Configurazione del tunneling ripartito dinamico ASA/AnyConnect

Introduzione

Questo documento descrive come configurare AnyConnect Secure Mobility Client per il tunneling a esclusione di split dinamico tramite ASDM.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Conoscenze base di ASA.
• Conoscenze base di Cisco AnyConnect Security Mobility Client.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software:

• ASA 9.12(3)9
• Adaptive Security Device Manager (ASDM) 7.13(1)
• AnyConnect 4.7.0

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Il tunneling split di AnyConnect consente a Cisco AnyConnect Secure Mobility Client di accedere in modo sicuro alle risorse aziendali tramite IKEV2 o SSL (Secure Sockets Layer).

Nelle versioni precedenti a AnyConnect 4.5, in base ai criteri configurati su ASA (Adaptive Security Appliance), il comportamento del tunnel suddiviso può essere Specificato per il tunnel, Specificato per il tunnel Tutti i tunnel o Escluso.

Con l'avvento delle risorse del computer ospitato nel cloud, i servizi a volte si risolvono in un indirizzo IP diverso in base alla posizione dell'utente o al carico delle risorse ospitate nel cloud.

Poiché AnyConnect Secure Mobility Client fornisce il tunneling suddiviso a un intervallo di subnet statiche, a un host o a un pool di IPV4 o IPV6, per gli amministratori di rete diventa difficile escludere domini/FQDN durante la configurazione di AnyConnect.

Ad esempio, un amministratore di rete desidera escludere il dominio Cisco.com dalla configurazione del tunnel di divisione, ma il mapping DNS per Cisco.com cambia poiché è ospitato nel cloud.

Utilizzando il tunneling con esclusione della divisione dinamica, AnyConnect risolve in modo dinamico l'indirizzo IPv4/IPv6 dell'applicazione ospitata e apporta le modifiche necessarie alla tabella di routing e ai filtri per consentire la connessione all'esterno del tunnel.

A partire da AnyConnect 4.5, il tunneling dello split dinamico può essere usato quando AnyConnect risolve in modo dinamico l'indirizzo IPv4/IPv6 dell'applicazione ospitata e apporta le modifiche necessarie alla tabella di routing e ai filtri per consentire la connessione all'esterno del tunnel

Configurazione

In questa sezione viene descritto come configurare Cisco AnyConnect Secure Mobility Client sull'appliance ASA.

Esempio di rete

Nell'immagine è illustrata la topologia utilizzata per gli esempi di questo documento.

Passaggio 1. Creazione di attributi personalizzati AnyConnect

  

Passare a Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attributes. Fare clic sul Add pulsante e impostare l' dynamic-split-exclude-domains attributo e la descrizione facoltativa, come mostrato nell'immagine:

Passaggio 2. Creazione del nome personalizzato e configurazione dei valori di AnyConnect

Passare a Configuration > Remote Access VPN > Network (Client) Access > Advanced > AnyConnect Custom Attribute Names. Fare clic Add su Pulsante e impostare l' dynamic-split-exclude-domains attributo creato in precedenza da Tipo, un nome arbitrario e Valori, come mostrato nell'immagine:

Fare attenzione a non inserire uno spazio in Nome. (Ad esempio: Possibile sito cisco, Impossibile sito cisco) Quando sono registrati più domini o FQDN in Valori, separarli con una virgola (,).

Passaggio 3. Aggiungi tipo e nome a Criteri di gruppo

Individuare Configuration> Remote Access VPN> Network (Client) Access> Group Policies e selezionare un criterio di gruppo. Passare quindi alla configurazione Advanced> AnyConnect Client> Custom Attributes e aggiungerla Type e Name, come mostrato nell'immagine:

Esempio di configurazione CLI

Questa sezione fornisce la configurazione CLI del tunneling con split dinamico a scopo di riferimento.

ASAv10# show run
 --- snip ---
webvpn
 enable outside
 AnyConnect-custom-attr dynamic-split-exclude-domains description Dynamic Split Tunneling
 hsts
 enable
 max-age 31536000
 include-sub-domains
 no preload
 AnyConnect image disk0:/AnyConnect-win-4.7.04056-webdeploy-k9.pkg 1
 AnyConnect enable
 tunnel-group-list enable
 cache
 disable
 error-recovery disable
AnyConnect-custom-data dynamic-split-exclude-domains cisco-site www.cisco.com,tools.cisco.com,community.cisco.com
group-policy GroupPolicy_AnyConnect-01 internal
group-policy GroupPolicy_AnyConnect-01 attributes
 wins-server none
 dns-server value 10.0.0.0
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelall
 split-tunnel-network-list value SplitACL
 default-domain value cisco.com
 AnyConnect-custom dynamic-split-exclude-domains value cisco-site

Limitazioni

• Per utilizzare gli attributi personalizzati del tunneling dinamico suddiviso, è necessario disporre di ASA versione 9.0 o successive.
• Il carattere jolly nel campo Valori non è supportato.
• Il tunneling con split dinamico non è supportato sui dispositivi iOS (Apple) (richiesta miglioramento: ID bug Cisco CSCvr54798).

