VPN-ügyfél és az ügyfél hozzáférést AnyConnect például LAN konfiguráció

Ez a dokumentum leírja, hogyan kell engedélyezni a Cisco VPN Client vagy biztonságos mobil kliens Cisco AnyConnect Biztonságos mobilitás csak a hálózat használatára, míg a alagúton át a Cisco adaptív biztonsági készülékek (ASA) 5500 sorozatú, vagy az ASA, Sorozat 5500-X. Ez a konfiguráció lehetővé teszi, hogy a Cisco VPN kliens vagy biztonságos hozzáférést a biztonságos mobil kliens Cisco AnyConnect Biztonságos mobilitás, a vállalati erőforrások révén IPsec, a Secure Sockets Layer (SSL) vagy a második változat az Internet Key Exchange protokoll (IKEv2), és még mindig lehetővé teszi a felhasználó képes végrehajtani műveleteket, mint a nyomtatás ahol az ügyfél található. Ha engedélyezett, a forgalmat szánt az interneten, még bújtatott az ASA.

Megjegyzés: Ez a beállítás nem osztott alagút konfiguráció, amelyben az ügyfél kódolatlan az internet-hozzáférést, ugyanakkor továbbra is csatlakozik a ASA vagy PIX. Részletes leírás a VPN beállítás alapján IPSec két csomópont között a Cisco biztonsági eszköz szoftver 7.x lásd PIX / ASA 7.x :. Hagyjuk osztott alagút VPN kliensek Az ASA beállítási példa arról, hogyan kell beállítani osztott alagút az ASA.

Előfeltételek

követelmények

Ez a dokumentum feltételezi, hogy a funkcionális konfiguráció a VPN távoli hozzáférést már létezik a ASA.

Lásd. ASA 8.x Access VPN konfigurációs példa SSL VPN-Client (SVC) AnyConnect biztonságos mobil kliens Cisco AnyConnect Biztonságos mobilitás. Ha még nem állított fel.

használt összetevők

Az információ található ezen dokumentum alapján ezek a verziók a szoftver és hardver:

• 9-es verzió (2) 1 5500-as sorozatú Cisco ASA
• Cisco Adaptive Security Device Manager (ASDM) 7.1 változat (6)
• Változata az ügyfél része a Cisco VPN 5.0.07.0440
• Verzió 3.1.05152 biztonságos mobil kliens Cisco AnyConnect Biztonságos mobilitás

Az adatok itt bemutatott kaptuk az eszközök egy meghatározott laboratóriumi környezetben. Minden eszköz ebben a dokumentumban leírt lépések egy tiszta (alapértelmezett) konfigurációt. Ha a hálózat szükséges tanulmányozni lehetséges hatása a parancs használata előtt.

hálódiagram

A kliens található Small Office / Home Office tipikus hálózati (SOHO) és a kapcsolatok az interneten keresztül a központi iroda.

áttekintés

Ellentétben a klasszikus osztott alagút forgatókönyv, amelyben az összes internetes forgalom titkosítás nélkül, megoldásában a hálózati hozzáférés VPN-kliens, így az ügyfél fogadhat titkosított adatok szerkezetekkel az ügyfél hálózatában. Például egy kliens, amely lehetővé teszi a hozzáférést a helyi hálózaton, ezzel szemben a ASA otthonról, legyen képes nyomtatni saját nyomtatót, de nem kapcsolja be az interneten anélkül, hogy először továbbítására forgalom az alagútban.

A hozzáférési lista alkalmazása lehetővé teszi a hozzáférést a helyi hálózaton akárcsak ASA eszköz konfigurálva osztott alagút. Azonban ahelyett, hogy azokat a hálózatokat, titkosítani kell, ebben az esetben a hozzáférési lista azonosítja a hálózatot, hogy nem kell titkosítani. Továbbá, ellentétben az osztott alagút forgatókönyv egy ilyen lista nem köteles megadni a tényleges hálózat. Ehelyett az ASA rendelkezik alapértelmezett hálózati 0.0.0.0/255.255.255.255, ami úgy értendő, hogy a helyi kliens hálózatot.

Állítsa be a hálózati hozzáférés VPN kliensek vagy ügyfél Secure mobil kliens AnyConnect

Ezeket a feladatokat az ügyfelek számára hozzáférést Cisco VPN vagy biztonságos mobil kliensek Cisco AnyConnect Biztonságos mobilitás hogy a helyi hálózaton, miközben kapcsolódik az ASA:

Állítsa be az ASA keresztül ASDM

Kövesse az alábbi lépéseket a ASDM, hogy a VPN kliensek hozzáférhetnek a helyi hálózathoz, ezzel szemben a ASA:

1. Select Configuration> Remote Access VPN> Network (Client) Access> Group Policy, majd a csoportházirend, amely szeretné lehetővé teszi a hozzáférést a helyi hálózaton. Ezután nyomja meg a Szerkesztés gombra.

Ide Advanced> Split-alagút.

Távolítsuk el a öröklése négyzetet a politika és kattintson a Kizárás Network alábbi listából.

Távolítsuk el a öröklése négyzetet a hálózati listából, majd kattintson a Kezelés, hogy elindítsa a kezelő Access Control List (ACL).

Ebben a kezelőben válassza a Hozzáadás> listájához ACL. Ahhoz, hogy hozzon létre egy új hozzáférési lista.

Írja be az ACL nevét, majd kattintson az OK gombra.

Miután létrehozott egy ACL kattintson a Hozzáadás> ACE. hozzá egy elemét hozzáférés-vezérlés (ACE).

Határozzuk meg a hozzáférés-vezérlési elem megfelelő az ügyfél helyi hálózaton.

Kattintson az OK gombra, hogy kilépjen az ACL alkalmazást.

Győződjön meg arról, hogy az ACL, és most elkészített kiválasztott osztott alagút hálózatok listája.

Kattintson az OK gombra, hogy visszatérjen a csoportházirend-beállítást.

Kattintson az Alkalmaz, majd (ha szükséges) küldése, küldje el a parancsokat az ASA modult.

Állítsa be az ASA keresztül CLI

Hagyjuk VPN-kliens hozzáférés a helyi hálózathoz, ha csatlakozik az ASA nem csak használni a ASDM, hanem az ASA eszköz parancssori felület:

1. Konfigurációs módot.

Hozzon létre egy hozzáférési listát, amely hozzáférést biztosít a LAN.

Az egyetlen dolog, ami megengedett:
rtpvpnoutbound6 (config) # engedély standard teszt hozzáférés-lista any4

Ez - egy ismert probléma, és nem fizetik azonosítója Cisco CSCut3131 hibákat. Frissítés verzió korrekció ezt a hibát, hogy be tudjuk állítani a hozzáférést a helyi hálózaton.

Adjuk meg a csoport politikai konfigurációs üzemmódban a politika, amely a módosítani kívánt.

Adja meg a politika önálló alagutak. Ebben az esetben a politika excludespecified.

Adja meg a hozzáférési listát osztott alagút. Ebben az esetben a lista Local_LAN_Access.

Írja be a következő parancsot:

Tie egy csoport politika az alagút csoport

Kilép a két konfigurációs mód.

Mentse el a konfiguráció nem felejtő memória (NVRAM), majd nyomja le az ENTER billentyűt, amikor kéri, hogy adja meg a forrás fájl nevét.

Hozzunk létre egy biztonságos Cisco AnyConnect Biztonságos mobilitás mobil kliens

Ahhoz, hogy hozzon létre egy biztonságos mobil kliens Cisco AnyConnect Biztonságos mobilitás, olvassa el a VPN-kapcsolat beállítása SSL-alapú részén SVC ASA 8. x: Engedélyezze osztott alagút VPN Client AnyConnect példáját ASA konfigurációt.

Válás - kizárja alagút megköveteli, hogy szerepeljenek a AllowLocalLanAccess AnyConnect Client. Minden szétválasztás - megszünteti ágyazása ez tekinthető a hozzáférést a helyi hálózaton. Hogy zárja ki osztott alagút, be kell kapcsolnia AllowLocalLanAccess preferencia fogyasztói preferenciákat AnyConnect VPN kliens. Alapértelmezésben a hozzáférés a hálózati kapcsolat.

Ahhoz, hogy a hozzáférés a helyi hálózathoz, és ezért osztott - alagút szabály, hogy a hálózati rendszergazda tartalmazza azt a profilt, vagy a felhasználók engedélyezheti az beállításait (lásd a képet a következő fejezetben.). Ahhoz, hogy a hozzáférés a helyi hálózat felhasználói készlet rovat való hozzáférés engedélyezése a helyi hálózaton. Ha osztott alagút engedélyezve van a biztonságos átjáró és konfigurálni a politika önálló alagutak, kizárják a megadott politikát. Továbbá, ha a hálózati hozzáférés hagyjuk igaz , beállíthatja a VPN Client Profile.

felhasználói beállítások

Itt vannak a választás, hogy meg kell tenni a Beállítások lapot, biztonságos mobil Cisco AnyConnect Biztonságos mobilitás kliens lehetővé teszi a hozzáférést a LAN.

Minta XML Profile

Íme egy példa arra, hogyan kell beállítani a VPN Client profil XML.

Kövesse az alábbi fejezeteket, hogy ellenőrizze a konfigurációt.

Csatlakoztassa a biztonságos Cisco AnyConnect Biztonságos mobilitás mobil kliens az ASA a konfiguráció ellenőrzéséhez.

1. Válassza ki a kapcsolatot a kiszolgáló listából, majd kattintson a Csatlakozás lehetőséget.

Válassza a Speciális ablak összes alkatrészre> Statisztika. jelenítse meg a Tunnel mód.

Kattintson a Részletek fülre Route ellenőrzési útvonalak, amelyek biztosítják a Cisco AnyConnect Biztonságos mobilitás mobil kliens még helyi hozzáférést.

Míg az összes többi forgalom titkosított és továbbítani egy alagúton keresztül, ebben a példában az ügyfél számára hozzáférést biztosítunk a LAN és a 10.150.52.0/22 ​​169.254.0.0/16.

Secure mobil kliens Cisco AnyConnect Biztonságos mobilitás

Amikor AnyConnect folyóiratok tanulmányozása szalagok (köteg) Diagnosztikai és jelentéstételi eszköz (DART) lehet meghatározni, hogy a paraméter, amely lehetővé teszi a hozzáférést a helyi hálózaton telepítve.

Ellenőrzés a hozzáférést a hálózaton keresztül echo kérés

hibaelhárítás

Ez a rész információkat használhatja elhárítása a konfigurációt.

Inside Edition Microsoft Windows XP Professional LMHOSTS fájl található% SystemRoot% \ System32 \ Drivers \ Stb Cm. Vagy a dokumentáció microsoft cikket a Microsoft Knowledge Base 314 108 További információkért.

További információ