在由FMC管理的FTD上配置AnyConnect动态拆分隧道

已更新: 2024 年 6 月 10 日
文档 ID:220247

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在由Firepower管理中心管理的Firepower威胁防御(FTD)上配置AnyConnect动态拆分隧道。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 思科AnyConnect
    • Firepower管理中心(FMC)基础知识

    使用的组件

    本文档中的信息基于以下软件版本:

    • FMC版本7.0
    • FTD版本7.0

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    由FMC管理的FTD上的AnyConnect动态拆分隧道配置在FMC版本7.0及更高版本上完全可用。如果运行的是旧版本,则需要按照高级AnyConnect VPN部署(面向带有FMC的Firepower威胁防御)中的说明通过FlexConfig进行配置。

    使用动态拆分隧道配置,您可以根据DNS域名微调拆分隧道配置。由于与完全限定域名(FQDN)相关联的IP地址可以更改,因此基于DNS名称的分割隧道配置可更动态地定义哪些流量是/不是包括在远程访问虚拟专用网络(VPN)隧道中。如果为排除的域名返回的任何地址在VPN中包括的地址池内,则这些地址将被排除。不阻止已排除的域。相反,流向这些域的流量保留在VPN隧道外部。

    注释图标

    注意:您也可以配置动态拆分隧道以定义要包含在隧道中的域,否则将基于IP地址排除这些域。

    限制

    目前,仍不支持以下功能:

    • iOS (Apple)设备不支持动态拆分隧道。 请参阅Cisco Bug ID CSCvr54798
    • AnyConnect Linux客户端不支持动态拆分隧道。 请参阅Cisco bug IDCSCvt64988

    配置

    本节介绍如何在FMC管理的FTD上配置AnyConnect动态拆分隧道。


    步骤1:编辑组策略以使用动态拆分隧道

    1. 在FMC上,导航到设备> VPN >远程访问,然后选择您要应用配置的连接配置文件

    远程访问VPN连接配置文件

    2. 选择编辑组策略以修改其中一个已创建的组策略。

    编辑远程访问VPN连接配置文件

    第二步:配置AnyConnect自定义属性

    1. 在组策略配置下,导航至AnyConnect >自定义属性,点击添加(+)按钮:

    编辑组策略

    2. 选择Dynamic Split Tunneling AnyConnect属性,然后单击Add (+)按钮创建新的自定义属性对象:

    添加自定义属性


    3. 输入AnyConnect自定义属性名称,然后配置要动态包括或排除的域。

    注意:只能配置Include domains或Exclude domains。

    添加自定义属性-2

    在本示例中,已将cisco.com配置为要排除的域,并将自定义属性命名为Dynamic-Split-Tunnel,如图所示:

    动态拆分隧道属性

    第三步:验证配置、保存和部署

    验证配置的自定义属性正确,保存配置并部署对有关FTD的更改。

    验证动态拆分隧道配置

    验证

    您可以通过命令行界面(CLI)在FTD上运行以下命令,以确认动态拆分隧道配置:

    • show running-config webvpn
    • show running-config anyconnect-custom-data
    • show running-config group-policy <组策略的名称>

    在本示例中,配置如下:

    ftd# show run group-policy AnyConnect_Local_Auth
    group-policy AnyConnect_Local_Auth attributes
    vpn-idle-timeout 30
    vpn-simultaneous-logins 3
    vpn-session-timeout none
    vpn-filter none
    vpn-tunnel-protocol ssl-client
    split-tunnel-policy tunnelspecified
    ipv6-split-tunnel-policy-tunnelall
    split-tunnel-network-list value AC_networks
    Default-domain none
    split-dns none
    address-pools value AC_pool
    anyconnect-custom dynamic-split-exclude-domains value cisco.com
    anyconnect-custom dynamic-split-include-domains none

    ftd# show run webvpn
    webvpn
    enable outside
    anyconnect-custom-attr dynamic-split-exclude-domains
    anyconnect-custom-attr dynamic-split-include-domains
    http-headers
    hsts-server
    enable
    max-age 31536000
    include-sub-domains
    no preload
    hsts-client
    enable
    content-security-policy
    anyconnect image disk0:/csm/anyconnect-win-4.1005111-webdeploy-k9.pkg regex "Windows"
    anyconnect profiles xmltest disk0:/csm/xmltest.xml
    anyconnect enable
    tunnel-group-list enable
    cache
    disable
    certificate-group-map cert_map_test 10 cert_auth
    error-recovery disable

    要验证客户端上配置的动态隧道排除,请执行以下操作:

    1.启动AnyConnect软件并单击齿轮图标,如图所示:

    AnyConnect Client

    2. 导航到VPN > Statistics,确认Dynamic Split Exclusion/Inclusion下显示的域:

    检验AnyConnect客户端统计信息

    故障排除

    您可以使用AnyConnect诊断和报告工具(DART)收集有助于排除AnyConnect安装和连接问题的数据。

    DART 可以收集日志、状态和诊断信息供思科技术支持中心 (TAC) 执行分析,并且不需要管理员权限即可在客户端计算机上运行。

    问题

    如果在AnyConnect自定义属性中配置了通配符,例如*.cisco.com,则AnyConnect会话断开。

    解决方案

    您可以使用cisco.com域值允许替代通配符。此更改允许您包括或排除域,例如www.cisco.com和tools.cisco.com。

    相关信息

    修订历史记录

    版本 发布日期 备注
    2.0
    10-Jun-2024
    已添加注释容器。 已更新简介和格式。
    1.0
    22-Feb-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 哈维尔·卡列哈斯
      技术咨询工程师
    • 雨果·奥尔甘
      软件工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品