De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u de firewall van Cisco Adaptieve security applicatie (ASA) in Multicontext (MC) kunt configureren met behulp van de CLI-modus (Remote Access Network). Het toont Cisco ASA in meerdere context-mode ondersteunde/niet-ondersteunde functies en licentievereisten met betrekking tot RA VPN.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Opmerking: Download het AnyConnect VPN-clientpakket van de Cisco Software Download (alleen geregistreerde klanten).
Opmerking: De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Multi-context is een vorm van virtualisatie waarmee meerdere onafhankelijke exemplaren van een toepassing tegelijkertijd op dezelfde hardware kunnen worden uitgevoerd, waarbij elke kopie (of virtueel apparaat) als een afzonderlijk fysiek apparaat voor de gebruiker verschijnt. Hierdoor kan één ASA als meerdere ASA's verschijnen aan meerdere onafhankelijke gebruikers. De ASA-familie heeft virtuele firewalls ondersteund sinds de eerste vrijgave ervan. er was echter geen virtualisatieondersteuning voor externe toegang in de ASA. VPN LAN2LAN (L2L)-ondersteuning voor multicontext is toegevoegd voor de 9.0-release.
Opmerking: Van 9.5.2 op multicontext gebaseerde virtualisatieondersteuning voor VPN Remote Access (RA)-verbindingen naar de ASA.
Vanaf 9.6.2 hebben we ondersteuning voor Flash virtualisatie wat betekent dat we AnyConnect-beeld per context kunnen hebben.
Functie | Beschrijving |
Voorgevulde/achternaam-van-bron optie voor meerdere contextmodus | AnyConnect SSL-ondersteuning wordt uitgebreid, zodat ook CLI’s die voorheen alleen in één modus beschikbaar waren, kunnen worden ingeschakeld in meerdere contextmodus. |
Flash-virtualisatie voor externe toegang VPN | VPN-toegang op afstand in meerdere context ondersteunt flash-virtualisatie nu. Elke context kan een privéopslagruimte en een gedeelde opslagplaats hebben op basis van de totale beschikbare flitser. |
AnyConnect-clientprofielen ondersteund in multicontext-apparaten | AnyConnect-clientprofielen worden ondersteund in multi-context-apparaten. Als u een nieuw profiel wilt toevoegen met ASDM, moet u minimaal de AnyConnect Secure Mobility Client release 4.2.00748 of 4.3.030/13 hebben. |
Stateful failover voor AnyConnect-verbindingen in multi-contextmodus | Stateful failover wordt nu ondersteund voor AnyConnect-verbindingen in meerdere contextmodus. |
Remote Access VPN Dynamic Access Policy (DAP) wordt ondersteund in multi-context-modus | U kunt nu DAP per context in meerdere contextmodus configureren. |
Remote Access VPN-CoA (verandering van autorisatie) wordt ondersteund in meerdere context-modus | U kunt CoA per context nu configureren in meerdere context-modus. |
Remote Access VPN-localisatie wordt ondersteund in multi-context-modus | Localisatie wordt wereldwijd ondersteund. Er is slechts één set localisatiebestanden die over verschillende contexten worden gedeeld. |
Opslagopslag per context wordt ondersteund. | Het doel van deze functie is om de gebruiker in staat te stellen om een opname rechtstreeks van een context naar de externe opslag te kopiëren of naar de context privé-opslag op flitser. Deze optie stelt het ook mogelijk om de ruwe opname naar de externe gereedschappen voor pakketvastlegging zoals draadscherf van binnen een context te kopiëren. |
Functie | Beschrijving |
AnyConnect 4.x en hoger (alleen SSL VPN) geen IKEv2-ondersteuning) | Ondersteuning voor multi-context-gebaseerde virtualisatie voor VPN Remote Access (RA)-verbindingen met de ASA. |
Gecentraliseerde AnyConnect-beeldconfiguratie |
|
AnyConnect-afbeeldingsupgrade |
AnyConnect-clientprofielen worden ondersteund in multi-context-apparaten. Als u een nieuw profiel wilt toevoegen met ASDM, moet u minimaal de AnyConnect Secure Mobility Client release 4.2.00748 of 4.3.030/13 hebben. |
Context Resource Management voor AnyConnect-verbindingen |
|
Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde gebruikers) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.
