Configurar o AnyConnect VPN Client no Cisco IOS Router com ZBF

Opções de download

PDF (142.5 KB)
Ver no Adobe Reader em vários dispositivos
ePub (96.0 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (92.0 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:7 de abril de 2010

ID do documento:111891

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Prerequisites

Requirements

Componentes Utilizados

Conventions

Configurar

Diagrama de Rede

Configurar o servidor Cisco IOS AnyConnect

Verificar

Troubleshoot

Comandos para Troubleshooting

Informações Relacionadas

Introduction

No Cisco IOS^® Software Release 12.4(20)T e posterior, uma interface virtual SSLVPN-VIF0 foi introduzida para conexões de cliente AnyConnect VPN. Porém, esta interface SSLVPN-VIF0 é uma interface interna, que não suporta configurações do usuário. Isso criou um problema com o AnyConnect VPN e o Zone Based Policy Firewall, pois com o firewall, o tráfego só pode fluir entre duas interfaces quando ambas pertencem a zonas de segurança. Como o usuário não pode configurar a interface SSLVPN-VIF0 para torná-la um membro da zona, o tráfego do cliente VPN encerrado no gateway WebVPN do Cisco IOS após a descriptografia não pode ser encaminhado para nenhuma outra interface pertencente a uma zona de segurança. O sintoma desse problema pode ser visto com esta mensagem de registro relatada pelo firewall:

*Mar 4 16:43:18.251: %FW-6-DROP_PKT: Dropping icmp
   session 192.168.1.12:0 192.168.10.1:0 due to One 
   of the interfaces not being cfged for zoning
   with ip ident 0

Esse problema foi abordado posteriormente em versões mais recentes do software Cisco IOS. Com o novo código, o usuário pode atribuir uma zona de segurança a uma interface de modelo virtual, que é referenciada no contexto WebVPN, para associar uma zona de segurança ao contexto WebVPN .

Prerequisites

Requirements

Para aproveitar o novo recurso no Cisco IOS, você precisa garantir que o dispositivo de gateway Cisco IOS WebVPN esteja executando o Cisco IOS Software Release 12.4(20)T3, Cisco IOS Software Release 12.4(22)T2 ou Cisco IOS Software Release 12.4(24)T1 e posterior.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Roteador Cisco IOS série 3845 executando a versão 15.0(1)M1 conjunto de recursos de segurança avançada
Cisco AnyConnect SSL VPN Client para Windows versão 2.4.1012

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Configurar o servidor Cisco IOS AnyConnect

Aqui estão as etapas de configuração de alto nível que precisam ser executadas no servidor Cisco IOS AnyConnect para torná-lo interoperável com o firewall de política baseada em zona. A configuração final resultante é incluída para dois cenários de implantação típicos posteriormente neste documento.

Configure uma interface de Modelo Virtual e atribua-a em uma zona de segurança para o tráfego descriptografado da conexão do AnyConnect.
Adicione o Modelo virtual configurado anteriormente ao contexto WebVPN para a configuração do AnyConnect.
Conclua o resto da configuração do firewall de política baseada em zona e WebVPN.

Há dois cenários típicos com o AnyConnect e o ZBF, e aqui estão as configurações finais do roteador para cada cenário.

Cenário de implantação 1

O tráfego VPN pertence à mesma zona de segurança da rede interna.

O tráfego do AnyConnect entra na mesma zona de segurança à qual a interface interna da LAN pertence após a descriptografia.

Observação: uma zona autônoma também é definida para permitir somente o tráfego http/https para o próprio roteador para restrição de acesso.

