ASA: VPN de acesso remoto (AnyConnect) do modo multicontexto
Introdução
Este documento descreve como configurar a Rede Virtual Privada (VPN - Virtual Private Network) de Acesso Remoto (RA - Remote Access) no firewall do Cisco Adaptive Security Appliance (ASA) no modo de contexto múltiplo (MC - Multiple Context) usando a CLI. Ele mostra o Cisco ASA em recursos suportados/não suportados no modo de contexto múltiplo e requisito de licenciamento com relação ao RA VPN.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Configuração SSL do ASA AnyConnect
- Configuração de contexto múltiplo ASA
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- AnyConnect Secure Mobility Client versão 4.4.00243
- Dois ASA5525 com software ASA versão 9.6(2)
Informações de Apoio
O multicontexto é uma forma de virtualização que permite que várias cópias independentes de um aplicativo sejam executadas simultaneamente no mesmo hardware, com cada cópia (ou dispositivo virtual) aparecendo como um dispositivo físico separado para o usuário. Isso permite que um único ASA apareça como vários ASAs para vários usuários independentes. A família ASA oferece suporte a firewalls virtuais desde sua versão inicial; no entanto, não havia suporte à virtualização para acesso remoto no ASA. O suporte de LAN2LAN (L2L) de VPN para multicontexto foi adicionado à versão 9.0.
Histórico de Recursos para Multicontexto
Novos recursos adicionados ao ASA 9.6(2)
| Recurso | Descrição |
| Recurso de pré-preenchimento/nome de usuário do certificado para modo de contexto múltiplo | O suporte ao AnyConnect SSL é estendido, permitindo que as CLIs de recursos de pré-preenchimento/nome de usuário do certificado, anteriormente disponíveis apenas em modo único, também sejam habilitadas em modo de contexto múltiplo. |
| Virtualização em Flash para VPN de Acesso Remoto | A VPN de acesso remoto no modo de contexto múltiplo agora suporta a virtualização em flash. Cada contexto pode ter um espaço de armazenamento privado e um local de armazenamento compartilhado com base na memória flash total disponível. |
| Perfis de cliente do AnyConnect suportados em dispositivos de vários contextos | Os perfis de cliente do AnyConnect são suportados em dispositivos multicontextuais. Para adicionar um novo perfil usando o ASDM, você deve ter o AnyConnect Secure Mobility Client versão 4.2.00748 ou 4.3.03013 e posterior. |
| Failover stateful para conexões do AnyConnect no modo de contexto múltiplo | O failover stateful agora é compatível com as conexões do AnyConnect no modo de contexto múltiplo. |
| A Política de Acesso Dinâmico (DAP) da VPN de Acesso Remoto é suportada no modo de contexto múltiplo | Agora é possível configurar o DAP por contexto no modo de contexto múltiplo. |
| O CoA da VPN de acesso remoto (Alteração de autorização) é suportado no modo de contexto múltiplo | Agora você pode configurar CoA por contexto no modo de contexto múltiplo. |
| A localização da VPN de acesso remoto é suportada no modo de contexto múltiplo | A localização tem suporte global. Há apenas um conjunto de arquivos de localização que são compartilhados em contextos diferentes. |
| O armazenamento de captura de pacotes por contexto é suportado. | A finalidade desse recurso é permitir que o usuário copie uma captura diretamente de um contexto para o armazenamento externo ou para o armazenamento privado de contexto na memória flash. Esse recurso também permite copiar a captura bruta para as ferramentas externas de captura de pacotes, como o tubarão-fio, de dentro de um contexto. |
Recursos do ASA 9.5(2)
| Recurso | Descrição |
| AnyConnect 4.x e posterior (somente VPN SSL; sem suporte para IKEv2) | Suporte à virtualização baseada em vários contextos para conexões de acesso remoto (RA) VPN para o ASA. |
| Configuração de imagem centralizada do AnyConnect |
|
| Atualização de imagem do AnyConnect |
Os perfis de cliente do AnyConnect são suportados em dispositivos multicontextuais. Para adicionar um novo perfil usando o ASDM, você deve ter o AnyConnect Secure Mobility Client versão 4.2.00748 ou 4.3.03013 e posterior. |
| Gerenciamento de recursos de contexto para conexões do AnyConnect |
|
Licenciamento
- É necessária uma licença Apex do AnyConnect
- Licenças do Essentials ignoradas/não permitidas
- Capacidade de configuração para controlar o uso máximo de licenças por contexto
- Capacidade de configuração para permitir intermitência de licença por contexto
Configurar
Diagrama de Rede
O procedimento de configuração a seguir é com o ASA 9.6.2 versão e posterior, que ilustra alguns dos novos recursos disponíveis.As diferenças no procedimento de configuração para as versões do ASA anteriores à 9.6.2 (e posteriores à 9.5.2) estão documentadas no Apêndice A do documento.
