PIX/ASA 7.x ASDM: beperking van de netwerktoegang van VPN-gebruikers met externe toegang

Downloadopties

PDF (608.9 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (567.8 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (1.1 MB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:17 april 2007

Document-id:69308

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Verwante producten

Netwerkdiagram

Conventies

Toegang configureren via ASDM

Toegang configureren via CLI

Verifiëren

Problemen oplossen

Gerelateerde informatie

Inleiding

Dit document biedt een voorbeeldconfiguratie met de Cisco Adaptive Security Device Manager (ASDM) om te beperken tot welke interne netwerken externe VPN-gebruikers toegang kunnen hebben achter de PIX security applicatie of adaptieve security applicatie (ASA). U kunt externe VPN-gebruikers beperken tot alleen de gebieden van het netwerk waartoe u toegang wilt hebben wanneer u:

Toegangslijsten maken.
Associeer ze met groepsbeleid.
Associeer dat groepsbeleid met tunnelgroepen.

Raadpleeg Cisco VPN 3000 Concentrator configureren voor blokkeren met filters en RADIUS-filtertoewijzing om meer te weten te komen over het scenario waarin de VPN Concentrator de toegang van VPN-gebruikers blokkeert.

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

De PIX kan worden geconfigureerd met de ASDM.

Opmerking: zie Toegang tot HTTPS voor ASDM toestaan om de PIX te kunnen configureren door de ASDM.
U hebt minstens één bekende goede configuratie voor externe toegang en VPN.

Opmerking: Als u geen dergelijke configuraties hebt, raadpleegt u ASA als een Remote VPN Server met ASDM Configuration Voorbeeld voor informatie over het configureren van een goede VPN-configuratie voor externe toegang.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco Secure PIX 500 Series security applicatie versie 7.1(1)

Opmerking: de PIX 501 en 506E security applicaties ondersteunen versie 7.x niet.
Cisco Adaptieve Security Device Manager versie 5.1(1)

Opmerking: de ASDM is alleen beschikbaar in PIX of ASA 7.x.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Deze configuratie kan ook worden gebruikt in combinatie met deze hardware- en softwareversies:

Cisco ASA 5500 Series adaptieve security applicatie versie 7.1(1)

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

In dit configuratievoorbeeld wordt een klein bedrijfsnetwerk met drie subnetten verondersteld. Dit diagram illustreert de topologie. De drie subnetten zijn Intranet, Engineering en Payroll. Het doel van dit configuratievoorbeeld is om salarispersoneel externe toegang tot het Intranet en Payroll-subnetten toe te staan en te voorkomen dat ze toegang krijgen tot het Engineering-subnet. Ook, zouden de ingenieurs moeten kunnen ver tot het Intranet en de Subnets van de Techniek, maar niet tot het Subnet van de Loonrol toegang hebben. De loonlijstgebruiker in dit voorbeeld is "controller1". De ingenieursgebruiker in dit voorbeeld is "engineer1".

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Toegang configureren via ASDM

Voltooi de volgende stappen om de PIX security applicatie te configureren met ASDM:

Selecteer Configuratie > VPN > Algemeen > Groepsbeleid.
Gebaseerd op welke stappen zijn genomen om tunnelgroepen op de PIX te configureren, kan Groepsbeleid al bestaan voor die tunnelgroepen waarvan u de gebruikers wilt beperken. Als er al een geschikt groepsbeleid bestaat, kies het en klik op Bewerken. Anders klikt u op Toevoegen en kiest u Intern groepsbeleid....
Indien nodig voert u de naam van het groepsbeleid in of wijzigt u deze boven in het venster dat nu wordt geopend.
Op het tabblad Algemeen deselecteert u het vakje Inherit naast Filter en klikt u vervolgens op Beheer.
Klik op ACL toevoegen om een nieuwe toegangslijst te maken in het venster voor ACL-beheer dat wordt weergegeven.
Kies een nummer voor de nieuwe toegangslijst en klik op OK.
Als uw nieuwe ACL links is geselecteerd, klikt u op ACE toevoegen om een nieuwe toegangscontrole aan de lijst toe te voegen.
Definieer de toegangscontrole-ingang (ACE) die u wilt toevoegen.

In dit voorbeeld, de eerste ACE in ACL 10 verleent IP toegang tot het Subnet van de Loonlijst uit om het even welke bron.

Opmerking: standaard selecteert ASDM alleen TCP als protocol. U moet IP kiezen als u gebruikers volledige IP-toegang wilt toestaan of weigeren. Klik op OK wanneer u klaar bent.
Het ACE dat u zojuist hebt toegevoegd, wordt nu in de lijst weergegeven. Kies ACE opnieuw toevoegen om extra lijnen aan de toegangslijst toe te voegen.

