配置对本地局域网的 AnyConnect 客户端访问

下载选项

  • PDF     (1.7 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.5 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (2.3 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 8 月 23 日
文档 ID:70847

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何允许连接到 Cisco ASA 的 Cisco AnyConnect Secure Mobility Client 访问本地局域网。

    先决条件

    要求

    本文档假设思科自适应安全设备(ASA)上已存在可正常运行的远程访问VPN配置。

    如果需要,请参阅CLI手册3:思科ASA系列VPN CLI配置指南9.17 以获取配置帮助。

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • Cisco ASA 5500 系列版本 9(2)1
    • Cisco Adaptive Security Device Manager (ASDM) 版本 7.1(6)
    • Cisco AnyConnect Secure Mobility Client 版本 3.1.05152

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    网络图

    客户端位于典型的小型办公室/家庭办公室 (SOHO) 网络中,并通过互联网连接到总部。

    Diagram of Typical Small Office/Home Office (SOHO) network

    背景信息

    此配置允许Cisco AnyConnect安全移动客户端通过IPsec、安全套接字层(SSL)或互联网密钥交换版本2 (IKEv2)安全访问企业资源,并且仍然允许客户端执行活动,例如打印客户端所在的位置。如果允许,要发送到 Internet 的流量仍通过隧道传输到 ASA。

    与典型的拆分隧道场景(其中所有互联网流量均以未加密方式发送)不同,当您为 VPN 客户端启用本地局域网访问时,它允许这些客户端仅与其所在网络上的设备进行不加密通信。例如,允许本地LAN访问的客户端在从家连接到ASA时可以打印到其自己的打印机,但无法访问Internet,除非它首先通过隧道发送流量。

    使用访问列表的目的是按分割隧道在 ASA 上的相似配置方式允许本地 LAN 访问。但是,与分割隧道方案不同,此访问列表不定义必须加密哪些网络。而是定义哪些网络不能加密。并且,与分割隧道方案不同的是,此列表中的实际网络不必是已知网络。相反,ASA 提供一个默认网络 0.0.0.0/255.255.255.255,它被视为客户端的本地局域网。

    note-icon

    注意:这不是分割隧道的配置,其中客户端在连接到ASA时可以对Internet进行未加密访问。有关如何在ASA上配置分割隧道的信息,请参阅CLI手册3:思科ASA系列VPN CLI配置指南9.17 中的设置分割隧道策略

    注意:当客户端已连接且已针对本地LAN访问配置时,您无法在本地LAN上按名称打印或浏览。但是,可以按 IP 地址浏览或打印。有关详细信息以及此情况的解决方法,请参阅本文档的故障排除部分。

    配置AnyConnect安全移动客户端的本地LAN访问

    完成以下任务,以允许Cisco AnyConnect安全移动客户端在连接到ASA时访问其本地LAN:

    通过 ASDM 配置 ASA

    在 ASDM 中完成以下步骤,以使 VPN 客户端能够在连接 ASA 的同时访问本地局域网:

    1. 选择Configuration > Remote Access VPN > Network (Client) Access > Group Policy并选择您希望在其中启用本地LAN访问的组策略。??然后单击.Edit

      Select the Group Policy in Which You want to Enable Local LAN access



    2. 转到访问 。Advanced > Split Tunneling

      Under Advanced, Select Split Tunneling



    3. 取消选中Policy所对应的Inherit框,然后选择Exclude Network List Below

      Uncheck the Inherit Box for Policy and Choose Exclude Network List Below



    4. 取消选中Network List的Inherit复选框,然后单击Manage以启动访问控制列表(ACL)管理器。

      Uncheck the Inherit Box for Network List and Click Manage



    5. 在ACL Manager中,选择Add > Add ACL...以创建新的访问列表。

      Choose Add and then Add ACL in Order to create a New Access List



    6. 为此ACL提供一个名称,然后单击OK

      Enter a Name for the ACL and Click OK



    7. 创建ACL后,选择Add > Add ACE...以添加访问控制条目(ACE)。

      Choose Add and then Add ACE in order to Add an Access Control Entry (ACE)



    8. 定义与客户端的本地 LAN 相对应的 ACE。

      1. 选择 。Permit
      2. 选择 IP 地址 0.0.0.0
      3. 选择网络掩码 /32。
      4. (可选) 提供相应说明。
      5. 单击。OK

        Define the ACE Parameters



    9. 单击OK以退出ACL Manager。

      Click OK in Order to Exit the ACL Manager



    10. 请确保已为拆分隧道网络列表选择您刚刚创建的 ACL。

      Confirm that the ACL is Selected for the Split Tunnel Network List



    11. 点击OK以返回组策略配置。

      Click OK in Order to Return to the Group Policy Configuration



    12. 单击Apply然后单击Send(如果需要),以将命令发送到ASA。

      Click Apply and then Send in Order to Send the Commands to the ASA

    通过 CLI 配置 ASA

    您可以在 ASA CLI 中完成以下步骤(而不是使用 ASDM),以便允许 VPN 客户端在连接到 ASA 时访问本地 LAN:

    1. 进入配置模式。

      ciscoasa>enable
      Password:
      ciscoasa#configure terminal
      ciscoasa(config)#
    2. 创建访问列表以允许本地局域网访问。

      ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
      ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
    3. 输入要修改的策略的组策略配置模式。

      ciscoasa(config)#group-policy hillvalleyvpn attributes
      ciscoasa(config-group-policy)#
    4. 指定分割隧道策略。在本示例中,此策略为excludespecified

      ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
    5. 指定分割隧道访问列表。在本示例中,此列表为Local_LAN_Access

      ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
    6. 发出以下命令:

      ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
    7. 将组策略与隧道组关联.

      ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
    8. 退出上述两种配置模式。

      ciscoasa(config-group-policy)#exit
      ciscoasa(config)#exit
      ciscoasa#
    9. 配置保存到非易失性RAM (NVRAM),并在系统提示指定源文件名时按Enter

      ciscoasa#copy running-config startup-config

      Source filename [running-config]?
      Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a

      3847 bytes copied in 3.470 secs (1282 bytes/sec)
      ciscoasa#

    配置 Cisco AnyConnect Secure Mobility Client

    要配置Cisco AnyConnect安全移动客户端,请参阅CLI手册3:Cisco ASA系列VPN CLI配置指南9.17配置AnyConnect连接部分。

    分离排除隧道要求您在AnyConnect客户端中启用AllowLocalLanAccess。所有拆分排除隧道都被视为本地局域网访问。要使用分割隧道的排除功能,您必须在AnyConnect VPN客户端首选项中启用AllowLocalLanAccess首选项。默认情况下,本地局域网访问处于禁用状态。

    要允许本地局域网访问并因此使用拆分排除隧道,网络管理员可以在配置文件中将其启用,或者用户可以在首选项设置中将其启用(请参阅下一部分中的图像)。为了允许本地LAN访问,如果分割隧道在安全网关启用并使用split-tunnel-policy exclude specified策略配置,用户选择Allow Local LAN access复选框。此外,如果使用 true 允许本地LAN访问,则可以配置VPN客户端配置文件。

    用户首选项

    以下是您必须在Cisco AnyConnect安全移动客户端的Preferences选项卡中进行选择才能允许本地LAN访问。

    Required Selections on the AnyConnect Secure Mobility Client Preferences Tab

    在Linux上 

    AnyConnect Preferences for Linux

    XML 配置文件示例

    以下是如何配置 XML 格式 VPN 客户端配置文件的示例。

    <?xml version="1.0" encoding="UTF-8"?>
    <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
     xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
        <ClientInitialization>
            <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
            <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
            <ShowPreConnectMessage>false</ShowPreConnectMessage>
            <CertificateStore>All</CertificateStore>
            <CertificateStoreOverride>false</CertificateStoreOverride>
            <ProxySettings>Native</ProxySettings>
            <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
            <AuthenticationTimeout>12</AuthenticationTimeout>
            <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
            <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
            <LocalLanAccess UserControllable="true">true</LocalLanAccess>
            <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
            <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
            <AutoReconnect UserControllable="false">true
                <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
                </AutoReconnectBehavior>
            </AutoReconnect>
            <AutoUpdate UserControllable="false">true</AutoUpdate>
            <RSASecurIDIntegration UserControllable="false">Automatic
            </RSASecurIDIntegration>
            <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
            <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
            <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
            <PPPExclusion UserControllable="false">Disable
                <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
            </PPPExclusion>
            <EnableScripting UserControllable="false">false</EnableScripting>
            <EnableAutomaticServerSelection UserControllable="false">false
                <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
                <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
            </EnableAutomaticServerSelection>
            <RetainVpnOnLogoff>false
            </RetainVpnOnLogoff>
        </ClientInitialization>
    </AnyConnectProfile>

    验证

    要验证您的配置,请完成以下部分中的步骤:

    将您的 Cisco AnyConnect Secure Mobility Client 连接到 ASA,以验证您的配置。

    1. 从服务器列表中选择连接条目,并单击Connect

      Choose Connection Entry from the Server List



    2. 选择Advanced Window for All Components > Statistics...以显示隧道模式。

      Choose the Statistics Tab in Order to Display the Tunnel Mode




      在Linux上


      Statistics Tab on Linux





    3. 点击Route Details选项卡以查看Cisco AnyConnect安全移动客户端仍然具有本地访问权限的路由。

      在本示例中,客户端被允许对 10.150.52.0/22 和 169.254.0.0/16 进行本地局域网访问,而所有其他流量都经过加密并通过隧道发送。

      Example of Route Details Tab

    在Linux上 

    Example of Route Details Tab on Linux

    Cisco AnyConnect 安全移动客户端

    当通过 Diagnostics and Reporting Tool (DART) 捆绑包查看 AnyConnect 日志时,您可以确定是否设置了允本地局域网访问的参数。

    ******************************************

    Date        : 11/25/2011
    Time        : 13:01:48
    Type        : Information
    Source      : acvpndownloader

    Description : Current Preference Settings:
    ServiceDisable: false
    CertificateStoreOverride: false
    CertificateStore: All
    ShowPreConnectMessage: false
    AutoConnectOnStart: false
    MinimizeOnConnect: true
    LocalLanAccess: true
    AutoReconnect: true
    AutoReconnectBehavior: DisconnectOnSuspend
    UseStartBeforeLogon: false
    AutoUpdate: true
    RSASecurIDIntegration: Automatic
    WindowsLogonEnforcement: SingleLocalLogon
    WindowsVPNEstablishment: LocalUsersOnly
    ProxySettings: Native
    AllowLocalProxyConnections: true
    PPPExclusion: Disable
    PPPExclusionServerIP: 
    AutomaticVPNPolicy: false
    TrustedNetworkPolicy: Disconnect
    UntrustedNetworkPolicy: Connect
    TrustedDNSDomains: 
    TrustedDNSServers: 
    AlwaysOn: false
    ConnectFailurePolicy: Closed
    AllowCaptivePortalRemediation: false
    CaptivePortalRemediationTimeout: 5
    ApplyLastVPNLocalResourceRules: false
    AllowVPNDisconnect: true
    EnableScripting: false
    TerminateScriptOnNextEvent: false
    EnablePostSBLOnConnectScript: true
    AutomaticCertSelection: true
    RetainVpnOnLogoff: false
    UserEnforcement: SameUserOnly
    EnableAutomaticServerSelection: false
    AutoServerSelectionImprovement: 20
    AutoServerSelectionSuspendTime: 4
    AuthenticationTimeout: 12
    SafeWordSofTokenIntegration: false
    AllowIPsecOverSSL: false
    ClearSmartcardPin: true



    ******************************************

    通过 Ping 测试本地 LAN 访问

    测试VPN客户端在通过隧道连接到VPN头端时是否仍可访问本地LAN的另一种方法是:在Microsoft Windows命令行中使用ping命令。下面是一个示例,其中客户端的本地局域网为192.168.0.0/24,网络中存在另一台 IP 地址为 192.168.0.3 的主机。

    C:\>ping 192.168.0.3
    Pinging 192.168.0.3 with 32 bytes of data&colon;

    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
    Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

    Ping statistics for 192.168.0.3:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms

    在Linux上 

    Ping Results on Linux

    故障排除

    本部分提供了可用于对配置进行故障排除的信息。

    无法按名称打印或浏览

    当 VPN 客户端已连接且已针对本地 LAN 访问配置后,在本地 LAN 上无法按名称打印或浏览。可以使用以下两种选择方法来处理此情况:

    • 按 IP 地址浏览或打印。

      • 要进行浏览,请使用语法\\x.x.x.x(其中x.x.x.x是主机计算机的IP地址),而不要使用语法\\sharename

      • 要进行打印,请更改网络打印机的属性,以使用 IP 地址而不是名称。例如,请不要使用语法\\sharename\printername,而应使用\\x.x.x.x\printername,其中x.x.x.x是IP地址。

    • 创建或修改 VPN 客户端 LMHOSTS 文件。通过 Microsoft Windows PC 上的 LMHOSTS 文件,您可以在主机名和 IP 地址之间创建静态映射。例如,LMHOSTS文件可能如下所示:

      192.168.0.3 SERVER1
192.168.0.4 SERVER2
192.168.0.5 SERVER3

      在Microsoft Windows XP Professional Edition中,LMHOSTS文件位于%SystemRoot%\System32\Drivers\Etc中。有关详细信息,请参阅Microsoft文档。

    相关信息

    修订历史记录

    版本 发布日期 备注
    4.0
    23-Aug-2024
    Clarified CCW警报是误报,并更正了不必要的粗体格式。
    3.0
    21-Aug-2023
    更新的简介、PII、样式要求、可选文本和格式。
    2.0
    13-Jul-2022
    已更新标题。已更新链接并已删除断开的链接。为清楚起见,进行了细微的编辑。
    1.0
    28-Jul-2006
    初始版本
    TAC Authored

    由思科工程师提供

    • 阿特里·巴苏
      思科TAC工程师
    • 古斯塔沃·梅迪纳
      思科TAC工程师
    • 埃弗里特·杜克
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品