Configuração do roteador
Router#show run Building configuration... Current configuration : 5225 bytes ! ! Last configuration change at 16:25:30 UTC Thu Mar 4 2010 by cisco ! version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot system flash: boot-end-marker ! aaa new-model ! aaa authentication login default local aaa authentication login webvpn local ! aaa session-id common ! ! ip cef ! ! ip inspect log drop-pkt no ip domain lookup ! ! parameter-map type inspect audit-map audit-trail on tcp idle-time 20 ! parameter-map type inspect global ! ! crypto pki trustpoint TP-self-signed-2692466680 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2692466680 revocation-check none rsakeypair TP-self-signed-2692466680 ! ! crypto pki certificate chain TP-self-signed-2692466680 certificate self-signed 01 <actual certificate deleted here for brevity> quit ! ! username cisco password 0 cisco ! ! class-map type inspect match-any test match protocol tcp match protocol udp match protocol icmp class-map type inspect match-all router-access match access-group name router-access ! ! policy-map type inspect firewall-policy class type inspect test inspect audit-map class class-default drop policy-map type inspect out-to-self-policy class type inspect router-access inspect class class-default drop policy-map type inspect self-to-out-policy class type inspect test inspect class class-default drop ! zone security inside zone security outside zone-pair security in-out source inside destination outside service-policy type inspect firewall-policy zone-pair security out-self source outside destination self service-policy type inspect out-to-self-policy zone-pair security self-out source self destination outside service-policy type inspect self-to-out-policy ! ! interface Loopback0 ip address 172.16.1.1 255.255.255.255 ! interface GigabitEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip nat inside ip virtual-reassembly zone-member security inside ! interface GigabitEthernet0/1 ip address 209.165.200.230 255.255.255.224 ip nat outside ip virtual-reassembly zone-member security outside ! interface Virtual-Template1 ip unnumbered Loopback0 zone-member security inside ! ! ip local pool test 192.168.1.1 192.168.1.100 ip forward-protocol nd ! ip http server ip http secure-server ip nat inside source list 1 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 209.165.200.225 ! ip access-list extended router-access permit tcp any host 209.165.200.230 eq www permit tcp any host 209.165.200.230 eq 443 ! access-list 1 permit 192.168.10.0 0.0.0.255 ! control-plane ! ! ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 modem InOut transport input all line vty 0 4 transport input all ! exception data-corruption buffer truncate scheduler allocate 20000 1000 ! webvpn gateway webvpn_gateway ip address 209.165.200.230 port 443 http-redirect port 80 ssl trustpoint TP-self-signed-2692466680 inservice ! webvpn install svc flash:/webvpn/svc.pkg sequence 1 ! webvpn context test secondary-color white title-color #669999 text-color black ssl authenticate verify all ! ! policy group policy_1 functions svc-enabled svc address-pool "test" svc keep-client-installed svc split include 192.168.10.0 255.255.255.0 virtual-template 1 default-group-policy policy_1 aaa authentication list webvpn gateway webvpn_gateway inservice ! end

Configuração do roteador

Router#show run
Building configuration...

Current configuration : 5225 bytes
!
! Last configuration change at 16:25:30 UTC Thu Mar 4 2010 by cisco
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot system flash:
boot-end-marker
!
aaa new-model
!
aaa authentication login default local
aaa authentication login webvpn local
!
aaa session-id common
!
!
ip cef
!
!
ip inspect log drop-pkt
no ip domain lookup
!
!
parameter-map type inspect audit-map
 audit-trail on
 tcp idle-time 20
!
parameter-map type inspect global
!
!
crypto pki trustpoint TP-self-signed-2692466680
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2692466680
 revocation-check none
 rsakeypair TP-self-signed-2692466680
!
!
crypto pki certificate chain TP-self-signed-2692466680
 certificate self-signed 01
 <actual certificate deleted here for brevity>
        quit
!
!
username cisco password 0 cisco
!
!
class-map type inspect match-any test
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-all router-access
 match access-group name router-access
!
!
policy-map type inspect firewall-policy
 class type inspect test
  inspect audit-map
 class class-default
  drop
policy-map type inspect out-to-self-policy
 class type inspect router-access
  inspect
 class class-default
  drop
policy-map type inspect self-to-out-policy
 class type inspect test
  inspect
 class class-default
  drop
!
zone security inside
zone security outside
zone-pair security in-out source inside destination outside
 service-policy type inspect firewall-policy
zone-pair security out-self source outside destination self
 service-policy type inspect out-to-self-policy
zone-pair security self-out source self destination outside
 service-policy type inspect self-to-out-policy
!
!
interface Loopback0
 ip address 172.16.1.1 255.255.255.255
!
interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security inside
!
interface GigabitEthernet0/1
 ip address 209.165.200.230 255.255.255.224
 ip nat outside
 ip virtual-reassembly
 zone-member security outside
!
interface Virtual-Template1
 ip unnumbered Loopback0
 zone-member security inside
 !
!
ip local pool test 192.168.1.1 192.168.1.100
ip forward-protocol nd
!
ip http server
ip http secure-server
ip nat inside source list 1 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 209.165.200.225
!
ip access-list extended router-access
 permit tcp any host 209.165.200.230 eq www
 permit tcp any host 209.165.200.230 eq 443
!
access-list 1 permit 192.168.10.0 0.0.0.255
!
control-plane
 !
!
!
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
 modem InOut
 transport input all
line vty 0 4
transport input all
!
exception data-corruption buffer truncate
scheduler allocate 20000 1000
!
webvpn gateway webvpn_gateway
 ip address 209.165.200.230 port 443
 http-redirect port 80
 ssl trustpoint TP-self-signed-2692466680
 inservice
 !
webvpn install svc flash:/webvpn/svc.pkg sequence 1
 !
webvpn context test
 secondary-color white
 title-color #669999
 text-color black
 ssl authenticate verify all
 !
 !
 policy group policy_1
   functions svc-enabled
   svc address-pool "test"
   svc keep-client-installed
   svc split include 192.168.10.0 255.255.255.0
   
 virtual-template 1
 default-group-policy policy_1
 aaa authentication list webvpn
 gateway webvpn_gateway
 inservice
!
end

Cenário de implantação 2

O tráfego VPN pertence a uma zona de segurança diferente da rede interna.

