ASA: Multi-Context-Modus Remote-Access (AnyConnect) VPN

Download-Optionen

PDF (393.2 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen

Aktualisiert:6. August 2020

Dokument-ID:200353

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie Sie Remote Access (RA) Virtual Private Network (VPN) auf der Cisco Adaptive Security Appliance (ASA)-Firewall im Multiple Context (MC)-Modus mit der CLI konfigurieren. Es zeigt die Cisco ASA mit unterstützten/nicht unterstützten Funktionen und Lizenzanforderungen im Multiple-Context-Modus in Bezug auf RA VPN.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

ASA AnyConnect SSL-Konfiguration
Konfiguration mehrerer ASA-Kontexte

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

AnyConnect Secure Mobility Client Version 4.4.00243
Zwei ASA 5525 mit ASA Software Version 9.6(2)

Anmerkung: Laden Sie das AnyConnect VPN Client-Paket aus dem Cisco Software Download (nur für registrierte Kunden) herunter.

Anmerkung: Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Hintergrundinformationen

Multi-Context ist eine Form der Virtualisierung, bei der mehrere unabhängige Kopien einer Anwendung gleichzeitig auf derselben Hardware ausgeführt werden können, wobei jede Kopie (oder jedes virtuelle Gerät) dem Benutzer als separates physisches Gerät erscheint. So kann eine einzelne ASA mehreren unabhängigen Benutzern als mehrere ASAs angezeigt werden. Die ASA-Produktfamilie unterstützt seit ihrer Markteinführung virtuelle Firewalls. Die ASA bot jedoch keine Unterstützung für die Virtualisierung von Remote Access. Für Version 9.0 wurde die Unterstützung von VPN LAN2LAN (L2L) für Multi-Context hinzugefügt.

Anmerkung: Ab Version 9.5.2 unterstützt die Multi-Context-basierte Virtualisierung von VPN Remote Access (RA)-Verbindungen zur ASA.

Ab 9.6.2 unterstützen wir Flash-Virtualisierung, d. h. wir können ein Anyconnect-Bild pro Kontext erstellen.

Funktionsverlauf für Multicontext

Neue Funktionen in ASA 9.6(2)

Funktion	Beschreibung
Pre-Fill-/Username-from-Cert-Funktion für Multiple-Context-Modus	Die SSL-Unterstützung von AnyConnect wurde erweitert, sodass die CLIs der Pre-Fill-/User-Name-from-Certificate-Funktionen, die zuvor nur im Einzelmodus verfügbar waren, auch im Multiple-Context-Modus aktiviert werden können.
Flash-Virtualisierung für Remote Access-VPN	Remote Access-VPN im Multiple-Context-Modus unterstützt jetzt Flash-Virtualisierung. Jeder Kontext kann einen privaten Speicherplatz und einen gemeinsam genutzten Speicherplatz aufweisen, basierend auf dem insgesamt verfügbaren Flash-Speicher.
Unterstützung von AnyConnect-Clientprofilen auf Geräten mit mehreren Kontexten	AnyConnect-Clientprofile werden auf Geräten mit mehreren Kontexten unterstützt. Um ein neues Profil mit ASDM hinzuzufügen, benötigen Sie den AnyConnect Secure Mobility Client (Version 4.2.00748 oder 4.3.03013 und höher).
Stateful Failover für AnyConnect-Verbindungen im Multiple-Context-Modus	Stateful Failover wird jetzt für AnyConnect-Verbindungen im Mehrfachkontextmodus unterstützt.
Remote Access VPN Dynamic Access Policy (DAP) wird im Multiple-Context-Modus unterstützt	Sie können DAP jetzt für jeden Kontext im Mehrfachkontextmodus konfigurieren.
Remote Access VPN CoA (Autorisationsänderung) wird im Multiple-Context-Modus unterstützt	Sie können CoA jetzt für jeden Kontext im Multiple-Context-Modus konfigurieren.
Remote Access VPN-Lokalisierung wird im Multiple-Context-Modus unterstützt.	Lokalisierung wird weltweit unterstützt. Es gibt nur einen Satz von Lokalisierungsdateien, die über verschiedene Kontexte hinweg gemeinsam genutzt werden.
Paketerfassungsspeicher pro Kontext wird unterstützt.	Mit dieser Funktion kann der Benutzer eine Aufzeichnung direkt aus einem Kontext in den externen Speicher oder in den privaten Kontext-Speicher im Flash-Speicher kopieren. Mit dieser Funktion können Sie die Rohdatensammlung auch aus einem Kontext heraus in externe Paketerfassungstools wie z. B. Wire-Shark kopieren.

Funktionen in ASA 9.5(2)

Funktion	Beschreibung
AnyConnect 4.x und höher (nur SSL VPN; keine IKEv2-Unterstützung)	Multi-Context-basierte Virtualisierungsunterstützung für VPN Remote Access (RA)-Verbindungen zur ASA.
Zentrale Konfiguration des AnyConnect-Images	Flash-Speicher sind nicht virtualisiert. Das AnyConnect-Image wird global im Admin-Kontext konfiguriert, und die Konfiguration gilt für alle Kontexte.
Upgrade des AnyConnect-Images	AnyConnect-Clientprofile werden auf Geräten mit mehreren Kontexten unterstützt. Um ein neues Profil mit ASDM hinzuzufügen, benötigen Sie den AnyConnect Secure Mobility Client (Version 4.2.00748 oder 4.3.03013 und höher).
Kontextressourcen-Management für AnyConnect-Verbindungen	Konfigurierbarkeit zur Kontrolle der maximalen Lizenznutzung pro Kontext Konfigurierbarkeit für Lizenz-Bursting pro Kontext

Lizenzierung

AnyConnect Apex-Lizenz erforderlich
Essentials-Lizenzen ignoriert/nicht zulässig
Konfigurierbarkeit zur Kontrolle der maximalen Lizenznutzung pro Kontext
Konfigurierbarkeit für Lizenz-Bursting pro Kontext

Konfigurieren

Anmerkung: Verwenden Sie das Command Lookup-Tool (Tool für die Suche nach Befehlen) (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

Anmerkung: Mehrere Kontexte in diesem Beispiel verwenden eine Schnittstelle (OUTSIDE), dann verwendet der Klassifizierer die eindeutigen (automatischen oder manuellen) MAC-Adressen der Schnittstelle, um Pakete weiterzuleiten. Weitere Informationen zur Klassifizierung von Paketen in mehreren Kontexten durch die Security Appliance finden Sie unter So klassifiziert die ASA Pakete

Das folgende Konfigurationsverfahren gilt für ASA Version 9.6.2 und höher, in dem einige der neuen verfügbaren Funktionen veranschaulicht werden.Die Unterschiede beim Konfigurationsverfahren für ASA Versionen vor 9.6.2 (und vor 9.5.2) sind in Anhang A des Dokuments dokumentiert.

Die erforderlichen Konfigurationen im Systemkontext und in benutzerdefinierten Kontexten für die Einrichtung des Remote Access-VPNs werden im Folgenden beschrieben:

Anfängliche Konfigurationen im Systemkontext

Konfigurieren Sie zunächst im Systemkontext Failover, VPN-Ressourcenzuweisung, benutzerdefinierte Kontexte und Apex-Lizenzverifizierung. Das Verfahren und die Konfigurationen werden in diesem Abschnitt und im nächsten Abschnitt beschrieben

Schritt 1: Failover-Konfiguration

 !! Active Firewall 

failover
failover lan unit primary
failover lan interface LAN_FAIL GigabitEthernet0/3
failover link LAN_FAIL GigabitEthernet0/3
failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2
failover group 1
failover group 2

 !! Secondary Firewall 

failover
failover lan unit secondary
failover lan interface LAN_FAIL GigabitEthernet0/3
failover link LAN_FAIL GigabitEthernet0/3
failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2
failover group 1
failover group 2

Schritt 2: Zuweisen von VPN-Ressourcen

Konfiguration über vorhandene Klassenkonfiguration. Die Lizenzen sind nach Anzahl der Lizenzen oder nach % des Gesamtwerts pro Kontext zulässig.

