إستخدام AnyConnect لتكوين SSL VPN الأساسي لنقطة الاستقبال للموجه باستخدام CLI

crypto vpn annyconnect profile SSLVPN_PROFILE flash:test-profile.xml

تلميح: في إصدارات Cisco IOS الأقدم من 15.2(1)T، يلزم إستخدام هذا الأمر: webvpn import svc profile <profile_name> flash:<profile.xml>.

تحت السياق، أستخدم هذا الأمر لربط ملف التعريف بذلك السياق:

webvpn context SSLVPN_CONTEXT
 policy group SSLVPN_POLICY
 svc profile SSLVPN_PROFILE

ملاحظة: أستخدم أداة بحث الأوامر للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

بمجرد اكتمال التكوين، عند الوصول إلى عنوان البوابة والمنفذ بواسطة المستعرض، فإنه يرجع إلى صفحة بداية WebVPN:

بعد تسجيل الدخول، تظهر الصفحة الرئيسية ل WebVPN. من هناك، انقر Tunnel Connection (AnyConnect). عند إستخدام Internet Explorer، يتم إستخدام ActiveX لتنزيل عميل AnyConnect وتثبيته. في حالة عدم اكتشافه، يتم إستخدام Java بدلا من ذلك. تستخدم كافة المستعرضات الأخرى Java على الفور.

بمجرد اكتمال التثبيت، يحاول AnyConnect تلقائيا الاتصال ببوابة WebVPN. مع إستخدام شهادة موقعة ذاتيا للعبارة لتعريف نفسها، تظهر تحذيرات متعددة للشهادة أثناء محاولة التوصيل. هذه متوقعة ويجب قبولها لمتابعة الاتصال. لتجنب تحذيرات الترخيص هذه، يجب أن تكون الشهادة ذاتية التوقيع المقدمة مثبتة في مخزن الشهادات الموثوق به الخاص بجهاز العميل، أو إذا تم إستخدام شهادة جهة خارجية، فيجب أن تكون شهادة المرجع المصدق في مخزن الشهادات الموثوق به.

عندما ينتهي الاتصال من التفاوض، انقر على gear الرمز الموجود في أسفل يسار AnyConnect، وهو يعرض بعض المعلومات المتقدمة حول الاتصال. في هذه الصفحة، من الممكن عرض بعض إحصائيات الاتصال وتفاصيل المسار التي تم الوصول إليها من قائمة التحكم في الوصول (ACL) الخاصة بالنفق المقسم في تكوين "نهج المجموعة".

وفيما يلي نتيجة التكوين النهائي للتشغيل من خطوات التكوين:

crypto pki trustpoint SSLVPN_TP_SELFSIGNED enrollment selfsigned serial-number subject-name cn=892_SELF_SIGNED_CERT revocation-check none rsakeypair SELF_SIGNED_RSA ! crypto vpn anyconnect flash:/webvpn/anyconnect-win-3.1.08009-k9.pkg sequence 1
crypto vpn anyconnect profile SSLVPN_PROFILE flash:test-profile.xml ! access-list 1 permit 192.168.0.0 0.0.255.255 ! ip local pool SSLVPN_POOL 192.168.10.1 192.168.10.10 ! webvpn gateway SSLVPN_GATEWAY ip address 10.165.201.1 port 443 ssl trustpoint SSLVPN_TP_SELFSIGNED inservice ! webvpn context SSLVPN_CONTEXT virtual-template 1
 aaa authentication list SSLVPN_AAA 
 gateway SSLVPN_GATEWAY
 ! ssl authenticate verify all inservice ! policy group SSLVPN_POLICY functions svc-enabled svc address-pool "SSLVPN_POOL" netmask 255.255.255.0 svc split include acl 1 svc dns-server primary 8.8.8.8
 svc profile SSLVPN_PROFILE default-group-policy SSLVPN_POLICY

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

هناك عدد قليل من المكونات المشتركة للتحقق منها عند أستكشاف أخطاء اتصال AnyConnect وإصلاحها:

• بما أن العميل يجب أن يقدم شهادة، فمن الضروري أن تكون الشهادة المحددة في بوابة WebVPN صحيحة. لإصدار show crypto pki certificateيعرض معلومات تتعلق بجميع الشهادات على الموجه.
• عند إجراء تغيير على تكوين WebVPN، فمن أفضل الممارسات إصدار no inservice وعلى كل inservice من البوابة والسياق. وهذا يضمن أن التغييرات ستدخل حيز التنفيذ بشكل صحيح.
• كما تمت الإشارة مسبقا، يلزم توفر وحدة PKG خاصة ب AnyConnect لكل نظام تشغيل عميل يتصل بهذه البوابة. على سبيل المثال، تتطلب عملاء Windows PKG لنظام Windows، ويتطلب عملاء Linux إصدار 32 بت PKG لنظام Linux إصدار 32 بت، وهكذا.
• عندما تضع في الاعتبار كلا من عميل AnyConnect وشبكة WebVPN المستندة إلى المستعرض لاستخدام SSL، فإن القدرة على الوصول إلى صفحة ترحيل WebVPN تشير بشكل عام إلى أن AnyConnect قادر على الاتصال (على افتراض أن تكوين AnyConnect المناسب صحيح).

يوفر Cisco IOS خيارات تصحيح أخطاء WebVPN متنوعة يمكن إستخدامها لاستكشاف أخطاء الاتصالات الفاشلة وإصلاحها. هذا هو المخرج الذي تم إنشاؤه من تصحيح أخطاء WebVPN AAA ونفق تصحيح الأخطاء WeVPN وجلسة عرض WebVPN عند محاولة اتصال ناجحة:

fdenofa-892#show debugging WebVPN Subsystem: WebVPN AAA debugging is on WebVPN tunnel debugging is on WebVPN Tunnel Events debugging is on WebVPN Tunnel Errors debugging is on *May 26 20:11:06.381: WV-AAA: Nas Port ID set to 192.168.157.2. *May 26 20:11:06.381: WV-AAA: AAA authentication request sent for user: "VPNUSER"AAA returned status: 2 for session 37 *May 26 20:11:06.381: WV-AAA: AAA Authentication Passed! *May 26 20:11:06.381: WV-AAA: User "VPNUSER" has logged in from "192.168.157.2" to gateway "SSLVPN_GATEWAY" context "SSLVPN_CONTEXT" *May 26 20:11:12.265: *May 26 20:11:12.265: *May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] CSTP Version recd , using 1 *May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Allocating IP 192.168.10.9 from address-pool SSLVPN_POOL *May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Using new allocated IP 192.168.10.9 255.255.255.0 *May 26 20:11:12.265: Inserting static route: 192.168.10.9 255.255.255.255 Virtual-Access2 to routing table *May 26 20:11:12.265: [WV-TUNL-EVT]:[8A3AE410] Full Tunnel CONNECT request processed, HTTP reply created *May 26 20:11:12.265: HTTP/1.1 200 OK *May 26 20:11:12.265: Server: Cisco IOS SSLVPN *May 26 20:11:12.265: X-CSTP-Version: 1 *May 26 20:11:12.265: X-CSTP-Address: 192.168.10.9 *May 26 20:11:12.269: X-CSTP-Netmask: 255.255.255.0 *May 26 20:11:12.269: X-CSTP-Keep: false *May 26 20:11:12.269: X-CSTP-DNS: 8.8.8.8 *May 26 20:11:12.269: X-CSTP-Lease-Duration: 43200 *May 26 20:11:12.269: X-CSTP-MTU: 1280 *May 26 20:11:12.269: X-CSTP-Split-Include: 192.168.0.0/255.255.0.0 *May 26 20:11:12.269: X-CSTP-DPD: 300 *May 26 20:11:12.269: X-CSTP-Disconnected-Timeout: 2100 *May 26 20:11:12.269: X-CSTP-Idle-Timeout: 2100 *May 26 20:11:12.269: X-CSTP-Session-Timeout: 0 *May 26 20:11:12.269: X-CSTP-Keepalive: 30 *May 26 20:11:12.269: X-DTLS-Session-ID: 85939A3FE33ABAE5F02F8594D56DEDE389F6FB3C9EEC4D211EB71C0820DF8DC8 *May 26 20:11:12.269: X-DTLS-Port: 443 *May 26 20:11:12.269: X-DTLS-Header-Pad-Length: 3 *May 26 20:11:12.269: X-DTLS-CipherSuite: AES256-SHA *May 26 20:11:12.269: X-DTLS-DPD: 300 *May 26 20:11:12.269: X-DTLS-KeepAlive: 30 *May 26 20:11:12.269: *May 26 20:11:12.269: *May 26 20:11:12.269: *May 26 20:11:12.269: [WV-TUNL-EVT]:[8A3AE410] For User VPNUSER, DPD timer started for 300 seconds *May 26 20:11:12.273: [WV-TUNL-EVT]:[8A3AE410] CSTP Control, Recvd a Req Cntl Frame (User VPNUSER, IP 192.168.10.9) Severity ERROR, Type CLOSE_ERROR Text: reinitiate tunnel to negotiate a different MTU *May 26 20:11:12.273: [WV-TUNL-EVT]:[8A3AE410] CSTP Control, Recvd Close Error Frame *May 26 20:11:14.105: *May 26 20:11:14.105: *May 26 20:11:14.105: [WV-TUNL-EVT]:[8A3AE690] CSTP Version recd , using 1 *May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Tunnel Client reconnecting removing existing tunl ctx *May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE410] Closing Tunnel Context 0x8A3AE410 for Session 0x8A3C2EF8 and User VPNUSER *May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Reusing IP 192.168.10.9 255.255.255.0 *May 26 20:11:14.109: Inserting static route: 192.168.10.9 255.255.255.255 Virtual-Access2 to routing table *May 26 20:11:14.109: [WV-TUNL-EVT]:[8A3AE690] Full Tunnel CONNECT request processed, HTTP reply created *May 26 20:11:14.109: HTTP/1.1 200 OK *May 26 20:11:14.109: Server: Cisco IOS SSLVPN *May 26 20:11:14.109: X-CSTP-Version: 1 *May 26 20:11:14.109: X-CSTP-Address: 192.168.10.9 *May 26 20:11:14.109: X-CSTP-Netmask: 255.255.255.0 *May 26 20:11:14.109: X-CSTP-Keep: false *May 26 20:11:14.109: X-CSTP-DNS: 8.8.8.8 *May 26 20:11:14.113: X-CSTP-Lease-Duration: 43200 *May 26 20:11:14.113: X-CSTP-MTU: 1199 *May 26 20:11:14.113: X-CSTP-Split-Include: 192.168.0.0/255.255.0.0 *May 26 20:11:14.113: X-CSTP-DPD: 300 *May 26 20:11:14.113: X-CSTP-Disconnected-Timeout: 2100 *May 26 20:11:14.113: X-CSTP-Idle-Timeout: 2100 *May 26 20:11:14.113: X-CSTP-Session-Timeout: 0 *May 26 20:11:14.113: X-CSTP-Keepalive: 30 *May 26 20:11:14.113: X-DTLS-Session-ID: 22E54D9F1F6344BCB5BB30BC8BB3737907795E6F3C3665CDD294CBBA1DA4D0CF *May 26 20:11:14.113: X-DTLS-Port: 443 *May 26 20:11:14.113: X-DTLS-Header-Pad-Length: 3 *May 26 20:11:14.113: X-DTLS-CipherSuite: AES256-SHA *May 26 20:11:14.113: X-DTLS-DPD: 300 *May 26 20:11:14.113: X-DTLS-KeepAlive: 30 *May 26 20:11:14.113: *May 26 20:11:14.113: *May 26 20:11:14.113: *May 26 20:11:14.113: [WV-TUNL-EVT]:[8A3AE690] For User VPNUSER, DPD timer started for 300 seconds fdenofa-892#show webvpn session user VPNUSER context SSLVPN_CONTEXT Session Type : Full Tunnel Client User-Agent : AnyConnect Windows 3.1.08009 Username : VPNUSER Num Connection : 5 Public IP : 192.168.157.2 VRF Name : None Context : SSLVPN_CONTEXT Policy Group : SSLVPN_POLICY Last-Used : 00:00:00 Created : *16:11:06.381 EDT Tue May 26 2015 Session Timeout : Disabled Idle Timeout : 2100 DNS primary serve : 8.8.8.8 DPD GW Timeout : 300 DPD CL Timeout : 300 Address Pool : SSLVPN_POOL MTU Size : 1199 Rekey Time : 3600 Rekey Method : Lease Duration : 43200 Tunnel IP : 192.168.10.9 Netmask : 255.255.255.0 Rx IP Packets : 0 Tx IP Packets : 42 CSTP Started : 00:00:13 Last-Received : 00:00:00 CSTP DPD-Req sent : 0 Virtual Access : 2 Msie-ProxyServer : None Msie-PxyPolicy : Disabled Msie-Exception : Split Include : ACL 1 Client Ports : 17462 17463 17464 17465 17471

معلومات ذات صلة

• دليل تكوين SSL VPN، Cisco IOS، الإصدار 15M&T
• عميل AnyConnect VPN (SSL) على موجه IOS باستخدام مثال تكوين CCP
• الدعم التقني والمستندات - Cisco Systems