接入远程接入

远程接入VPN远程接入虚拟专用网络(VPN)允许个人用户使用连接到互联网的计算机或其他受支持的iOS或Android设备,从远程位置连接到您的网络.
这样,移动员工就可以从家庭网络或公共Wi-Fi网络进行连接.
以下主题介绍如何为您的网络配置远程接入VPN.
远程接入VPN概述,第1页远程接入VPN的许可要求,第3页远程接入VPN的准则与限制,第3页配置远程接入VPN,第4页监控远程接入VPN,第13页远程接入VPN故障排除,第13页远程接入VPN示例,第15页远程接入VPN概述您可以使用Firepower设备管理器,配置通过SSL借助AnyConnect客户端软件实现的远程接入VPN.
AnyConnect客户端与Firepower威胁防御设备协商SSLVPN连接时,会使用传输层安全(TLS)或数据报传输层安全(DTLS)进行连接.
DTLS可避免与某些SSL连接关联的延迟和带宽问题,并可提高对于数据包延迟敏感的实时应用的性能.
客户端与Firepower威胁防御设备会协商要使用的TLS/DTLS版本.
如果客户端支持DTLS,则使用DTLS.
各设备型号的最大并发VPN会话数量根据设备型号,设备上允许的并发远程接入VPN会话数量有最大值限制.
此限制用于确保系统性能不会降低到不可接受的水平.
请使用这些限制进行容量规划.
最大并发远程接入VPN会话数设备型号100ASA5508-X250、ASA5515-X300ASA5516-X远程接入VPN1最大并发远程接入VPN会话数设备型号750ASA5525-X2500ASA5545-X5000ASA5555-X1500Firepower21103500Firepower21207500Firepower213010,000Firepower2140250Firepower威胁防御虚拟25ISA3000下载AnyConnect客户端软件在配置远程接入VPN之前,必须将AnyConnect软件下载到您的工作站.
定义VPN时,您需要上传这些软件包.
您应该下载最新的AnyConnect版本,以确保获得最新的功能、漏洞修复和安全补丁.
请定期更新Firepower威胁防御设备上的软件包.
可以为以下每个操作系统上传一个AnyConnect软件包:Windows、Mac和Linux.
无法为特定操作系统类型上传多个版本.
注释从software.
cisco.
com上的AnyConnect安全移动客户端类别中获取AnyConnect软件包.
您需要下载客户端的"完全安装软件包"版本.
用户如何安装AnyConnect软件要完成VPN连接,您的用户必须安装AnyConnect客户端软件.
可以使用现有的软件分发方法直接安装该软件.
或者,用户直接从Firepower威胁防御设备安装AnyConnect客户端.
用户必须对其工作站具有管理员权限才能安装软件.
安装AnyConnect客户端后,如果您将新的AnyConnect版本上传到系统,AnyConnect客户端将在用户进行下一个VPN连接时检测到新版本.
系统将自动提示用户下载并安装更新的客户端软件.
这种自动化可为您和您的客户端简化软件分发.
如果您决定让用户一开始从Firepower威胁防御设备安装软件,请告诉用户执行以下步骤.
远程接入VPN2远程接入VPN下载AnyConnect客户端软件Android和iOS用户应从相应的应用商店下载AnyConnect.
注释过程步骤1使用Web浏览器,打开https://ravpn-address,其中ravpn-address是您允许VPN连接的外部接口的IP地址或主机名.
您在配置远程接入VPN时确定此接口.
系统提示用户登录.
步骤2登录到网站.
用户使用为远程接入VPN配置的目录服务器进行身份验证.
登录成功后可继续操作.
如果登录成功,系统将确定用户是否已具有所需的AnyConnect客户端版本.
如果用户的计算机上没有AnyConnect客户端,或者客户端的版本较低,系统将自动开始安装AnyConnect软件.
安装后,AnyConnect会完成远程接入VPN连接.
远程接入VPN的许可要求您的基本设备许可证必须满足出口要求,您才能配置远程接入VPN.
注册设备时,必须使用启用了出口管制功能的智能软件管理器账户.
您也不能使用评估许可证配置该功能.
此外,您需要购买并启用远程接入VPN许可证,请选择以下任一项:AnyConnectPlus、AnyConnectApex或仅AnyConnectVPN.
即使这些许可证被设计为在与基于ASA软件的头端一起使用时允许不同的功能集,它们对于Firepower威胁防御设备都同等处理.
要启用许可证,请依次选择设备>智能许可证>查看配置,然后在远程接入RAVPN许可证组中选择正确的许可证.
您需要在智能软件管理器账户中提供许可证.
有关启用许可证的详细信息,请参阅启用或禁用可选许可证.
有关详细信息,请参阅《思科AnyConnect订购指南》http://www.
cisco.
com/c/dam/en/us/products/collateral/security/anyconnect-og.
pdf.
另外,http://www.
cisco.
com/c/en/us/products/security/anyconnect-secure-mobility-client/datasheet-listing.
html中还提供了其他数据表.
远程接入VPN的准则与限制配置RAVPN时,请时刻注意以下准则和限制.
对于同一个TCP端口,无法在同一接口上同时配置Firepower设备管理器访问(管理访问列表中的HTTPS访问)和AnyConnect远程访问SSLVPN.
例如,如果在外部接口上配置远程访问远程接入VPN3远程接入VPN远程接入VPN的许可要求SSLVPN,则也无法在端口443上打开HTTPS连接的外部接口.
因为无法在Firepower设备管理器中配置这些功能所使用的端口,所以无法在同一接口上配置这两项功能.
无法在NAT规则的源地址和远程接入VPN地址池中使用重叠地址.
(仅限RESTAPI配置.
)如果您使用RADIUS和RSA令牌配置双因素身份验证,则在大多数情况下,12秒的默认身份验证超时太短,无法实现成功的身份验证.
您可以通过创建自定义AnyConnect客户端配置文件并将其应用到RAVPN连接配置文件,来增加身份验证超时值,如配置并上传客户端配置文件,第5页中所述.
建议身份验证超时时间最短为60秒,以便用户有足够的时间进行身份验证并粘贴RSA令牌,以及进行令牌往返验证.
配置远程接入VPN要为客户端启用远程接入VPN,需要配置许多单独的项目.
以下步骤程序介绍了端到端流程.
过程步骤1配置许可证.
需要启用两个许可证:注册设备时,必须使用启用了出口管制功能的智能软件管理器账户.
基本许可证必须符合出口管制要求,然后才能配置远程接入VPN.
您也不能使用评估许可证配置该功能.
有关注册设备的步骤程序,请参阅注册设备.
远程接入VPN许可证.
有关详细信息,请参阅远程接入VPN的许可要求,第3页.
要启用该许可证,请参阅启用或禁用可选许可证.
步骤2配置证书.
对客户端与设备之间的SSL连接进行身份验证需要使用证书.
您可以将预定义的DefaultInternalCertificate用于VPN,也可以自行创建证书.
如果对用于身份验证的目录领域使用加密连接,则必须上传受信任的CA证书.
有关证书及其上传方法的详细信息,请参阅配置证书.
步骤3(可选.