As configurações necessárias no contexto do sistema e nos contextos personalizados para configurar a VPN de acesso remoto estão descritas abaixo:
Configurações iniciais no contexto do sistema
Para começar, no Contexto do sistema configure o failover, a alocação de recursos VPN, os contextos personalizados e a verificação de licença Apex. O procedimento e as configurações são descritos nesta seção e na próxima seção
Etapa 1. Configuração de Failover.
!! Active Firewall failover failover lan unit primary failover lan interface LAN_FAIL GigabitEthernet0/3 failover link LAN_FAIL GigabitEthernet0/3 failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover group 1 failover group 2 !! Secondary Firewall failover failover lan unit secondary failover lan interface LAN_FAIL GigabitEthernet0/3 failover link LAN_FAIL GigabitEthernet0/3 failover interface ip LAN_FAIL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover group 1 failover group 2
Etapa 2. Alocar recurso de VPN.
Configurado através da configuração de classe existente. As licenças são permitidas pelo número de licenças ou % do total por contexto
Novos tipos de recursos introduzidos para MC RAVPN:
- VPN AnyConnect: Garantido para um contexto e não pode ter excesso de assinaturas
- VPN Burst AnyConnect: Permitir licenças extras de contexto além do limite garantido. O conjunto de intermitência consiste em todas as licenças não garantidas para um contexto e são permitidas para um contexto de intermitência em uma base de primeiro a chegar, primeiro a usar
Modelo de provisionamento de licença de VPN:
class resource02
limit-resource VPN AnyConnect 4000
limit-resource VPN Burst AnyConnect 2000
class resource01
limit-resource VPN AnyConnect 4000
limit-resource VPN Burst AnyConnect 2000
Etapa 3. Configure contextos e atribua recursos.
admin-context admin context admin allocate-interface GigabitEthernet0/0 config-url disk0:/admin context context1 member resource01 allocate-interface GigabitEthernet0/0 allocate-interface GigabitEthernet0/1 config-url disk0:/context1 join-failover-group 1 context context2 member resource02 allocate-interface GigabitEthernet0/0 allocate-interface GigabitEthernet0/2 config-url disk0:/context2 join-failover-group 2
Etapa 4. Verifique se a licença Apex está instalada no ASA, consulte o link abaixo para obter mais detalhes.
Ativando ou desativando chaves de ativação
Etapa 5. Configurar um pacote de imagem do Anyconnect. Dependendo da versão do ASA que está sendo usada, há duas maneiras de carregar a imagem do Anyconnect e configurar o RA VPN. Se a versão for 9.6.2 e superior, a virtualização Flash pode ser usada. Para versões anteriores à 9.6.2, consulte o Apêndice A
Virtualização em Flash
A VPN de acesso remoto requer armazenamento em flash para várias configurações e imagens, como pacotes AnyConnect, pacotes de verificação de host, configuração DAP, plug-ins, personalização e localização, etc. No modo de contexto múltiplo anterior à versão 9.6.2, os contextos de usuário não podem acessar nenhuma parte da memória flash e a memória flash é gerenciada e acessível ao administrador do sistema somente através do contexto do sistema.
Para resolver essa limitação, enquanto mantém a segurança e a privacidade dos arquivos na memória flash, além de poder compartilhar a memória flash de forma justa entre contextos, um sistema de arquivos virtual é criado para a memória flash no modo multicontexto. A finalidade desse recurso é permitir que as imagens do AnyConnect sejam configuradas em uma base por contexto, em vez de configurá-las globalmente. Isso permite que diferentes usuários tenham diferentes imagens do AnyConnect instaladas. Além disso, ao permitir que as imagens do AnyConnect sejam compartilhadas, a quantidade de memória consumida por essas imagens pode ser reduzida. O armazenamento compartilhado é usado para armazenar arquivos e pacotes que são comuns a todos os contextos.