Neue Ressourcentypen für MC RAVPN:

VPN AnyConnect: Kontextuell garantiert und nicht überbelegt

VPN Burst AnyConnect: Zusätzliche Kontextlizenzen sind über den garantierten Grenzwert hinaus zulässig. Der Burst-Pool besteht aus Lizenzen, die für einen Kontext nicht garantiert sind, und kann für einen Burst-Kontext verwendet werden, wenn der erste Versuch unternommen wird.

Bereitstellungsmodell für VPN-Lizenzen:

Anmerkung: Die ASA5585 bietet maximal 10.000 Cisco AnyConnect-Benutzersitzungen. In diesem Beispiel werden 4.000 Cisco AnyConnect-Benutzersitzungen pro Kontext zugewiesen.

class resource02 
  limit-resource VPN AnyConnect 4000
  limit-resource VPN Burst AnyConnect 2000

class resource01 
  limit-resource VPN AnyConnect 4000
  limit-resource VPN Burst AnyConnect 2000

Schritt 3: Kontexte konfigurieren und Ressourcen zuweisen

Hinweis: In diesem Beispiel wird GigabitEthernet0/0 für den gesamten Kontext freigegeben.

admin-context admin
context admin
  allocate-interface GigabitEthernet0/0 
  config-url disk0:/admin

context context1
  member resource01 
  allocate-interface GigabitEthernet0/0 
  allocate-interface GigabitEthernet0/1
  config-url disk0:/context1
  join-failover-group 1

context context2
  member resource02 
  allocate-interface GigabitEthernet0/0 
  allocate-interface GigabitEthernet0/2
  config-url disk0:/context2
  join-failover-group 2

Schritt 4: Überprüfen Sie, ob die Apex-Lizenz auf der ASA installiert ist. Weitere Informationen finden Sie unter dem folgenden Link.

Aktivieren oder Deaktivieren von Aktivierungsschlüsseln

Schritt 5: Konfigurieren Sie ein AnyConnect-Image-Paket. Je nachdem, welche ASA-Version verwendet wird, gibt es zwei Möglichkeiten, das AnyConnect-Image zu laden und für RA VPN zu konfigurieren. Wenn die Version 9.6.2 oder höher ist, kann Flash-Virtualisierung verwendet werden. Ältere Versionen als 9.6.2 finden Sie in Anhang A.

Anmerkung: Ab Version 9.6.2 wird Flash Virtualization unterstützt, d. h. es kann ein Anyconnect-Image pro Kontext erstellt werden.

Flash-Virtualisierung

Das Remote-Access-VPN benötigt Flash-Speicher für verschiedene Konfigurationen und Images wie AnyConnect-Pakete, Host-Scan-Pakete, DAP-Konfiguration, Plug-Ins, Anpassung und Lokalisierung usw. Im Multi-Context-Modus vor Version 9.6.2 können Benutzerkontexte auf keinen Teil des Flash-Speichers zugreifen. Der Flash-Speicher wird verwaltet und steht dem Systemadministrator nur über den Systemkontext zur Verfügung.

Um diese Einschränkung zu beheben und gleichzeitig die Sicherheit und den Datenschutz von Dateien im Flash-Speicher aufrechtzuerhalten sowie den Flash-Speicher gerecht unter Kontexten zu teilen, wird ein virtuelles Dateisystem für den Flash-Speicher im Multi-Kontext-Modus erstellt. Mit dieser Funktion können AnyConnect-Bilder auf Kontextbasis konfiguriert werden, anstatt sie global zu konfigurieren. Auf diese Weise können verschiedene Benutzer verschiedene AnyConnect-Images installieren. Darüber hinaus kann durch das Freigeben von AnyConnect-Bildern der von diesen Bildern belegte Speicherplatz reduziert werden. Der freigegebene Speicher wird zum Speichern von Dateien und Paketen verwendet, die in allen Kontexten gemeinsam sind.

Anmerkung: Der Systemkontextadministrator hat weiterhin vollständigen Lese- und Schreibzugriff auf den gesamten Flash-Speicher sowie auf die privaten und freigegebenen Speicherdateisysteme. Der Systemadministrator muss eine Verzeichnisstruktur erstellen und alle privaten Dateien und freigegebenen Dateien in verschiedenen Verzeichnissen organisieren, sodass diese Verzeichnisse für Kontexte konfiguriert werden können, die als freigegebener Speicher bzw. als privater Speicher darauf zugreifen.

Jeder Kontext verfügt über Lese-, Schreib- und Löschberechtigungen für seinen eigenen privaten Speicher und hat schreibgeschützten Zugriff auf seinen gemeinsamen Speicher. Nur der Systemkontext hat Schreibzugriff auf den freigegebenen Speicher.

In den unten stehenden Konfigurationen wird Custom Context 1 zur Illustration von privatem Speicher und Custom Context 2 zur Illustration von gemeinsam genutztem Speicher konfiguriert.

Privater Speicher

Sie können pro Kontext einen privaten Speicherplatz angeben. Sie können aus diesem Verzeichnis innerhalb des Kontexts lesen/schreiben/löschen (sowie aus dem Systemausführungsbereich). Unter dem angegebenen Pfad erstellt die ASA ein Unterverzeichnis, das nach dem Kontext benannt ist.

Wenn Sie beispielsweise für context1 disk0:/private-storage als Pfad angeben, erstellt die ASA ein Unterverzeichnis für diesen Kontext unter disk0:/private-storage/context1/.

Gemeinsam genutzter Speicher

Pro Kontext kann ein schreibgeschützter gemeinsamer Speicherplatz angegeben werden. Um die Duplizierung großer Dateien zu reduzieren, die von allen Kontexten gemeinsam genutzt werden können (z. B. AnyConnect-Pakete), kann gemeinsam genutzter Speicherplatz verwendet werden.

Konfigurationen für die Nutzung des privaten Speicherplatzes

!! Create a directory in the system context.
ciscoasa(config)# mkdir private_context1

!! Define the directory as private storage url in the respective context.

ciscoasa(config)# context context1
ciscoasa(config-ctx)# storage-url private disk0:/private_context1 context1 

!! Transfer the anyconnect image in the sub directory.
ciscoasa(config)# copy flash:/anyconnect-win-4.2.01035-k9.pkg flash:/private_context1/context1

Konfigurationen für die Nutzung des gemeinsam genutzten Speicherplatzes

!! Create a directory in the system context.

ciscoasa(config)# mkdir shared

!! Define the directory as shared storage url in the respective contexts.

ciscoasa(config)# context context2
ciscoasa(config-ctx)# storage-url shared disk0:/shared shared 

!! Transfer the anyconnect image in the shared directory.
ciscoasa(config)# copy disk0:/anyconnect-win-4.3.05019-k9.pkg disk0:/shared

Überprüfen Sie das Bild unter dem entsprechenden Kontext.