)配置并上传客户端配置文件,第5页.
步骤4配置用于对远程用户进行身份验证的身份源.
您可以对允许登录远程接入VPN的用户账户使用以下源.
ActiveDirectory身份领域-作为主要身份验证源.
在ActiveDirectoryAD服务器中定义用户账户.
请参阅配置AD身份领域.
LocalIdentitySource(本地用户数据库)-作为主要或回退源.
您可以直接在设备上定义用户,不使用外部服务器.
如果您使用本地数据库作为回退源,请确保您定义与外部服务器中定义的相同用户名/密码.
请参阅配置本地用户.
远程接入VPN4远程接入VPN配置远程接入VPN步骤5配置远程接入VPN连接,第6页.
步骤6允许流量通过远程接入VPN,第9页.
步骤7(可选.
)控制远程接入VPN组对资源的访问,第10页.
如果您不希望所有远程接入用户访问所有内部资源的权限都相同,可以应用访问控制规则以根据用户组成员关系允许或阻止访问.
步骤8验证远程接入VPN配置,第11页.
如果在完成连接时遇到问题,请参阅远程接入VPN故障排除,第13页.
步骤9(可选.
)启用身份策略并配置被动身份验证规则.
如果启用被动用户验证,通过远程接入VPN登录的用户将显示在控制面板上,他们也可以用作策略中的流量匹配条件.
如果不启用被动身份验证,只有当远程接入VPN用户匹配主动身份验证策略时,这些用户才可用.
必须启用身份策略以在控制面板中获取任何用户名信息,或将其用于流量匹配.
配置并上传客户端配置文件AnyConnect客户端配置文件随AnyConnect客户端软件一起下载到客户端.
这些配置文件定义与客户端相关的诸多选项,例如启动时自动连接和自动重新连接,以及是否允许终端用户更改AnyConnect客户端首选项和高级设置中的选项.
如果在配置远程接入VPN连接时为外部接口配置完全限定主机名(FQDN),系统将为您创建一个客户端配置文件.
此配置文件启用默认设置.
只有在需要非默认行为时,才需要创建和上传客户端配置文件.
请注意,客户端配置文件是可选的:如果您不上传,AnyConnect客户端将对所有配置文件控制选项使用默认设置.
必须将Firepower威胁防御设备的外部接口添加到VPN配置文件的服务器列表中,以便AnyConnect客户端在第一次连接时显示所有用户可控的设置.
如果您不将地址或FQDN添加为配置文件中的主机条目,则系统不会向会话应用过滤器.
例如,如果您创建了一个证书匹配,且证书与条件正确匹配,但您未将设备添加为该配置文件中的主机条目,那么证书匹配将被忽略.
注释以下程序介绍了如何通过"对象"页面直接创建和编辑对象.
另外,您还可以在编辑配置文件属性时,点击对象列表中所示的创建新AnyConnect客户端配置文件链接来创建AnyConnect客户端配置文件对象.
开始之前在上传客户端配置文件之前,必须先执行以下操作.
下载并安装独立版AnyConnect"配置文件编辑器-Windows/独立版安装程序(MSI)".
此安装文件仅适用于Windows,文件名为anyconnect-profileeditor-win--k9.
msi,其中指AnyConnect版本.
例如,anyconnect-profileeditor-win-4.
3.
04027-k9.
msi.
您还必须在安装配远程接入VPN5远程接入VPN配置并上传客户端配置文件置文件编辑器之前安装JavaJRE1.
6(或更高版本).
从software.
cisco.
com,在"AnyConnect安全移动客户端"类别中,获取AnyConnect配置文件编辑器.
使用配置文件编辑器创建所需的配置文件.
您应在配置文件中指定外部接口的主机名或IP地址.
有关详细信息,请参阅编辑器的在线帮助.
过程步骤1选择对象,然后从目录中选择AnyConnect客户端配置文件.
步骤2执行以下操作之一:要创建对象,请点击+按钮.
要编辑对象,请点击该对象的编辑图标().
要下载与对象关联的配置文件,请点击对象的下载图标().
要删除未引用的对象,请点击该对象的垃圾桶图标().
步骤3为对象输入名称和(可选)说明.
步骤4点击上传并选择使用配置文件编辑器创建的文件.
步骤5点击打开上传配置文件.
步骤6点击确定添加对象.
配置远程接入VPN连接您可以创建远程接入VPN连接,以允许用户在外部网络(例如其家庭网络)上时连接到您的内部网络.
开始之前在配置远程接入(RA)VPN连接之前:从software.
cisco.
com将所需的AnyConnect软件包下载到您的工作站.
或者,使用AnyConnect配置文件编辑器创建客户端配置文件.
如果为外部接口指定了完全限定域名,系统将为您创建一个默认配置文件.
客户端配置文件是可选的,仅当您想要自定义由配置文件控制的功能时才需要创建.
外部接口(作为远程接入VPN连接终端的那个外部接口)也不能具有允许HTTPS连接的管理访问列表.
在配置RAVPN之前,从外部接口删除所有HTTPS规则.
请参阅配置管理访问列表.
远程接入VPN6远程接入VPN配置远程接入VPN连接过程步骤1点击设备,然后点击"远程接入VPN"组中的设置连接配置文件.
您可以配置一个远程接入VPN.
如果已经配置了它,点击查看配置可打开现有的VPN;点击编辑按钮可进行更改.
如果要删除该配置,请点击清除配置.
步骤2定义AnyConnect客户端配置.
连接配置文件名称-此连接的名称,最多50个字符,不能含空格.
例如,MainOffice.
不能将IP地址用作名称.
您在此输入的名称将是用户在AnyConnect客户端的连接列表中看到的名称.
选择一个对您的用户来说有意义的名称.
注释用户身份验证的身份源-用于对远程用户进行身份验证的主要身份源.
必须在此源或可选的回退源中定义终端用户,才能完成VPN连接.
选择以下一个选项:ActiveDirectory(AD)身份领域.
LocalIdentitySource(本地用户数据库)-您可以直接在设备上定义用户,而不使用外部服务器.
回退本地身份源-如果主要源是一个外部服务器,您可以选择LocalIdentitySource作为回退源,以防主服务器不可用.
如果使用本地数据库作为回退源,请确保您定义的本地用户名/密码与外部服务器中的定义的用户名/密码相同.
AnyConnect软件包-您将在此VPN连接上支持的AnyConnect完整安装软件映像.
对于每个软件包,文件名(包括扩展名)不能超过60个字符.
可以为Windows、Mac和Linux终端上传单独的软件包.
从software.
cisco.
com下载该软件包.
如果终端尚未安装正确的软件包,系统会提示用户在用户验证后下载并安装软件包.
步骤3点击下一步.
步骤4定义设备身份和客户端寻址配置.
设备身份证书-选择用于建立设备身份的内部证书.
客户端必须接受此证书才能完成安全的VPN连接.
如果您还没有证书,请点击下拉列表中的创建新内部证书.
您必须配置证书.
外部接口-用户在进行远程接入VPN连接时连接的接口.
请选择您使用此连接配置文件支持的设备与终端用户之间的任何接口,虽然这通常是外部(面向互联网的)接口.