Opmerking: Meerdere contexten in dit voorbeeld delen een interface (BUITEN) en dan gebruikt de klassieker de interface unieke (auto of handleiding) MAC adressen om pakketten door te sturen. Voor meer informatie over de manier waarop security applicaties pakketten in meerdere context indelen, raadpleeg hoe de ASA Packets indeelt
De volgende configuratieprocedure is in ASA 9.6.2 versie en hoger, wat een aantal van de beschikbare nieuwe functies illustreert.De verschillen in de configuratieprocedure voor ASA-versies vóór 9.6.2 (en boven 9.5.2) zijn gedocumenteerd in Bijlage A van het document.
De benodigde configuraties in systeemcontext en aangepaste contexten voor het instellen van VPN-toegang op afstand worden hieronder beschreven:
Om te beginnen, in de configuratie van de Context van het Systeem, de toewijzing van de middelen van VPN, douanecontexten en de controle van de Apex- vergunning. De procedure en de configuraties worden beschreven in dit gedeelte en in de volgende sectie
Stap 1. Configuratie failover
!! Active Firewall failover failover lan unit primary failover lan interface LAN_FAIL GigabitEthernet0/3 failover link LAN_FAIL GigabitEthernet0/3 failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover group 1 failover group 2 !! Secondary Firewall failover failover lan unit secondary failover lan interface LAN_FAIL GigabitEthernet0/3 failover link LAN_FAIL GigabitEthernet0/3 failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover group 1 failover group 2
Stap 2. Wijzig VPN-middelen.
Configureerd via bestaande class-configuratie. De certificaten zijn toegestaan op basis van het aantal vergunningen of % van het totale aantal vergunningen per context
Nieuwe resource typen voor MC RAVPN geïntroduceerd:
VPN License Provisioning model:
Opmerking: ASA 5585 biedt 10.000 maximale Cisco AnyConnect-gebruikerssessies en in dit voorbeeld worden 4000 Cisco AnyConnect-gebruikerssessies per context toegewezen.
class resource02
limit-resource VPN AnyConnect 4000
limit-resource VPN Burst AnyConnect 2000
class resource01
limit-resource VPN AnyConnect 4000
limit-resource VPN Burst AnyConnect 2000
Stap 3. Het configureren van contexten en het toewijzen van resources.
Opmerking: In dit voorbeeld wordt Gigabit Ethernet0/0 onder alle context gedeeld.
admin-context admin context admin allocate-interface GigabitEthernet0/0 config-url disk0:/admin context context1 member resource01 allocate-interface GigabitEthernet0/0 allocate-interface GigabitEthernet0/1 config-url disk0:/context1 join-failover-group 1 context context2 member resource02 allocate-interface GigabitEthernet0/0 allocate-interface GigabitEthernet0/2 config-url disk0:/context2 join-failover-group 2
Stap 4. Controleer dat de Apex-licentie op de ASA is geïnstalleerd en raadpleeg de onderstaande link voor meer informatie.
Activeringstoetsen in- of uitschakelen
Stap 5. Configureer een beeldpakket met AnyConnect. Afhankelijk van de vraag of de ASA versie wordt gebruikt, zijn er twee manieren om AnyConnect-afbeelding te laden en voor RA VPN te configureren. Als de versie 9.6.2 en hoger is, kan Flitser virtualisatie worden gebruikt. Voor oudere versies dan 9.6.2 zie Bijlage A
Opmerking: Op 9.6.2 en hoger hebben we ondersteuning voor Flash Virtualization, wat betekent dat we AnyConnect Image per context kunnen hebben.
VPN-toegang op afstand vereist flash-opslag voor verschillende configuratie en afbeeldingen, zoals AnyConnect-pakketten, hostscan-pakketten, DAP-configuratie, plug-ins, aanpassing en localisatie, enzovoort. In multi-context-modus vóór 9.6.2 hebben gebruikers geen toegang tot een deel van de flitser en is de flitser alleen via de systeemcontext beheerd en toegankelijk voor de systeembeheerder.
Om deze beperking op te lossen, terwijl de veiligheid en privacy van bestanden op de flitser nog steeds behouden en de flitser eerlijk tussen contexten kunnen delen, wordt er een virtueel bestandssysteem gemaakt voor de flitser in multi-context-modus. Het doel van deze functie is om AnyConnect-afbeeldingen op een per-context-basis te laten configureren in plaats van ze mondiaal te laten configureren. Hierdoor kunnen verschillende gebruikers verschillende AnyConnect-afbeeldingen laten installeren. Bovendien kan de hoeveelheid geheugen die door deze afbeeldingen wordt geconsumeerd, worden verminderd door AnyConnect-afbeeldingen te delen. De gedeelde opslag wordt gebruikt om bestanden en pakketten op te slaan die voor alle contexten gemeenschappelijk zijn.
Opmerking: De systeembeheerder zal volledige lees-schrijftoegang blijven hebben tot de gehele flitser en het privé en gedeelde opslagbestandssysteem.De systeembeheerder zal een directory-structuur moeten maken en alle privé bestanden en gedeelde bestanden in verschillende directories moeten organiseren, zodat deze directories kunnen worden geconfigureerd voor toegang tot respectievelijk gedeelde opslag en privé-opslag.
Elke context heeft een lees-schrijf/verwijder toestemming voor zijn eigen privéopslag en heeft alleen-lezen toegang tot de gedeelde opslag. Alleen de systeemcontext heeft toegang tot de gedeelde opslag.
In de onderstaande configuratie wordt Aangepaste Context 1 geconfigureerd om particuliere opslag te illustreren, en Aangepaste Context 2 wordt geconfigureerd om gedeelde opslag te illustreren.
U kunt per context één particuliere opslagruimte instellen. U kunt deze map binnen de context lezen/schrijven/verwijderen (en ook vanuit de ruimte voor systeemuitvoering). Onder het gespecificeerde pad maakt de ASA een subdirectory genaamd naar de context.
Bijvoorbeeld, voor context1 als u disk0:/private opslag voor het pad specificeert, dan creëert de ASA een subdirectory voor deze context op disk0:/private opslag/context1/.
Eén alleen-lezen gedeelde opslagruimte kan per context worden gespecificeerd. Om doublures van gemeenschappelijke grote bestanden te voorkomen die onder alle contexten kunnen worden gedeeld (zoals AnyConnect-pakketten), kan gedeelde opslagruimte worden gebruikt.
Configuraties om de particuliere opslagruimte te gebruiken
!! Create a directory in the system context.
ciscoasa(config)# mkdir private_context1
!! Define the directory as private storage url in the respective context.
ciscoasa(config)# context context1 ciscoasa(config-ctx)# storage-url private disk0:/private_context1 context1
!! Transfer the anyconnect image in the sub directory.
ciscoasa(config)# copy flash:/anyconnect-win-4.2.01035-k9.pkg flash:/private_context1/context1
Configuraties om de gedeelde opslagruimte te gebruiken
!! Create a directory in the system context.
ciscoasa(config)# mkdir shared
!! Define the directory as shared storage url in the respective contexts.
ciscoasa(config)# context context2 ciscoasa(config-ctx)# storage-url shared disk0:/shared shared
!! Transfer the anyconnect image in the shared directory.
ciscoasa(config)# copy disk0:/anyconnect-win-4.3.05019-k9.pkg disk0:/shared
Controleer de afbeelding onder de respectieve contexten
!! Custom Context 1 configured for private storage.
ciscoasa(config)#changeto context context1
ciscoasa/context1(config)# show context1:
213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg
!! Custom Context 2 configured for shared storage.
ciscoasa(config)#changeto context context2
ciscoasa/context2(config)# show shared:
195 25356342 May 24 2017 08:07:02 shared:/anyconnect-win-4.3.05017-k9.pkg
Stap 6. Hieronder volgt de samenvatting van de configuraties in de systeemcontext die de hierboven beschreven flitsvirtualisatie-configuraties bevat:
context context1
member resource01
allocate-interface GigabitEthernet0/0
storage-url private disk0:/private_context1 context1
config-url disk0:/context1.cfg
join-failover-group 1
!
context context2
member resource02
allocate-interface GigabitEthernet0/1
storage-url shared disk0:/shared shared
config-url disk0:/context2.cfg
join-failover-group 2
Stap 7: De twee aangepaste contexten configureren zoals hieronder weergegeven
!! Enable WebVPN on respective interfaces
webvpn
enable outside
anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
anyconnect enable
tunnel-group-list enable
!! IP pool and username configuration
ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
username cisco password cisco
!! Configure the required connection profile for SSL VPN
access-list split standard permit 192.168.1.0 255.255.255.0
group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
banner value "Welcome to Context1 SSLVPN"
wins-server none
dns-server value 192.168.20.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
group-alias MC_RAVPN_1 enable
!! Enable WebVPN on respective interfaces
webvpn
enable outside
anyconnect image shared:/anyconnect-win-4.3.05017-k9.pkg 1
anyconnect enable
tunnel-group-list enable
!! IP pool and username configuration
ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
username cisco password cisco
!! Configure the required connection profile for SSL VPN
access-list split standard permit 192.168.1.0 255.255.255.0
group-policy GroupPolicy_MC_RAVPN_2 internal
group-policy GroupPolicy_MC_RAVPN_2 attributes
banner value "Welcome to Context2 SSLVPN"
wins-server none
dns-server value 192.168.60.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
!
!
tunnel-group MC_RAVPN_2 type remote-access
tunnel-group MC_RAVPN_2 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_2
tunnel-group MC_RAVPN_2 webvpn-attributes
group-alias MC_RAVPN_2 enable
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
ASA erkent een AnyConnect Apex-licentie niet specifiek, maar handhaaft wel de licentiekenmerken van een Apex-licentie, waaronder:
Er wordt een beveiliging gegenereerd wanneer een verbinding is geblokkeerd omdat er geen AnyConnect Apex-licentie is geïnstalleerd.
! AnyConnect package is available in context1
ciscoasa/context1(config)# show context1:
213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg
ciscoasa/pri/context1/act# show run webvpn
webvpn
enable outside
anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
anyconnect enable
tunnel-group-list enable
Als het beeld niet aanwezig is onder de aangepaste context, raadpleegt u Any-Connect beeldconfiguratie (9.6.2 en hoger).
Tip: Bekijk onderstaande video's op het volledige scherm voor een beter beeld.
!! One Active Connection on Context1
ciscoasa/pri/context1/act# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 5
Assigned IP : 192.168.1.1 Public IP : 10.142.168.102
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Mobile
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 3186 Bytes Rx : 426
Group Policy : GroupPolicy_MC_RAVPN_1 Tunnel Group : MC_RAVPN_1
Login Time : 15:33:25 UTC Thu Dec 3 2015
Duration : 0h:00m:05s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2600005000566060c5
Security Grp : none
!! Changing Context to Context2
ciscoasa/pri/context1/act# changeto context context2
!! One Active Connection on Context2
ciscoasa/pri/context2/act# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 1
Assigned IP : 192.168.51.1 Public IP : 10.142.168.94
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 10550 Bytes Rx : 1836
Group Policy : GroupPolicy_MC_RAVPN_2 Tunnel Group : MC_RAVPN_2
Login Time : 15:34:16 UTC Thu Dec 3 2015
Duration : 0h:00m:17s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2400001000566060f8
Security Grp : none
!! Changing Context to System
ciscoasa/pri/context2/act# changeto system
!! Notice total number of connections are two (for the device)
ciscoasa/pri/act# show vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 10000 : 10000 : NONE
Other VPN (Available by Default) : ENABLED : 10000 : 10000 : NONE
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
Local : Shared : All : Peak : Eff. :
In Use : In Use : In Use : In Use : Limit : Usage
----------------------------------------------------
AnyConnect Premium : 2 : 0 : 2 : 2 : 10000 : 0%
AnyConnect Client : : 2 : 2 : 0%
AnyConnect Mobile : : 2 : 2 : 0%
Other VPN : : 0 : 0 : 10000 : 0%
Site-to-Site VPN : : 0 : 0 : 0%
---------------------------------------------------------------------------
!! Notice the resource usage per Context
ciscoasa/pri/act# show resource usage all resource VPN AnyConnect
Resource Current Peak Limit Denied Context
AnyConnect 1 1 4000 0 context1
AnyConnect 1 1 4000 0 context2
Deze sectie verschaft de informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.
