192.168.10.9 255.255.255.255 Virtual-Access2 to routing table *May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Full Tunnel CONNECT request processed, HTTP reply created *May 26 20:11:12.265: HTTP/1.1 200 OK *May 26 20:11:12.265: Server: Cisco IOS SSLVPN *May 26 20:11:12.265: X-CSTP-Version: 1 *May 26 20:11:12.265: X-CSTP-Address: 192.168.10.9 *May 26 20:11:12.269: X-CSTP-Netmask: 255.255.255.0 *May 26 20:11:12.269: X-CSTP-Keep: false *May 26 20:11:12.269: X-CSTP-DNS: 8.8.8.8 *May 26 20:11:12.269: X-CSTP-Lease-Duration: 43200 *May 26 20:11:12.269: X-CSTP-MTU: 1280 *May 26 20:11:12.269: X-CSTP-Split-Include: 192.168.0.0/255.255.0.0 *May 26 20:11:12.269: X-CSTP-DPD: 300 *May 26 20:11:12.269: X-CSTP-Disconnected-Timeout: 2100 *May 26 20:11:12.269: X-CSTP-Idle-Timeout: 2100 *May 26 20:11:12.269: X-CSTP-Session-Timeout: 0 *May 26 20:11:12.269: X-CSTP-Keepalive: 30 *May 26 20:11:12.269: X-DTLS-Session-ID: 85939A3FE33ABAE5F02F8594D56DEDE389F6FB3C9EEC4D211EB71C0820DF8DC8 *May 26 20:11:12.269: X-DTLS-Port: 443 *May 26 20:11:12.269: X-DTLS-Header-Pad-Length: 3 *May 26 20:11:12.269: X-DTLS-CipherSuite: AES256-SHA *May 26 20:11:12.269: X-DTLS-DPD: 300 *May 26 20:11:12.269: X-DTLS-KeepAlive: 30 *May 26 20:11:12.269: *May 26 20:11:12.269: *May 26 20:11:12.269: *May 26 20:11:12.269: [WV-TUNL-EVT]:[8A3AE410] For User VPNUSER, DPD timer started for 300 seconds *May 26 20:11:12.273: [WV-TUNL-EVT]:[8A3AE410] CSTP Control, Recvd a Req Cntl Frame (User VPNUSER, IP 192.168.10.9) Severity ERROR, Type CLOSE_ERROR Text: reinitiate tunnel to negotiate a different MTU *May 26 20:11:12.273: [WV-TUNL-EVT]:[8A3AE410] CSTP Control, Recvd Close Error Frame *May 26 20:11:14.105: *May 26 20:11:14.105: *May 26 20:11:14.105: [WV-TUNL-EVT]:[8A3AE690] CSTP Version recd , using 1 *May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Tunnel Client reconnecting removing existing tunl ctx *May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE410] Closing Tunnel Context 0x8A3AE410 for Session 0x8A3C2EF8 and User VPNUSER *May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Reusing IP 192.168.10.9 255.255.255.0 *May 26 20:11:14.109: Inserting static route: 192.168.10.9 255.255.255.255 Virtual-Access2 to routing table *May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Full Tunnel CONNECT request processed, HTTP reply created *May 26 20:11:14.109: HTTP/1.1 200 OK *May 26 20:11:14.109: Server: Cisco IOS SSLVPN *May 26 20:11:14.109: X-CSTP-Version: 1 *May 26 20:11:14.109: X-CSTP-Address: 192.168.10.9 *May 26 20:11:14.109: X-CSTP-Netmask: 255.255.255.0 *May 26 20:11:14.109: X-CSTP-Keep: false *May 26 20:11:14.109: X-CSTP-DNS: 8.8.8.8 *May 26 20:11:14.113: X-CSTP-Lease-Duration: 43200 *May 26 20:11:14.113: X-CSTP-MTU: 1199 *May 26 20:11:14.113: X-CSTP-Split-Include: 192.168.0.0/255.255.0.0 *May 26 20:11:14.113: X-CSTP-DPD: 300 *May 26 20:11:14.113: X-CSTP-Disconnected-Timeout: 2100 *May 26 20:11:14.113: X-CSTP-Idle-Timeout: 2100 *May 26 20:11:14.113: X-CSTP-Session-Timeout: 0 *May 26 20:11:14.113: X-CSTP-Keepalive: 30 *May 26 20:11:14.113: X-DTLS-Session-ID: 22E54D9F1F6344BCB5BB30BC8BB3737907795E6F3C3665CDD294CBBA1DA4D0CF *May 26 20:11:14.113: X-DTLS-Port: 443 *May 26 20:11:14.113: X-DTLS-Header-Pad-Length: 3 *May 26 20:11:14.113: X-DTLS-CipherSuite: AES256-SHA *May 26 20:11:14.113: X-DTLS-DPD: 300 *May 26 20:11:14.113: X-DTLS-KeepAlive: 30 *May 26 20:11:14.113: *May 26 20:11:14.113: *May 26 20:11:14.113: *May 26 20:11:14.113: [WV-TUNL-EVT]:[8A3AE690] For User VPNUSER, DPD timer started for 300 seconds fdenofa-892#show webvpn session user VPNUSER context SSLVPN_CONTEXT Session Type : Full Tunnel Client User-Agent : AnyConnect Windows 3.1.08009 Username : VPNUSER Num Connection : 5 Public IP : 192.168.157.2 VRF Name : None Context : SSLVPN_CONTEXT Policy Group : SSLVPN_POLICY Last-Used : 00:00:00 Created : *16:11:06.381 EDT Tue May 26 2015 Session Timeout : Disabled Idle Timeout : 2100 DNS primary serve : 8.8.8.8 DPD GW Timeout : 300 DPD CL Timeout : 300 Address Pool : SSLVPN_POOL MTU Size : 1199 Rekey Time : 3600 Rekey Method : Lease Duration : 43200 Tunnel IP : 192.168.10.9 Netmask : 255.255.255.0 Rx IP Packets : 0 Tx IP Packets : 42 CSTP Started : 00:00:13 Last-Received : 00:00:00 CSTP DPD-Req sent : 0 Virtual Access : 2 Msie-ProxyServer : None Msie-PxyPolicy : Disabled Msie-Exception : Split Include : ACL 1 Client Ports : 17462 17463 17464 17465 17471

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    07-Mar-2024
    Ajout d'une remarque sur le changement de marque d'AnyConnect en Cisco Secure Client.
    1.0
    22-Jun-2016
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Frank DeNofa
      Ingénieur TAC Cisco
    • Rich Henry
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits