تكوين وصول AnyConnect Client إلى شبكة LAN المحلية

المقدمة

يصف هذا وثيقة كيف أن يسمح ال cisco AnyConnect يأمن حركية زبون أن ينفذ ال LAN محلي أثناء يربط إلى cisco ASA.

المتطلبات الأساسية

المتطلبات

يفترض هذا المستند أن تكوين VPN للوصول عن بعد الوظيفي موجود بالفعل على جهاز الأمان القابل للتكيف (ASA) من Cisco.

ارجع إلى CLI Book 3: دليل تكوين واجهة سطر الأوامر من Cisco ASA Series VPN، الإصدار 9.17 للحصول على مساعدة التكوين إذا لزم الأمر.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco ASA 5500 Series، الإصدار 9(2)1
• Cisco Adaptive Security Device Manager (ASDM)، الإصدار 7.1(6)
• Cisco AnyConnect Secure Mobility Client، الإصدار 3.1.05152

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الرسم التخطيطي للشبكة

يوجد العميل على شبكة نموذجية للمكاتب الصغيرة / المكاتب المنزلية (SOHO) ويتصل عبر الإنترنت بالمكتب الرئيسي.

معلومات أساسية

يتيح هذا التكوين ل Cisco AnyConnect Secure Mobility Client الوصول الآمن إلى موارد الشركة عبر IPsec أو طبقة مآخذ التوصيل الآمنة (SSL) أو الإصدار 2 من تبادل مفتاح الإنترنت (IKEv2) ومع ذلك يمنح العميل القدرة على تنفيذ أنشطة مثل الطباعة في موقع العميل. إذا كان مسموحا به، فإن حركة المرور الموجهة للإنترنت لا تزال موصلة عبر النطاقات إلى ASA.

بخلاف سيناريو انقسام نفقي تقليدي يتم فيه إرسال حركة مرور الإنترنت غير مشفرة، عندما تقوم بتمكين الوصول إلى شبكة LAN المحلية لعملاء VPN، فإنها تسمح لهؤلاء العملاء بالاتصال غير المشفر باستخدام الأجهزة فقط على الشبكة التي يتواجدون عليها. على سبيل المثال، يمكن للعميل الذي يتم السماح له بالوصول إلى شبكة LAN المحلية أثناء إتصاله ب ASA من المنزل الطباعة إلى طابعته الخاصة ولكن لا يمكنه الوصول إلى الإنترنت ما لم يرسل أولا حركة مرور البيانات عبر النفق.

يتم إستخدام قائمة الوصول للسماح بالوصول إلى شبكة LAN المحلية بنفس الطريقة التي تم بها تكوين الاتصال النفقي المنقسم على ASA. ومع ذلك، وعلى عكس سيناريو تقسيم الاتصال النفقي، لا تحدد قائمة الوصول هذه الشبكات التي يجب تشفيرها. وبدلا من ذلك، يحدد هذا الخيار الشبكات التي يجب ألا يتم تشفيرها. أيضا، بخلاف سيناريو تقسيم الاتصال النفقي، لا تحتاج الشبكات الفعلية في القائمة إلى أن تكون معروفة. وبدلا من ذلك، يوفر ASA شبكة افتراضية من 0.0.0.0/255.255.255.255، ويفهم أنها تعني شبكة LAN المحلية للعميل.

ملاحظة: عند اتصال العميل وتكوينه للوصول إلى شبكة LAN المحلية، لا يمكنك الطباعة أو الاستعراض حسب الاسم على شبكة LAN المحلية. ومع ذلك، يمكنك الاستعراض أو الطباعة حسب عنوان IP. راجع قسم أستكشاف الأخطاء وإصلاحها في هذا المستند للحصول على مزيد من المعلومات بالإضافة إلى الحلول البديلة لهذه الحالة.

تكوين الوصول إلى شبكة LAN المحلية ل AnyConnect Secure Mobility Client

أكمل هذه المهام للسماح ل Cisco AnyConnect Secure Mobility Client بالوصول إلى شبكة LAN المحلية الخاصة بهم أثناء الاتصال ب ASA:

• تكوين ASA عبر ASDM أو تكوين ASA عبر CLI
• تكوين Cisco AnyConnect Secure Mobility Client

تكوين ASA عبر ASDM

أتمت هذا steps في ال ASDM in order to سمحت VPN زبون أن يتلقى محلي lan منفذ بينما يربط إلى ال ASA:

1. أختر Configuration > Remote Access VPN > Network (Client) Access > Group Policy وحدد "نهج المجموعة" الذي ترغب في تمكين الوصول إلى شبكة LAN المحلية فيه. ثم انقر Edit.
   
   

   

   
   
   
2. انتقل إلى Advanced > Split Tunneling.
   
   

   

   
   
   
3. قم بإلغاء تحديد المربع Inherit الخاص بالنهج واختر Exclude Network List Below.
   
   

   

   
   
   
4. قم بإلغاء تحديد Inherit المربع لقائمة الشبكة ثم انقر Manage لبدء تشغيل مدير قائمة التحكم في الوصول (ACL).
   
   

   

   
   
   
5. ضمن إدارة قائمة التحكم في الوصول (ACL)، أختر Add > Add ACL... لإنشاء قائمة وصول جديدة.
   
   

   

   
   
   
6. قم بتوفير اسم لقائمة التحكم بالوصول (ACL) وانقر فوق OK.
   
   

   

   
   
   
7. بمجرد إنشاء قائمة التحكم في الوصول (ACL)، أختر Add > Add ACE... لإضافة إدخال التحكم في الوصول (ACE).
   
   

   

   
   
   
8. قم بتعريف ACE الذي يتوافق مع الشبكة المحلية (LAN) للعميل.
   
   
   1. اختَر.Permit
   2. أخترت عنوان 0.0.0.0
   3. أخترت NetMask ل /32.
   4. (إختياري) قم بتوفير وصف.
   5. انقر.OK
      
      

      

   
   
   
9. انقر OK للخروج من إدارة قائمة التحكم في الوصول (ACL).
   
   

   

   
   
   
10. تأكد من تحديد قائمة التحكم في الوصول (ACL) التي قمت بإنشائها للتو لقائمة شبكات النفق المقسم.
    
    

    

    
    
    
11. انقر OK للعودة إلى تكوين "نهج المجموعة".
    
    

    

    
    
    
12. طقطقت Apply وبعد ذلك Send (إن يتطلب) in order to أرسلت الأمر إلى ال ASA.
    
    

    

تكوين ASA عبر واجهة سطر الأوامر

بدلا من إستخدام ASDM، أنت يستطيع أتمت هذا steps في ال ASA CLI in order to سمحت VPN زبون أن يتلقى محلي lan منفذ بينما يربط إلى ال ASA:

1. ادخل إلى وضع التكوين.
   
   

   ciscoasa>enable
   Password:
   ciscoasa#configure terminal
   ciscoasa(config)#

2. قم بإنشاء قائمة الوصول للسماح بالوصول إلى شبكة LAN المحلية.
   
   

   ciscoasa(config)#access-list Local_LAN_Access remark Client Local LAN Access
   ciscoasa(config)#access-list Local_LAN_Access standard permit host 0.0.0.0
   

3. أدخل وضع تكوين "نهج المجموعة" للنهج الذي ترغب في تعديله.
   
   

   ciscoasa(config)#group-policy hillvalleyvpn attributes
   ciscoasa(config-group-policy)#

4. حدد نهج نفق التقسيم. في هذه الحالة ، فإن السياسة هي excludespecified.
   
   

   ciscoasa(config-group-policy)#split-tunnel-policy excludespecified
   

5. حدد قائمة الوصول إلى النفق المقسم. في هذه الحالة ، القائمة هي Local_LAN_Access.
   
   

   ciscoasa(config-group-policy)#split-tunnel-network-list value Local_LAN_Access
   

6. قم بإصدار هذا الأمر:
   
   

   ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
   

7. إقران نهج المجموعة بمجموعة النفق.
   
   

   ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
   

8. خرجت الإثنان تشكيل أسلوب.
   
   

   ciscoasa(config-group-policy)#exit
   ciscoasa(config)#exit
   ciscoasa#

9. احفظ التكوين إلى ذاكرة الوصول العشوائي غير المتطايرة (NVRAM) واضغط Enter عند طلبها لتحديد اسم الملف المصدر.
   
   

   ciscoasa#copy running-config startup-config
   
   Source filename [running-config]?
   Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
   
   3847 bytes copied in 3.470 secs (1282 bytes/sec)
   ciscoasa#

تكوين Cisco AnyConnect Secure Mobility Client

أحلت in order to شكلت ال cisco AnyConnect يأمن حركية زبون، ال configure AnyConnect توصيل قسم من CLI كتاب 3: cisco ASA Series VPN CLI تشكيل مرشد، 9.17.

يتطلب Split-exclude tunneling تمكين AllowLocalLanAccess في عميل AnyConnect. يتم إعتبار جميع أنفاق Split-Exclude كوصول إلى شبكة LAN المحلية. in order to استعملت الاستثناء سمة من انقسام-tunneling، أنت ينبغي مكنت AllowLocalLanAccess التفضيل في AnyConnect VPN زبون تفضيل. بشكل افتراضي، يتم تعطيل الوصول إلى شبكة LAN المحلية.

للسماح بالوصول إلى شبكة LAN المحلية، وبالتالي فصل-إستثناء tunneling، يمكن لمسؤول الشبكة تمكينه في ملف التعريف أو يمكن للمستخدمين تمكينه في إعدادات التفضيلات الخاصة بهم (راجع الصورة في القسم التالي). للسماح بالوصول إلى شبكة LAN المحلية، يحدد المستخدم خانة Allow Local LAN access الاختيار إذا تم تمكين تقسيم الاتصال النفقي على البوابة الآمنة وتم تكوينه باستخدام split-tunnel-policy exclude specified النهج. وبالإضافة إلى ذلك، يمكنك تكوين ملف تعريف عميل شبكة VPN إذا تم السماح بالوصول إلى شبكة LAN المحلية باستخدام true .

تفضيلات المستخدم

فيما يلي التحديدات التي يجب عليك إجراؤها في علامة التبويب "تفضيلات" في Cisco AnyConnect Secure Mobility Client للسماح بالوصول إلى شبكة LAN المحلية.

على لينكس 

مثال على ملف تعريف XML

وفيما يلي مثال على كيفية تكوين ملف تعريف عميل شبكة VPN باستخدام XML.

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
 xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
    <ClientInitialization>
        <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
        <AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
        <ShowPreConnectMessage>false</ShowPreConnectMessage>
        <CertificateStore>All</CertificateStore>
        <CertificateStoreOverride>false</CertificateStoreOverride>
        <ProxySettings>Native</ProxySettings>
        <AllowLocalProxyConnections>true</AllowLocalProxyConnections>
        <AuthenticationTimeout>12</AuthenticationTimeout>
        <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
        <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
        <LocalLanAccess UserControllable="true">true</LocalLanAccess>
        <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
        <IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
        <AutoReconnect UserControllable="false">true
            <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend
            </AutoReconnectBehavior>
        </AutoReconnect>
        <AutoUpdate UserControllable="false">true</AutoUpdate>
        <RSASecurIDIntegration UserControllable="false">Automatic
        </RSASecurIDIntegration>
        <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
        <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
        <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
        <PPPExclusion UserControllable="false">Disable
            <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
        </PPPExclusion>
        <EnableScripting UserControllable="false">false</EnableScripting>
        <EnableAutomaticServerSelection UserControllable="false">false
            <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
            <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
        </EnableAutomaticServerSelection>
        <RetainVpnOnLogoff>false
        </RetainVpnOnLogoff>
    </ClientInitialization>
</AnyConnectProfile>

التحقق من الصحة

أتمت ال steps في هذا قسم in order to دققت تشكيلك:

• عرض dart
• إختبار الوصول إلى شبكة LAN المحلية باستخدام إختبار الاتصال

قم بتوصيل Cisco AnyConnect Secure Mobility Client ب ASA للتحقق من التكوين الخاص بك.

1. أختر إدخال الاتصال الخاص بك من قائمة الخوادم وانقر فوق Connect.
   
   

   

   
   
   
2. أخترت Advanced Window for All Components > Statistics... in order to عرضت النفق أسلوب.
   
   

   

   
   
   
   على لينكس
   
   
   
   
   
   
   
   
   
3. انقر فوق علامة التبويب Route Details للاطلاع على الموجهات التي لا يزال لدى Cisco AnyConnect Secure Mobility Client وصول محلي إليها.
   
   في هذا المثال، يتم السماح للعميل بالوصول إلى شبكة LAN المحلية إلى 10.150.52.0/22 و 169.254.0.0/16 بينما يتم تشفير جميع حركة المرور الأخرى وإرسالها عبر النفق.
   