AnyConnect voor probleemoplossing
Tip: Indien ASA Apex License niet heeft geïnstalleerd, wordt AnyConnect-sessie met onderstaande tekst beëindigd:
%ASA-6-72502: Apparaat voltooide SSL-handdruk met client BUITEN:10.142.168.86/51577 tot 10.106.44.38/443 voor TLSv1-sessie
%ASA-6-113012: AAA-gebruikersverificatie geslaagd: lokale databank : gebruiker = cisco
%ASA-6-11309: AAA herwon standaard groepsbeleid (GroupPolicy_MC_RAVPN_1) voor gebruiker = cisco
%ASA-6-11308: AAA-transactiestatus ACCEPTEERT : gebruiker = cisco
%ASA-3-716057: IP-sessie van groepsgebruiker <10.142.168.86> beëindigd, geen AnyConnect Apex-licentie beschikbaar
%ASA-4-113038: IP-groepsgebruiker <10.142.168.86> Kan geen AnyConnect oudersessie maken.
De AnyConnect-afbeelding wordt voor ASA-versies wereldwijd voorafgaand aan 9.6.2 geconfigureerd in de beheercontext (opmerking dat de functie beschikbaar is vanaf 9.5.2) omdat de flash-opslag niet virtueel is en alleen toegankelijk is vanuit de systeemcontext.
Stap 5.1. Kopieer AnyConnect-pakketbestand naar de flitser in de systeemcontext.
Systeemcontext:
ciscoasa(config)# show flash:
195 25356342 May 24 2017 08:07:02 anyconnect-win-4.3.05017-k9.pkg
Stap 5.2. De AnyConnect-afbeelding configureren in de Admin-context.
Context beheren:
webvpn
anyconnect image disk0:/anyconnect-win-4.3.05017-k9.pkg 1
anyconnect enable
Opmerking: AnyConnect-afbeelding kan alleen in de beheercontext worden ingesteld. Alle contexten verwijzen automatisch naar deze mondiale AnyConnect-beeldconfiguratie.
Aangepaste context 1:
!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
interface GigabitEthernet0/0
nameif OUTSIDE
security-level 0
ip address 10.106.44.38 255.255.255.0 standby 10.106.44.39
!! Enable WebVPN on respective interfaces
webvpn
enable OUTSIDE
anyconnect enable
!! IP pool and username configuration
ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
username cisco password cisco
!! Configure the require connection profile for SSL VPN
group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
banner value "Welcome to Context1 SSLVPN"
wins-server none
dns-server value 192.168.20.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
group-alias MC_RAVPN_1 enable
group-url https://10.106.44.38/context1 enable
Aangepaste context 2:
!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
interface GigabitEthernet0/0
nameif OUTSIDE
security-level 0
ip address 10.106.44.36 255.255.255.0 standby 10.106.44.37
!! Enable WebVPN on respective interface
webvpn
enable OUTSIDE
anyconnect enable
!! IP pool and username configuration
ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
username cisco password cisco
!! Configure the require connection profile for SSL VPN
group-policy GroupPolicy_MC_RAVPN_2 internal
group-policy GroupPolicy_MC_RAVPN_2 attributes
banner value "Welcome to Context2 SSLVPN"
wins-server none
dns-server value 192.168.60.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_2 type remote-access
tunnel-group MC_RAVPN_2 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_2
tunnel-group MC_RAVPN_2 webvpn-attributes
group-alias MC_RAVPN_2 enable
group-url https://10.106.44.36/context2 enable
!! AnyConnect package is installed in Admin Context
ciscoasa/pri/admin/act# show run webvpn
webvpn
anyconnect image disk0:/anyconnect-win-3.1.10010-k9.pkg 1
anyconnect enable
ciscoasa/pri/admin/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
CISCO STC win2k+
3,1,10010
Hostscan Version 3.1.10010
Wed 07/22/2015 12:06:07.65
1 AnyConnect Client(s) installed
!! AnyConnect package is available in context1
ciscoasa/pri/admin/act# changeto context context1
ciscoasa/pri/context1/act# show run webvpn
webvpn
enable OUTSIDE
anyconnect enable
tunnel-group-list enable
ciscoasa/pri/context1/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
CISCO STC win2k+
3,1,10010
Hostscan Version 3.1.10010
Wed 07/22/2015 12:06:07.65
1 AnyConnect Client(s) installed