O tráfego do AnyConnect pertence a uma zona VPN separada, e há uma política de segurança que controla qual tráfego de vpn pode fluir para a zona interna. Neste exemplo específico, o tráfego telnet e http são permitidos do cliente AnyConnect para a rede LAN interna.

Configuração do roteador
Router#show run Building configuration... Current configuration : 6029 bytes ! ! Last configuration change at 20:57:32 UTC Fri Mar 5 2010 by cisco ! version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot system flash: boot-end-marker ! aaa new-model ! ! aaa authentication login default local aaa authentication login webvpn local ! ! aaa session-id common ! ip cef ! ! ip inspect log drop-pkt no ip domain lookup ! multilink bundle-name authenticated parameter-map type inspect global parameter-map type inspect audit-map audit-trail on tcp idle-time 20 ! ! crypto pki trustpoint TP-self-signed-2692466680 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2692466680 revocation-check none rsakeypair TP-self-signed-2692466680 ! ! crypto pki certificate chain TP-self-signed-2692466680 certificate self-signed 01 <actual certificate deleted for brevity> quit ! ! license udi pid CISCO3845-MB sn FOC09483Y8J archive log config hidekeys username cisco password 0 cisco ! ! class-map type inspect match-any test match protocol tcp match protocol udp match protocol icmp class-map type inspect match-all router-access match access-group name router-access class-map type inspect match-any http-telnet-ftp match protocol http match protocol telnet match protocol ftp class-map type inspect match-all vpn-to-inside-cmap match class-map http-telnet-ftp match access-group name tunnel-traffic ! ! policy-map type inspect firewall-policy class type inspect test inspect audit-map class class-default drop policy-map type inspect out-to-self-policy class type inspect router-access inspect class class-default drop policy-map type inspect self-to-out-policy class type inspect test inspect class class-default pass policy-map type inspect vpn-to-in-policy class type inspect vpn-to-inside-cmap inspect class class-default drop ! zone security inside zone security outside zone security vpn zone-pair security in-out source inside destination outside service-policy type inspect firewall-policy zone-pair security out-self source outside destination self service-policy type inspect out-to-self-policy zone-pair security self-out source self destination outside service-policy type inspect self-to-out-policy zone-pair security in-vpn source inside destination vpn service-policy type inspect firewall-policy zone-pair security vpn-in source vpn destination inside service-policy type inspect vpn-to-in-policy ! ! interface Loopback0 ip address 172.16.1.1 255.255.255.255 ! ! interface GigabitEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip nat inside ip virtual-reassembly zone-member security inside ! ! interface GigabitEthernet0/1 ip address 209.165.200.230 255.255.255.224 ip nat outside ip virtual-reassembly zone-member security outside ! ! interface Virtual-Template1 ip unnumbered Loopback0 zone-member security vpn ! ! ip local pool test 192.168.1.1 192.168.1.100 ip forward-protocol nd ! ! ip http server ip http secure-server ip nat inside source list 1 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 209.165.200.225 ! ip access-list extended broadcast permit ip any host 255.255.255.255 ip access-list extended router-access permit tcp any host 209.165.200.230 eq www permit tcp any host 209.165.200.230 eq 443 ip access-list extended tunnel-traffic permit ip any 192.168.1.0 0.0.0.255 ! access-list 1 permit 192.168.10.0 0.0.0.255 ! ! control-plane ! ! ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 modem InOut transport input all line vty 0 4 transport input all ! exception data-corruption buffer truncate scheduler allocate 20000 1000 ! webvpn gateway webvpn_gateway ip address 209.165.200.230 port 443 http-redirect port 80 ssl trustpoint TP-self-signed-2692466680 inservice ! webvpn install svc flash:/webvpn/svc.pkg sequence 1 ! webvpn context test secondary-color white title-color #669999 text-color black ssl authenticate verify all ! ! policy group policy_1 functions svc-enabled svc address-pool "test" svc keep-client-installed svc split include 192.168.10.0 255.255.255.0 virtual-template 1 default-group-policy policy_1 aaa authentication list webvpn gateway webvpn_gateway inservice ! end

Configuração do roteador

Router#show run
Building configuration...

