ASA: Multi-Context Mode Remote-Access (AnyConnect) VPN

Downloadopties

  • PDF     (392.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:6 augustus 2020
Document-id:200353

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u de firewall van Virtual Private Network (VPN) van Remote Access (RA) op Cisco adaptieve security applicatie (ASA) in Multiple Context (MC) modus kunt configureren met behulp van de CLI. Het toont Cisco ASA in de meervoudige contextmodus ondersteunde/niet-ondersteunde functies en licentievereisten met betrekking tot RA VPN.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • ASA AnyConnect SSL-configuratie
    • ASA-configuratie met meerdere contexten

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • AnyConnect Secure Mobility-clientversie 4.4.00243
    • Twee ASA 5525 met ASA software versie 9.6(2)

    Opmerking: Download het AnyConnect VPN-clientpakket vanuit Cisco Software Download (alleen geregistreerde klanten).

    Opmerking: De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Achtergrondinformatie

    Multi-context is een vorm van virtualisatie die het mogelijk maakt dat meerdere onafhankelijke kopieën van een applicatie tegelijkertijd op dezelfde hardware draaien, waarbij elke kopie (of virtueel apparaat) wordt weergegeven als een afzonderlijk fysiek apparaat voor de gebruiker. Hierdoor kan één ASA als meerdere ASA’s voor meerdere onafhankelijke gebruikers verschijnen. De ASA-familie heeft virtuele firewalls ondersteund sinds de eerste release; er was echter geen virtualisatieondersteuning voor Remote Access in de ASA. Er is ondersteuning voor VPN LAN2LAN (L2L) voor multi-context toegevoegd voor de 9.0 release.

    Opmerking: Van 9.5.2 multi-context gebaseerde virtualisatieondersteuning voor VPN Remote Access (RA)-verbindingen met de ASA.

    Vanaf 9.6.2 hebben we ondersteuning voor Flash-virtualisatie, wat betekent dat we AnyConnect-afbeelding per context kunnen hebben.

    Functiegeschiedenis voor Multicontext

    Nieuwe functies toegevoegd aan ASA 9.6(2)

    Feature Beschrijving
    Vooraf invullen/gebruikersnaam-vanaf-sleutel voor modus met meerdere contexten

    AnyConnect SSL-ondersteuning is uitgebreid, waardoor pre-fill/username-from-certificate-functie CLI's, die voorheen alleen beschikbaar waren in één modus, ook kunnen worden ingeschakeld in meerdere contextmodus.
    Flash-virtualisatie voor externe toegang tot VPN Externe toegang VPN in meervoudige contextmodus ondersteunt nu flash-virtualisatie. Elke context kan een eigen opslagruimte en een gedeelde opslagplaats hebben op basis van de totale flitser die beschikbaar is.
    Clientprofielen voor AnyConnect ondersteund in multi-context apparaten Clientprofielen voor AnyConnect worden ondersteund op apparaten met meerdere contexten. Als u een nieuw profiel wilt toevoegen met ASDM, moet u beschikken over de AnyConnect Secure Mobility Client release 4.2.00748 of 4.3.03013 en hoger.
    Stateful failover voor AnyConnect-verbindingen in meervoudige contextmodus Stateful failover wordt nu ondersteund voor AnyConnect-verbindingen in meerdere contextmodus.
    Remote Access VPN Dynamic Access Policy (DAP) wordt ondersteund in meerdere contextmodi U kunt nu DAP per context configureren in meervoudige contextmodus.
    Remote Access VPN CoA (wijziging van autorisatie) wordt ondersteund in multi-contextmodus U kunt nu CoA per context in meervoudige contextmodus configureren.
    Remote Access VPN-lokalisatie wordt ondersteund in meerdere contextmodus

    Lokalisatie wordt wereldwijd ondersteund. Er is slechts één verzameling lokalisatiebestanden die over verschillende contexten worden gedeeld.
    Packet-opnameopslag per context wordt ondersteund.

    Het doel van deze functie is om de gebruiker in staat te stellen een opname rechtstreeks van een context naar de externe opslag of naar de context particuliere opslag op flitser te kopiëren. Deze eigenschap laat ook toe om de ruwe opname aan de externe hulpmiddelen van de pakketopname zoals draad-haai van binnen een context te kopiëren. 

    Functies in ASA 9.5(2)

    Feature Beschrijving
    AnyConnect 4.x en hoger (alleen SSL VPN) geen IKEv2-ondersteuning)

    Ondersteuning van multi-context gebaseerde virtualisatie voor VPN Remote Access (RA)-verbindingen met de ASA.

    Gecentraliseerde AnyConnect-beeldconfiguratie
    • Flash-opslag is niet gevirtualiseerd.
    • AnyConnect-afbeelding wordt wereldwijd geconfigureerd in de beheerderscontext en de configuratie is van toepassing op alle contexten

    Image-upgrade voor AnyConnect

    		 Clientprofielen voor AnyConnect worden ondersteund op apparaten met meerdere contexten. Als u een nieuw profiel wilt toevoegen met ASDM, moet u beschikken over de AnyConnect Secure Mobility Client release 4.2.00748 of 4.3.03013 en hoger.
    Context Resource Management voor AnyConnect-verbindingen
    • Configureerbaarheid om maximaal licentiegebruik per context te regelen
    • Configureerbaarheid zodat licentie per context kan worden gebarsten

    Licentie

    • AnyConnect Apex-licentie vereist
    • Essentials-licenties genegeerd/niet toegestaan
    • Configureerbaarheid om maximaal licentiegebruik per context te regelen
    • Configureerbaarheid zodat licentie per context kan worden gebarsten

    Configureren

    Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde gebruikers) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

    Netwerkdiagram

    Opmerking: Meervoudige contexten in dit voorbeeld delen een interface (BUITEN), dan gebruikt de classificator de interface unieke (auto of handmatige) MAC-adressen om pakketten door te sturen. Raadpleeg Hoe de ASA pakketten classificeert voor meer informatie over de classificatie van pakketten in meerdere contexten

    De volgende configuratieprocedure geldt voor ASA 9.6.2 en hoger, waarin een aantal van de beschikbare nieuwe functies wordt geïllustreerd.De verschillen in de configuratieprocedure voor ASA-versies vóór 9.6.2 (en boven 9.5.2) worden gedocumenteerd in Bijlage A van het document.

    De benodigde configuraties in Systeemcontext en Aangepaste contexten voor het instellen van Remote Access VPN worden hieronder beschreven:

    Eerste configuraties in systeemcontext

    Om te beginnen, in System Context configureer failover, VPN bron toewijzing, aangepaste contexten en Apex licentie verificatie. De procedure en configuraties worden in dit hoofdstuk en in de volgende sectie beschreven 

    Stap 1. Configuratie failover.

     !! Active Firewall 

failover
failover lan unit primary
failover lan interface LAN_FAIL GigabitEthernet0/3
failover link LAN_FAIL GigabitEthernet0/3
failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2
failover group 1
failover group 2

 !! Secondary Firewall 

failover
failover lan unit secondary
failover lan interface LAN_FAIL GigabitEthernet0/3
failover link LAN_FAIL GigabitEthernet0/3
failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2
failover group 1
failover group 2

    Stap 2. VPN-bronnen toewijzen.

    Geconfigureren via bestaande klasseconfiguratie. De vergunningen zijn toegestaan op basis van het aantal vergunningen of het percentage van het totaal per context

    Nieuwe resourcetypen geïntroduceerd voor MC RAVPN:

    • VPN AnyConnect Gegarandeerd voor een context en kan niet worden overschreven
    • VPN-burst AnyConnect Laat context extra licenties boven de gegarandeerde limiet toe. Burst pool bestaat uit alle licenties die niet gegarandeerd zijn aan een context en worden toegestaan om een barstende context op basis van wie het eerst komt, het eerst maalt

    VPN-licentiemodel:

    Opmerking: ASA 5585 biedt maximaal 10.000 Cisco AnyConnect-gebruikerssessies en in dit voorbeeld worden 4000 Cisco AnyConnect-gebruikerssessies per context toegewezen.

    class resource02 
      limit-resource VPN AnyConnect 4000
      limit-resource VPN Burst AnyConnect 2000

    class resource01 
      limit-resource VPN AnyConnect 4000
      limit-resource VPN Burst AnyConnect 2000

    Stap 3. Configureren van contexten en toewijzen van resources.

    Opmerking: in dit voorbeeld wordt Gigabit Ethernet0/0 gedeeld in alle context.

      

    admin-context admin
context admin
  allocate-interface GigabitEthernet0/0 
  config-url disk0:/admin

context context1
  member resource01 
  allocate-interface GigabitEthernet0/0 
  allocate-interface GigabitEthernet0/1
  config-url disk0:/context1
  join-failover-group 1

context context2
  member resource02 
  allocate-interface GigabitEthernet0/0 
  allocate-interface GigabitEthernet0/2
  config-url disk0:/context2
  join-failover-group 2

    Stap 4. Controleer dat de Apex-licentie op de ASA is geïnstalleerd. Raadpleeg de onderstaande link voor meer informatie.

    Activeringstoetsen in- of uitschakelen

    Stap 5. Configureer een AnyConnect-beeldpakket. Afhankelijk van welke ASA versie wordt gebruikt, zijn er twee manieren om AnyConnect-afbeelding te laden en te configureren voor RA VPN. Als de versie 9.6.2 en hoger is, kan Flash-virtualisatie worden gebruikt. Zie Bijlage A voor oudere versies dan 9.6.2

    Opmerking: Op 9.6.2 en hoger hebben we ondersteuning voor Flash Virtualization, wat betekent dat we AnyConnect beeld per context kunnen hebben.

    Flash-virtualisatie

    Remote-access VPN vereist flash-opslag voor verschillende configuratie en afbeeldingen zoals AnyConnect-pakketten, hostscan-pakketten, DAP-configuratie, plugins, aanpassing en localisatie, etc. In multi-context modus voor 9.6.2, kunnen gebruikerscontexten geen deel van de flitser en de flitser wordt beheerd en toegankelijk voor de systeembeheerder via de systeemcontext alleen. 

    Om deze beperking op te lossen, met behoud van de veiligheid en privacy van bestanden op de flitser en de mogelijkheid om de flitser eerlijk tussen contexten te delen, wordt een virtueel bestandssysteem voor de flitser in multi-context modus gemaakt. Het doel van deze functie is om AnyConnect-beelden per context te kunnen configureren in plaats van ze globaal te laten configureren. Hierdoor kunnen verschillende gebruikers verschillende AnyConnect-afbeeldingen installeren. Door het delen van AnyConnect-afbeeldingen toe te staan, kan bovendien de hoeveelheid geheugen worden beperkt die door deze afbeeldingen wordt opgenomen. De gedeelde opslag wordt gebruikt om bestanden en pakketten op te slaan die gemeenschappelijk zijn voor alle contexten. 

    Opmerking: De beheerder van de systeemcontext zal volledige lees-schrijftoegang tot de volledige flits en de privé en gedeelde systemen van het opslagdossier blijven hebben.De systeembeheerder zal een folderstructuur moeten tot stand brengen en alle privé dossiers en gedeelde dossiers in verschillende folders organiseren zodat deze gidsen voor contexten kunnen worden gevormd om tot gedeelde opslag en privé opslag respectievelijk toegang te hebben.

    Elke context zal lees/schrijf/schrappingstoestemming aan zijn eigen privé opslag hebben en zal read-only toegang tot zijn gedeelde opslag hebben. Alleen de systeemcontext heeft schrijftoegang tot de gedeelde opslag

    In de onderstaande configuraties wordt Aangepaste context 1 geconfigureerd om particuliere opslag te illustreren en Aangepaste context 2 wordt geconfigureerd om gedeelde opslag te illustreren.

    Particuliere opslag

          U kunt één privé-opslagruimte per context instellen. U kunt lezen/schrijven/verwijderen uit deze map binnen de context (en uit de systeemuitvoeringsruimte). Onder het opgegeven pad maakt de ASA een submap die naar de context is genoemd.

    Bijvoorbeeld, voor context1 als u disk0:/private-storage voor het pad specificeert, dan maakt de ASA een submap voor deze context bij disk0:/private-storage/context1/.

    Gedeelde opslag

           Per context kan één alleen-lezen gedeelde opslagruimte worden gespecificeerd. Om duplicatie van veelvoorkomende grote bestanden die kunnen worden gedeeld tussen alle contexten (zoals AnyConnect-pakketten) te verminderen, kan gedeelde opslagruimte worden gebruikt.


    Configuraties voor gebruik van de privé-opslagruimte

    !! Create a directory in the system context.
    ciscoasa(config)# mkdir private_context1

    !! Define the directory as private storage url in the respective context.

    ciscoasa(config)# context context1
ciscoasa(config-ctx)# storage-url private disk0:/private_context1 context1 

    !! Transfer the anyconnect image in the sub directory.
    ciscoasa(config)# copy flash:/anyconnect-win-4.2.01035-k9.pkg flash:/private_context1/context1

    Configuraties voor gebruik van de gedeelde opslagruimte

    !! Create a directory in the system context.

    ciscoasa(config)# mkdir shared

    !! Define the directory as shared storage url in the respective contexts.

    ciscoasa(config)# context context2
ciscoasa(config-ctx)# storage-url shared disk0:/shared shared 

    !! Transfer the anyconnect image in the shared directory.
    ciscoasa(config)# copy disk0:/anyconnect-win-4.3.05019-k9.pkg disk0:/shared 

    Controleer het beeld onder de respectievelijke contexten

    !! Custom Context 1 configured for private storage.

    ciscoasa(config)#changeto context context1
    ciscoasa/context1(config)# show context1:
    213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg

    !! Custom Context 2  configured for shared storage.

    ciscoasa(config)#changeto context context2
    ciscoasa/context2(config)# show shared:
    195 25356342 May 24 2017 08:07:02 shared:/anyconnect-win-4.3.05017-k9.pkg

    Stap 6. Hieronder is de samenvatting van de configuraties in de systeemcontext die de hierboven beschreven flash-virtualisatieconfiguraties omvat:

    Systeemcontext

    context context1
     member resource01
     allocate-interface GigabitEthernet0/0
     storage-url private disk0:/private_context1 context1
     config-url disk0:/context1.cfg
     join-failover-group 1
    ! 
    context context2
     member resource02
     allocate-interface GigabitEthernet0/1
     storage-url shared disk0:/shared shared
     config-url disk0:/context2.cfg
     join-failover-group 2

    Stap 7: Configureer de twee aangepaste contexten zoals hieronder wordt getoond

    Aangepaste context 1

    !! Enable WebVPN on respective interfaces 

     webvpn
     enable outside
     anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1 
     anyconnect enable
     tunnel-group-list enable
     
    !! IP pool and username configuration 

    ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
    username cisco password cisco 
     
    !! Configure the required connection profile for SSL VPN 

    access-list split standard permit 192.168.1.0 255.255.255.0

    group-policy GroupPolicy_MC_RAVPN_1 internal
    group-policy GroupPolicy_MC_RAVPN_1 attributes
     banner value "Welcome to Context1 SSLVPN"
     wins-server none
     dns-server value 192.168.20.10
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelspecified
     split-tunnel-network-list value split
     default-domain value cisco.com

    tunnel-group MC_RAVPN_1 type remote-access
    tunnel-group MC_RAVPN_1 general-attributes
     address-pool mypool
     default-group-policy GroupPolicy_MC_RAVPN_1
    tunnel-group MC_RAVPN_1 webvpn-attributes
     group-alias MC_RAVPN_1 enable

    Aangepaste context 2

    !! Enable WebVPN on respective interfaces 

     webvpn
     enable outside
     anyconnect image shared:/anyconnect-win-4.3.05017-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable
     
    !! IP pool and username configuration

     ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
     username cisco password cisco 
     
    !! Configure the required connection profile for SSL VPN 

     access-list split standard permit 192.168.1.0 255.255.255.0
     
     group-policy GroupPolicy_MC_RAVPN_2 internal
     group-policy GroupPolicy_MC_RAVPN_2 attributes
     banner value "Welcome to Context2 SSLVPN"
     wins-server none
     dns-server value 192.168.60.10
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelspecified
     split-tunnel-network-list value split
     default-domain value cisco.com
     !
     !
     tunnel-group MC_RAVPN_2 type remote-access
     tunnel-group MC_RAVPN_2 general-attributes
     address-pool mypool
     default-group-policy GroupPolicy_MC_RAVPN_2
     tunnel-group MC_RAVPN_2 webvpn-attributes
     group-alias MC_RAVPN_2 enable

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt. 

    Controleer of de Apex-licentie is geïnstalleerd

    ASA erkent een AnyConnect Apex-licentie niet specifiek, maar dwingt licentiekarakteristieken van een Apex-licentie af, waaronder:

    • AnyConnect Premium waarvoor een licentie is verleend tot de limieten van het platform
    • AnyConnect voor mobiel
    • AnyConnect voor Cisco VPN-telefoon
    • Geavanceerde endpointbeoordeling

    Er wordt een syslog gegenereerd wanneer een verbinding wordt geblokkeerd omdat een AnyConnect Apex-licentie niet is geïnstalleerd.

    Controleer of AnyConnect-pakket beschikbaar is in aangepaste contexten (9.6.2 en hoger)

    ! AnyConnect package is available in context1 

     ciscoasa/context1(config)# show context1:

    213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg

    ciscoasa/pri/context1/act# show run webvpn
    webvpn
     enable outside
     anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable

    Als de afbeelding niet aanwezig is onder de aangepaste context, raadpleegt u AnyConnect-beeldconfiguratie (9.6.2 en hoger).

    Controleer of gebruikers via AnyConnect verbinding kunnen maken met aangepaste contexten

    Tip: voor een betere weergave kijken onder video's in het volledige scherm.

      

    !! One Active Connection on Context1 

    ciscoasa/pri/context1/act# show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username : cisco Index : 5
    Assigned IP : 192.168.1.1 Public IP : 10.142.168.102
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium, AnyConnect for Mobile
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
    Bytes Tx : 3186 Bytes Rx : 426
    Group Policy : GroupPolicy_MC_RAVPN_1 Tunnel Group : MC_RAVPN_1
    Login Time : 15:33:25 UTC Thu Dec 3 2015
    Duration : 0h:00m:05s
    Inactivity : 0h:00m:00s
    VLAN Mapping : N/A VLAN : none
    Audt Sess ID : 0a6a2c2600005000566060c5
    Security Grp : none

     !! Changing Context to Context2 

    ciscoasa/pri/context1/act# changeto context context2

     !! One Active Connection on Context2 

    ciscoasa/pri/context2/act# show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username : cisco Index : 1
    Assigned IP : 192.168.51.1 Public IP : 10.142.168.94
    Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License : AnyConnect Premium
    Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
    Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
    Bytes Tx : 10550 Bytes Rx : 1836
    Group Policy : GroupPolicy_MC_RAVPN_2 Tunnel Group : MC_RAVPN_2
    Login Time : 15:34:16 UTC Thu Dec 3 2015
    Duration : 0h:00m:17s
    Inactivity : 0h:00m:00s
    VLAN Mapping : N/A VLAN : none
    Audt Sess ID : 0a6a2c2400001000566060f8
    Security Grp : none

     !! Changing Context to System 

    ciscoasa/pri/context2/act# changeto system

     !! Notice total number of connections are two (for the device) 

    ciscoasa/pri/act# show vpn-sessiondb license-summary
    ---------------------------------------------------------------------------
    VPN Licenses and Configured Limits Summary
    ---------------------------------------------------------------------------
     Status : Capacity : Installed : Limit
     -----------------------------------------
    AnyConnect Premium : ENABLED : 10000 : 10000 : NONE
    Other VPN (Available by Default) : ENABLED : 10000 : 10000 : NONE
    AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
    Advanced Endpoint Assessment : ENABLED(Requires Premium)
    AnyConnect for Cisco VPN Phone : ENABLED
    VPN-3DES-AES : ENABLED
    VPN-DES : ENABLED
    ---------------------------------------------------------------------------

    ---------------------------------------------------------------------------
    VPN Licenses Usage Summary
    ---------------------------------------------------------------------------
     Local : Shared : All : Peak : Eff. :
     In Use : In Use : In Use : In Use : Limit : Usage
     ----------------------------------------------------
    AnyConnect Premium : 2 : 0 : 2 : 2 : 10000 : 0%
     AnyConnect Client : : 2 : 2 : 0%
     AnyConnect Mobile : : 2 : 2 : 0%
    Other VPN : : 0 : 0 : 10000 : 0%
     Site-to-Site VPN : : 0 : 0 : 0%
    ---------------------------------------------------------------------------

     !! Notice the resource usage per Context 

    ciscoasa/pri/act# show resource usage all resource VPN AnyConnect
    Resource Current Peak Limit Denied Context
    AnyConnect 1 1 4000 0 context1
    AnyConnect 1 1 4000 0 context2

    Problemen oplossen

    Deze sectie bevat informatie voor het troubleshooten van de configuratie.

    Probleemoplossing voor AnyConnect

    Tip: Als ASA geen Apex-licentie heeft geïnstalleerd, wordt de AnyConnect-sessie afgesloten met onderstaande syslog:

    %ASA-6-725002: Apparaat voltooide SSL-handdruk met client BUITEN:10.142.168.86/51577 naar 10.106.44.38/443 voor TLSv1-sessie
    %ASA-6-113012: AAA-gebruikersverificatie geslaagd: lokale gegevensbank : gebruiker = cisco
    %ASA-6-113009: AAA opgehaald standaardgroepsbeleid (GroupPolicy_MC_RAVPN_1) voor gebruiker = cisco
    %ASA-6-113008: AAA-transactiestatus ACCEPTEREN: gebruiker = cisco
    %ASA-3-716057: IP van groepsgebruiker <10.142.168.86> Sessie afgesloten, geen AnyConnect Apex-licentie beschikbaar
    %ASA-4-113038: IP van groepsgebruiker <10.142.168.86> Kan geen AnyConnect-oudersessie maken.

    Bijlage A - AnyConnect-beeldconfiguratie voor versies vóór 9.6.2

    Het AnyConnect-beeld wordt voor ASA-versies vóór 9.6.2 globaal geconfigureerd in de beheercontext (let op dat de functie beschikbaar is vanaf 9.5.2) omdat de flitsopslag niet is gevirtualiseerd en alleen toegankelijk is vanuit de systeemcontext.

    Stap 5.1. Kopieer AnyConnect-pakketbestand naar de flitser in de systeemcontext.

    Systeemcontext:

    ciscoasa(config)# show flash:

    195 25356342 May 24 2017 08:07:02 anyconnect-win-4.3.05017-k9.pkg

    Stap 5.2. De AnyConnect-afbeelding configureren in de Admin-context.

    Admin-context:

    webvpn
     anyconnect image disk0:/anyconnect-win-4.3.05017-k9.pkg 1
     anyconnect enable

    Opmerking: AnyConnect-afbeelding kan alleen in de beheercontext worden geconfigureerd. Alle contexten verwijzen automatisch naar deze algemene AnyConnect-beeldconfiguratie.

    Aangepaste context 1:

     !! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
     
     interface GigabitEthernet0/0
     nameif OUTSIDE 
     security-level 0
     ip address 10.106.44.38 255.255.255.0 standby 10.106.44.39 

    !! Enable WebVPN on respective interfaces 

    webvpn
     enable OUTSIDE
     anyconnect enable

     !! IP pool and username configuration 

    ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0

    username cisco password cisco 

     !! Configure the require connection profile for SSL VPN 
     
    group-policy GroupPolicy_MC_RAVPN_1 internal
    group-policy GroupPolicy_MC_RAVPN_1 attributes
     banner value "Welcome to Context1 SSLVPN"
     wins-server none
     dns-server value 192.168.20.10
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelspecified
     split-tunnel-network-list value split
     default-domain value cisco.com

    tunnel-group MC_RAVPN_1 type remote-access
    tunnel-group MC_RAVPN_1 general-attributes
     address-pool mypool
     default-group-policy GroupPolicy_MC_RAVPN_1
    tunnel-group MC_RAVPN_1 webvpn-attributes
     group-alias MC_RAVPN_1 enable
     group-url https://10.106.44.38/context1 enable

    Aangepaste context 2:

    !! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)

    interface GigabitEthernet0/0 
     nameif OUTSIDE 
     security-level 0 
     ip address 10.106.44.36 255.255.255.0 standby 10.106.44.37 

    !! Enable WebVPN on respective interface 

    webvpn
     enable OUTSIDE
     anyconnect enable

     !! IP pool and username configuration 

    ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0

    username cisco password cisco

     !! Configure the require connection profile for SSL VPN 
     
    group-policy GroupPolicy_MC_RAVPN_2 internal
    group-policy GroupPolicy_MC_RAVPN_2 attributes
     banner value "Welcome to Context2 SSLVPN"
     wins-server none
     dns-server value 192.168.60.10
     vpn-tunnel-protocol ssl-client
     split-tunnel-policy tunnelspecified
     split-tunnel-network-list value split
     default-domain value cisco.com

    tunnel-group MC_RAVPN_2 type remote-access
    tunnel-group MC_RAVPN_2 general-attributes
     address-pool mypool
     default-group-policy GroupPolicy_MC_RAVPN_2
    tunnel-group MC_RAVPN_2 webvpn-attributes
     group-alias MC_RAVPN_2 enable
     group-url https://10.106.44.36/context2 enable

    Controleer of AnyConnect-pakket is geïnstalleerd in de Admin-context en beschikbaar is in aangepaste contexten (vóór 9.6.2)

    !! AnyConnect package is installed in Admin Context 

    ciscoasa/pri/admin/act# show run webvpn
    webvpn
     anyconnect image disk0:/anyconnect-win-3.1.10010-k9.pkg 1
     anyconnect enable

    ciscoasa/pri/admin/act# show webvpn anyconnect
    1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
     CISCO STC win2k+
     3,1,10010
     Hostscan Version 3.1.10010
     Wed 07/22/2015 12:06:07.65

    1 AnyConnect Client(s) installed

     !! AnyConnect package is available in context1 

    ciscoasa/pri/admin/act# changeto context context1

    ciscoasa/pri/context1/act# show run webvpn
    webvpn
     enable OUTSIDE
     anyconnect enable
     tunnel-group-list enable

    ciscoasa/pri/context1/act# show webvpn anyconnect
    1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
     CISCO STC win2k+
     3,1,10010
     Hostscan Version 3.1.10010
     Wed 07/22/2015 12:06:07.65

    1 AnyConnect Client(s) installed 

    Referenties

    Releaseopmerkingen: 9.5(2)

    Releaseopmerkingen: 9.6(2)

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    11-Feb-2016
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Gemaakt door Adesh Gairola
      Cisco TAC Engineer
    • Gemaakt door Monal Mahajan
      Cisco TAC Engineer
    • Bewerkt door Cesar Lopez Zamarripa
      Security technische leider

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten