Clientul vpn și accesul clientului la orice conexiune la exemplul unei configurații de rețea locală

Acest document descrie modul de a permite clientului Cisco VPN sau un client mobil Cisco AnyConnect Secure Mobility securiza accesul numai rețeaua lor, în timp ce în Appliances tuneluri Cisco Adaptive Security (ASA) 5500 Series, sau ASA, seria 5500-X. Această configurație permite Cisco VPN client sau de acces securizat securizat client mobil Cisco AnyConnect sigură a mobilității la resursele companiei prin IPsec, Secure Sockets Layer (SSL) sau cea de a doua versiune a protocolului Internet Key Exchange (IKEv2) și încă mai oferă clientului posibilitatea de a efectua acțiuni, cum ar fi imprimarea , unde este localizat clientul. Dacă acest lucru este permis, traficul destinat Internetului este încă tunelat la ASA.







Notă: Această configurație nu este o configurație separată de tunel, în care clientul are acces necriptat la Internet, rămânând conectat la ASA sau PIX. Descrierea detaliată a configurării VPN bazate pe IPSec între două noduri în dispozitivul de securitate Cisco cu versiunea de software 7.x, vezi PIX / ASA 7.x :. permit împărțirea tunelelor pentru clienți VPN pe ASA Configurare Exemplu pentru informații cu privire la modul de configurare divizarea tunelului pe ASA.

Cerințe preliminare

cerinţe

Acest document presupune că o configurație VPN funcțională pentru accesul la distanță există deja pe ASA.

Vedeți accesul ASA 8.x VPN cu configurația clientului VPN AnyConnect SSL (SVC) pentru clientul mobil Cisco AnyConnect Secure Mobility securizat. dacă nu sunteți deja configurat.

Componente utilizate

Informațiile conținute în acest document se referă la următoarele versiuni software și hardware:

  • Versiunea 9 (2) 1 serie 5500 Cisco ASA
  • Cisco Adaptive Security Device Manager (ASDM) versiunea 7.1 (6)
  • Versiunea de partea client a Cisco VPN 5.0.07.0440
  • Versiunea 3.1.05152 a clientului mobil securizat Cisco AnyConnect Secure Mobility

Informațiile prezentate în acest document au fost obținute de la dispozitive care funcționează într-un mediu de laborator special. Toate dispozitivele descrise în acest document au fost lansate cu o configurație curată (standard). În rețeaua de lucru, trebuie să studiați impactul potențial al tuturor echipelor înainte de a le utiliza.

Structura rețelei

Clientul se află într-o rețea tipică Office Small Office / Home Office (SOHO) și se conectează la sediul principal prin Internet.

Informații generale

Spre deosebire de scenariul clasic împărțirea tunelelor, în care tot traficul pe Internet este trimis necriptat, în rezolvarea de acces la rețea pentru VPN-client, astfel încât clientul este permis să facă schimb de date necriptate cu dispozitive de rețea clientului. De exemplu, un client care permite accesul la rețeaua locală, în timp ce din cauza ASA de la domiciliu, să fie capabil să imprime la propria imprimantă, dar nu se întoarce la Internet fără prima transmitere a traficului prin tunel.

O listă de acces este utilizată pentru a permite accesul la rețeaua locală, similar cu modul în care este configurat un tunel separat pe dispozitivul ASA. Cu toate acestea, în loc de a defini rețelele care urmează să fie criptate, în acest caz lista de acces identifică rețelele care nu ar trebui să fie criptate. În plus, spre deosebire de scenariul de tunel separat, această listă nu necesită să specificați rețele valide. În schimb, ASA oferă o rețea implicită de 0.0.0.0/255.255.255.255, care se înțelege prin rețeaua locală a clientului.

Configurați accesul la rețeaua locală pentru clienții VPN sau pentru clientul AnyConnect pentru Secure Mobility Client

Efectuați aceste sarcini pentru a permite accesul clienților Cisco VPN sau a clienților mobili Cisco AnyConnect Secure Mobility în rețeaua lor locală, în timp ce sunt asociate cu ASA:

Configurați ASA prin ASDM

Efectuați acești pași în ASDM pentru a permite clienților VPN să aibă acces la rețeaua locală, în timp ce sunt conectați la ASA:

  1. Selectați Configurare> Acces VPN la distanță> Acces rețea (Client)> Politică de grup și selectați Politica de grup în care doriți să activați accesul la rețeaua locală. Apoi faceți clic pe Editați.
  • Accesați Advanced> Split Tunneling.
  • Debifați caseta de selectare Moștenire politică și selectați Excludeți lista de rețele de mai jos.
  • Debifați caseta de validare Inherit pentru lista de rețea și apoi faceți clic pe Gestionare pentru a porni Managerul listei de control al accesului (ACL).
  • În acest manager, selectați Adăugați> Adăugați lista ACL. pentru a crea o nouă listă de control al accesului.
  • Specificați numele ACL și faceți clic pe OK.
  • După crearea ACL, selectați Adăugați> Adăugați ACE. pentru a adăuga un element de control al accesului (ACE).
  • Definiți un element de control al accesului care corespunde rețelei locale a clientului.
  • Faceți clic pe OK pentru a ieși din aplicația Manager ACL.
  • Asigurați-vă că ACL-ul pe care tocmai l-ați creat este selectat pentru Lista de distribuire a tunelurilor.
  • Faceți clic pe OK pentru a reveni la setarea Group Policy.
  • Faceți clic pe butonul Aplicați și apoi pe (dacă este necesar) Trimiteți pentru a trimite aceste comenzi către modulul ASA.

    Configurați ASA prin CLI

    Pentru a permite clienților VPN accesul la rețeaua locală în prezența unei conexiuni ASA, puteți utiliza nu numai ASDM, ci și interfața liniei de comandă a dispozitivului ASA:

    1. Accesați modul de configurare.
  • Creați o listă de acces pentru a permite accesul la rețeaua locală.

    Singurul lucru permis este:
    rtpvpnoutbound6 (config) # permisiune standard de acces la lista de acces any4

    Aceasta este o problemă cunoscută și a fost abordată de identificatorul de eroare Cisco CSCut3131. Actualizați versiunea cu remedierea pentru acest defect pentru a putea configura accesul la rețeaua locală.

  • Introduceți modul de configurare a politicii de grup pentru politica pe care doriți să o modificați.
  • Specificați politica de tuneluri separate. În acest caz, politica este exclusă.
  • Specificați lista de acces la tunelurile comune. În acest caz, lista este Local_LAN_Access.
  • Tastați următoarea comandă:
  • Legați politica de grup la grupul de tuneluri
  • Ieșiți ambele moduri de configurare.
  • Salvați configurația în memorie nevolatilă (NVRAM) și apăsați ENTER când vi se solicită numele fișierului sursă.

    Configurați un client mobil mobil securizat Cisco AnyConnect Secure

    Pentru a configura un client mobil securizat la Cisco AnyConnect Secure Mobility, se referă la VPN-conexiune secțiunea Configurarea bazate pe SSL VPC ASA 8. x: Activați împărțirea tunelelor pentru VPN Client AnyConnect configurația exemplu ASA.

    Separare - exclude tunelul, necesită să activați AllowLocalLanAccess în Clientul AnyConnect. Toate partițiile - exclude tunelul - sunt tratate ca acces la rețeaua locală. Pentru a utiliza caracteristicile separate de tunel, trebuie să activați preferința AllowLocalLanAccess în preferința clientului AnyConnect VPN Client. În mod implicit, accesul la rețeaua locală este dezactivat.

    Pentru a permite accesul la rețeaua locală și, prin urmare, pentru a separa - excludeți tunelul, administratorul de rețea îl poate activa în profil sau utilizatorii îl pot activa în setările preferate (a se vedea imaginea din secțiunea următoare). Pentru a permite accesul la rețeaua locală, utilizatorul bifează caseta de selectare Permite acces LAN. dacă tunelul separat este activat pe un gateway securizat și configurat cu o politică de tuneluri separate, excludeți politica specificată. În plus, dacă este permis accesul la rețeaua locală cu adevărat , Puteți configura profilul clientului VPN.

    Preferințe utilizator

    Iată opțiunile care trebuie făcute în fila Preferințe de pe un client mobil securizat Cisco AnyConnect Secure Mobility pentru a permite accesul la rețeaua locală.

    Exemplu de profil XML

    Iată un exemplu de configurare a profilului client VPN cu XML.

    Urmați pașii din aceste secțiuni pentru a verifica configurația.

    Conectați clientul mobil securizat Cisco AnyConnect Secure Mobility cu ASA pentru a verifica configurația.

    1. Selectați conexiunea din lista de servere și faceți clic pe Conectare.
  • Selectați fereastra avansată pentru toate componentele> Statistici. pentru a afișa modul Tunel.
  • Faceți clic pe fila Detalii rute pentru a monitoriza rutele la care clientul mobil securizat Cisco AnyConnect Secure Mobility încă mai are acces local.

    În timp ce tot traficul este criptat și transmis prin tunel, în acest exemplu clientul are acces la rețeaua locală la 10.150.52.0/22 ​​și 169.254.0.0/16.

    Cisco AnyConnect Secure Mobility Secure Client mobil

    Când examinați jurnalele AnyConnect din Instrumentul de diagnosticare și raportare a pachetului (DART), puteți stabili dacă este setat un parametru care permite accesul la rețeaua locală.

    Verificarea accesului la rețeaua locală utilizând solicitarea ecoului

    Remediați problemele

    Această secțiune conține informații pe care le puteți utiliza pentru a depana o defecțiune în configurația dvs.


    În versiunea Microsoft Windows XP Professional, fișierul LMHOSTS este localizat în% SystemRoot% \ System32 \ Drivers \ Etc. Consultați documentația Microsoft sau articolul 314108 din Baza de cunoștințe Microsoft pentru mai multe informații.







    • Informații suplimentare







    Pagina anterioară

    Pagina următoare

    Trimiteți-le prietenilor: