透過ASA配置和部署AnyConnect網路安全

簡介

本文檔介紹如何在思科自適應安全裝置(ASA)上為基於客戶端的VPN部署AnyConnect網路安全模組。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

背景資訊

• 在ASA上上傳Anyconnect（推薦v4.1+）映像

• 在ASA上啟用VPN配置檔案，如圖所示

設定

透過ASA部署Anyconnect WebSecurity

配置中涉及的步驟包括：

• 配置Anyconnect Websecurity客戶端配置檔案
• 編輯Anyconnect VPN組策略
• 設定Web Security的分割排除，然後選取[下載網路安全使用者端模組]  
• 編輯Anyconnect VPN組策略並選擇網路安全客戶端配置檔案

步驟 1.配置Anyconnect網路安全客戶端配置檔案

導航到Configuration > Remove Access VPN > Network (Client) Access > Anyconnect Client Profile，按一下

增加並選擇AnyConnect網路安全客戶端配置檔案。

注意：配置檔名稱在客戶端是硬編碼的，因此無論配置何種名稱，ASA都會將Websecurity_serviceprofile.wso推送到客戶端。

注意：這是沒有身份驗證許可證金鑰的預設配置檔案。

步驟 2.編輯新建立的配置檔案以增加身份驗證許可證金鑰並自定義配置。

步驟 3.設定Web Security的分割排除，並選取[下載Web Security使用者端模組]

編輯Anyconnect VPN組策略，如圖所示。 

如圖所示，為Web Security設定分割排除。

  選擇「download Web Security client module」，如圖所示。

步驟 4.下載網路安全客戶端配置檔案

編輯Anyconnect VPN組策略>要下載的客戶端配置檔案>增加，現在選擇建立的配置檔案（如步驟1所示）

按一下「確定」並套用變更。

驗證

連線到Anyconnect VPN時，ASA會透過VPN推送Anyconnect網路安全模組，如圖所示。

如果您已經登入，建議您先登出，然後再重新登入以啟用此功能。

升級/降級Anyconnect版本

升級版本後，部署功能保持不變。但是，降級是不可能的。因此，使用目前的4.1.x範例，可以將其升級至4.2版

相關步驟如下：

步驟 1.將最新的Anyconnect軟體套件4.2上傳到快閃記憶體並使用最新檔案替換4.1。

在Anyconnect Client Software > Replace下，然後選擇最近的映像檔案。

步驟 2.當您重新連線到Anyconnect VPN時，ASA將透過VPN推送最新的Anyconnect模組，而不更改網路安全配置檔案。

注意：不支援降級。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

使用DART收集故障排除資訊：

DART是AnyConnect診斷和報告工具，可用於收集可用於排除AnyConnect安裝和連線問題的資料。DART支援Windows 7、Windows Vista、Windows XP、Mac 10.5和10.6版以及Linux Redhat。DART嚮導在運行AnyConnect的電腦上運行。它彙集了日誌、狀態和診斷資訊，用於思科技術支援中心(TAC)分析，不需要管理員許可權。

雖然DART不依賴AnyConnect軟體的任何元件運行，但您可以從AnyConnect啟動它，它會收集AnyConnect日誌檔案（如果可用）。目前，DART可作為獨立安裝使用，或者管理員可以將此應用程式作為AnyConnect動態下載基礎架構的一部分推送到客戶端PC。安裝後，終端使用者可透過Start按鈕從Cisco資料夾啟動嚮導。