外部接口的完全限定域名-接口的名称,例如ravpn.
example.
com.
如果指定名称,系统可以为您创建一个客户端配置文件.
您要确保VPN中和客户端使用的DNS服务器可以将此名称解析为外部接口的IP地址.
将FQDN添加到相关DNS服务器.
注释远程接入VPN7远程接入VPN配置远程接入VPN连接IPv4、IPv6地址池-这些选项为远程终端定义地址池.
根据客户端用于建立VPN连接的IP版本,从这些池为客户端分配地址.
选择一个网络对象,定义要支持的每个IP类型的子网.
如果不想支持该IP版本,则选择无(或留空).
例如,可以将IPv4池定义为10.
100.
10.
0/24.
地址池不能与外部接口的IP地址位于同一子网.
主要、辅助DNS服务器-当连接到VPN时,DNS服务器客户端应用于域名解析.
点击OpenDNS按钮以使用OpenDNS公共DNS服务器加载这些字段.
或者,输入DNS服务器的IP地址.
域搜索名称-为您的网络输入域名,例如example.
com.
此域将被添加到非完全限定的主机名,例如serverA而不是serverA.
example.
com.
步骤5点击下一步.
步骤6定义连接设置以自定义AnyConnect客户端行为.
适用于通过身份验证的客户端的banner文本-(可选)输入要在VPN会话开始时向用户显示的任何消息.
例如,关于适当使用的法律免责声明和警告.
Banner最多可包含500个字符,但不能包含分号(;)或HTML标记.
最长连接时间-在不注销和重新连接的情况下,允许用户持续连接到VPN的最大时间长度(以分钟为单位),范围为1到4473924或留空.
默认值为无限(留空),但空闲超时仍适用.
空闲超时-VPN连接在自动关闭之前可以闲置的时间长度(以分钟为单位),范围为1到35791394.
默认值为30分钟.
VPN会话期间的浏览器代理-是否在Windows客户端设备上的InternetExplorerWeb浏览器的VPN会话期间使用代理.
从以下选项中进行选择:终端设置无变化-允许用户配置(或不配置)浏览器代理,并在已配置的情况下使用代理.
禁用浏览器代理-不使用为浏览器定义的代理(如有).
浏览器连接不会通过该代理.
自动检测设置-允许在浏览器中使用自动代理服务器检测.
使用自定义设置-为客户端浏览器配置代理.
输入HTTP代理服务器的IP地址和(可选)端口(主机和端口加起来不能超过100个字符).
如果要免除特定Web服务器通过代理的请求,也可以点击添加代理例外(在例外列表中指定端口为可选项).
整个代理例外列表(包括所有地址和端口)不能超过255个字符.
分离隧道-启用分离隧道以允许用户在使用安全VPN隧道的同时直接访问本地网络或互联网.
保持禁用分离隧道功能以确保VPN连接更安全.
如果启用分离隧道,还必须选择代表远程用户将在内部网络列表中访问的内部网络的网络对象.
网络列表必须包含与您支持的地址池相同的IP类型.
对于指定的网络之外的任何网络,用户的ISP网关用于传输流量.
NAT免除-启用NAT免除,使进出远程接入VPN终端的流量免于执行NAT转换.
如果不免除VPN流量执行NAT,请确保外部和内部接口的现有NAT规则不适用于RAVPN地址池.
NAT免除规则是给定源/目的接口和网络组合的手动静态身份NAT规则,但它们不会反映在NAT策略中,它们是隐藏起来的.
如果启用NAT免除,还必须进行以下配置.
内部接口-选择远程用户将要访问的内部网络的接口.
所创建的NAT规则用于这些接口.
远程接入VPN8远程接入VPN配置远程接入VPN连接内部网络-选择代表远程用户将访问的内部网络的网络对象.
网络列表必须包含与您支持的地址池相同的IP类型.
AnyConnect客户端配置文件-(可选.
)如果为外部接口配置的是完全限定域名,则系统将会为您创建默认配置文件.
或者,您可上传您自己的客户端配置文件.
使用独立的AnyConnect配置文件编辑器创建这些配置文件,您可以从software.
cisco.
com下载和安装该编辑器.
如果不选择客户端配置文件,AnyConnect客户端将为所有选项使用默认值.
此列表中的项目是AnyConnect客户端配置文件对象,而不是配置文件本身.
您可以通过点击下拉列表中的创建新的AnyConnect客户端配置文件,创建(和上传)新配置文件.
步骤7点击下一步.
步骤8审核摘要.
首先,验证摘要是否正确.
然后,点击说明查看终端用户初步安装AnyConnect软件需要做什么,并测试他们是否可以完成VPN连接.
点击复制将这些说明复制到剪贴板,然后分发给您的用户.
步骤9点击完成.
下一步做什么确保VPN隧道中允许流量,如允许流量通过远程接入VPN,第9页中所述.
默认情况下,VPN终止流量会绕过访问控制策略,包括该策略中定义的任何高级检测,例如URL过滤、入侵保护或文件策略.
如果想要访问控制策略评估并检测VPN流量,请使用FlexConfig配置nosysoptconnectionpermit-vpn命令.
然后,您可以配置访问控制规则以允许地址池和内部网络之间的流量从外部接口传输到内部接口.
使用访问控制策略对VPN流量进行评估之前,系统会先将其解密,因此您可以应用入侵防御、URL过滤等.
允许流量通过远程接入VPN创建远程接入VPN连接无法使系统通过VPN隧道发送流量.
还必须配置以下其中一个设置:配置sysoptconnectionpermit-vpn命令,此命令会使匹配VPN连接的流量免受访问控制策略的限制.
此命令的默认值是nosysoptconnectionpermit-vpn,这意味着VPN流量还必须获得访问控制策略的允许,外部用户无法在远程接入VPN地址池中伪造IP地址,因此这种允许VPN流量的方法较为安全.
但它的缺点是,VPN流量得不到检测,也就是说不会对流量应用入侵和文件保护、URL过滤或其他高级功能.
同时,系统不会生成有关此流量的任何连接事件,且统计控制面板不会反映VPN连接.
使用FlexConfig配置此命令.
创建访问控制规则以允许来自远程接入VPN地址池的连接.
此方法可确保对VPN流量进行检测,并将高级服务应用于连接.
但它的缺点是,有可能造成外部用户伪造IP地址,进而获得访问内部网络的权限.
远程接入VPN9远程接入VPN允许流量通过远程接入VPN如果您希望基于用户组控制访问,则必须使用此选项,如控制远程接入VPN组对资源的访问,第10页中所述.
控制远程接入VPN组对资源的访问如果您熟悉如何在ASA上配置远程接入VPN或在FTD设备上使用Firepower设备管理器配置远程接入VPN,则您可能熟悉根据远程接入VPN组控制对网络中各种资源的访问.
在Firepower设备管理器中,您可以使用单个组策略配置单个连接配置文件.
不过,通过直接实施身份策略和基于用户组的访问控制,也可以根据用户组控制访问.
以下流程程序介绍配置方式.
开始之前此步骤程序假定您已配置远程接入VPN(RAVPN)和所需的身份领域.
不过,您可以首先配置身份和访问控制策略,再配置RAVPN.
此配置要求VPN流量受到访问控制策略的限制.
在CLI中,使用showrunning-config命令来检查nosysoptconnectionpermit-vpn命令是否已显示.
如果不是在运行配置中,请使用FlexConfig配置此命令.
过程步骤1在目录服务器中配置所需的用户组.
目录服务器必须包含用户组,而这些组必须包含符合要部署的策略的正确用户.
例如,如果要区分工程用户和营销用户,并允许组成员访问不同的资源,则必须在目录服务器中定义这些用户的组.
不能直接在FTD设备上创建用户组.
有关创建用户组的信息,请参阅目录服务器文档.
步骤2依次选择策略>身份,启用身份策略,然后创建一条规则以对RAVPN用户执行被动身份验证.
被动身份验证规则与RAVPN连接使用相同的领域.
至少,必须设置一条身份策略,要求对包含RAVPN外部接口的区域的RAVPN地址池中的IP地址执行被动身份验证.
如果您有一揽子身份策略要求对所有地址和所有区域执行被动身份验证,则无需任何其他规则.
有关启用此策略和创建规则的信息,请参阅配置身份策略.
由于只有通过身份策略身份验证收集的名称才能用于基于用户的访问控制策略,所以必须配置身份规则.
访问控制策略不能使用仅从RAVPN连接获取的、没有关联身份规则的用户名.
请注意,覆盖远程接入VPN用户的主动身份验证规则也足以收集所需的用户身份信息.
步骤3点击菜单中的部署按钮,然后点击立即部署按钮以部署更改.
远程接入VPN10远程接入VPN控制远程接入VPN组对资源的访问系统需要建立与目录服务器的连接并下载用户和用户组.
部署配置从下载用户/组开始.
如果不部署,则不可在访问控制规则中选择用户和组.
步骤4依次选择策略>访问控制,并创建基于组的访问控制规则.
现在,您即可创建访问控制规则来区分RAVPN用户的目录领域组.
您可以创建常用的规则,也可以创建有针对性的具体规则.
有关创建访问控制规则的信息,请参阅配置访问控制规则.
例如,根据"添加/编辑访问规则"对话框中的选项卡,针对特定RAVPN用户组的规则可能使用以下条件:源/目标、区域-源区域应包括RAVPN外部接口.
目标区域可以包括任何相关的内部接口.
源/目标、网络和端口-选择RAVPN地址池网络对象作为源网络,并选择定义受控资源的网络(或端口)对象作为目标网络/端口.
如果应用或URL更适合您的要求,您可以不选择目标网络/端口,而使用应用或URL选项卡来定义目标资源.
用户-在此选项卡上选择特定目录组.
这是提供基于组的访问控制的标准.
应用、URL-除源/目标选项卡上的目标网络/端口标准之外,您也可以使用这些标准.
例如,您可以选择网络对象将规则限制为特定子网,然后选择应用来控制对目标网络上这些应用的访问.
入侵策略、文件策略-选择符合您要求的选项.
这些选项可控制威胁,但不能控制对特定资源的访问.
日志记录-选择符合您要求的选项.
您必须启用日志记录,才能查看监控控制面板中的任何结果或事件查看器中的连接事件.
验证远程接入VPN配置在配置远程接入VPN并将该配置部署到设备后,请确认是否可以进行远程连接.
如果遇到问题,请阅读故障排除主题以帮助隔离和更正问题.
请参阅远程接入VPN故障排除,第13页.
过程步骤1在外部网络中,使用AnyConnect客户端建立VPN连接.
使用Web浏览器,打开https://ravpn-address,其中ravpn-address是您允许VPN连接的外部接口的IP地址或主机名.
如有必要,安装客户端软件并完成连接.
请参阅用户如何安装AnyConnect软件,第2页.
步骤2登录到设备CLI,如登录命令行界面(CLI)中所述.
或者,打开CLI控制台.
步骤3使用showvpn-sessiondb命令查看有关当前VPN会话的摘要信息.
统计信息应显示您的活动AnyConnect客户端会话以及有关累积会话、峰值并发会话数量和非活动会话的信息.
以下是该命令的输出示例.
远程接入VPN11远程接入VPN验证远程接入VPN配置>showvpn-sessiondbVPNSessionSummaryActive:Cumulative:PeakConcur:InactiveAnyConnectClient:1:49:3:0SSL/TLS/DTLS:1:49:3:0ClientlessVPN:0:1:1Browser:0:1:1TotalActiveandInactive:1TotalCumulative:50DeviceTotalVPNCapacity:10000DeviceLoad:0%TunnelsSummaryActive:Cumulative:PeakConcurrentClientless:0:1:1AnyConnect-Parent:1:49:3SSL-Tunnel:1:46:3DTLS-Tunnel:1:46:3Totals:3:142IPv6UsageSummaryActive:Cumulative:PeakConcurrentAnyConnectSSL/TLS/DTLS:::TunneledIPv6:1:20:2步骤4使用showvpn-sessiondbanyconnect命令查看有关当前AnyConnectVPN会话的详细信息.
详细信息包括使用的加密方式、传输和接收的字节数及其他统计信息.
如果使用VPN连接,随着您重新发出命令,您应可看到传输/接收的字节数会变化.
>showvpn-sessiondbanyconnectSessionType:AnyConnectUsername:priyaIndex:4820AssignedIP:172.
18.
0.
1PublicIP:192.
168.
2.
20AssignedIPv6:2009::1Protocol:AnyConnect-ParentSSL-TunnelDTLS-TunnelLicense:AnyConnectPremiumEncryption:AnyConnect-Parent:(1)noneSSL-Tunnel:(1)AES-GCM-256DTLS-Tunnel:(1)AES256Hashing:AnyConnect-Parent:(1)noneSSL-Tunnel:(1)SHA384DTLS-Tunnel:(1)SHA1BytesTx:27731BytesRx:14427GroupPolicy:MyRaVpn|PolicyTunnelGroup:MyRaVpnLoginTime:21:58:10UTCMonApr102017Duration:0h:51m:13sInactivity:0h:00m:00sVLANMapping:N/AVLAN:noneAudtSessID:c0a800fd012d400058ebfff2远程接入VPN12远程接入VPN验证远程接入VPN配置SecurityGrp:noneTunnelZone:0监控远程接入VPN要监控和故障排除远程接入VPN,请打开CLI控制台或登录设备CLI并使用以下命令.
showvpn-sessiondb显示有关VPN会话的信息.
您可以使用clearvpn-sessiondb命令重置这些统计信息.
showwebvpnkeyword显示的是远程接入VPN配置相关信息,包括统计信息和安装的AnyConnect映像.
输入showwebvpn查看可用关键字.
showaaa-server可显示用于远程接入VPN的目录服务器的统计信息.
远程接入VPN故障排除远程接入VPN连接问题可能源自客户端或Firepower威胁防御设备配置.
以下主题介绍您可能会遇到的主要故障排除问题.
SSL连接问题故障排除如果用户无法对外部IP地址进行初始非AnyConnectSSL连接以下载AnyConnect客户端,请执行以下操作:1.