Current configuration : 6029 bytes
!
! Last configuration change at 20:57:32 UTC Fri Mar 5 2010 by cisco
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot system flash:
boot-end-marker
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login webvpn local
!
!
aaa session-id common
!
ip cef
!
!
ip inspect log drop-pkt
no ip domain lookup
!
multilink bundle-name authenticated

parameter-map type inspect global

parameter-map type inspect audit-map
 audit-trail on
 tcp idle-time 20
!
!
crypto pki trustpoint TP-self-signed-2692466680
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2692466680
 revocation-check none
 rsakeypair TP-self-signed-2692466680
!
!
crypto pki certificate chain TP-self-signed-2692466680
 certificate self-signed 01
 <actual certificate deleted for brevity>
        quit
!
!
license udi pid CISCO3845-MB sn FOC09483Y8J
archive
 log config
  hidekeys
username cisco password 0 cisco
!
!
class-map type inspect match-any test
 match protocol tcp
match protocol udp
 match protocol icmp
class-map type inspect match-all router-access
 match access-group name router-access
class-map type inspect match-any http-telnet-ftp
 match protocol http
 match protocol telnet
 match protocol ftp
class-map type inspect match-all vpn-to-inside-cmap
 match class-map http-telnet-ftp
 match access-group name tunnel-traffic
!
!
policy-map type inspect firewall-policy
 class type inspect test
  inspect audit-map
 class class-default
  drop
policy-map type inspect out-to-self-policy
 class type inspect router-access
  inspect
 class class-default
  drop
policy-map type inspect self-to-out-policy
 class type inspect test
  inspect
 class class-default
  pass
policy-map type inspect vpn-to-in-policy
 class type inspect vpn-to-inside-cmap
  inspect
 class class-default
  drop
!
zone security inside
zone security outside
zone security vpn
zone-pair security in-out source inside destination outside
 service-policy type inspect firewall-policy
zone-pair security out-self source outside destination self
 service-policy type inspect out-to-self-policy
zone-pair security self-out source self destination outside
 service-policy type inspect self-to-out-policy
zone-pair security in-vpn source inside destination vpn
 service-policy type inspect firewall-policy
zone-pair security vpn-in source vpn destination inside
 service-policy type inspect vpn-to-in-policy
!
!
interface Loopback0
 ip address 172.16.1.1 255.255.255.255
 !
!
interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security inside
 !
!
interface GigabitEthernet0/1
 ip address 209.165.200.230 255.255.255.224
 ip nat outside
 ip virtual-reassembly
 zone-member security outside
 !
!
interface Virtual-Template1
 ip unnumbered Loopback0
 zone-member security vpn
 !
!
ip local pool test 192.168.1.1 192.168.1.100
ip forward-protocol nd
!
!
ip http server
ip http secure-server
ip nat inside source list 1 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 209.165.200.225

!
ip access-list extended broadcast
 permit ip any host 255.255.255.255
ip access-list extended router-access
 permit tcp any host 209.165.200.230 eq www
 permit tcp any host 209.165.200.230 eq 443
ip access-list extended tunnel-traffic
 permit ip any 192.168.1.0 0.0.0.255
!
access-list 1 permit 192.168.10.0 0.0.0.255
!
!
control-plane
 !
!
!
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
 modem InOut
 transport input all
line vty 0 4
 transport input all
!
exception data-corruption buffer truncate
scheduler allocate 20000 1000
!
webvpn gateway webvpn_gateway
 ip address 209.165.200.230 port 443
 http-redirect port 80
 ssl trustpoint TP-self-signed-2692466680
 inservice
 !
webvpn install svc flash:/webvpn/svc.pkg sequence 1
 !
webvpn context test
 secondary-color white
 title-color #669999
 text-color black
 ssl authenticate verify all
 !
 !
 policy group policy_1
   functions svc-enabled
   svc address-pool "test"
   svc keep-client-installed
   svc split include 192.168.10.0 255.255.255.0
   
 virtual-template 1
 default-group-policy policy_1
 aaa authentication list webvpn
 gateway webvpn_gateway
 inservice
!
end

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Vários comandos show estão associados ao WebVPN. Você pode executar estes comandos na interface de linha de comando (CLI) para mostrar estatísticas e outras informações. Consulte Verificando a Configuração do WebVPN para obter mais informações sobre os comandos show. Consulte o guia de configuração do firewall de política baseada em zona para obter mais informações sobre os comandos usados para verificar a configuração do firewall de política baseada em zona.

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Vários comandos debug estão associados ao WebVPN. Consulte Utilização de Comandos de Depuração WebVPN para obter mais informações sobre estes comandos. Consulte o comando para obter mais informações sobre os comandos de depuração do firewall de política baseada em zona.

Informações Relacionadas

Histórico de revisões

Revisão	Data de publicação	Comentários
1.0	07-Apr-2010	Versão inicial

Configurar o AnyConnect VPN Client no Cisco IOS Router com ZBF

Opções de download

Linguagem imparcial

Sobre esta tradução

Contents

Cenário de implantação 1

Cenário de implantação 2

Histórico de revisões

Este documento lhe foi útil?

Contate a Cisco

Este documento se refere a estes produtos