Verifica

Per verificare che il software Dynamic Tunnel Exclusions, AnyConnectdi avvio sia stato configurato sul client, fare clic su Advanced Window>Statistics, come mostrato nell'immagine:





È inoltre possibile passare alla scheda Advanced Window>Route Details in cui è possibile verificare Dynamic Tunnel Exclusionsche siano elencate Non-Secured Routes, sotto come mostrato nell'immagine.





Nell'esempio, è stato configurato www.cisco.com e l'Dynamic Tunnel Exclusion listacquisizione di Wireshark raccolta sull'interfaccia fisica del client AnyConnect conferma che il traffico diretto a www.cisco.com (198.51.100.0) non è crittografato da DTLS.

Risoluzione dei problemi

Se il carattere jolly è utilizzato nel campo Valori

Se nel campo Valori è configurato un carattere jolly, ad esempio *.cisco.com è configurato in Valori, la sessione AnyConnect viene disconnessa, come mostrato nei log:

Apr 02 2020 10:01:09: %ASA-4-722041: TunnelGroup <AnyConnect-01> GroupPolicy <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> No IPv6 address available for SVC connection
Apr 02 2020 10:01:09: %ASA-5-722033: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> First TCP SVC connection established for SVC session.
Apr 02 2020 10:01:09: %ASA-6-722022: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> TCP SVC connection established without compression
Apr 02 2020 10:01:09: %ASA-6-722055: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> Client Type: Cisco AnyConnect VPN Agent for Windows 4.7.04056
Apr 02 2020 10:01:09: %ASA-4-722051: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> IPv4 Address <172.16.0.0> IPv6 address <::> assigned to session
Apr 02 2020 10:01:09: %ASA-6-302013: Built inbound TCP connection 8570 for outside:172.16.0.0/44868 (172.16.0.0/44868) to identity:203.0.113.0/443 (203.0.113.0/443)
Apr 02 2020 10:01:09: %ASA-4-722037: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC closing connection: Transport closing.
Apr 02 2020 10:01:09: %ASA-5-722010: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> SVC Message: 16/ERROR: Configuration received from secure gateway was invalid..
Apr 02 2020 10:01:09: %ASA-6-716002: Group <GroupPolicy_AnyConnect-01> User <cisco> IP <172.16.0.0> WebVPN session terminated: User Requested.
Apr 02 2020 10:01:09: %ASA-4-113019: Group = AnyConnect-01, Username = cisco, IP = 172.16.0.0, Session disconnected. Session Type: AnyConnect-Parent, Duration: 0h:00m:10s, Bytes xmt: 15622, Bytes rcv: 0, Reason: User Requested

Nota: in alternativa, è possibile usare il dominio cisco.com in Valori per consentire FQDN come www.cisco.com e tools.cisco.com.

Nel caso in cui i percorsi non protetti non vengano visualizzati nella scheda Dettagli percorso


Il client AnyConnect apprende e aggiunge automaticamente l'indirizzo IP e il nome FQDN nella scheda Dettagli route, quando il client avvia il traffico per le destinazioni escluse.

Per verificare che gli utenti AnyConnect siano assegnati ai criteri di gruppo Anyconnect corretti, è possibile eseguire il comando show vpn-sessiondb anyconnect filter name <username>

ASAv10# show vpn-sessiondb anyconnect filter name cisco

Session Type: AnyConnect

Username : cisco Index : 7
Assigned IP : 172.16.0.0 Public IP : 10.0.0.0
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 7795373 Bytes Rx : 390956
Group Policy : GroupPolicy_AnyConnect-01
Tunnel Group : AnyConnect-01
Login Time : 13:20:48 UTC Tue Mar 31 2020
Duration : 20h:19m:47s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 019600a9000070005e8343b0
Security Grp : none

Risoluzione dei problemi generali

È possibile usare lo strumento di diagnostica e segnalazione di AnyConnect (DART) per raccogliere i dati utili per risolvere i problemi di installazione e connessione di AnyConnect. La procedura guidata DART viene utilizzata sul computer su cui è in esecuzione AnyConnect. DART raggruppa i registri, lo stato e le informazioni di diagnostica per l'analisi di Cisco Technical Assistance Center (TAC) e non richiede privilegi di amministratore per l'esecuzione sul computer client.

Informazioni correlate

• Guida dell'amministratore di Cisco AnyConnect Secure Mobility Client, versione 4.7 - Informazioni sul tunneling con split dinamico
• ASDM Book 3: Cisco ASA Series VPN ASDM Configuration Guide, 7.13 - Configure Dynamic Split Tunneling