从客户端工作站,验证能否对外部接口的IP地址执行ping命令.
如果不能,请确定从用户工作站到该地址无路由的原因.
2.
从客户端工作站,验证能否对外部接口(即远程接入[RA]VPN连接配置文件中定义的接口)的完全限定域名(FQDN)执行ping操作.
如果能够ping通IP地址但ping不通FQDN,则需要更新客户端和RAVPN连接配置文件使用的DNS服务器,添加该FQDN到IP地址的映射.
3.
验证用户是否接受外部接口提供的证书.
用户应该永久接受该证书.
4.
检查RAVPN连接配置,并验证您是否选择了正确的外部接口.
一个常见错误是选择了面向内部网络的内部接口,而不是面向RAVPN用户的外部接口.
5.
如果正确配置了SSL加密,请使用外部嗅探器来验证TCP三次握手是否成功.
AnyConnect下载和安装问题故障排除如果用户可以与外部接口建立SSL连接,但无法下载和安装AnyConnect软件包,请考虑以下方面:远程接入VPN13远程接入VPN监控远程接入VPN确保您已上传客户端操作系统适用的AnyConnect软件包.
例如,如果用户的工作站运行的是Linux,但您没有上传LinuxAnyConnect映像,就没有可安装的软件包.
对于Windows客户端,用户必须获有管理员权限才能安装软件.
对于Windows客户端,工作站必须启用ActiveX或安装JavaJRE1.
5或更高版本,推荐使用JRE7.
对于Safari浏览器,必须启用Java.
请尝试不同的浏览器,一种浏览器失败不意味着其他浏览器也会失败.
AnyConnect连接问题故障排除如果用户能够连接到外部接口、下载并安装AnyConnect客户端,然后却无法使用AnyConnect完成连接,请考虑以下方面:如果身份验证失败,请检验用户输入的用户名和密码是否正确,该用户名在身份验证服务器中的定义是否正确.
身份验证服务器还必须可以通过一个数据接口使用.
如果身份验证服务器在外部网络,则需要配置与该外部网络的站点间VPN连接,并将远程接入VPN接口地址包括在VPN中.
有关详细信息,请参阅如何通过远程接入VPN使用外部网络上的目录服务器,第22页.
注释如果在远程接入(RA)VPN连接配置文件中为外部接口配置了完全限定域名(FQDN),请验证能否从客户端设备ping通该FQDN.
如果能够ping通IP地址但ping不通FQDN,则需要更新客户端和RAVPN连接配置文件使用的DNS服务器,添加该FQDN到IP地址的映射.
如果使用的是为外部接口指定FQDN时生成的默认AnyConnect客户端配置文件,用户需要编辑服务器地址才能使用IP地址,直到DNS被更新.
验证用户是否接受外部接口提供的证书.
用户应该永久接受该证书.
如果用户的AnyConnect客户端包括多个连接配置文件,请检验其选择的连接配置文件是否正确.
如果客户端似乎一切正常,请与Firepower威胁防御设备建立SSH连接,并输入debugwebvpn命令.
检查尝试连接期间发出的消息.
RAVPN流量问题故障排除如果用户可以进行安全远程接入(RA)VPN连接,但无法发送和接收流量,请执行以下操作:1.
使客户端断开连接,然后重新连接.
有时此方法会消除问题.
2.
在AnyConnect客户端中,请检查流量统计信息以确定发送和接收的数据包计数器是否在增加.
如果接收的数据包计数保持为零,则Firepower威胁防御设备未返回任何流量.
这种情况下,Firepower威胁防御配置可能存在问题.
常见问题包括:远程接入VPN14远程接入VPNAnyConnect连接问题故障排除访问规则在阻止流量.
检查访问控制策略是否包含阻止内部网络与RAVPN地址池之间传递流量的规则.
如果您的默认操作是阻止流量,则可能需要创建一个显式"允许"规则.
RAVPN流量没有绕过NAT规则.
确保为每个内部接口的RAVPN连接配置NAT免除.
或者,确保NAT规则不会阻止内部网络和接口与RAVPN地址池和外部接口之间的通信.
路由配置错误.
确保定义的所有路由有效并在正常工作.
例如,如果您为外部接口定义了静态IP地址,请确保路由表包含默认路由(对于0.
0.
0.
0/0和::/0).
确保为RAVPN配置的DNS服务器和域名正确,并且客户端系统使用的是正确的DNS服务器和域名.
验证DNS服务器是否可访问.
如果在RAVPN中启用分割隧道,请检查到指定内部网络的流量是否通过该隧道,而所有其他流量则绕过该隧道(以使Firepower威胁防御设备不可见).
3.
与Firepower威胁防御设备建立SSH连接,并验证是否在为远程接入VPN发送和接收流量.
使用以下命令.
showwebvpnanyconnectshowvpn-sessiondb远程接入VPN示例以下是配置远程接入VPN的示例.
如何在外部接口上为远程接入VPN用户提供互联网访问权限(发夹方法)在远程接入VPN中,您可能希望远程网络用户通过您的设备访问互联网.
不过,这些远程用户进入设备所用的接口与访问互联网所用的接口(外部接口)相同,因此需要使互联网流量从外部接口退出.
这种技术有时候称为发夹方法.
下图展示了一个示例.
外部接口198.
51.
100.
1上配置了一个远程接入VPN.
您想要拆分远程用户的VPN隧道,以使退出的互联网流量重新回到外部接口,而流向内部网络的流量仍然流经设备.
因此,如果远程用户想要访问互联网上的某个服务器(例如www.
example.
com),连接会首先通过VPN,然后从198.
51.
100.
1接口路由回到互联网.
远程接入VPN15远程接入VPN远程接入VPN示例以下程序介绍如何配置此服务.
开始之前此示例假定您已经注册设备、应用远程接入VPN许可证并上传AnyConnect客户端映像,同时还假定您已配置身份领域,并且此领域也用于身份策略.
此外,此程序假定您使用了允许VPN流量的默认设置,使VPN流量受访问控制策略的限制.
在运行配置中,这由nosysoptconnectionpermit-vpn命令表示.
如果通过FlexConfig启用sysoptconnectionpermit-vpn,则无需执行这些步骤来配置访问控制规则.
过程步骤1配置远程接入VPN连接配置文件.
a)点击设备,然后点击"远程接入VPN"组中的设置连接配置文件.
(如果已对配置文件进行配置,请点击查看配置).
对于现有连接,点击编辑可修改配置文件.
b)配置连接配置文件设置:连接配置文件名称-输入名称,例如Corporate-RAVPN.
用于用户身份验证的身份源-选择用于远程用户身份验证的身份领域.
如果尚未配置身份领域,请点击下拉列表底部的创建新身份领域立即创建.
或者,可以使用LocalIdentitySource作为主要源或回退源.
AnyConnect软件包-上传适用于要支持的各个操作系统的AnyConnect客户端.
等待上传完成,然后再继续.