In dit voorbeeld wordt een tweede ACE toegevoegd aan ACL 10 om toegang tot het Intranet-subnet toe te staan.
Klik op OK als u klaar bent met het toevoegen van ACE's.
Selecteer de ACL die u in de laatste stappen hebt gedefinieerd en ingevuld om het filter voor uw groepsbeleid te zijn. Klik op OK wanneer u klaar bent.
Klik op Toepassen om de wijzigingen in de PIX te verzenden.
Als u het hebt geconfigureerd om dit te doen onder Opties > Voorkeuren, de ASDM previews de opdrachten die het op het punt staat te verzenden naar de PIX. Klik op Verzenden.
Pas het Groepsbeleid toe dat zojuist is gemaakt of aangepast aan de juiste tunnelgroep. Klik op Tunnelgroep in het linkerframe.
Kies de tunnelgroep waarop u het groepsbeleid wilt toepassen en klik op Bewerken.
Als uw Groepsbeleid automatisch is gemaakt (zie stap 2), controleert u of het groepsbeleid dat u zojuist hebt geconfigureerd, in het vervolgkeuzevenster is geselecteerd. Als uw Groepsbeleid niet automatisch is geconfigureerd, selecteert u het in de vervolgkeuzelijst. Klik op OK wanneer u klaar bent.
Klik op Toepassen en klik, indien hierom wordt gevraagd, op Verzenden om de wijziging aan de PIX-configuratie toe te voegen.

Als het Groepsbeleid al was geselecteerd, zou u een bericht kunnen ontvangen dat zegt "Er zijn geen wijzigingen aangebracht." Klik op OK.
Herhaal stap 2 tot en met 17 voor extra tunnelgroepen waaraan u beperkingen wilt toevoegen.

In dit configuratievoorbeeld is het ook noodzakelijk om de toegang van de ingenieurs te beperken. Hoewel de procedure hetzelfde is, zijn dit een paar vensters waarop de verschillen opmerkelijk zijn:
- Nieuwe toegangslijst 20
- Kies Toegangslijst 20 als filter in het beleid van de Groep van de Techniek.
- Controleer dat het beleid van de groep Engineering is ingesteld voor de groep Engineering Tunnel.

Toegang configureren via CLI

Voltooi de volgende stappen om het security apparaat te configureren met behulp van de CLI:

Opmerking: Sommige opdrachten in deze output zijn omwille van ruimtelijke redenen teruggebracht naar een tweede regel.

Maak twee verschillende toegangscontrolelijsten (15 en 20) die op gebruikers worden toegepast wanneer ze verbinding maken met de externe toegang VPN. Deze toegangslijst wordt later in de configuratie opgeroepen.

ASAwCSC-CLI(config)#access-list 15 remark permit IP access from ANY 
source to the payroll subnet (10.8.28.0/24) 

ASAwCSC-CLI(config)#access-list 15 extended permit ip 
any 10.8.28.0 255.255.255.0

ASAwCSC-CLI(config)#access-list 15 remark Permit IP access from ANY 
source to the subnet used by all employees (10.8.27.0)

ASAwCSC-CLI(config)#access-list 15 extended permit ip 
any 10.8.27.0 255.255.255.0

ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
source to the Engineering subnet (192.168.1.0/24)

ASAwCSC-CLI(config)#access-list 20 extended permit ip 
any 192.168.1.0 255.255.255.0

ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
source to the subnet used by all employees (10.8.27.0/24)

ASAwCSC-CLI(config)#access-list 20 extended permit ip 
any 10.8.27.0 255.255.255.0

Maak twee verschillende VPN-adrespools. Maak een voor Payroll en een voor de externe gebruikers van Engineering.

ASAwCSC-CLI(config)#ip local pool Payroll-VPN 
172.10.1.100-172.10.1.200 mask 255.255.255.0

ASAwCSC-CLI(config)#ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 
mask 255.255.255.0

Maak beleid voor payroll dat alleen op hen van toepassing is wanneer ze verbinding maken.

ASAwCSC-CLI(config)#group-policy Payroll internal

ASAwCSC-CLI(config)#group-policy Payroll attributes

ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10

ASAwCSC-CLI(config-group-policy)#vpn-filter value 15


!--- Call the ACL created in step 1 for Payroll.


ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec

ASAwCSC-CLI(config-group-policy)#default-domain value payroll.corp.com

ASAwCSC-CLI(config-group-policy)#address-pools value Payroll-VPN


!--- Call the Payroll address space that you created in step 2.

Deze stap is hetzelfde als stap 3, behalve voor de Engineering groep.

