소개
이 문서에서는 Cisco ASA(Adaptive Security Appliance)에서 종료되는 클라이언트 기반 VPN을 위한 AnyConnect 웹 보안 모듈 구축에 대해 설명합니다.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
- ASA에 Anyconnect(v4.1+ 권장) 이미지를 업로드합니다.
![이미지 1.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-00.png)
- 그림과 같이 ASA에서 VPN 프로파일을 활성화합니다
![이미지 2.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-01.png)
구성
ASA를 통한 Anyconnect WebSecurity 구축
컨피그레이션과 관련된 단계는 다음과 같습니다.
- Anyconnect Websecurity 클라이언트 프로파일 구성
- Anyconnect VPN 그룹 정책 편집
- Web Security에 대해 분할 제외를 설정하고 Web Security 클라이언트 모듈 다운로드를 선택합니다
- Anyconnect VPN 그룹 정책을 수정하고 웹 보안 클라이언트 프로파일을 선택합니다
1단계. Anyconnect Websecurity 클라이언트 프로파일 구성
Configuration(컨피그레이션) >Remove Access VPN(액세스 VPN 제거) >Network (Client) Access(네트워크(클라이언트) 액세스) >Anyconnect Client Profile(Anyconnect 클라이언트 프로파일)로 이동하여 다음을 클릭합니다.
AnyConnect Web Security Client Profile(AnyConnect 웹 보안 클라이언트 프로파일)을 추가하고 선택합니다.
참고: 프로파일 이름은 클라이언트측에서 하드 코딩되므로 구성된 이름과 상관없이 ASA는 항상 Websecurity_serviceprofile.wso를 클라이언트에 푸시합니다.
참고: 인증 라이센스 키가 없는 기본 프로필입니다.
![이미지 3.1.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-02.png)
2단계. 인증 라이센스 키를 추가 하고 구성을 사용자 정의 하기 위해 새로 작성 된 프로필을 수정 합니다.
![이미지 4.2.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-03.png)
![이미지 4.1.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-04.png)
![이미지 6.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-05.png)
3단계. Web Security에 대해 분할 제외를 설정하고 download Web security client module(웹 보안 클라이언트 모듈 다운로드)을 선택합니다.
이미지에 표시된 대로 Anyconnect VPN 그룹 정책을 수정합니다.
![이미지 8.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-06.png)
그림과 같이 Web Security에 대해 분할 제외를 설정합니다.
![이미지 15.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-07.png)
![이미지 16.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-08.png)
그림과 같이 download Web Security client module(웹 보안 클라이언트 모듈 다운로드)을 선택합니다.
![이미지 9.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-09.png)
4단계. 웹 보안 클라이언트 프로파일 다운로드
Edit Anyconnect VPN group policy(Anyconnect VPN 그룹 정책 수정) > Client Profiles to Download(다운로드할 클라이언트 프로파일) > Add(추가), 이제 생성된 프로파일을 선택합니다(1단계 참조).
![이미지 7.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-10.png)
OK(확인)를 클릭하고 변경 사항을 적용합니다.
다음을 확인합니다.
Anyconnect VPN에 연결하면 ASA가 이미지에 표시된 대로 VPN을 통해 Anyconnect 웹 보안 모듈을 푸시합니다.
![이미지 13.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-11.png)
![이미지 10.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-12.png)
![이미지 17.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-13.png)
이미 로그인한 경우 로그오프한 다음 다시 로그인하여 기능을 활성화하는 것이 좋습니다.
Anyconnect 버전 업그레이드/다운그레이드
버전을 업그레이드할 경우 배포 기능은 변경되지 않습니다. 그러나 다운그레이드는 불가능합니다. 따라서 현재 4.1.x의 예를 사용하면 버전 4.2로 업그레이드할 수 있습니다
관련 단계는 다음과 같습니다.
1단계. 최신 Anyconnect 패키지 4.2를 플래시에 업로드하고 4.1을 최신 파일로 교체합니다.
Anyconnect Client Software(Anyconnect 클라이언트 소프트웨어) > Replace(대체)에서 최근 이미지 파일을 선택합니다.
![이미지 11.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-14.png)
2단계. Anyconnect VPN에 다시 연결하면 ASA가 웹 보안 프로파일을 변경하지 않고 VPN을 통해 최신 Anyconnect 모듈을 푸시합니다.
![이미지 3.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-15.png)
![이미지 13.](/c/dam/en/us/support/docs/security/scansafe-secure-mobility/200387-AnyConnect-Web-Security-Deployment-throu-16.png)
참고: 다운그레이드는 지원되지 않습니다.
문제 해결
이 섹션에서는 설정 문제 해결을 위해 사용할 수 있는 정보를 제공합니다.
DART를 사용하여 문제 해결 정보 수집:
DART는 AnyConnect 설치 및 연결 문제를 해결하는 데 유용한 데이터를 수집하는 데 사용할 수 있는 AnyConnect 진단 및 보고 도구입니다. DART는 Windows 7, Windows Vista, Windows XP, Mac 버전 10.5 및 10.6, Linux Redhat를 지원합니다. DART 마법사는 AnyConnect를 실행하는 컴퓨터에서 실행됩니다. Cisco TAC(Technical Assistance Center) 분석을 위해 로그, 상태 및 진단 정보를 취합하며 관리자 권한이 필요하지 않습니다.
DART는 AnyConnect 소프트웨어의 어떤 구성 요소도 실행하는 데 의존하지 않지만 AnyConnect에서 실행할 수 있습니다. 사용 가능한 경우 AnyConnect 로그 파일을 수집합니다. 현재 DART는 독립형 설치로 사용할 수 있습니다. 또는 관리자가 AnyConnect 동적 다운로드 인프라의 일부로 이 애플리케이션을 클라이언트 PC에 푸시할 수 있습니다. 설치가 완료되면 최종 사용자는 시작 버튼을 통해 사용 가능한 Cisco 폴더에서 마법사를 시작할 수 있습니다.