VPN-ügyfél és az ügyfél hozzáférést AnyConnect például LAN konfiguráció
Ez a dokumentum leírja, hogyan kell engedélyezni a Cisco VPN Client vagy biztonságos mobil kliens Cisco AnyConnect Biztonságos mobilitás csak a hálózat használatára, míg a alagúton át a Cisco adaptív biztonsági készülékek (ASA) 5500 sorozatú, vagy az ASA, Sorozat 5500-X. Ez a konfiguráció lehetővé teszi, hogy a Cisco VPN kliens vagy biztonságos hozzáférést a biztonságos mobil kliens Cisco AnyConnect Biztonságos mobilitás, a vállalati erőforrások révén IPsec, a Secure Sockets Layer (SSL) vagy a második változat az Internet Key Exchange protokoll (IKEv2), és még mindig lehetővé teszi a felhasználó képes végrehajtani műveleteket, mint a nyomtatás ahol az ügyfél található. Ha engedélyezett, a forgalmat szánt az interneten, még bújtatott az ASA.
Megjegyzés: Ez a beállítás nem osztott alagút konfiguráció, amelyben az ügyfél kódolatlan az internet-hozzáférést, ugyanakkor továbbra is csatlakozik a ASA vagy PIX. Részletes leírás a VPN beállítás alapján IPSec két csomópont között a Cisco biztonsági eszköz szoftver 7.x lásd PIX / ASA 7.x :. Hagyjuk osztott alagút VPN kliensek Az ASA beállítási példa arról, hogyan kell beállítani osztott alagút az ASA.
Előfeltételek
követelmények
Ez a dokumentum feltételezi, hogy a funkcionális konfiguráció a VPN távoli hozzáférést már létezik a ASA.
Lásd. ASA 8.x Access VPN konfigurációs példa SSL VPN-Client (SVC) AnyConnect biztonságos mobil kliens Cisco AnyConnect Biztonságos mobilitás. Ha még nem állított fel.
használt összetevők
Az információ található ezen dokumentum alapján ezek a verziók a szoftver és hardver:
- 9-es verzió (2) 1 5500-as sorozatú Cisco ASA
- Cisco Adaptive Security Device Manager (ASDM) 7.1 változat (6)
- Változata az ügyfél része a Cisco VPN 5.0.07.0440
- Verzió 3.1.05152 biztonságos mobil kliens Cisco AnyConnect Biztonságos mobilitás
Az adatok itt bemutatott kaptuk az eszközök egy meghatározott laboratóriumi környezetben. Minden eszköz ebben a dokumentumban leírt lépések egy tiszta (alapértelmezett) konfigurációt. Ha a hálózat szükséges tanulmányozni lehetséges hatása a parancs használata előtt.
hálódiagram
A kliens található Small Office / Home Office tipikus hálózati (SOHO) és a kapcsolatok az interneten keresztül a központi iroda.
áttekintés
Ellentétben a klasszikus osztott alagút forgatókönyv, amelyben az összes internetes forgalom titkosítás nélkül, megoldásában a hálózati hozzáférés VPN-kliens, így az ügyfél fogadhat titkosított adatok szerkezetekkel az ügyfél hálózatában. Például egy kliens, amely lehetővé teszi a hozzáférést a helyi hálózaton, ezzel szemben a ASA otthonról, legyen képes nyomtatni saját nyomtatót, de nem kapcsolja be az interneten anélkül, hogy először továbbítására forgalom az alagútban.
A hozzáférési lista alkalmazása lehetővé teszi a hozzáférést a helyi hálózaton akárcsak ASA eszköz konfigurálva osztott alagút. Azonban ahelyett, hogy azokat a hálózatokat, titkosítani kell, ebben az esetben a hozzáférési lista azonosítja a hálózatot, hogy nem kell titkosítani. Továbbá, ellentétben az osztott alagút forgatókönyv egy ilyen lista nem köteles megadni a tényleges hálózat. Ehelyett az ASA rendelkezik alapértelmezett hálózati 0.0.0.0/255.255.255.255, ami úgy értendő, hogy a helyi kliens hálózatot.
Állítsa be a hálózati hozzáférés VPN kliensek vagy ügyfél Secure mobil kliens AnyConnect
Ezeket a feladatokat az ügyfelek számára hozzáférést Cisco VPN vagy biztonságos mobil kliensek Cisco AnyConnect Biztonságos mobilitás hogy a helyi hálózaton, miközben kapcsolódik az ASA:
Állítsa be az ASA keresztül ASDM
Kövesse az alábbi lépéseket a ASDM, hogy a VPN kliensek hozzáférhetnek a helyi hálózathoz, ezzel szemben a ASA:
- Select Configuration> Remote Access VPN> Network (Client) Access> Group Policy, majd a csoportházirend, amely szeretné lehetővé teszi a hozzáférést a helyi hálózaton. Ezután nyomja meg a Szerkesztés gombra.
Állítsa be az ASA keresztül CLI
Hagyjuk VPN-kliens hozzáférés a helyi hálózathoz, ha csatlakozik az ASA nem csak használni a ASDM, hanem az ASA eszköz parancssori felület:
- Konfigurációs módot.
Az egyetlen dolog, ami megengedett:
rtpvpnoutbound6 (config) # engedély standard teszt hozzáférés-lista any4
Ez - egy ismert probléma, és nem fizetik azonosítója Cisco CSCut3131 hibákat. Frissítés verzió korrekció ezt a hibát, hogy be tudjuk állítani a hozzáférést a helyi hálózaton.
Hozzunk létre egy biztonságos Cisco AnyConnect Biztonságos mobilitás mobil kliens
Ahhoz, hogy hozzon létre egy biztonságos mobil kliens Cisco AnyConnect Biztonságos mobilitás, olvassa el a VPN-kapcsolat beállítása SSL-alapú részén SVC ASA 8. x: Engedélyezze osztott alagút VPN Client AnyConnect példáját ASA konfigurációt.
Válás - kizárja alagút megköveteli, hogy szerepeljenek a AllowLocalLanAccess AnyConnect Client. Minden szétválasztás - megszünteti ágyazása ez tekinthető a hozzáférést a helyi hálózaton. Hogy zárja ki osztott alagút, be kell kapcsolnia AllowLocalLanAccess preferencia fogyasztói preferenciákat AnyConnect VPN kliens. Alapértelmezésben a hozzáférés a hálózati kapcsolat.
Ahhoz, hogy a hozzáférés a helyi hálózathoz, és ezért osztott - alagút szabály, hogy a hálózati rendszergazda tartalmazza azt a profilt, vagy a felhasználók engedélyezheti az beállításait (lásd a képet a következő fejezetben.). Ahhoz, hogy a hozzáférés a helyi hálózat felhasználói készlet rovat való hozzáférés engedélyezése a helyi hálózaton. Ha osztott alagút engedélyezve van a biztonságos átjáró és konfigurálni a politika önálló alagutak, kizárják a megadott politikát. Továbbá, ha a hálózati hozzáférés hagyjuk
felhasználói beállítások
Itt vannak a választás, hogy meg kell tenni a Beállítások lapot, biztonságos mobil Cisco AnyConnect Biztonságos mobilitás kliens lehetővé teszi a hozzáférést a LAN.
Minta XML Profile
Íme egy példa arra, hogyan kell beállítani a VPN Client profil XML.
Kövesse az alábbi fejezeteket, hogy ellenőrizze a konfigurációt.
Csatlakoztassa a biztonságos Cisco AnyConnect Biztonságos mobilitás mobil kliens az ASA a konfiguráció ellenőrzéséhez.
- Válassza ki a kapcsolatot a kiszolgáló listából, majd kattintson a Csatlakozás lehetőséget.
Míg az összes többi forgalom titkosított és továbbítani egy alagúton keresztül, ebben a példában az ügyfél számára hozzáférést biztosítunk a LAN és a 10.150.52.0/22 169.254.0.0/16.
Secure mobil kliens Cisco AnyConnect Biztonságos mobilitás
Amikor AnyConnect folyóiratok tanulmányozása szalagok (köteg) Diagnosztikai és jelentéstételi eszköz (DART) lehet meghatározni, hogy a paraméter, amely lehetővé teszi a hozzáférést a helyi hálózaton telepítve.
Ellenőrzés a hozzáférést a hálózaton keresztül echo kérés
hibaelhárítás
Ez a rész információkat használhatja elhárítása a konfigurációt.
Inside Edition Microsoft Windows XP Professional LMHOSTS fájl található% SystemRoot% \ System32 \ Drivers \ Stb Cm. Vagy a dokumentáció microsoft cikket a Microsoft Knowledge Base 314 108 További információkért.