ASAwCSC-CLI(config)#group-policy Engineering internal

ASAwCSC-CLI(config)#group-policy Engineering attributes

ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10

ASAwCSC-CLI(config-group-policy)#vpn-filter value 20


!--- Call the ACL that you created in step 1 for Engineering.


ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec

ASAwCSC-CLI(config-group-policy)#default-domain value Engineer.corp.com

ASAwCSC-CLI(config-group-policy)#address-pools value Engineer-VPN


!--- Call the Engineering address space that you created in step 2.

Maak lokale gebruikers en wijs de eigenschappen die u zojuist hebt gemaakt toe aan die gebruikers om hun toegang tot bronnen te beperken.

ASAwCSC-CLI(config)#username engineer password cisco123

ASAwCSC-CLI(config)#username engineer attributes

ASAwCSC-CLI(config-username)#vpn-group-policy Engineering

ASAwCSC-CLI(config-username)#vpn-filter value 20

ASAwCSC-CLI(config)#username marty password cisco456

ASAwCSC-CLI(config)#username marty attributes

ASAwCSC-CLI(config-username)#vpn-group-policy Payroll

ASAwCSC-CLI(config-username)#vpn-filter value 15

Creëer tunnelgroepen die verbindingsbeleid bevatten voor de Payroll-gebruikers.

ASAwCSC-CLI(config)#tunnel-group Payroll type ipsec-ra

ASAwCSC-CLI(config)#tunnel-group Payroll general-attributes

ASAwCSC-CLI(config-tunnel-general)#address-pool Payroll-VPN

ASAwCSC-CLI(config-tunnel-general)#default-group-policy Payroll

ASAwCSC-CLI(config)#tunnel-group Payroll ipsec-attributes

 ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key time1234

Creeer tunnelgroepen die verbindingsbeleid voor de gebruikers van de Techniek bevatten.

ASAwCSC-CLI(config)#tunnel-group Engineering type ipsec-ra

ASAwCSC-CLI(config)#tunnel-group Engineering general-attributes

ASAwCSC-CLI(config-tunnel-general)#address-pool Engineer-VPN

ASAwCSC-CLI(config-tunnel-general)#default-group-policy Engineering

ASAwCSC-CLI(config)#tunnel-group Engineering ipsec-attributes

ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key Engine123

Zodra u de configuratie hebt ingevoerd, kunt u dit gemarkeerde gebied in uw configuratie zien:

Apparaatnaam 1
ASA-AIP-CLI(config)#show running-config ASA Version 7.2(2) ! hostname ASAwCSC-ASDM domain-name corp.com enable password 9jNfZuG3TC5tCVH0 encrypted names ! interface Ethernet0/0 nameif Intranet security-level 0 ip address 10.8.27.2 255.255.255.0 ! interface Ethernet0/1 nameif Engineer security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/2 nameif Payroll security-level 100 ip address 10.8.28.0 ! interface Ethernet0/3 no nameif no security-level no ip address ! interface Management0/0 no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name corp.com access-list Inside_nat0_outbound extended permit ip any 172.10.1.0 255.255.255.0 access-list Inside_nat0_outbound extended permit ip any 172.16.2.0 255.255.255.0 access-list 15 remark permit IP access from ANY source to the Payroll subnet (10.8.28.0/24) access-list 15 extended permit ip any 10.8.28.0 255.255.255.0 access-list 15 remark Permit IP access from ANY source to the subnet used by all employees (10.8.27.0) access-list 15 extended permit ip any 10.8.27.0 255.255.255.0 access-list 20 remark Permit IP access from Any source to the Engineering subnet (192.168.1.0/24) access-list 20 extended permit ip any 192.168.1.0 255.255.255.0 access-list 20 remark Permit IP access from Any source to the subnet used by all employees (10.8.27.0/24) access-list 20 extended permit ip any 10.8.27.0 255.255.255.0 pager lines 24 mtu MAN 1500 mtu Outside 1500 mtu Inside 1500 ip local pool Payroll-VPN 172.10.1.100-172.10.1.200 mask 255.255.255.0 ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-522.bin no asdm history enable arp timeout 14400 global (Intranet) 1 interface nat (Inside) 0 access-list Inside_nat0_outbound nat (Inside) 1 192.168.1.0 255.255.255.0 nat (Inside) 1 10.8.27.0 255.255.255.0 nat (Inside) 1 10.8.28.0 255.255.255.0 route Intranet 0.0.0.0 0.0.0.0 10.8.27.2 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute group-policy Payroll internal group-policy Payroll attributes dns-server value 10.8.27.10 vpn-filter value 15 vpn-tunnel-protocol IPSec default-domain value payroll.corp.com address-pools value Payroll-VPN group-policy Engineering internal group-policy Engineering attributes dns-server value 10.8.27.10 vpn-filter value 20 vpn-tunnel-protocol IPSec default-domain value Engineer.corp.com address-pools value Engineer-VPN username engineer password LCaPXI.4Xtvclaca encrypted username engineer attributes vpn-group-policy Engineering vpn-filter value 20 username marty password 6XmYwQOO9tiYnUDN encrypted privilege 0 username marty attributes vpn-group-policy Payroll vpn-filter value 15 no snmp-server location no snmp-server contact crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map Outside_dyn_map 20 set pfs crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map crypto map Outside_map interface Outside crypto isakmp enable Outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 tunnel-group Payroll type ipsec-ra tunnel-group Payroll general-attributes address-pool vpnpool default-group-policy Payroll tunnel-group Payroll ipsec-attributes pre-shared-key * tunnel-group Engineering type ipsec-ra tunnel-group Engineering general-attributes address-pool Engineer-VPN default-group-policy Engineering tunnel-group Engineering ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns migrated_dns_map_1 parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:0e579c85004dcfb4071cb561514a392b : end ASA-AIP-CLI(config)#

Apparaatnaam 1

ASA-AIP-CLI(config)#show running-config 

ASA Version 7.2(2) 
!
hostname ASAwCSC-ASDM
domain-name corp.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0/0
 nameif Intranet
 security-level 0
 ip address 10.8.27.2 255.255.255.0 
!
interface Ethernet0/1
 nameif Engineer
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet0/2
 nameif Payroll
 security-level 100
 ip address 10.8.28.0
!
interface Ethernet0/3
 no nameif    
 no security-level
 no ip address
!
interface Management0/0
 no nameif    
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
access-list Inside_nat0_outbound extended permit ip any 172.10.1.0 255.255.255.0 
access-list Inside_nat0_outbound extended permit ip any 172.16.2.0 255.255.255.0 
access-list 15 remark permit IP access from ANY source to the 
   Payroll subnet (10.8.28.0/24)
access-list 15 extended permit ip any 10.8.28.0 255.255.255.0 
access-list 15 remark Permit IP access from ANY source to the subnet 
   used by all employees (10.8.27.0)
access-list 15 extended permit ip any 10.8.27.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the Engineering 
   subnet (192.168.1.0/24)
access-list 20 extended permit ip any 192.168.1.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the subnet used 
   by all employees (10.8.27.0/24)
access-list 20 extended permit ip any 10.8.27.0 255.255.255.0 
pager lines 24
mtu MAN 1500
mtu Outside 1500
mtu Inside 1500
ip local pool Payroll-VPN 172.10.1.100-172.10.1.200 mask 255.255.255.0
ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (Intranet) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.1.0 255.255.255.0
nat (Inside) 1 10.8.27.0 255.255.255.0
nat (Inside) 1 10.8.28.0 255.255.255.0
route Intranet 0.0.0.0 0.0.0.0 10.8.27.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy Payroll internal
group-policy Payroll attributes
 dns-server value 10.8.27.10
 vpn-filter value 15
 vpn-tunnel-protocol IPSec 
 default-domain value payroll.corp.com
 address-pools value Payroll-VPN
group-policy Engineering internal
group-policy Engineering attributes
 dns-server value 10.8.27.10
 vpn-filter value 20
 vpn-tunnel-protocol IPSec 
 default-domain value Engineer.corp.com
 address-pools value Engineer-VPN
username engineer password LCaPXI.4Xtvclaca encrypted
username engineer attributes
 vpn-group-policy Engineering
 vpn-filter value 20
username marty password 6XmYwQOO9tiYnUDN encrypted privilege 0
username marty attributes
 vpn-group-policy Payroll
 vpn-filter value 15
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map Outside_dyn_map 20 set pfs 
crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
tunnel-group Payroll type ipsec-ra
tunnel-group Payroll general-attributes
 address-pool vpnpool
 default-group-policy Payroll
tunnel-group Payroll ipsec-attributes
 pre-shared-key *
tunnel-group Engineering type ipsec-ra
tunnel-group Engineering general-attributes
 address-pool Engineer-VPN
 default-group-policy Engineering
tunnel-group Engineering ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:0e579c85004dcfb4071cb561514a392b
: end
ASA-AIP-CLI(config)#

Verifiëren

Gebruik de bewakingsfuncties van de ASDM om uw configuratie te controleren:

Selecteer Bewaking > VPN > VPN-statistieken > Sessies.

U ziet de actieve VPN-sessies op de PIX. Selecteer de sessie waarin u geïnteresseerd bent en klik op Details.
Selecteer het tabblad ACL.

De ACL-hackers geven verkeer weer dat door de tunnel stroomt van de client naar het (de) toegestane netwerk(en).