Цей документ описує, як дозволити Cisco VPN Client або захищеному мобільному клієнту Cisco AnyConnect Secure Mobility тільки звертатися до їх локальної мережі, в той час як тунелюватись в пристрій адаптивної захисту Cisco (ASA) серія 5500 або ASA, серії 5500-X. Ця конфігурація дозволяє клієнти Cisco VPN або безпечний доступ захищеного мобільного клієнта Cisco AnyConnect Secure Mobility до корпоративних ресурсів через IPsec, Рівень захищених сокетів (SSL) або другу версію протоколу Internet Key Exchange (IKEv2) і все ще дає клієнтові здатність виконати дії, такі як друк , де розташований клієнт. Якщо це дозволено, трафік, призначений для Інтернету, все ще тунелюватись до ASA.
Примітка: Ця конфігурація не є налаштуванням роздільного тунелювання, при якій клієнт має нешифрований доступом до Інтернету, залишаючись підключеним до ASA або PIX. Детальний опис налаштування мережі VPN на базі IPSec між двома вузлами в пристрої захисту Cisco з версією ПО 7.x см. В документі PIX / ASA 7.x: Дозвольте Розділений тунелювання для Клієнтів VPN на Примері конфігурації ASA для отримання інформації про те, як налаштувати розділене туннелирование на ASA.
попередні умови
вимоги
Цей документ передбачає, що функціональна конфігурація VPN для віддаленого доступу вже існує на ASA.
Див. ASA 8.x Доступ VPN з Прикладом конфігурації VPN-клієнта SSL (SVC) AnyConnect для захищеного мобільного клієнта Cisco AnyConnect Secure Mobility. якщо ви вже не налаштовані.
використовувані компоненти
Відомості, що містяться в даному документі, стосуються наступних версій програмного забезпечення і устаткування:
- Версія 9 (2) 1 серії 5500 Cisco ASA
- Cisco Adaptive Security Device Manager (ASDM) версія 7.1 (6)
- Версія клієнтської частини Cisco VPN 5.0.07.0440
- Версія 3.1.05152 захищеного мобільного клієнта Cisco AnyConnect Secure Mobility
Відомості, представлені в цьому документі, були отримані від пристроїв, що працюють в спеціальній лабораторній середовищі. Всі пристрої, описані в цьому документі, були запущені з чистою (стандартної) конфігурацією. У робочій мережі необхідно вивчити потенційний вплив всіх команд до їх використання.
схема мережі
Клієнт розташований в типовій мережі Small Office / Home Office (SOHO) і підключених через Інтернет до головного офісу.
Загальні відомості
На відміну від класичного сценарію роздільного тунелювання, в якому весь трафік Інтернету відправляється нешифрований, при вирішенні доступу до локальної мережі для VPN-клієнтів, таким клієнтам дозволяється обмінюватися нешифрованими даними тільки з пристроями з мережі клієнта. Наприклад, клієнт, якому дозволяють доступ до локальної мережі, в той час як пов'язане з ASA з дому, в стані роздрукувати до його власного принтера, але не звернутися до Інтернету без першої передачі трафіку по тунелю.
Список доступу використовується, щоб дозволити доступ до локальної мережі подібно до того, як в пристрої ASA налаштовується роздільне тунелювання. Однак замість визначення мереж, які повинні шифруватися, в даному випадку список доступу визначає мережі, які не повинні шифруватися. Крім того, на відміну від сценарію роздільного тунелювання, в такому списку не потрібно вказувати дійсні мережі. Замість цього ASA надає мережа за замовчуванням 0.0.0.0/255.255.255.255, який, як розуміють, означає локальну мережу клієнта.
Налаштуйте доступ до локальної мережі для клієнтів VPN або клієнта Secure Mobility Client AnyConnect
Виконайте ці завдання для дозволу доступу клієнтів Cisco VPN або захищених мобільних клієнтів Cisco AnyConnect Secure Mobility до їх локальної мережі, в той час як пов'язане з ASA:
Налаштуйте ASA через ASDM
Виконайте ці кроки в ASDM, щоб дозволити Клієнтам VPN мати доступ до локальної мережі, в той час як пов'язане з ASA:
- Виберіть Configuration> Remote Access VPN> Network (Client) Access> Group Policy і виберіть Group Policy, в якому ви хочете включити доступ до локальної мережі. Потім натисніть Edit.
Налаштуйте ASA через CLI
Дозволити VPN-клієнтам доступ до локальної мережі при наявності підключення до ASA можна не тільки за допомогою ASDM, але і за допомогою інтерфейсу командного рядка пристрої ASA:
- Перехід в режим конфігурації.
Єдина річ, яка дозволена:
rtpvpnoutbound6 (config) # дозвіл на стандарт з проведення випробувань access-list any4
Це - відома проблема і було звернуто ідентифікатором помилки Cisco CSCut3131. Оновлення до версії з виправленням для цього дефекту, щоб бути в змозі налаштувати доступ до локальної мережі.
Налаштуйте захищений мобільний клієнт Cisco AnyConnect Secure Mobility
Для настройки захищеного мобільного клієнта Cisco AnyConnect Secure Mobility зверніться до устанавліваніе VPN-підключення на базі SSL з розділом SVC ASA 8. x: Дозволити роздільне тунелювання для VPN Client AnyConnect на прикладі конфігурації ASA.
Поділ - виключає туннелирование, вимагає, щоб ви включили AllowLocalLanAccess в Клієнта AnyConnect. Все поділ - виключає туннелирование, розглядається як доступ до локальної мережі. Для використання виключити функції роздільного тунелювання необхідно включити перевагу AllowLocalLanAccess в перевазі Клієнта AnyConnect VPN Client. За замовчуванням доступ до локальної мережі відключений.
Щоб дозволити доступ до локальної мережі, і тому розділитися - виключають туннелирование, адміністратор мережі може включити його в профілі, або користувачі можуть включити його в своїх привілейованих параметрах настройки (див. Образ в наступному розділі). Для дозволу доступу до локальної мережі користувач встановлює Дозволяти прапорець Доступу до локальної мережі. якщо роздільне тунелювання включено на захищеному шлюзі і налаштоване з політикою роздільних тунелів, виключають задану політику. Крім того, якщо доступ до локальної мережі дозволений з
уподобання користувача
Ось вибори, які необхідно зробити у вкладці Preferences на захищеному мобільному клієнті Cisco AnyConnect Secure Mobility для дозволу доступу до локальної мережі.
Приклад профілю XML
Ось приклад того, як налаштувати Профіль Клієнта VPN з XML.
Виконайте кроки в цих розділах для перевірки конфігурації.
Підключіть свій захищений мобільний клієнт Cisco AnyConnect Secure Mobility з ASA для перевірки конфігурації.
- Виберіть своє з'єднання зі списку серверів і натисніть Connect.
У той час як весь інший трафік зашифрований і переданий через тунель, в даному прикладі клієнту дозволяють доступ до локальної мережі до 10.150.52.0/22 і 169.254.0.0/16.
Захищений мобільний клієнт Cisco AnyConnect Secure Mobility
При дослідженні журналів AnyConnect від зв'язки (bundle) Діагностики та засоби створення звітів (DART) можна визначити, чи телевізор налаштовано, який дозволяє доступ до локальної мережі.
Перевірка доступу до локальної мережі за допомогою ехо-запиту
Усунення несправностей
Цей розділ забезпечує інформацію, яку ви можете використовувати для того, щоб усунути несправність у вашій конфігурації.
У Випуску Microsoft Windows XP Professional файл LMHOSTS розташований в% SystemRoot% \ System32 \ Drivers \ Etc. Див. Вашу документацію microsoft або Статтю бази знань Microsoft 314108 для отримання додаткової інформації.