   

على لينكس 

Cisco AnyConnect Secure Mobility Client

عندما يفحص أنت AnyConnect سجل مقياس سرعة من التشخيص وأداة التقارير (DART) حزمة، أنت يستطيع حددت ما إذا أو لا المعلمة أن يسمح محلي lan منفذ ثبتت.

******************************************

Date        : 11/25/2011
Time        : 13:01:48
Type        : Information
Source      : acvpndownloader

Description : Current Preference Settings:
ServiceDisable: false
CertificateStoreOverride: false
CertificateStore: All
ShowPreConnectMessage: false
AutoConnectOnStart: false
MinimizeOnConnect: true
LocalLanAccess: true
AutoReconnect: true
AutoReconnectBehavior: DisconnectOnSuspend
UseStartBeforeLogon: false
AutoUpdate: true
RSASecurIDIntegration: Automatic
WindowsLogonEnforcement: SingleLocalLogon
WindowsVPNEstablishment: LocalUsersOnly
ProxySettings: Native
AllowLocalProxyConnections: true
PPPExclusion: Disable
PPPExclusionServerIP: 
AutomaticVPNPolicy: false
TrustedNetworkPolicy: Disconnect
UntrustedNetworkPolicy: Connect
TrustedDNSDomains: 
TrustedDNSServers: 
AlwaysOn: false
ConnectFailurePolicy: Closed
AllowCaptivePortalRemediation: false
CaptivePortalRemediationTimeout: 5
ApplyLastVPNLocalResourceRules: false
AllowVPNDisconnect: true
EnableScripting: false
TerminateScriptOnNextEvent: false
EnablePostSBLOnConnectScript: true
AutomaticCertSelection: true
RetainVpnOnLogoff: false
UserEnforcement: SameUserOnly
EnableAutomaticServerSelection: false
AutoServerSelectionImprovement: 20
AutoServerSelectionSuspendTime: 4
AuthenticationTimeout: 12
SafeWordSofTokenIntegration: false
AllowIPsecOverSSL: false
ClearSmartcardPin: true



******************************************

إختبار الوصول إلى شبكة LAN المحلية باستخدام إختبار الاتصال

هناك طريقة إضافية لاختبار أن عميل VPN ما يزال لديه وصول LAN محلي أثناء إنشاء قنوات إلى وحدة الاستقبال والبث الخاصة بالشبكة الخاصة الظاهرية (VPN) هي إستخدام الأمر ping في سطر الأوامر في Microsoft Windows. هنا مثال حيث تكون الشبكة المحلية للعميل 192.168.0.0/24 ومضيف آخر موجود على الشبكة بعنوان IP 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

على لينكس 

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

يتعذر الطباعة أو الاستعراض حسب الاسم

عند اتصال عميل شبكة VPN وتكوينه للوصول إلى شبكة LAN المحلية، لا يمكنك الطباعة أو الاستعراض حسب الاسم على شبكة LAN المحلية. هناك خياران متاحان للتغلب على هذا الوضع:

• الاستعراض أو الطباعة حسب عنوان IP.
  
  
  • للاستعراض، بدلا من الصياغة، \\sharenameأستخدم الصياغة \\x.x.x.x حيث يكون x.x.x.x عنوان IP للكمبيوتر المضيف.
    
    
  • للطباعة، قم بتغيير خصائص طابعة الشبكة لاستخدام عنوان IP بدلا من اسم. على سبيل المثال، بدلا من الصياغة، \\sharename\printernameأستخدم \\x.x.x.x\printername، حيث يكون x.x.x.x عنوان IP.
    
    
• قم بإنشاء ملف LMHOSTS لعميل VPN أو تعديله. يسمح لك ملف LMHOSTS على كمبيوتر Microsoft Windows بإنشاء تعيينات ثابتة بين أسماء المضيف وعناوين IP. على سبيل المثال، يمكن أن يبدو ملف LMHOSTS كما يلي:
  
  

  192.168.0.3 SERVER1
  192.168.0.4 SERVER2
  192.168.0.5 SERVER3

  
  في Microsoft Windows XP Professional Edition، يوجد ملف LMHOSTS في %SystemRoot%\System32\Drivers\Etc. راجع وثائق Microsoft للحصول على مزيد من المعلومات.

معلومات ذات صلة

• CLI Book 3: دليل تكوين واجهة سطر الأوامر من Cisco ASA Series VPN، الإصدار 9.17
• جدران الحماية من الجيل التالي Cisco ASA 5500-X Series
• الدعم التقني والمستندات - Cisco Systems