El cliente VPN de AnyConnect en el router IOS con la zona IOS basó el ejemplo de la configuración de escudo de protección de la directiva

Documentos relacionados
Configuración de IPSec entre tres routers mediante el uso de direcciones privadas

Autenticación de servidor alterno de autenticación saliente - Ningún Firewall Cisco IOS o configuración del NAT

Configurando a túnel IPSec de red privada a privada del router con el NAT y los parásitos atmosféricos

Configuración de una red privada a privada con túnel de router IPsec con NAT y estático

NAT en el ejemplo de configuración del Switches del Catalyst 6500/6000

Configurando el IPSec - Claves comodín previamente compartidas con el Cliente Cisco Secure VPN y los Config Ninguno-MODE

Ejemplo de la Configuración IOS de Thin-Client SSL VPN (WebVPN) con SDM

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

NAT en el ejemplo de configuración del Switches del Catalyst 6500/6000

El configurar autenticación de RADIUS a través del motor caché de Cisco

Configurar el hub and spoke del router a router del IPSec

S TP y inspección de conexiones ESMTP con el ejemplo de configuración del Firewall Cisco IOS

Contenido. Introducción. Prerequisites. Requisitos

En este ejemplo, dos Puentes Cisco Aironet de la serie 350 establece el WEP; el dos Routers configura un túnel IPsec.

IPSec claves generadas manualmente entre el ejemplo de configuración del Routers

RADIUS avanzado para clientes de marcado manual PPP

DOCUMENTACION ACTIVIDAD

Router IOS como Easy VPN Server usando el ejemplo de configuración del profesional de la configuración

Configuración de WPA/WPA2 con la clave previamente compartida: IOS 15.2JB y posterior

Utilice el NAT para ocultar el IP Address real del ONS15454 para establecer a una sesión CTC

Conexión VPN con el ejemplo de configuración Zona-basado del router de escudo de protección

CASO DE SEGUIMIENTO: NO PROBLEMAS EN INSTALACION/MANTENIMIENTO: SI, Claro Planta Externa - Medio

PIX 6.x: IPSec dinámico entre un router IOS estáticamente dirigido y el firewall PIX dinámicamente dirigido con el ejemplo de la configuración del NAT

Configurar un ADSL WIC del Cisco 1700/2600/3600 (interfaz sin numerar) con el RFC1483 que rutea usando el protocol ip del AAL5SNAP

Balanceo de carga IOS NAT para dos Conexiones ISP

NetFlow Flexible que filtra con el monitor de rendimiento

Configuración de PIX Firewall con Acceso al servidor de correo en una red externa.

CWS en el tráfico ASA a los servidores internos bloqueados

Configuración del balance de carga del servidor FTP por medio del IOS SLB

PRUEBAS DE HABILIDADES PRÁCTICAS CCNA ALEXANDER CASTAÑEDA VILLALBA CÓDIGO

Ejemplo de configuración usando el comando ip nat outside source static

Política de ruteo con el ejemplo de configuración del switch Catalyst de la serie 3550.

Configuración del concentrador Cisco VPN 3000 en un router Cisco

Jabber de Cisco para Windows en el ejemplo de configuración expreso del CallManager

Cómo configurar a un router Cisco detrás de un cablemódem que no es de Cisco

Configuración de ISDN BRI y PRI en Australia

Conexión de BRI a PRI usando voz sobre datos

Ejemplo de Configuración de SSL VPN Client (SVC) en IOS con SDM

Equilibrio de carga VPN en el CS en el ejemplo de configuración del modo dirigido

Router y cliente VPN para el Internet pública en un ejemplo de configuración del palillo

Equilibrio de carga remoto del cliente VPN en el ejemplo de configuración ASA 5500

Configuración de muestra usando el comando ip nat outside source list

Configuración de la marcación manual RADIUS con la autenticación del servidor Livingston

Utilización de NAT en Redes Superpuestas

Configuración del concentrador Cisco VPN 3000 en un router Cisco

SSLVPN con el ejemplo de configuración de los Teléfonos IP

Traducción de X.25 a TCP

Configuración de un Cisco 1700/2600/3600 ADSL WIC compatible con clientes PPPoE, que terminan en un Cisco 6400 UAC

Router del Cisco IOS: Local, TACACS+ y autenticación de RADIUS del ejemplo de configuración de la conexión HTTP

Uso de números de puerto FTP no estándares con NAT

Habilitación del Secure Shell (SSH) en un punto de acceso

Telnet, contraseñas de la consola y puerto auxiliar en el ejemplo de configuración de los routeres Cisco

Ejemplo de configuración ISDN - IP

Qué significan los mensajes "Not On Common Subnet" (No en la subred común) de EIGRP?

Este documento proporciona un ejemplo de configuración para X25 Sobre TCP.

Configuración de la Traducción de dirección de red y la Traducción de direcciones de puerto estáticas para la admisión de un servidor Web interno.

Router Cisco como servidor VPN remoto que usa el ejemplo de la configuración de SDM

Configuración del concentrador Cisco VPN 3000 en un router Cisco

Contenido. Introducción. Prerrequisitos. Requisitos. Componentes Utilizados

Balanceo de carga IOS NAT con el Edge Routing optimizado para dos conexiones de Internet

Control de acceso basado en el contexto (CBAC): Introducción y configuración

Papel de la autenticación CHAP configurado bajo interfaz celular

Configurar evitar en un UNIX Director

Transferencia de archivos ASA con el ejemplo de configuración FXP

Acceso del administrador TACACS al ejemplo de configuración convergido de los reguladores del Wireless LAN del acceso

Configure el 2.1 ISE y el control de la postura USB de AnyConnect 4.3

Router inalámbrico de 1800 ISR con el DHCP y el ejemplo de configuración internos de la autenticación abierta

Infraestructura del software que reconoce VRF de la configuración (VASI) NAT en IOS-XE

IPS 7.X: Autenticación de ingreso del usuario al sistema usando ACS 5.X como ejemplo de la configuración de servidor de RADIUS

Configuración del balance de carga del servidor IOS con Sondas HTTP en el modo enviado

ASA 7.x/PIX 6.x y Versiones Posteriores: Ejemplo de Configuración para Abrir o Bloquear los Puertos

IPSec/GRE con el NAT en el ejemplo de configuración del router IOS

Centro de administración de la potencia de fuego: Contadores de aciertos de la directiva del control de acceso de la visualización

Bridging L2 a través de un ejemplo de la configuración de red L3

Configurar el RCP como Transport Protocol en los Fundamentos del Resource Manager de Cisco

Ejemplo de configuración del 7000 Series Switch GLBP del nexo

Conmutación por falla ISP con las rutas predeterminado usando el seguimiento IP SLA

Migración de FlexVPN: Herencia EzVPN-NEM+ y FlexVPN en el mismo servidor

Configuración IBNS 2.0 para los escenarios del solo host y del Multi-dominio

Configuración de una clave previamente compartida WPA2 (PSK) Configuración de la autenticación abierta

Redistribuya las redes conectadas en el OSPF con la palabra clave de subred

Túnel ipsec de LAN a LAN entre un Catalyst 6500 con el módulo de servicio VPN y un ejemplo de la configuración del router del Cisco IOS

Configuración PPPoE sobre el BDI en los routeres de la serie ASR1k

PIX/ASA como ejemplo del servidor DHCP y de la configuración del cliente

ASA 8.3 y posterior: Acceso al servidor del correo (S TP) en el ejemplo de la configuración de DMZ

