ASA:多內容模式遠端存取(AnyConnect)VPN
簡介
本檔案介紹如何使用CLI在多情景(MC)模式下在Cisco Adaptive Security Appliance(ASA)防火牆上設定遠端存取(RA)虛擬私人網路(VPN)。它顯示了多情景模式支援/不支援的功能中的Cisco ASA以及RA VPN的許可要求。
必要條件
需求
思科建議您瞭解以下主題:
- ASA AnyConnect SSL配置
- ASA多情景配置
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- AnyConnect安全行動化使用者端版本4.4.00243
- 兩台ASA5525,帶ASA軟體版本9.6(2)
背景資訊
多情景是一種虛擬化形式,它允許應用程式的多個獨立副本在同一硬體上同時運行,每個副本(或虛擬裝置)對使用者顯示為獨立的物理裝置。這樣,單個ASA對多個獨立使用者顯示為多個ASA。ASA系列自初始發佈以來一直支援虛擬防火牆;但是,在ASA中沒有對遠端訪問的虛擬化支援。9.0版本新增了對多情境的VPN LAN2LAN(L2L)支援。
多情景功能歷史記錄
ASA 9.6(2)中新增的新功能
| 功能 | 說明 |
| 多情景模式的預填充/使用者名稱自證書功能 | AnyConnect SSL支援進行了擴展,允許在多情景模式下啟用預先填充/使用者名稱自證書功能CLI(以前僅在單一模式下可用)。 |
| 適用於遠端存取VPN的Flash虛擬化 | 多情景模式下的遠端訪問VPN現在支援快閃記憶體虛擬化。根據可用的快閃記憶體總量,每個環境可以具有專用儲存空間和共用儲存空間。 |
| 多情景裝置支援的AnyConnect客戶端配置檔案 | 多情景裝置支援AnyConnect客戶端配置檔案。要使用ASDM新增新配置檔案,您必須擁有AnyConnect安全移動客戶端4.2.00748或4.3.03013及更高版本。 |
| 多情景模式下AnyConnect連線的狀態故障轉移 | 現在,多情景模式中的AnyConnect連線支援狀態故障切換。 |
| 多情景模式支援遠端訪問VPN動態訪問策略(DAP) | 現在,您可以在多情景模式下為每個情景配置DAP。 |
| 多情景模式支援遠端訪問VPN CoA(授權更改) | 您現在可以在多情景模式下為每個情景配置CoA。 |
| 多情景模式支援遠端訪問VPN本地化 | 全球支援本地化。只有一組本地化檔案在不同的上下文中共用。 |
| 支援每個情景的資料包捕獲儲存。 | 此功能旨在允許使用者將捕獲直接從上下文複製到外部儲存器或快閃記憶體上的上下文專用儲存器。此功能還允許將原始捕獲從情景中複製到外部資料包捕獲工具,如線條捕獲。 |
ASA 9.5(2)中的功能
| 功能 | 說明 |
| AnyConnect 4.x及更高版本(僅限SSL VPN;不支援IKEv2) | 為到ASA的VPN遠端訪問(RA)連線提供多情景虛擬化支援。 |
| 集中AnyConnect映像配置 |
|
| AnyConnect映像升級 |
多情景裝置支援AnyConnect客戶端配置檔案。要使用ASDM新增新配置檔案,您必須擁有AnyConnect安全移動客戶端4.2.00748或4.3.03013及更高版本。 |
| 適用於AnyConnect連線的內容資源管理 |
|
授權
- 需要AnyConnect Apex許可證
- 已忽略/不允許基本版許可證
- 可配置性,可控制每個情景的最大許可證使用情況
- 允許每個上下文的許可證拆分的可配置性
設定
網路圖表
以下是ASA 9.6.2及更高版本的配置過程,其中說明了一些可用的新功能。9.6.2之前(及9.5.2以上)的ASA版本的配置過程的差異在本文檔的附錄A中進行了記錄。
下面介紹了在System Context和Custom Contexts中設定遠端訪問VPN所需的配置:
系統情景中的初始配置
首先,在系統情景中配置故障切換、VPN資源分配、自定義情景和Apex許可證驗證。本部分和下一部分將介紹過程和配置
步驟1.故障轉移配置。
!! Active Firewall failover failover lan unit primary failover lan interface LAN_FAIL GigabitEthernet0/3 failover link LAN_FAIL GigabitEthernet0/3 failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover group 1 failover group 2 !! Secondary Firewall failover failover lan unit secondary failover lan interface LAN_FAIL GigabitEthernet0/3 failover link LAN_FAIL GigabitEthernet0/3 failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover group 1 failover group 2
步驟2.分配VPN資源。
通過現有類配置配置。許可證數量或每個上下文合計的%允許許可證
為MC RAVPN引入的新資源型別:
- VPN AnyConnect:保證為上下文並且不能超額訂閱
- VPN突發AnyConnect:允許超出保證限制的上下文附加許可證。突發池由不保證為上下文的所有許可證組成,並且允許以先到先得的方式為突發上下文提供許可證
VPN許可證調配模型:
class resource02
limit-resource VPN AnyConnect 4000
limit-resource VPN Burst AnyConnect 2000
class resource01
limit-resource VPN AnyConnect 4000
limit-resource VPN Burst AnyConnect 2000
步驟3.配置上下文並分配資源。
admin-context admin context admin allocate-interface GigabitEthernet0/0 config-url disk0:/admin context context1 member resource01 allocate-interface GigabitEthernet0/0 allocate-interface GigabitEthernet0/1 config-url disk0:/context1 join-failover-group 1 context context2 member resource02 allocate-interface GigabitEthernet0/0 allocate-interface GigabitEthernet0/2 config-url disk0:/context2 join-failover-group 2
步驟4.驗證Apex許可證是否已安裝在ASA上,請參閱下面的連結以瞭解更多詳細資訊。
步驟5.配置Anyconnect映像包。根據使用的ASA版本,有兩種方法可以載入Anyconnect映像和配置RA VPN。如果版本是9.6.2及更高版本,則可以使用快閃記憶體虛擬化。對於9.6.2之前的版本,請參閱附錄A
Flash虛擬化
遠端訪問VPN需要快閃記憶體來儲存各種配置和映像,如AnyConnect包、主機掃描包、DAP配置、外掛、自定義和本地化等。在9.6.2之前的多情景模式下,使用者情景無法訪問快閃記憶體的任何部分,並且系統管理員只能通過系統情景管理和訪問快閃記憶體。
為了解決此限制,同時仍然維護快閃記憶體上檔案的安全和隱私以及能夠在上下文之間公平共用快閃記憶體,在多上下文模式下為快閃記憶體建立一個虛擬檔案系統。此功能旨在允許基於每個上下文配置AnyConnect映像,而不是全域性配置這些映像。這允許不同的使用者安裝不同的AnyConnect映像。此外,通過允許共用AnyConnect映像,可以減少這些映像佔用的記憶體量。共用儲存用於儲存所有上下文通用的檔案和包。
每個上下文都將具有對其自己的專用儲存的讀/寫/刪除許可權,並且將對共用儲存具有只讀訪問許可權。只有系統上下文具有對共用儲存的寫訪問許可權.
在下面的配置中,將配置自定義情景1來說明專用儲存,將配置自定義情景2來說明共用儲存。
專用儲存
您可以為每個上下文指定一個專用儲存空間。您可以從上下文內的此目錄(以及系統執行空間)讀取/寫入/刪除。 在指定的路徑下,ASA建立以上下文命名的子目錄。
例如,對於context1,如果為路徑指定disk0:/private-storage,則ASA會在disk0:/private-storage/context1/處為此上下文建立子目錄。
共用儲存
每個情景可以指定一個只讀共用儲存空間。為減少可在所有情景(如AnyConnect程式包)之間共用的常見大型檔案的重複,可以使用共用的儲存空間。
使用專用儲存空間的配置
!! Create a directory in the system context.
ciscoasa(config)# mkdir private_context1
!! Define the directory as private storage url in the respective context.
ciscoasa(config)# context context1 ciscoasa(config-ctx)# storage-url private disk0:/private_context1 context1
!! Transfer the anyconnect image in the sub directory.
ciscoasa(config)# copy flash:/anyconnect-win-4.2.01035-k9.pkg flash:/private_context1/context1
使用共用儲存空間的配置
!! Create a directory in the system context.
ciscoasa(config)# mkdir shared
!! Define the directory as shared storage url in the respective contexts.
ciscoasa(config)# context context2 ciscoasa(config-ctx)# storage-url shared disk0:/shared shared
!! Transfer the anyconnect image in the shared directory.
ciscoasa(config)# copy disk0:/anyconnect-win-4.3.05019-k9.pkg disk0:/shared
在各自的上下文中驗證影象
!! Custom Context 1 configured for private storage.
ciscoasa(config)#changeto context context1
ciscoasa/context1(config)# show context1:
213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg
!! Custom Context 2 configured for shared storage.
ciscoasa(config)#changeto context context2
ciscoasa/context2(config)# show shared:
195 25356342 May 24 2017 08:07:02 shared:/anyconnect-win-4.3.05017-k9.pkg
步驟6.下面是包含上述快閃記憶體虛擬化配置的系統上下文中的配置摘要:
系統上下文
context context1
member resource01
allocate-interface GigabitEthernet0/0
storage-url private disk0:/private_context1 context1
config-url disk0:/context1.cfg
join-failover-group 1
!
context context2
member resource02
allocate-interface GigabitEthernet0/1
storage-url shared disk0:/shared shared
config-url disk0:/context2.cfg
join-failover-group 2
第7步:配置兩個自定義情景,如下所示
自定義上下文1
!! Enable WebVPN on respective interfaces
webvpn
enable outside
anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
anyconnect enable
tunnel-group-list enable
!! IP pool and username configuration
ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
username cisco password cisco
!! Configure the required connection profile for SSL VPN
access-list split standard permit 192.168.1.0 255.255.255.0
group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
banner value "Welcome to Context1 SSLVPN"
wins-server none
dns-server value 192.168.20.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
group-alias MC_RAVPN_1 enable
自定義上下文2
!! Enable WebVPN on respective interfaces
webvpn
enable outside
anyconnect image shared:/anyconnect-win-4.3.05017-k9.pkg 1
anyconnect enable
tunnel-group-list enable
!! IP pool and username configuration
ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
username cisco password cisco
!! Configure the required connection profile for SSL VPN
access-list split standard permit 192.168.1.0 255.255.255.0
group-policy GroupPolicy_MC_RAVPN_2 internal
group-policy GroupPolicy_MC_RAVPN_2 attributes
banner value "Welcome to Context2 SSLVPN"
wins-server none
dns-server value 192.168.60.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
!
!
tunnel-group MC_RAVPN_2 type remote-access
tunnel-group MC_RAVPN_2 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_2
tunnel-group MC_RAVPN_2 webvpn-attributes
group-alias MC_RAVPN_2 enable
驗證
使用本節內容,確認您的組態是否正常運作。
驗證Apex許可證是否已安裝
ASA不專門識別AnyConnect Apex許可證,但它實施Apex許可證的許可證特徵,包括:
- AnyConnect Premium授權達到平台限制
- 行動版AnyConnect
- 適用於Cisco VPN電話的AnyConnect
- 高級終端評估
由於未安裝AnyConnect Apex許可證,連線被阻止時將生成系統日誌。
驗證AnyConnect軟體包在自定義環境(9.6.2及更高版本)中是否可用
! AnyConnect package is available in context1
ciscoasa/context1(config)# show context1:
213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg
ciscoasa/pri/context1/act# show run webvpn
webvpn
enable outside
anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
anyconnect enable
tunnel-group-list enable
如果自定義上下文中不存在該映像,請參閱Anyconnect映像配置(9.6.2及更高版本)。
驗證使用者是否可以在自定義上下文中通過AnyConnect進行連線
!! One Active Connection on Context1
ciscoasa/pri/context1/act# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 5
Assigned IP : 192.168.1.1 Public IP : 10.142.168.102
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Mobile
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 3186 Bytes Rx : 426
Group Policy : GroupPolicy_MC_RAVPN_1 Tunnel Group : MC_RAVPN_1
Login Time : 15:33:25 UTC Thu Dec 3 2015
Duration : 0h:00m:05s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2600005000566060c5
Security Grp : none
!! Changing Context to Context2
ciscoasa/pri/context1/act# changeto context context2
!! One Active Connection on Context2
ciscoasa/pri/context2/act# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 1
Assigned IP : 192.168.51.1 Public IP : 10.142.168.94
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 10550 Bytes Rx : 1836
Group Policy : GroupPolicy_MC_RAVPN_2 Tunnel Group : MC_RAVPN_2
Login Time : 15:34:16 UTC Thu Dec 3 2015
Duration : 0h:00m:17s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2400001000566060f8
Security Grp : none
!! Changing Context to System
ciscoasa/pri/context2/act# changeto system
!! Notice total number of connections are two (for the device)
ciscoasa/pri/act# show vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 10000 : 10000 : NONE
Other VPN (Available by Default) : ENABLED : 10000 : 10000 : NONE
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
Local : Shared : All : Peak : Eff. :
In Use : In Use : In Use : In Use : Limit : Usage
----------------------------------------------------
AnyConnect Premium : 2 : 0 : 2 : 2 : 10000 : 0%
AnyConnect Client : : 2 : 2 : 0%
AnyConnect Mobile : : 2 : 2 : 0%
Other VPN : : 0 : 0 : 10000 : 0%
Site-to-Site VPN : : 0 : 0 : 0%
---------------------------------------------------------------------------
!! Notice the resource usage per Context
ciscoasa/pri/act# show resource usage all resource VPN AnyConnect
Resource Current Peak Limit Denied Context
AnyConnect 1 1 4000 0 context1
AnyConnect 1 1 4000 0 context2
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
附錄A - 9.6.2之前版本的Anyconnect映像配置
AnyConnect映像在9.6.2之前的ASA版本的管理上下文中全域性配置(請注意,該功能從9.5.2可用),因為快閃記憶體儲存未虛擬化,只能從系統上下文中訪問。
步驟5.1. 將AnyConnect軟體包檔案複製到系統上下文中的快閃記憶體中。
系統上下文:
ciscoasa(config)# show flash:
195 25356342 May 24 2017 08:07:02 anyconnect-win-4.3.05017-k9.pkg
步驟5.2. 配置Anyconnect映像 在Admin上下文中。
管理上下文:
webvpn
anyconnect image disk0:/anyconnect-win-4.3.05017-k9.pkg 1
anyconnect enable
附註:只能在管理上下文中配置Anyconnect映像。所有情景都會自動引用此全域性Anyconnect映像配置。
自定義上下文1:
!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
interface GigabitEthernet0/0
nameif OUTSIDE
security-level 0
ip address 10.106.44.38 255.255.255.0 standby 10.106.44.39
!! Enable WebVPN on respective interfaces
webvpn
enable OUTSIDE
anyconnect enable
!! IP pool and username configuration
ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
username cisco password cisco
!! Configure the require connection profile for SSL VPN
group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
banner value "Welcome to Context1 SSLVPN"
wins-server none
dns-server value 192.168.20.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
group-alias MC_RAVPN_1 enable
group-url https://10.106.44.38/context1 enable
自定義上下文2:
!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
interface GigabitEthernet0/0
nameif OUTSIDE
security-level 0
ip address 10.106.44.36 255.255.255.0 standby 10.106.44.37
!! Enable WebVPN on respective interface
webvpn
enable OUTSIDE
anyconnect enable
!! IP pool and username configuration
ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
username cisco password cisco
!! Configure the require connection profile for SSL VPN
group-policy GroupPolicy_MC_RAVPN_2 internal
group-policy GroupPolicy_MC_RAVPN_2 attributes
banner value "Welcome to Context2 SSLVPN"
wins-server none
dns-server value 192.168.60.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_2 type remote-access
tunnel-group MC_RAVPN_2 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_2
tunnel-group MC_RAVPN_2 webvpn-attributes
group-alias MC_RAVPN_2 enable
group-url https://10.106.44.36/context2 enable
驗證AnyConnect軟體包是否安裝在管理上下文中並且是否在自定義上下文中可用(9.6.2之前)
!! AnyConnect package is installed in Admin Context
ciscoasa/pri/admin/act# show run webvpn
webvpn
anyconnect image disk0:/anyconnect-win-3.1.10010-k9.pkg 1
anyconnect enable
ciscoasa/pri/admin/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
CISCO STC win2k+
3,1,10010
Hostscan Version 3.1.10010
Wed 07/22/2015 12:06:07.65
1 AnyConnect Client(s) installed
!! AnyConnect package is available in context1
ciscoasa/pri/admin/act# changeto context context1
ciscoasa/pri/context1/act# show run webvpn
webvpn
enable OUTSIDE
anyconnect enable
tunnel-group-list enable
ciscoasa/pri/context1/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
CISCO STC win2k+
3,1,10010
Hostscan Version 3.1.10010
Wed 07/22/2015 12:06:07.65
1 AnyConnect Client(s) installed
意見