!! Custom Context 1 configured for private storage.

ciscoasa(config)#changeto context context1
ciscoasa/context1(config)# show context1:
213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg

!! Custom Context 2  configured for shared storage.

ciscoasa(config)#changeto context context2
ciscoasa/context2(config)# show shared:
195 25356342 May 24 2017 08:07:02 shared:/anyconnect-win-4.3.05017-k9.pkg

Schritt 6. Nachfolgend finden Sie eine Zusammenfassung der Konfigurationen im Systemkontext, die die oben beschriebenen Flash-Virtualisierungskonfigurationen enthält:

Systemkontext

context context1
 member resource01
 allocate-interface GigabitEthernet0/0
 storage-url private disk0:/private_context1 context1
 config-url disk0:/context1.cfg
 join-failover-group 1
! 
context context2
 member resource02
 allocate-interface GigabitEthernet0/1
 storage-url shared disk0:/shared shared
 config-url disk0:/context2.cfg
 join-failover-group 2

Schritt 7: Konfigurieren Sie die beiden benutzerdefinierten Kontexte wie unten gezeigt.

Benutzerdefinierter Kontext 1

!! Enable WebVPN on respective interfaces 

 webvpn
 enable outside
 anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1 
 anyconnect enable
 tunnel-group-list enable
 
!! IP pool and username configuration 

ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
username cisco password cisco 
 
!! Configure the required connection profile for SSL VPN 

access-list split standard permit 192.168.1.0 255.255.255.0

group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
 banner value "Welcome to Context1 SSLVPN"
 wins-server none
 dns-server value 192.168.20.10
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
 default-domain value cisco.com

tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
 address-pool mypool
 default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
 group-alias MC_RAVPN_1 enable

Benutzerdefinierter Kontext 2

!! Enable WebVPN on respective interfaces 

 webvpn
 enable outside
 anyconnect image shared:/anyconnect-win-4.3.05017-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 
!! IP pool and username configuration

 ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
 username cisco password cisco 
 
!! Configure the required connection profile for SSL VPN 

 access-list split standard permit 192.168.1.0 255.255.255.0
 
 group-policy GroupPolicy_MC_RAVPN_2 internal
 group-policy GroupPolicy_MC_RAVPN_2 attributes
 banner value "Welcome to Context2 SSLVPN"
 wins-server none
 dns-server value 192.168.60.10
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
 default-domain value cisco.com
 !
 !
 tunnel-group MC_RAVPN_2 type remote-access
 tunnel-group MC_RAVPN_2 general-attributes
 address-pool mypool
 default-group-policy GroupPolicy_MC_RAVPN_2
 tunnel-group MC_RAVPN_2 webvpn-attributes
 group-alias MC_RAVPN_2 enable

Überprüfung

Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Installation der Apex-Lizenz

ASA erkennt AnyConnect Apex-Lizenzen nicht ausdrücklich an, setzt jedoch die Lizenzmerkmale einer Apex-Lizenz durch. Dazu gehören:

AnyConnect Premium-Lizenz bis zur Plattformgrenze
AnyConnect für Mobilgeräte
AnyConnect für Cisco VPN-Telefon
Erweiterte Endgeräte-Analyse

Ein Syslog wird generiert, wenn eine Verbindung blockiert wird, weil keine AnyConnect Apex-Lizenz installiert ist.

Überprüfen, ob ein AnyConnect-Paket in benutzerdefinierten Kontexten (9.6.2 und höher) verfügbar ist

! AnyConnect package is available in context1 

 ciscoasa/context1(config)# show context1:

213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg

ciscoasa/pri/context1/act# show run webvpn
webvpn
 enable outside
 anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable

Falls das Image im benutzerdefinierten Kontext nicht vorhanden ist, lesen Sie die Konfiguration des Anyconnect Images (9.6.2 und höher).

Überprüfen, ob Benutzer in benutzerdefinierten Kontexten über AnyConnect eine Verbindung herstellen können

Tipp: Für eine bessere Anzeige siehe unten Videos im Vollbildmodus.

!! One Active Connection on Context1 

ciscoasa/pri/context1/act# show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username : cisco Index : 5
Assigned IP : 192.168.1.1 Public IP : 10.142.168.102
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Mobile
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 3186 Bytes Rx : 426
Group Policy : GroupPolicy_MC_RAVPN_1 Tunnel Group : MC_RAVPN_1
Login Time : 15:33:25 UTC Thu Dec 3 2015
Duration : 0h:00m:05s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2600005000566060c5
Security Grp : none

 !! Changing Context to Context2 

ciscoasa/pri/context1/act# changeto context context2

 !! One Active Connection on Context2 

ciscoasa/pri/context2/act# show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username : cisco Index : 1
Assigned IP : 192.168.51.1 Public IP : 10.142.168.94
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 10550 Bytes Rx : 1836
Group Policy : GroupPolicy_MC_RAVPN_2 Tunnel Group : MC_RAVPN_2
Login Time : 15:34:16 UTC Thu Dec 3 2015
Duration : 0h:00m:17s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2400001000566060f8
Security Grp : none

 !! Changing Context to System 

ciscoasa/pri/context2/act# changeto system

 !! Notice total number of connections are two (for the device) 

ciscoasa/pri/act# show vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
 Status : Capacity : Installed : Limit
 -----------------------------------------
AnyConnect Premium : ENABLED : 10000 : 10000 : NONE
Other VPN (Available by Default) : ENABLED : 10000 : 10000 : NONE
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------

---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
 Local : Shared : All : Peak : Eff. :
 In Use : In Use : In Use : In Use : Limit : Usage
 ----------------------------------------------------
AnyConnect Premium : 2 : 0 : 2 : 2 : 10000 : 0%
 AnyConnect Client : : 2 : 2 : 0%
 AnyConnect Mobile : : 2 : 2 : 0%
Other VPN : : 0 : 0 : 10000 : 0%
 Site-to-Site VPN : : 0 : 0 : 0%
---------------------------------------------------------------------------

 !! Notice the resource usage per Context 

ciscoasa/pri/act# show resource usage all resource VPN AnyConnect
Resource Current Peak Limit Denied Context
AnyConnect 1 1 4000 0 context1
AnyConnect 1 1 4000 0 context2

Fehlerbehebung

In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Fehlerbehebung: AnyConnect

Tipp: Falls ASA keine Apex-Lizenz installiert hat, wird die AnyConnect-Sitzung mit dem folgenden Syslog beendet:

%ASA-6-725002: Gerät hat SSL-Handshake mit Client OUTSIDE:10.142.168.86/51577 zu 10.106.44.38/443 für TLSv1-Sitzung abgeschlossen
%ASA-6-113012: AAA-Benutzerauthentifizierung erfolgreich: Lokale Datenbank: Benutzer = Cisco
%ASA-6-113009: AAA hat Standardgruppenrichtlinie (GroupPolicy_MC_RAVPN_1) für Benutzer = cisco abgerufen
%ASA-6-113008: AAA-Transaktionsstatus ACCEPT: Benutzer = Cisco
%ASA-3-716057: Group User IP <10.142.168.86> Sitzung beendet, keine AnyConnect Apex-Lizenz verfügbar
%ASA-4-113038: Group User IP <10.142.168.86> Die übergeordnete AnyConnect-Sitzung kann nicht erstellt werden.

Anhang A: Konfiguration von AnyConnect-Images für Versionen vor 9.6.2

Das AnyConnect-Image wird global im Admin-Kontext für ASA-Versionen vor 9.6.2 konfiguriert (beachten Sie, dass die Funktion ab 9.5.2 verfügbar ist), da der Flash-Speicher nicht virtualisiert ist und nur vom Systemkontext aus darauf zugegriffen werden kann.

Schritt 5.1. Kopieren Sie die AnyConnect-Paketdatei in den Flash-Speicher im Systemkontext.

Systemkontext:

ciscoasa(config)# show flash:

195 25356342 May 24 2017 08:07:02 anyconnect-win-4.3.05017-k9.pkg

Schritt 5.2: Konfigurieren des AnyConnect-Images im Admin-Kontext.

Admin-Kontext:

webvpn
 anyconnect image disk0:/anyconnect-win-4.3.05017-k9.pkg 1
 anyconnect enable

Anmerkung: AnyConnect-Image kann nur im Admin-Kontext konfiguriert werden. Alle Kontexte beziehen sich automatisch auf diese globale AnyConnect-Image-Konfiguration.

Benutzerdefinierter Kontext 1:

 !! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
 
 interface GigabitEthernet0/0
 nameif OUTSIDE 
 security-level 0
 ip address 10.106.44.38 255.255.255.0 standby 10.106.44.39 

!! Enable WebVPN on respective interfaces 

webvpn
 enable OUTSIDE
 anyconnect enable

 !! IP pool and username configuration 

ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0

username cisco password cisco 

 !! Configure the require connection profile for SSL VPN 
 
group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
 banner value "Welcome to Context1 SSLVPN"
 wins-server none
 dns-server value 192.168.20.10
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
 default-domain value cisco.com

tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
 address-pool mypool
 default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
 group-alias MC_RAVPN_1 enable
 group-url https://10.106.44.38/context1 enable

Benutzerdefinierter Kontext 2:

!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)

interface GigabitEthernet0/0 
 nameif OUTSIDE 
 security-level 0 
 ip address 10.106.44.36 255.255.255.0 standby 10.106.44.37 

!! Enable WebVPN on respective interface 

webvpn
 enable OUTSIDE
 anyconnect enable

 !! IP pool and username configuration 

ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0

username cisco password cisco

 !! Configure the require connection profile for SSL VPN 
 
group-policy GroupPolicy_MC_RAVPN_2 internal
group-policy GroupPolicy_MC_RAVPN_2 attributes
 banner value "Welcome to Context2 SSLVPN"
 wins-server none
 dns-server value 192.168.60.10
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
 default-domain value cisco.com

tunnel-group MC_RAVPN_2 type remote-access
tunnel-group MC_RAVPN_2 general-attributes
 address-pool mypool
 default-group-policy GroupPolicy_MC_RAVPN_2
tunnel-group MC_RAVPN_2 webvpn-attributes
 group-alias MC_RAVPN_2 enable
 group-url https://10.106.44.36/context2 enable

Überprüfen Sie, ob das AnyConnect-Paket im Admin-Kontext installiert ist und in benutzerdefinierten Kontexten (vor 9.6.2) verfügbar ist.

!! AnyConnect package is installed in Admin Context 

ciscoasa/pri/admin/act# show run webvpn
webvpn
 anyconnect image disk0:/anyconnect-win-3.1.10010-k9.pkg 1
 anyconnect enable

ciscoasa/pri/admin/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
 CISCO STC win2k+
 3,1,10010
 Hostscan Version 3.1.10010
 Wed 07/22/2015 12:06:07.65

1 AnyConnect Client(s) installed

 !! AnyConnect package is available in context1 

ciscoasa/pri/admin/act# changeto context context1

ciscoasa/pri/context1/act# show run webvpn
webvpn
 enable OUTSIDE
 anyconnect enable
 tunnel-group-list enable

ciscoasa/pri/context1/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
 CISCO STC win2k+
 3,1,10010
 Hostscan Version 3.1.10010
 Wed 07/22/2015 12:06:07.65

1 AnyConnect Client(s) installed

Referenzen

Versionshinweise: 9.5(2)

Versionshinweise: 9.6(2)

Zugehörige Informationen

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	11-Feb-2016	Erstveröffentlichung

Beiträge von Cisco Ingenieuren

Created by Adesh Gairola
Cisco TAC Engineer
Created by Monal Mahajan
Cisco TAC Engineer
Edited by Cesar Lopez Zamarripa
Security Technical Leader

War dieses Dokument hilfreich?

Feedback

Cisco kontaktieren

Eine Supportanfrage öffnen
(Erfordert einen Cisco Servicevertrag)