连接配置文件设置应类似于以下内容:远程接入VPN16远程接入VPN如何在外部接口上为远程接入VPN用户提供互联网访问权限(发夹方法)c)点击下一步,然后配置设备身份属性:设备身份证书-选择用于建立设备身份的内部证书.
客户端必须接受此证书才能完成安全的VPN连接.
如果您没有自己的证书,可以使用DefaultInternalCertificate.
外部接口-选择远程用户将要连接到的外部接口.
通常,此接口名为"outside".
外部接口的完全限定域名-如果外部接口有DNS名称,请在此输入.
例如,corporate-vpn.
example.
com.
页面的设备身份部分可能如下所示:远程接入VPN17远程接入VPN如何在外部接口上为远程接入VPN用户提供互联网访问权限(发夹方法)d)继续向下浏览页面,配置IPv4地址池和(可选)IPv6地址池.
选择用于标识网络的对象.
系统将从该池为远程接入VPN用户分配地址.
例如,指定10.
1.
10.
0/24的网络对象.
如果对象尚不存在,请点击列表底部的"创建新网络".
如果您支持这些地址,还要为IPv6配置池.
e)向下滚动页面,并配置远程连接的DNS设置.
输入所用DNS服务器的IP地址以及您的本地域名,例如example.
com.
您可以点击OpenDNS以使用开放式DNS服务器.
远程接入VPN18远程接入VPN如何在外部接口上为远程接入VPN用户提供互联网访问权限(发夹方法)f)点击下一步,向下滚动,并配置"公司资源"选项.
(您还可以配置横幅、连接时间与超时以及代理设置,但这些设置与发夹方法没有直接关系.
)以下设置对于远程接入VPN中能否使用发夹方法至关重要.
拆分隧道-禁用此功能.
您希望所有流量都通过VPN网关,而拆分隧道这种方法允许远程客户端直接访问VPN外部的本地或互联网站点.
NAT免除-启用此功能.
选择内部接口,然后选择定义内部网络的网络对象.
在本示例中,该对象应指定192.
168.
1.
0/24.
流向内部网络的RAVPN流量不会进行地址转换.
但是,应用发夹方法的流量通过外部接口传出,因此这些流量仍会进行NAT,因为NAT免除仅适用于内部接口.
g)(可选)选择AnyConnect客户端配置文件,然后点击下一步.
h)查看远程接入VPN配置,然后点击完成.
步骤2将NAT规则配置为将外部接口发出的所有连接转换到外部IP地址上的端口(接口PAT).
远程接入VPN19远程接入VPN如何在外部接口上为远程接入VPN用户提供互联网访问权限(发夹方法)完成初始设备配置后,系统将创建名为InsideOutsideNatRule的NAT规则.
此规则将接口PAT应用于任意接口上通过外部接口流出设备的IPv4流量.
由于外部接口包含在"任何"源接口中,因此,此规则已经存在,除非您对所需的规则进行编辑或将其删除.
以下程序介绍如何创建所需的规则.
a)依次点击策略>NAT.
b)执行以下操作之一:要编辑InsideOutsideNatRule,请将鼠标指针悬停在操作列上,然后点击编辑图标().
要创建新规则,请点击+.
c)配置规则的以下属性:名称-为新规则输入一个有意义且不含空格的名称.
例如,OutsideInterfacePAT.
创建规则的对象-手动NAT.
位置-自动NAT规则之前(默认).
类型-动态.
原始数据包-对于源地址,请选择"任何"或any-ipv4.
对于源接口,请确保选择"任何"(默认值).
对于所有其他"原始数据包"选项,请保留默认值"任何".
已转换的数据包-对于目标接口,请选择外部接口.
对于已转换的地址,请选择接口.
对于所有其他"已转换的数据包"选项,请保留默认值"任何".
下图展示了选择"任何"作为源地址时的简单情况.
远程接入VPN20远程接入VPN如何在外部接口上为远程接入VPN用户提供互联网访问权限(发夹方法)d)点击确定.
步骤3配置访问控制规则,以允许从远程接入VPN地址池进行访问.
在以下示例中,允许来自地址池的流量流至任何目标.
您可以根据自己的具体要求调整此选项.
也可以在此规则之前添加阻止规则,过滤掉不必要的流量.
a)依次点击策略>访问控制.
b)点击+创建新规则.
c)配置规则的以下属性:顺序-在策略中选择一个位置,此位置应位于可能会匹配并阻止这些连接的任何其他规则之前.
默认情况下,会将该规则添加到策略的末尾.
如果稍后需要重新调整规则的位置,可以编辑此选项,也可以直接将规则拖放到表格中相应的位置.
名称-输入一个有意义且不含空格的名称.
例如,RAVPN-address-pool.
操作-允许.
如果不希望对此流量执行协议违规检测或入侵检测,可以选择"信任".
源/目标选项卡-对于源>网络,请选择在远程接入VPN连接配置文件中用于地址池的同一对象.
对于所有其他"源"和"目标"选项,请保留默认值"任何".
远程接入VPN21远程接入VPN如何在外部接口上为远程接入VPN用户提供互联网访问权限(发夹方法)应用、URL和用户选项卡-保留这些选项卡的默认设置,即不做任何选择.
入侵、文件选项卡-(可选)您可以选择入侵或文件策略,以进行威胁或恶意软件检测.
日志记录选项卡-(可选)您可以选择启用连接日志记录.
d)单击OK.
步骤4确认您的更改.
a)点击网页右上角的部署更改图标.
b)点击立即部署按钮.
您可以等待部署完成,也可以点击确定,稍后再检查任务列表或部署历史记录.
如何通过远程接入VPN使用外部网络上的目录服务器您可以配置远程接入VPN,以便移动员工和远程办公人员安全地连接到内部网络.
此连接的安全性取决于您的目录服务器,该目录服务器对用户连接进行身份验证,以确保仅授权用户才能登录.
如果您的目录服务器位于外部网络而非内部网络上,则需要配置从外部接口到包含目录服务器的网络的站点间VPN连接.
站点间VPN配置有一个诀窍:您必须将远程接入VPN设备的外部接口地址包括在站点间VPN连接的"内部"网络内,还必须将其包括在目录服务器所在设备的远程网络中.
后续程序会对此加以说明.
如果使用数据接口作为虚拟管理接口的网关,此配置还允许将目录用于身份策略.
如果不使用数据接口作为管理网关,请确保存在从管理网络到参与站点间VPN连接的内部网络的路由.
注释此使用案例实施以下网络场景.
远程接入VPN22远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器说明图中标注与192.
168.
4.
6建立VPN连接的远程访问主机.
客户端将在172.
18.
1.
0/24地址池中获得一个地址.
1站点A,托管远程接入VPN.
2站点A和站点BFTD设备的外部接口之间的站点间VPN隧道.
3站点B,托管目录服务器.
4目录服务器,位于站点B的内部网络上.
5开始之前此使用案例假定您按照设备安装向导进行了正常的基准配置.
具体包括:有一条Inside_Outside_Rule访问控制规则,允许(或信任)从inside_zone到outside_zone的流量.
inside_zone和outside_zone安全区(分别)包含内部和外部接口.
有一个InsideOutsideNATRule,对从内部接口到外部接口的所有流量执行接口PAT.
对于默认情况下使用内部桥接组的设备,可能存在多个接口PAT规则.
存在0.
0.
0.
0/0的一条静态IPv4路由,指向外部接口.
此示例假定您对外部接口使用静态IP地址,但也可以使用DHCP动态获取静态路由.
在本示例中,我们假定采用以下静态路由:站点A:外部接口,网关为192.
168.
4.
254.
站点B:外部接口,网关为192.
168.
2.
254.
远程接入VPN23远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器过程步骤1配置站点B(托管目录服务器)上的站点间VPN连接.
a)点击设备,然后点击站点间VPN组中的查看配置.
b)点击+按钮.
c)为终端设置配置以下选项.
连接配置文件名称-输入名称,例如SiteA(表示连接到站点A).
本地站点-这些选项定义本地终端.
本地VPN访问接口-选择外部接口(图表中地址为192.
168.
2.
1的那一个接口).
本地网络-点击+并选择标识应参与VPN连接的本地网络的网络对象.
由于目录服务器在此网络上,因此可以参与站点间VPN.
假定该对象尚不存在,点击创建新网络并为192.
168.
1.
0/24网络配置对象.
在保存对象后,在下拉列表中选择它并点击确定.
远程站点-这些选项定义远程终端.
远程IP地址-输入192.
168.
4.
6,这是将托管VPN连接的远程VPN对等体接口的IP地址.
远程网络-点击+并选择标识应参与VPN连接的远程网络的网络对象.
点击创建新网络,配置以下对象,然后在列表中选择它们.
1.
SiteAInside,网络,192.
168.
3.
0/24.
远程接入VPN24远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器2.
SiteAInterface,主机,192.
168.
4.
6.
这是关键:您必须将远程接入VPN连接点地址作为站点间VPN连接的远程网络的一部分,以便该接口上托管的RAVPN可以使用目录服务器.
完成后,终端设置应如下所示:远程接入VPN25远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器d)点击下一步.
e)定义VPN的隐私配置.
在本使用案例中,我们假定您符合出口控制功能的要求,允许使用强加密.
调整这些示例设置以满足您的需求和许可证合规性.
IKE版本2、IKE版本1-保留默认设置,启用IKE版本2,禁用IKE版本1.
IKE策略-点击编辑并启用AES-GCM-NULL-SHA和AES-SHA-SHA,禁用DES-SHA-SHA.
IPsec提议-点击编辑.
在"选择IPSec提议"对话框中,点击+,然后点击设置默认值以选择默认AES-GCM提议.
本地预共享密钥、远程对等体预共享密钥-输入此设备和远程设备上为VPN连接定义的密钥.
这些密钥在IKEv2中可能不同.
该密钥可以有1至127个字母数字字符.
记住这些密匙,因为在站点A设备上创建站点间VPN连接时,必须配置相同的字符串.
IKE策略应如下所示:远程接入VPN26远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器f)配置其他选项.
NAT免除-选择托管内部网络的接口,在本示例中为内部接口.
通常,您不希望站点间VPN隧道中的流量转换其IP地址.
此选项仅在本地网络驻留在单个路由接口(而非桥接组成员)后时有用.
如果本地网络位于多个路由接口或一个或多个桥接组成员之后,则必须手动创建NAT免除规则.
有关手动创建所需规则的信息,请参阅使站点间VPN流量豁免NAT.
完美前向保密的Diffie-Hellman组-选择第19组.
此选项决定是否使用完美前向保密(PFS)为每个加密交换生成和使用唯一会话密钥.
唯一会话密钥可保护交换免于后续解密,即使整个交换已被记录且攻击者已经获得终端设备使用的预共享密钥或私钥.
有关选项的说明,请查看决定要使用的Diffie-Hellman模数组.
该选项应如下所示:远程接入VPN27远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器g)点击下一步.
h)查看摘要并点击完成.
摘要信息将复制到剪贴板.
您可以将这些信息粘贴到文档中,并使用它来帮助您配置远程对等体,或将其发送到负责配置对等体的一方.
i)点击网页右上角的部署更改图标.
j)点击立即部署按钮,并等待部署成功完成.
现在,站点B设备已准备好托管站点间VPN连接的一端.
步骤2注销站点B设备并登录站点A设备.
步骤3配置站点A(托管远程接入VPN)上的站点间VPN连接.
a)点击设备,然后点击站点间VPN组中的查看配置.
b)点击+按钮.
c)为终端设置配置以下选项.
连接配置文件名称-输入名称,例如SiteB(表示连接到站点B).
本地站点-这些选项定义本地终端.
本地VPN接入接口-选择外部接口(图表中地址为192.
168.
4.
6的那一个接口).
本地网络-点击+并选择标识应参与VPN连接的本地网络的网络对象.
点击创建新网络,配置以下对象,然后在列表中选择它们.
注意,您已在站点B设备中创建相同的对象,但是您必须在站点A设备中重新创建它们.
1.
SiteAInside,网络,192.
168.
3.
0/24.
远程接入VPN28远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器2.
SiteAInterface,主机,192.
168.
4.
6.
这是关键:您必须将远程接入VPN连接点地址作为站点间VPN连接的内部网络的一部分,以便该接口上托管的RAVPN可以使用远程网络上的目录服务器.
远程站点-这些选项定义远程终端.
远程IP地址-输入192.
168.
2.
1,这是将托管VPN连接的远程VPN对等体接口的IP地址.
远程接入VPN29远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器远程网络-点击+并选择标识应该参与VPN连接的远程网络的网络对象(包含目录服务器的VPN连接).
点击创建新网络并为192.
168.
1.
0/24网络配置对象.
在保存对象后,在下拉列表中选择它并点击确定.
注意,您已在站点B设备中创建相同的对象,但是您必须在站点A设备中重新创建它.
完成后,终端设置应如下所示.
请注意,与站点B设置相比,本地/远程网络是相反的.
点对点连接的两端看起来应始终是这样的.
d)点击下一步.
e)定义VPN的隐私配置.
远程接入VPN30远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器与站点B连接一样,配置相同的IKE版本、策略和IPsec提议,以及相同的预共享密钥,但请确保调换本地和远程预共享密钥.
IKE策略应如下所示:f)配置其他选项.
NAT免除-选择托管内部网络的接口,在本示例中为内部接口.
通常,您不希望站点间VPN隧道中的流量转换其IP地址.
此选项仅在本地网络驻留在单个路由接口(而非桥接组成员)后时有用.
如果本地网络位于多个路由接口或一个或多个桥接组成员之后,则必须手动创建NAT免除规则.
有关手动创建所需规则的信息,请参阅使站点间VPN流量豁免NAT.
完美前向保密的Diffie-Hellman组-选择第19组.
该选项应如下所示:远程接入VPN31远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器g)点击下一步.
h)查看摘要并点击完成.
i)点击网页右上角的部署更改图标.
j)点击立即部署按钮,并等待部署成功完成.
现在,站点A设备已准备好托管站点间VPN连接的另一端.
由于站点B已经配置了兼容设置,因此两台设备应该协商VPN连接.
您可以登录设备CLI并对目录服务器进行ping测试,从而确认连接.
您也可以使用showipsecsa命令查看会话信息.
步骤4在站点A上配置目录服务器.
点击测试验证是否有连接.
a)选择对象,然后从目录中选择身份源.
b)点击+>AD.
c)配置基本领域属性.
名称-目录领域的名称.
例如,AD.
类型-目录服务器的类型.
ActiveDirectory是唯一支持的类型,所以无法更改此字段.
目录用户名、目录密码-用户的标识名称和密码,该用户具备访问您要检索的用户信息的适当权限.
对于ActiveDirectory,用户不需要更高的权限.
您可以在域中指定任何用户.
用户名必须是完全限定的;例如,Administrator@example.
com(而不仅仅是Administrator).
系统使用此信息生成ldap-login-dn和ldap-login-password.
例如,Administrator@example.
com被转换为cn=adminisntrator、cn=users、dc=example、dc=com.
请注意,cn=users始终是此转换的一部分,因此您必须在公用名"users"文件夹下配置此处指定的用户.
注释基准DN(BaseDN)-用于搜索或查询用户和组信息的目录树,即用户和组的公共父项.
例如,cn=users、dc=example、dc=com.
有关查找基准DN的信息,请参阅确定目录基准标识名.
AD主域-设备应加入的ActiveDirectory完全限定域名.
例如example.
com.
远程接入VPN32远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器d)配置目录服务器属性.
主机名/IP地址-目录服务器的主机名或IP地址.
如果以加密方式连接到服务器,则必须输入完全限定域名,而非IP地址.
在本例中,输入192.
168.
1.
175.
端口-用于与服务器通信的端口号.
默认值为389.
如果选择LDAPS作为加密方法,请使用端口636.
在本例中,保留389.
加密-使用加密连接下载用户和组信息.
系统默认为无,也就是说以明文形式下载用户和组信息.
对于RAVPN,您可以使用LDAPS,即基于SSL的LDAP.
如果选择此选项,则使用端口636.
RAVPN不支持STARTTLS.
对于此示例,选择无.
受信任的CA证书-如果选择加密方法,请上传证书颁发机构(CA)证书以便在系统和目录服务器之间启用受信任的连接.
如果要使用证书进行身份验证,则证书中的服务器名称必须与服务器主机名/IP地址匹配.
例如,如果使用192.
168.
1.
175作为IP地址,但证书中的地址为ad.
example.
com,则连接会失败.
e)点击测试按钮验证系统是否可以与服务器通信.
系统使用单独的进程访问服务器,因此您可能会收到错误通知,指出连接适用于一种用途而不适用于另一种用途,例如可用于身份策略,但不可用于远程接入VPN.
如果无法访问服务器,请确认IP地址和主机名正确、DNS服务器具有该主机名的条目等.
另外,验证站点间VPN连接是否正常工作,并且您在VPN中包含了站点A的外部接口地址,并且NAT不会转换目录服务器的流量.
您可能还需要为服务器配置静态路由.
远程接入VPN33远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器f)点击确定.
步骤5依次点击设备>智能许可证>查看配置,然后启用RAVPN许可证.
启用RAVPN许可证时,请选择您购买的许可证类型:Plus、Apex(或两者)或仅VPN.
有关详细信息,请参阅远程接入VPN的许可要求,第3页.
步骤6在站点A上配置远程接入VPN.
a)点击设备,然后点击"远程接入VPN"组中的设置连接配置文件.
b)定义AnyConnect客户端配置.
连接配置文件名称-此连接的名称,最多50个字符,不能含空格.
例如,MainOffice.
不能将IP地址用作名称.
您在此输入的名称将是用户在AnyConnect客户端的连接列表中看到的名称.
选择一个对您的用户来说有意义的名称.
注释用户身份验证的身份源-选择目录领域.
或者,您可以选择本地数据库作为回退身份源.
AnyConnect软件包-您将在此VPN连接上支持的AnyConnect完整安装软件映像.
对于每个软件包,文件名(包括扩展名)不能超过60个字符.
可以为Windows、Mac和Linux终端上传单独的软件包.
从software.
cisco.
com下载软件包(页面底部右侧位置有链接).
如果终端尚未安装正确的软件包,系统会提示用户在用户验证后下载并安装软件包.
远程接入VPN34远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器c)点击下一步.
d)定义设备身份和客户端寻址配置.
设备身份证书-选择DefaultInternalCertificate.
这是用于建立设备身份的内部证书.
客户端必须接受此证书才能完成安全的VPN连接.
如果您要使用其他证书,请在下拉列表中点击创建新的内部证书,并上传相应证书.
外部接口-选择外部,即IP地址为192.
168.
4.
6的接口.
这是用户在远程接入VPN连接时要连接的接口.
远程接入VPN35远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器外部接口的完全限定域名-接口的名称,例如ravpn.
example.
com.
如果指定名称,系统可以为您创建一个客户端配置文件.
在本例中,我们将它留空.
您要确保VPN中和客户端使用的DNS服务器可以将此名称解析为外部接口的IP地址.
将FQDN添加到相关DNS服务器.
注释IPv4、IPv6地址池-这些选项为远程终端定义地址池.
对于本示例,在IPv4地址池中选择创建新的网络并为172.
18.
1.
0/24网络创建一个对象,然后选择对象.
从该地址池中为客户端分配地址.
将IPv6池留空.
地址池不能与外部接口的IP地址位于同一子网.
该对象应如下所示:该地址池规范应如下所示:主要、辅助DNS服务器-在此示例中,点击OpenDNS按钮以使用OpenDNS公共DNS服务器加载这些字段.
当连接VPN时,RAVPN客户端使用这些DNS服务器客户端进行域名解析.
或者,输入您的DNS服务器的IP地址.
域搜索名称-为您的网络输入域名,例如example.
com.
此域将被添加到非完全限定的主机名,例如serverA而不是serverA.
example.
com.
远程接入VPN36远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器e)点击下一步.
f)定义连接设置以自定义AnyConnect客户端行为.
保留所有选项的默认设置,因为它们适用于大多数网络.
由于选择了NAT免除,您需要配置以下选项:内部接口-选择内部接口.
这些是远程用户将要访问的内部网络的接口.
所创建的NAT规则用于这些接口.
内部网络-选择SiteAInside网络对象.
这些是代表远程用户将访问的内部网络的网络对象.
g)点击下一步.
h)审核摘要.
首先,验证摘要是否正确.
远程接入VPN37远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器然后,点击说明查看终端用户初步安装AnyConnect软件需要做什么,并测试他们是否可以完成VPN连接.
点击复制以将这些说明复制到剪贴板,然后将它们粘贴在文本文件或邮件中.
i)点击完成.
步骤7点击网页右上角的部署更改图标.
步骤8点击立即部署按钮,并等待部署成功完成.
现在,站点A设备已准备好接受RAVPN连接.
让外部用户安装AnyConnect客户端并完成VPN连接.
您可以登录设备CLI并使用showvpn-sessiondbanyconnect命令查看会话信息,从而确认连接.
远程接入VPN38远程接入VPN如何通过远程接入VPN使用外部网络上的目录服务器