通过ASA配置和部署AnyConnect网络安全

简介

本文档介绍如何为终止于思科自适应安全设备(ASA)的基于客户端的VPN部署AnyConnect网络安全模块。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

• 在ASA上上传Anyconnect（建议v4.1+）映像

• 在ASA上启用VPN配置文件，如图所示

配置

通过ASA进行Anyconnect网络安全部署

配置中涉及的步骤包括：

• 配置Anyconnect网络安全客户端配置文件
• 编辑Anyconnect VPN组策略
• 为Web Security设置拆分排除并选择下载网络安全客户端模块  
• 编辑Anyconnect VPN组策略并选择网络安全客户端配置文件

步骤1:配置Anyconnect网络安全客户端配置文件

导航到配置>删除接入VPN >网络（客户端）接入> Anyconnect客户端配置文件，点击

添加并选择AnyConnect网络安全客户端配置文件(AnyConnect Web Security Client Profile)。

注意：配置文件名称在客户端是硬编码的，因此，无论配置的名称如何，ASA始终将Websecurity_serviceprofile.wso推送到客户端。

注意：这是没有身份验证许可证密钥的默认配置文件。

第二步：编辑新创建的配置文件以添加身份验证许可证密钥并自定义配置。

第三步：为网络安全设置拆分排除并选择下载网络安全客户端模块

编辑Anyconnect VPN组策略，如图所示。 

如图所示，为网络安全设置拆分排除。

  选择下载网络安全客户端模块，如图所示。

第四步：下载网络安全客户端配置文件

编辑Anyconnect VPN组策略>要下载的客户端配置文件>添加，然后选择创建的配置文件（如步骤1所示）

点击OK并应用更改。

验证

连接到Anyconnect VPN时，ASA会通过VPN推送Anyconnect网络安全模块，如图所示。

如果您已经登录，则建议先注销，然后重新登录以启用该功能。

升级/降级Anyconnect版本

如果升级了版本，部署功能保持不变。但是，降级是不可能的。因此，使用当前的4.1.x示例，可以将其升级到版本4.2

具体步骤如下：

步骤1:将最新的Anyconnect软件包4.2上传到闪存并使用最新文件替换4.1。

在Anyconnect Client Software > Replace下，然后选择最近的映像文件。

第二步：当您重新连接到Anyconnect VPN时，ASA将通过VPN推送最新的Anyconnect模块，而不更改网络安全配置文件。

注意：不支持降级。

故障排除

本部分提供了可用于对配置进行故障排除的信息。

使用DART收集故障排除信息：

DART是AnyConnect诊断和报告工具，可用于收集有助于排除AnyConnect安装和连接问题的数据。DART支持Windows 7、Windows Vista、Windows XP、Mac版本10.5和10.6以及Linux Redhat。DART向导在运行AnyConnect的计算机上运行。它汇集日志、状态和诊断信息以进行思科技术支持中心(TAC)分析，不需要管理员权限。

虽然DART不依赖于AnyConnect软件的任何组件运行，但您可以从AnyConnect启动它，它会收集AnyConnect日志文件（如果可用）。目前，DART可以作为独立安装提供，或者管理员可以将此应用推送至客户端PC，作为AnyConnect动态下载基础设施的一部分。安装完成后，最终用户可从Cisco文件夹(可通过Start按钮获得)启动向导。