Dit document beschrijft hoe u toegang hebt tot Cisco Adaptieve Security Devices Manager (ASDM) en het WebVPN-portaal wanneer ze allebei geactiveerd zijn op dezelfde interface van Cisco 5500 Series adaptieve security applicatie (ASA).
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op Cisco 5500 Series ASA.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
In ASA versies eerder dan versie 8.0(2) kunnen ASDM en WebVPN niet worden ingeschakeld op dezelfde interface van de ASA, omdat beide standaard op dezelfde poort (443) luisteren. In versies 8.0(2) en later ondersteunt de ASA zowel clientloze Secure Socket Layer (SSL) VPN-sessies (WebVPN) en ASDM administratieve sessies tegelijkertijd op Port 443 van de externe interface. Wanneer beide services echter tegelijkertijd zijn ingeschakeld, wordt de standaard-URL voor een bepaalde interface in de ASA altijd standaard ingeschakeld voor de WebVPN-service. Denk bijvoorbeeld aan deze ASA configuratie data:
rtpvpnoutbound6# show run ip
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.150.172.46 255.255.252.0
!
interface Vlan3
nameif dmz
security-level 50
ip address dhcp
!
interface Vlan5
nameif test
security-level 0
ip address 1.1.1.1 255.255.255.255 pppoe setroute
!
rtpvpnoutbound6# show run web
webvpn
enable outside
enable dmz
anyconnect image disk0:/anyconnect-win-3.1.06078-k9.pkg 1
anyconnect image disk0:/anyconnect-macosx-i386-3.1.06079-k9.pkg 2
anyconnect enable
tunnel-group-list enable
tunnel-group-preference group-url
rtpvpnoutbound6# show run http
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 dmz
http 0.0.0.0 0.0.0.0 outside
rtpvpnoutbound6# show run tun
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool ap_fw-policy
authentication-server-group ldap2
tunnel-group DefaultWEBVPNGroup webvpn-attributes
group-url https://rtpvpnoutbound6.cisco.com/admin enable
without-csd
Om dit probleem op te lossen kunt u de juiste URL gebruiken om toegang te krijgen tot de respectievelijke service of de poort waarop de services worden benaderd wijzigen.
In de voorbeeldconfiguratiegegevens in het gedeelte Probleem kunnen de externe interface van de ASA door HTTPS worden bereikt via deze twee URL’s:
https://<ip-address> <=> https://10.150.172.46
https://<domain-name> <=> https://rtpvpnoutbound6.cisco.com
Als u echter probeert om toegang te krijgen tot deze URL’s terwijl WebVPN-service is ingeschakeld, stuurt de ASA u terug naar het WebVPN-portaal:
https://rtpvpnoutbound6.cisco.com/+CSCOE+/logon.html
U kunt ASDM als volgt benaderen:
https://rtpvpnoutbound6.cisco.com/admin
In deze sectie wordt beschreven hoe u de poort voor zowel de ASDM- als WebeVPN-services kunt wijzigen.
Voltooi deze stappen om de poort voor de ASDM-service te wijzigen:
ASA(config)#http server enable <1-65535>Hierna volgt een voorbeeld:
configure mode commands/options:
<1-65535> The management server's SSL listening port. TCP port 443 is the
default.
ASA(config)#http server enable 65000
https://interface_ip_address:Hierna volgt een voorbeeld:
https://192.168.1.1:65000
Voltooi deze stappen om de poort voor de WebVPN-service te wijzigen:
ASA(config)#webvpn
ASA(config-webvpn)#enable outside
ASA(config-webvpn)#port <1-65535>
webvpn mode commands/options:
<1-65535> The WebVPN server's SSL listening port. TCP port 443 is the
default.
ASA(config)#webvpn
ASA(config-webvpn)#enable outside
ASA(config-webvpn)#port 65010
https://interface_ip_address:Hierna volgt een voorbeeld:
https://192.168.1.1:65010
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
23-Mar-2015 |
Eerste vrijgave |