Cada contexto terá permissão de leitura/gravação/exclusão para seu próprio armazenamento privado e terá acesso somente leitura a seu armazenamento compartilhado. Somente o contexto do sistema terá acesso de gravação ao armazenamento compartilhado.
Nas configurações abaixo, o Contexto Personalizado 1 será configurado para ilustrar o armazenamento privado e o Contexto Personalizado 2 será configurado para ilustrar o armazenamento compartilhado.
Armazenamento privado
Você pode especificar um espaço de armazenamento privado por contexto. Você pode ler/gravar/excluir desse diretório dentro do contexto (assim como do espaço de execução do sistema). No caminho especificado, o ASA cria um subdiretório com o nome do contexto.
Por exemplo, para context1, se você especificar disk0:/private-storage para o caminho, o ASA criará um subdiretório para esse contexto em disk0:/private-storage/context1/.
Armazenamento compartilhado
Um espaço de armazenamento compartilhado somente leitura pode ser especificado por contexto. Para reduzir a duplicação de arquivos grandes comuns que podem ser compartilhados entre todos os contextos (como pacotes do AnyConnect), o espaço de armazenamento compartilhado pode ser usado.
Configurações para usar o espaço de armazenamento privado
!! Create a directory in the system context.
ciscoasa(config)# mkdir private_context1
!! Define the directory as private storage url in the respective context.
ciscoasa(config)# context context1 ciscoasa(config-ctx)# storage-url private disk0:/private_context1 context1
!! Transfer the anyconnect image in the sub directory.
ciscoasa(config)# copy flash:/anyconnect-win-4.2.01035-k9.pkg flash:/private_context1/context1
Configurações para usar o espaço de armazenamento compartilhado
!! Create a directory in the system context.
ciscoasa(config)# mkdir shared
!! Define the directory as shared storage url in the respective contexts.
ciscoasa(config)# context context2 ciscoasa(config-ctx)# storage-url shared disk0:/shared shared
!! Transfer the anyconnect image in the shared directory.
ciscoasa(config)# copy disk0:/anyconnect-win-4.3.05019-k9.pkg disk0:/shared
Verificar a imagem sob os respectivos contextos
!! Custom Context 1 configured for private storage.
ciscoasa(config)#changeto context context1
ciscoasa/context1(config)# show context1:
213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg
!! Custom Context 2 configured for shared storage.
ciscoasa(config)#changeto context context2
ciscoasa/context2(config)# show shared:
195 25356342 May 24 2017 08:07:02 shared:/anyconnect-win-4.3.05017-k9.pkg
Etapa 6. Abaixo está o resumo das configurações no Contexto do sistema que inclui as configurações de virtualização da flash descritas acima:
Contexto do sistema
context context1
member resource01
allocate-interface GigabitEthernet0/0
storage-url private disk0:/private_context1 context1
config-url disk0:/context1.cfg
join-failover-group 1
!
context context2
member resource02
allocate-interface GigabitEthernet0/1
storage-url shared disk0:/shared shared
config-url disk0:/context2.cfg
join-failover-group 2
Passo 7: Configure os dois contextos personalizados conforme mostrado abaixo
Contexto Personalizado 1
!! Enable WebVPN on respective interfaces
webvpn
enable outside
anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
anyconnect enable
tunnel-group-list enable
!! IP pool and username configuration
ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
username cisco password cisco
!! Configure the required connection profile for SSL VPN
access-list split standard permit 192.168.1.0 255.255.255.0
group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
banner value "Welcome to Context1 SSLVPN"
wins-server none
dns-server value 192.168.20.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
group-alias MC_RAVPN_1 enable
Contexto Personalizado 2
!! Enable WebVPN on respective interfaces
webvpn
enable outside
anyconnect image shared:/anyconnect-win-4.3.05017-k9.pkg 1
anyconnect enable
tunnel-group-list enable
!! IP pool and username configuration
ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
username cisco password cisco
!! Configure the required connection profile for SSL VPN
access-list split standard permit 192.168.1.0 255.255.255.0
group-policy GroupPolicy_MC_RAVPN_2 internal
group-policy GroupPolicy_MC_RAVPN_2 attributes
banner value "Welcome to Context2 SSLVPN"
wins-server none
dns-server value 192.168.60.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
!
!
tunnel-group MC_RAVPN_2 type remote-access
tunnel-group MC_RAVPN_2 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_2
tunnel-group MC_RAVPN_2 webvpn-attributes
group-alias MC_RAVPN_2 enable
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
Verifique se a licença Apex está instalada
O ASA não reconhece especificamente uma licença Apex do AnyConnect, mas aplica características de licença de uma licença Apex que incluem:
- AnyConnect Premium licenciado para o limite da plataforma
- AnyConnect para celular
- AnyConnect para telefone Cisco VPN
- Avaliação avançada de endpoints
Um syslog será gerado quando uma conexão for bloqueada porque uma licença Apex do AnyConnect não está instalada.
Verifique se o pacote do AnyConnect está disponível em contextos personalizados (9.6.2 e posterior)
! AnyConnect package is available in context1
ciscoasa/context1(config)# show context1:
213 19183882 Jun 12 2017 13:29:51 context1:/anyconnect-win-4.2.01035-k9.pkg
ciscoasa/pri/context1/act# show run webvpn
webvpn
enable outside
anyconnect image context1:/anyconnect-win-4.2.01035-k9.pkg 1
anyconnect enable
tunnel-group-list enable
Caso a imagem não esteja presente no contexto personalizado, consulte Configuração de imagem do Anyconnect (9.6.2 e posteriores).
Verificar se os usuários podem se conectar via AnyConnect em contextos personalizados
!! One Active Connection on Context1
ciscoasa/pri/context1/act# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 5
Assigned IP : 192.168.1.1 Public IP : 10.142.168.102
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Mobile
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 3186 Bytes Rx : 426
Group Policy : GroupPolicy_MC_RAVPN_1 Tunnel Group : MC_RAVPN_1
Login Time : 15:33:25 UTC Thu Dec 3 2015
Duration : 0h:00m:05s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2600005000566060c5
Security Grp : none
!! Changing Context to Context2
ciscoasa/pri/context1/act# changeto context context2
!! One Active Connection on Context2
ciscoasa/pri/context2/act# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 1
Assigned IP : 192.168.51.1 Public IP : 10.142.168.94
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 10550 Bytes Rx : 1836
Group Policy : GroupPolicy_MC_RAVPN_2 Tunnel Group : MC_RAVPN_2
Login Time : 15:34:16 UTC Thu Dec 3 2015
Duration : 0h:00m:17s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a6a2c2400001000566060f8
Security Grp : none
!! Changing Context to System
ciscoasa/pri/context2/act# changeto system
!! Notice total number of connections are two (for the device)
ciscoasa/pri/act# show vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 10000 : 10000 : NONE
Other VPN (Available by Default) : ENABLED : 10000 : 10000 : NONE
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------
---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
Local : Shared : All : Peak : Eff. :
In Use : In Use : In Use : In Use : Limit : Usage
----------------------------------------------------
AnyConnect Premium : 2 : 0 : 2 : 2 : 10000 : 0%
AnyConnect Client : : 2 : 2 : 0%
AnyConnect Mobile : : 2 : 2 : 0%
Other VPN : : 0 : 0 : 10000 : 0%
Site-to-Site VPN : : 0 : 0 : 0%
---------------------------------------------------------------------------
!! Notice the resource usage per Context
ciscoasa/pri/act# show resource usage all resource VPN AnyConnect
Resource Current Peak Limit Denied Context
AnyConnect 1 1 4000 0 context1
AnyConnect 1 1 4000 0 context2
Troubleshooting
Esta seção fornece as informações que você pode usar para solucionar problemas da sua configuração.
Solução de problemas do AnyConnect
Apêndice A - Configuração de imagem do Anyconnect para versões anteriores à 9.6.2
A imagem do AnyConnect é configurada globalmente no contexto administrativo para as versões do ASA anteriores à 9.6.2 (observe que o recurso está disponível a partir da 9.5.2) porque o armazenamento em flash não é virtualizado e só é acessível a partir do contexto do sistema.
Etapa 5.1. Copie o arquivo do pacote do AnyConnect para a memória flash no contexto do sistema.
Contexto do sistema:
ciscoasa(config)# show flash:
195 25356342 May 24 2017 08:07:02 anyconnect-win-4.3.05017-k9.pkg
Etapa 5.2. Configurar a imagem do Anyconnect no contexto Admin.
Contexto de administração:
webvpn
anyconnect image disk0:/anyconnect-win-4.3.05017-k9.pkg 1
anyconnect enable
Note: A imagem do Anyconnect pode ser configurada somente no contexto do administrador. Todos os contextos se referem automaticamente a essa configuração de imagem global do Anyconnect.
Contexto Personalizado 1:
!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
interface GigabitEthernet0/0
nameif OUTSIDE
security-level 0
ip address 10.106.44.38 255.255.255.0 standby 10.106.44.39
!! Enable WebVPN on respective interfaces
webvpn
enable OUTSIDE
anyconnect enable
!! IP pool and username configuration
ip local pool mypool 192.168.1.1-192.168.50.1 mask 255.255.0.0
username cisco password cisco
!! Configure the require connection profile for SSL VPN
group-policy GroupPolicy_MC_RAVPN_1 internal
group-policy GroupPolicy_MC_RAVPN_1 attributes
banner value "Welcome to Context1 SSLVPN"
wins-server none
dns-server value 192.168.20.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_1 type remote-access
tunnel-group MC_RAVPN_1 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_1
tunnel-group MC_RAVPN_1 webvpn-attributes
group-alias MC_RAVPN_1 enable
group-url https://10.106.44.38/context1 enable
Contexto Personalizado 2:
!! Shared interface configuration - OUTSIDE (GigabitEthernet0/0)
interface GigabitEthernet0/0
nameif OUTSIDE
security-level 0
ip address 10.106.44.36 255.255.255.0 standby 10.106.44.37
!! Enable WebVPN on respective interface
webvpn
enable OUTSIDE
anyconnect enable
!! IP pool and username configuration
ip local pool mypool 192.168.51.1-192.168.101.1 mask 255.255.0.0
username cisco password cisco
!! Configure the require connection profile for SSL VPN
group-policy GroupPolicy_MC_RAVPN_2 internal
group-policy GroupPolicy_MC_RAVPN_2 attributes
banner value "Welcome to Context2 SSLVPN"
wins-server none
dns-server value 192.168.60.10
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value cisco.com
tunnel-group MC_RAVPN_2 type remote-access
tunnel-group MC_RAVPN_2 general-attributes
address-pool mypool
default-group-policy GroupPolicy_MC_RAVPN_2
tunnel-group MC_RAVPN_2 webvpn-attributes
group-alias MC_RAVPN_2 enable
group-url https://10.106.44.36/context2 enable
Verifique se o pacote do AnyConnect está instalado no contexto administrativo e disponível em contextos personalizados (antes da 9.6.2)
!! AnyConnect package is installed in Admin Context
ciscoasa/pri/admin/act# show run webvpn
webvpn
anyconnect image disk0:/anyconnect-win-3.1.10010-k9.pkg 1
anyconnect enable
ciscoasa/pri/admin/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
CISCO STC win2k+
3,1,10010
Hostscan Version 3.1.10010
Wed 07/22/2015 12:06:07.65
1 AnyConnect Client(s) installed
!! AnyConnect package is available in context1
ciscoasa/pri/admin/act# changeto context context1
ciscoasa/pri/context1/act# show run webvpn
webvpn
enable OUTSIDE
anyconnect enable
tunnel-group-list enable
ciscoasa/pri/context1/act# show webvpn anyconnect
1. disk0:/anyconnect-win-3.1.10010-k9.pkg 1 dyn-regex=/Windows NT/
CISCO STC win2k+
3,1,10010
Hostscan Version 3.1.10010
Wed 07/22/2015 12:06:07.65
1 AnyConnect Client(s) installed
Referências
Informações Relacionadas
- Dispositivos de segurança adaptáveis Cisco ASA 5500 Series
- Guia de solução de problemas do cliente AnyConnect VPN - Problemas comuns
- Gerenciamento, monitoramento e solução de problemas de sessões do AnyConnect
- Suporte Técnico e Documentação - Cisco Systems
- https://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/asa_new_features.pdf
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
11-Feb-2016 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)