Ejemplo de Clientless SSL VPN (WebVPN) en Cisco IOS con la Configuración de SDM

Asociar las llamadas VoIP salientes a los puertos de voz digital específicos

Ejemplo de la configuración de módulos del shell CLI del Cisco IOS

Acceso del telnet/ssh de la configuración al dispositivo con los VRF

Implementación de la mejora de las características ASA SNMP

AnyConnect SSL sobre IPv4+IPv6 a la configuración ASA

CS y ejemplo de la configuración inicial del módulo de servicios SSL

Configuración del Concentrador VPN 3000 de Cisco para bloquear con filtros y la asignación de filtro RADIUS

Transcripción:

El cliente VPN de AnyConnect en el router IOS con la zona IOS basó el ejemplo de la configuración de escudo de protección de la directiva Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones Configurar Diagrama de la red Servidor de AnyConnect del Cisco IOS de la configuración Verificación Troubleshooting Comandos para resolución de problemas Información Relacionada Introducción En la versión 12.4(20)T del Cisco IOS Software y posterior, una interfaz virtual SSLVPN-VIF0 fue introducida para las conexiones de cliente VPN de AnyConnect. Sin embargo, esta interfaz SSLVPN-VIF0 es una interfaz interna que no soporta las configuraciones de usuario. Esto creó un problema con AnyConnect VPN y zona basó el Firewall de la directiva puesto que con el Firewall, el tráfico puede fluir solamente entre dos interfaces cuando ambas interfaces pertenecen a las zonas de Seguridad. Puesto que el usuario no puede configurar la interfaz SSLVPN-VIF0 para hacerle a un miembro de la zona, el tráfico del cliente VPN terminó en el gateway del WebVPN del Cisco IOS después de que el desciframiento no se pueda remitir a ninguna otra interfaz que pertenece a una zona de Seguridad. El síntoma de este problema se puede considerar con este mensaje del registro señalado por el Firewall: *Mar 4 16:43:18.251: %FW-6-DROP_PKT: Dropping icmp session 192.168.1.12:0 192.168.10.1:0 due to One of the interfaces not being cfged for zoning with ip ident 0 Este problema fue abordado más adelante en más nuevas versiones de software del Cisco IOS. Con el nuevo código, el usuario puede asignar una zona de Seguridad a una interfaz de plantilla virtual, que se refiere bajo contexto del WebVPN, para asociar una zona de Seguridad al contexto del WebVPN.

prerrequisitos Requisitos Para aprovecharse de la nueva capacidad en el Cisco IOS, usted necesita asegurarse que el dispositivo de gateway del WebVPN del Cisco IOS sea Cisco IOS Software Release 12.4(20)T3, el Cisco IOS Software Release12.4(22)T2, o el Cisco IOS Software corriente Release12.4(24)T1 y posterior. Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Conjunto corriente de la función de seguridad avanzada de la versión 15.0(1)M1 del Cisco IOS 3845 Series Router Versión del cliente VPN de Cisco AnyConnect SSL para Windows 2.4.1012 La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos. Configurar En esta sección encontrará la información para configurar las funciones descritas en este documento. Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección. Diagrama de la red En este documento, se utiliza esta configuración de red: Servidor de AnyConnect del Cisco IOS de la configuración Aquí están los pasos para la configuración de alto nivel que necesitan ser realizados en el servidor de AnyConnect del Cisco IOS para hacer que interopera con el Firewall basado zona de la directiva. La configuración final resultante es incluida para dos escenarios de la instalación típica más adelante en este documento. 1. Configure una interfaz de plantilla virtual y asígnela en una zona de Seguridad para el tráfico desencriptado de la conexión de AnyConnect.

2. Agregue la plantilla virtual previamente configurada al contexto del WebVPN para la configuración de AnyConnect. 3. Complete el resto del WebVPN y de la configuración de escudo de protección basada zona de la directiva.hay dos escenarios típicos con AnyConnect y ZBF, y aquí es las configuraciones del router finales para cada escenario. Escenario de instrumentación 1 El tráfico VPN pertenece a la misma zona de Seguridad que la red interna. El tráfico de AnyConnect entra la misma zona de Seguridad que la interfaz LAN interior pertenece para fijar el desciframiento. Nota: Una zona del uno mismo también se define para permitir solamente HTTP/el tráfico al router sí mismo del https para la restricción de acceso. Configuración del router Router#show run Building configuration... Current configuration : 5225 bytes Last configuration change at 16:25:30 UTC Thu Mar 4 2010 by cisco version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Router boot-start-marker boot system flash: boot-end-marker aaa new-model aaa authentication login default local aaa authentication login webvpn local aaa session-id common ip cef ip inspect log -pkt no ip domain lookup parameter-map type inspect audit-map audit-trail on tcp idle-time 20 parameter-map type inspect global

crypto pki trustpoint TP-self-signed-2692466680 enrollment selfsigned subject-name cn=ios-self-signed-certificate-2692466680 revocation-check none rsakeypair TP-self-signed-2692466680 crypto pki certificate chain TP-self-signed-2692466680 certificate self-signed 01 <actual certificate deleted here for brevity> quit username cisco password 0 cisco class-map type inspect match-any test match protocol tcp match protocol udp match protocol icmp class-map type inspect match-all router-access match access-group name router-access policy-map type inspect firewall-policy class type inspect test inspect audit-map policy-map type inspect out-to-self-policy class type inspect router-access inspect policy-map type inspect self-to-out-policy class type inspect test inspect zone security inside zone security outside zone-pair security in-out source inside destination outside service-policy type inspect firewall-policy zone-pair security out-self source outside destination self service-policy type inspect out-to-self-policy zone-pair security self-out source self destination outside service-policy type inspect self-to-out-policy interface Loopback0 ip address 172.16.1.1 255.255.255.255 interface GigabitEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip nat inside ip virtual-reassembly zone-member security inside interface GigabitEthernet0/1 ip address 209.165.200.230 255.255.255.224

ip nat outside ip virtual-reassembly zone-member security outside interface Virtual-Template1 ip unnumbered Loopback0 zone-member security inside ip local pool test 192.168.1.1 192.168.1.100 ip forward-protocol nd ip http server ip http secure-server ip nat inside source list 1 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 209.165.200.225 ip access-list extended router-access permit tcp any host 209.165.200.230 eq www permit tcp any host 209.165.200.230 eq 443 access-list 1 permit 192.168.10.0 0.0.0.255 control-plane line con 0 exec-timeout 0 0 logging synchronous line aux 0 modem InOut transport input all line vty 0 4 transport input all exception data-corruption buffer truncate scheduler allocate 20000 1000 webvpn gateway webvpn_gateway ip address 209.165.200.230 port 443 http-redirect port 80 ssl trustpoint TP-self-signed-2692466680 inservice webvpn install svc flash:/webvpn/svc.pkg sequence 1 webvpn context test secondary-color white title-color #669999 text-color black ssl authenticate verify all policy group policy_1 functions svc-enabled svc address-pool "test" svc keep-client-installed svc split include 192.168.10.0 255.255.255.0 virtual-template 1 default-group-policy policy_1 aaa authentication list webvpn

gateway webvpn_gateway inservice end Escenario de instrumentación 2 El tráfico VPN pertenece a una diversa zona de Seguridad de la red interna. El tráfico de AnyConnect pertenece a una zona separada VPN, y hay una política de seguridad que controla qué tráfico del vpn puede fluir en la zona interior. En este ejemplo en particular, el tráfico telnet y HTTP se permite del cliente de AnyConnect a la red LAN interior. Configuración del router Router#show run Building configuration... Current configuration : 6029 bytes Last configuration change at 20:57:32 UTC Fri Mar 5 2010 by cisco version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Router boot-start-marker boot system flash: boot-end-marker aaa new-model aaa authentication login default local aaa authentication login webvpn local aaa session-id common ip cef ip inspect log -pkt no ip domain lookup multilink bundle-name authenticated parameter-map type inspect global parameter-map type inspect audit-map audit-trail on tcp idle-time 20 crypto pki trustpoint TP-self-signed-2692466680 enrollment selfsigned subject-name cn=ios-self-signed-certificate-2692466680

revocation-check none rsakeypair TP-self-signed-2692466680 crypto pki certificate chain TP-self-signed-2692466680 certificate self-signed 01 <actual certificate deleted for brevity> quit license udi pid CISCO3845-MB sn FOC09483Y8J archive log config hidekeys username cisco password 0 cisco class-map type inspect match-any test match protocol tcp match protocol udp match protocol icmp class-map type inspect match-all router-access match access-group name router-access class-map type inspect match-any http-telnet-ftp match protocol http match protocol telnet match protocol ftp class-map type inspect match-all vpn-to-inside-cmap match class-map http-telnet-ftp match access-group name tunnel-traffic policy-map type inspect firewall-policy class type inspect test inspect audit-map policy-map type inspect out-to-self-policy class type inspect router-access inspect policy-map type inspect self-to-out-policy class type inspect test inspect pass policy-map type inspect vpn-to-in-policy class type inspect vpn-to-inside-cmap inspect zone security inside zone security outside zone security vpn zone-pair security in-out source inside destination outside service-policy type inspect firewall-policy zone-pair security out-self source outside destination self service-policy type inspect out-to-self-policy zone-pair security self-out source self destination outside

service-policy type inspect self-to-out-policy zone-pair security in-vpn source inside destination vpn service-policy type inspect firewall-policy zone-pair security vpn-in source vpn destination inside service-policy type inspect vpn-to-in-policy interface Loopback0 ip address 172.16.1.1 255.255.255.255 interface GigabitEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip nat inside ip virtual-reassembly zone-member security inside interface GigabitEthernet0/1 ip address 209.165.200.230 255.255.255.224 ip nat outside ip virtual-reassembly zone-member security outside interface Virtual-Template1 ip unnumbered Loopback0 zone-member security vpn ip local pool test 192.168.1.1 192.168.1.100 ip forward-protocol nd ip http server ip http secure-server ip nat inside source list 1 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 209.165.200.225 ip access-list extended broadcast permit ip any host 255.255.255.255 ip access-list extended router-access permit tcp any host 209.165.200.230 eq www permit tcp any host 209.165.200.230 eq 443 ip access-list extended tunnel-traffic permit ip any 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.10.0 0.0.0.255 control-plane line con 0 exec-timeout 0 0 logging synchronous line aux 0 modem InOut transport input all line vty 0 4 transport input all

exception data-corruption buffer truncate scheduler allocate 20000 1000 webvpn gateway webvpn_gateway ip address 209.165.200.230 port 443 http-redirect port 80 ssl trustpoint TP-self-signed-2692466680 inservice webvpn install svc flash:/webvpn/svc.pkg sequence 1 webvpn context test secondary-color white title-color #669999 text-color black ssl authenticate verify all policy group policy_1 functions svc-enabled svc address-pool "test" svc keep-client-installed svc split include 192.168.10.0 255.255.255.0 virtual-template 1 default-group-policy policy_1 aaa authentication list webvpn gateway webvpn_gateway inservice end Verificación Use esta sección para confirmar que su configuración funciona correctamente. La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show. Varios comandos show se asocian a WebVPN. Puede ejecutar estos comandos en command-line interface (CLI) para mostrar las estadísticas y otra información. Refiera a verificar la configuración del WebVPN para más información sobre los comandos show. Refiera a la guía de configuración de escudo de protección Zona-basada de la directiva para más información sobre los comandos usados para verificar la configuración de escudo de protección basada zona de la directiva. Troubleshooting En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. Comandos para resolución de problemas Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Varios comandos debug se asocian a WebVPN. Refiérase con los comandos Debug del WebVPN para más información sobre estos comandos. Refiera al comando para más información sobre los comandos de debugging basados zona del Firewall de la directiva. Información Relacionada Cisco IOS Software Soporte Técnico y Documentación - Cisco Systems

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback