Меню

Vpn настройка ios cisco



VPN между двумя маршрутизаторами Cisco

Read the article SITE TO SITE VPN BETWEEN CISCO ROUTERS in English

Одна из самых распространенных задач, для которых используются маршрутизаторы Cisco – построение VPN тоннелей между удаленными друг от друга площадками. Рассмотрим пример, где требуется связать сети двух офисов фирмы: главного и дополнительного.

В нашем распоряжении будут:

Маршрутизатор Cisco 2800 в главном офисе (R-MAIN)
Сеть для пользователей 192.168.10.0 /24
Внешний статический адрес 1.1.1.2 /30
Шлюз провайдера 1.1.1.1 /30

Маршрутизатор Cisco 881 в дополнительном офисе (R-BRANCH)
Сеть для пользователей 192.168.20.0 /24
Внешний статический адрес 2.2.2.2 /30
Шлюз провайдера 2.2.2.1 /30

Оба маршрутизатора имеют доступ в Интернет и минимальные настройки наподобие тех, что описаны в этой статье. Пользователи обоих офисов могут выходить в Интернет, имеют доступ к рабочим станциям и серверам в своих сетях, но не имеют доступа к сети другого офиса.
Есть два простых способа организовать защищенное соединение межу офисами:

Способ первый. Тоннельные интерфейсы.

Подходит в тех случаях, когда тоннель создается между двумя маршрутизаторами Cisco. Прост и удобен в настройке и использовании. Важно напомнить, что внешние адреса постоянны и статически выдаются провайдером связи в обоих способах.
Создадим виртуальный тоннель, который будет использоваться для прохождения трафика между площадками.

Шаг 1. Параметры шифрования

Выберем параметры шифрования для тоннеля. Если вы не знаете, что это такое, то просто скопируйте строчки из этого примера.
R-MAIN(config)#
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2

crypto ipsec transform-set ESP_3DES_SHA_HMAC esp-3des esp-sha-hmac

crypto ipsec df-bit clear

crypto ipsec profile VTI_PROF
set transform-set ESP_3DES_SHA_HMAC
set pfs group2
Эти настройки для маршрутизатора R-BRANCH в дополнительном офисе будут идентичными.

Шаг 2. Ключ шифрования

Ключ шифрования должен быть одинаковым на обоих маршрутизаторах. Рекомендую сделать его не менее 50 символов так, чтобы в него входили цифры, буквы и спец символы, однако в примере буду использовать заведомо простой «12345».
Для главного офиса
R-MAIN(config)#
crypto isakmp key 0 12345 address 2.2.2.2
Для дополнительного офиса
R-BRANCH(config)#
crypto isakmp key 0 12345 address 1.1.1.2
В примерах красным цветом выделены места, которые следует изменять. Цифра стоит не просто так, а обозначает, что ключ вводится в незашифрованном виде, и ее трогать не следует. При просмотре конфигурации может (но необязательно) измениться на 7 и ключ будет записан в зашифрованном виде. Например
R-MAIN#sh run
/. вырезано. /
crypto isakmp key 7 ^bn UjbsdfgsujGsdf address 1.1.1.2
/. вырезано. /
Это не значит, что он изменился, а значит, что он отображается(!) в зашифрованном виде.
Обратите внимание, что в каждом офисе мы указываем внешний адрес соседней площадки.

Шаг 3. Создание тоннельных интерфейсов

На каждом маршрутизаторе создаем виртуальный тоннельный интерфейс.
В главном офисе:
R-MAIN(config)#
interface Tunnel1
description Link to R-BRANCH
ip address 10.0.0.1 255.255.255.252
tunnel source FastEthernet 0/0
tunnel destination 2.2.2.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI_PROF
ip address 10.0.0.1 255.255.255.252 — собственный адрес виртуального тоннеля
tunnel source FastEthernet 0/0 — собственный внешний интерфейс маршрутизатора
tunnel destination 2.2.2.2 — внешний адрес маршрутизатора дополнительного офиса
tunnel mode ipsec ipv4 — вид шифрования
tunnel protection ipsec profile VTI_PROF — способ шифрования

Важно!
Если после ввода последних 2ух строк у вас появились сообщения об ошибках и маршрутизатор не принимает эти команды, то удалите профиль шифрования командой
no crypto ipsec profile VTI_PROF
На Вашем маршрутизаторе с текущей версией операционной системы IOS не получится воспользоваться этим способом. Переходите к способу 2.

В дополнительном офисе
R-BRANCH(config)#
interface Tunnel1
description Link to R-MAIN
ip address 10.0.0.2 255.255.255.252
tunnel source FastEthernet 4
tunnel destination 1.1.1.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI_PROF
ip address 10.0.0.2 255.255.255.252 — собственный адрес виртуального тоннеля
tunnel source FastEthernet 4 — собственный внешний интерфейс маршрутизатора
tunnel destination 1.1.1.2 — внешний адрес маршрутизатора главного офиса
tunnel mode ipsec ipv4 — вид шифрования
tunnel protection ipsec profile VTI_PROF — способ шифрования

Если все 3 шага выполнены корректно, то состояние интерфейса перейдет из состояния up/down в состояние up/up. Посмотреть это можно следующей командой.
R-MAIN# sh inter tun 1
Tunnel1 is up , line protocol is up
/. вырезано. /

Шаг 4. Проверка работы VPN тоннеля

Проверяем работоспособность тоннеля запустив ping до соседнего адреса тоннеля. Например из головного офиса:
R-MAIN# ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 16/17/20 ms
Дополнительно убеждаемся, что пакеты проходят именно через защищенный тоннель командой sh cry ips sa peer 2.2.2.2
R-MAIN# sh cry ips sa peer 2.2.2.2
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 2.2.2.2
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 2.2.2.2 port 500
PERMIT, flags=
#pkts encaps:5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
/. вырезано. /
Последние две строчки показывают, что маршрутизатор зашифровал и отправил 5 пакетов и столько же получил и расшифровал. Эти счетчики будут срабатывать каждый раз, когда какой-либо пакет будет проходить по тоннелю между нашими маршрутизаторами.

Шаг 5. Маршрутизация

Для того, чтобы обе площадки были доступны друг другу, следует добавить соответствующие строчки маршрутизации на каждом устройстве.
В головном офисе
R-MAIN(config)#
ip route 192.168.20.0 255.255.255.0 10.0.0.2
В дополнительном офисе
R-BRANCH(config)#
ip route 192.168.10.0 255.255.255.0 10.0.0.1
После этого все компьютеры, серверы и иные ресурсы обеих сетей должны быть доступны друг другу, а связь быть защищенной.

Способ второй. Универсальный

Подходит, когда требуется сделать тоннель между маршрутизатором и Cisco ASA или любым другим устройством, поддерживающим ipsec vpn, не обязательно Cisco. Настройки параметров шифрования, ключей, маршрутизации на другом стороне будут одинаковы по сути, но различны по командам/отображению. Для простоты и лучшего понимания рассмотрим пример с теми же двумя маршрутизаторами, которые были рассмотрены выше.

Читайте также:  Сохранение настроек отчета программно

Шаг 1. Параметры шифрования

Выберем параметры шифрования для тоннеля. Если вы не знаете, что это такое, то просто скопируйте строчки из этого примера.
R-MAIN(config)#
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto ipsec transform-set ESP_3DES_SHA_HMAC esp-3des esp-sha-hmac
crypto ipsec df-bit clear
Эти настройки для маршрутизатора R-BRANCH в дополнительном офисе будут идентичными.

Шаг 2. Ключ шифрования

Задаем ключ шифрования. Он будет одинаковым для обоих участников защищенного тоннеля. Рекомендую сделать его не менее 50 символов так, чтобы в него входили цифры, буквы и спец символы, однако в примере буду использовать заведомо простой «12345».
Для главного офиса
R-MAIN(config)#
crypto isakmp key 0 12345 address 2.2.2.2
Для дополнительного офиса
R-BRANCH(config)#
crypto isakmp key 0 12345 address 1.1.1.2
В примерах красным цветом выделены места, которые следует изменять. Цифра стоит не просто так, обозначает, что ключ вводится в первозданном виде, и ее трогать не следует. При просмотре конфигурации может измениться (но необязательно) на 7 и ключ будет записан в ином виде. Например
R-MAIN# sh run
/. вырезано. /
crypto isakmp key 7 ^bn UjbsdfgsujGsdf address 1.1.1.2
/. вырезано. /
Это не значит, что он изменился, а значит, что он отображается в зашифрованном виде.
Обратите внимание, что в каждом офисе указывается внешний адрес соседней площадки.

Шаг 3. Объекты шифрования

Указываем трафик, который подлежит шифрованию. В нашем случае – это трафик между сетью 192.168.10.0 /24 головного офиса и сетью 192.168.20.0 /24 дополнительного офиса. Для этого создаем соответствующий список доступа на каждой площадке:
В головном офисе
R-MAIN(config)#
Ip access-list extended ACL_CRYPTO_DO
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
В дополнительном офисе

R-BRANCH(config)#
Ip access-list extended ACL_CRYPTO_MAIN
permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

Шаг 4. Политика шифрования

На каждой площадке создаем политику шифрования (crypto map), в которой указываем все правила и параметры шифрования
В головном офисе
R-MAIN(config)#
crypto map CRYPTO_MAP 1 ipsec-isakmp
set peer 2.2.2.2
set transform-set ESP_3DES_SHA_HMAC
match address ACL_CRYPTO_DO
В дополнительном офисе:
R-BRANCH(config)#
crypto map CRYPTO_MAP 1 ipsec-isakmp
set peer 1.1.1.2
set transform-set ESP_3DES_SHA_HMAC
match address ACL_CRYPTO_MAIN
После этого crypto map должны быть привязана к внешнему интерфейсу.
В головном офисе
R-MAIN(config)#
Interface FastEthernet0/1
crypto map CRYPTO_MAP
В дополнительном офисе:
R-BRANCH(config)#
Interface Fa 4
crypto map CRYPTO_MAP

Шаг 5. Маршрутизация

Для того, чтобы обе площадки были доступны друг другу, следует добавить соответствующие строчки маршрутизации для каждого устройства. Удаленные сети должны быть доступны через шлюзы провайдеров сети Интернет.
В головном офисе
R-MAIN(config)#
ip route 192.168.20.0 255.255.255.0 1.1.1.1
В дополнительном офисе
R-BRANCH(config)#
ip route 192.168.10.0 255.255.255.0 2.2.2.1
После этого все компьютеры, серверы и иные ресурсы обеих сетей должны быть доступны друг другу, а связь быть защищенной.

Шаг 6. Проверка работы тоннеля

Проверяем работоспособность тоннеля, запустив ping с одного устройства внутри локальной сети до одного из адресов соседней площадки. Например, из головного офиса до какого-то компьютера из сети дополнительного офиса:
R-MAIN# ping 192.168.20.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.10, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 16/17/20 ms
После этого убеждаемся, что пакеты проходят именно через тоннель
R-MAIN# sh cry ips sa peer 2.2.2.2
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 2.2.2.2
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.20.0/255.255.255.0/0/0)
current_peer 2.2.2.2 port 500
PERMIT, flags=
#pkts encaps:5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
/. вырезано. /
Указанные строчки показывают, что маршрутизатор зашифровал и отправил 5 пакетов и столько же получил. Эти счетчики будут срабатывать каждый раз, когда какой-либо трафик будет проходить между нашими маршрутизаторами.
Этот способ чаще требует вмешательства со стороны администратора для внесения изменений в конфигурации устройств и требует больше внимательности при настройке. Степень защищенности трафика одинакова в обоих приведенных способах.

Важно!

Не забудьте сохранить конфигурацию всех устройств командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-MAIN# write
Building configuration.
[OK]

Источник

Vpn настройка ios cisco

В этом документе приводятся инструкции по настройке маршрутизатора Cisco IOS ® для обработки SSL VPN на одном интерфейсе c VPN-клиентом Cisco AnyConnect, выполняемой с помощью приложения Cisco Configuration Professional (CCP). Данная процедура настройки относится к особому случаю, когда маршрутизатор не позволяет использовать раздельное туннелирование (split tunneling), и когда пользователи напрямую подключаются к маршрутизатору еще до того, как им будет предоставлено разрешение на выход в Интернет.

Технология SSL VPN или WebVPN-технология поддерживается на следующих платформах IOS маршрутизаторов:

870, 1811, 1841, 2801, 2811, 2821, 2851

3725, 3745, 3825, 3845, 7200 и 7301

CCP является графическим инструментом управления устройством, позволяющим настраивать маршрутизаторы доступа Cisco, работающие под управлением IOS, включая маршрутизаторы Cisco с интеграцией служб, маршрутизаторы Cisco серии 7200 и маршрутизатор Cisco 7301. Приложение CCP устанавливается на ПК и упрощает настройку маршрутизации, защиты, объединенных коммуникаций, беспроводной сети, WAN и основных настроек LAN с помощью графического интерфейса пользователя и простых в работе мастеров настройки.

Маршрутизаторы, приобретенные с приложением CCP, поставляются с приложением Cisco Configuration Professional Express (CCP Express), установленным на флэш-память маршрутизатора. CCP Express является облегченной версией CCP. Можно использовать приложение CCP Express для настройки основных функций защиты на интерфейсах LAN и WAN маршрутизатора. CCP Express доступен на флэш-памяти маршрутизатора.

Читайте также:  Yith woocommerce request a quote настройка

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Microsoft Windows 2000 или XP

Обозреватель с поддержкой SUN JRE 1.4 или более поздней или браузер под управлением ActiveX

Права локального администратора у клиента

Маршрутизатор Cisco IOS с образом улучшенной безопасности версии 12.4(20)T или более поздней версии

Cisco Configuration Professional 1.3

Если Cisco Configuration Professional не загружен на компьютер пользователя, его можно бесплатно загрузить с сайтаЗагрузка ПО (файл cisco-config-pro-k9-pkg-1_3-en.zip), а затем установить с помощью файла .exe. Дополнительные сведения об установке и настройке CCP можно найти в документе Руководство по началу работы с Cisco Configuration Professional.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Маршрутизатор Cisco IOS серии 1841 с ПО версии 12.4(24)T

Cisco Configuration Professional (CCP) 1.3

VPN-клиент Cisco AnyConnect SSL версии 2.3.2016 для Windows

Примечание. Данные для этого документа были получены при тестировании указанных устройств в специально созданных лабораторных условиях. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Схема сети

В настоящем документе используется следующая схема сети:

Предварительные действия

Следует настроить маршрутизатор для CCP.

Маршрутизаторы с соответствующей лицензией пакета безопасности уже имеют загруженное во флеш-память приложение CCP. Обратитесь к документу Руководство по началу работы с Cisco Configuration Professional для получения и настройки ПО.

Загрузите копию VPN-клиента Anyconnect (PKG-файл) на ваш управляющий компьютер.

Настройка Anyconnect VPN на IOS

В данном разделе описаны действия, необходимые для настройки функций, описанных в документе. В данном примере конфигурации используется мастер CCP для активации Anyconnect VPN на маршрутизаторе IOS.

Выполните эти шаги, чтобы настроить Anyconnect VPN на маршрутизаторе Cisco IOS.

Шаг 1. Установка и активация ПО Anyconnect VPN на маршрутизаторе IOS

Для установки и активации программного обеспечения Anyconnect VPN на маршрутизаторе IOS выполните следующие действия.

Откройте приложение CCP, перейдите Configure > Security, а затем щелкните VPN.

Разверните SSLVPN и выберите Packages.

В области «Cisco SSLVPN Client Software» нажмите кнопку Browse.

Отобразится диалоговое окно «Install SSL VPN Client Package».

Укажите расположение образа VPN-клиента Cisco AnyConnect.

Если образ VPN-клиента Cisco Anyconnect расположен на флэш-памяти маршрутизатора, установите переключатель в положение Router File System и нажмите кнопку Browse.

Если образ VPN-клиента Cisco Anyconnect не расположен на флэш-памяти маршрутизатора, установите переключатель в положение My Computer и нажмите кнопку Browse.

Отобразится диалоговое окно выбора файла «File Selection».

Выберите образ клиента, который необходимо установить, и нажмите кнопку OK.

После указания местонахождения образа клиента нажмите кнопку Install.

Нажмите кнопку Yes, а затем OK.

После установки образа клиента отобразится сообщение:

Для продолжения нажмите кнопку OK.

Шаг 2. Настройка контекста SSL VPN и шлюза SSL VPN с помощью мастера CCP

Выполните эти шаги, чтобы настроить контекст SSL VPN и шлюз SSL VPN .

Перейдите Configure > Security > VPN и выберите SSL VPN.

Щелкните SSL VPN Manager, а затем по вкладке Create SSL VPN.

Установите переключатель в положение Create a New SSL VPN и нажмите кнопку Launch the selected task.

Отобразится диалоговое окно мастера настройки «SSL VPN Wizard».

Нажмите кнопку Next.

Введите IP-адрес нового SSL VPN-шлюза и уникальное имя SSL VPN-контекста.

Можно создать различные SSL VPN-контексты для одного IP-адреса (SSL VPN-шлюза), но каждое имя должно быть уникальным. В данном примере используется следующий IP-адрес: https://172.16.1.1/

Нажмите кнопку Next и перейдите к шагу 3.

Шаг 3. Настройка базы данных пользователей Anyconnect VPN

Для аутентификации можно использовать сервер AAA и/или локальных пользователей. В данном примере конфигурации для аутентификации используются локально созданные учетные записи пользователей.

Выполните эти шаги, чтобы настроить базу данных пользователей Anyconnect VPN.

После выполнения шага 2 установите переключатель в положение Locally on this router в диалоговом окне мастера SSL VPN «User Authentication».

Данное диалоговое окно предназначено для внесения пользователей в локальную базу данных.

Нажмите кнопку Add и введите данные пользователя.

Нажмите кнопку OK и при необходимости добавьте пользователей.

После завершения добавления пользователей нажмите кнопку Next и перейдите к шагу 4.

Шаг 4: Настройка полных туннелей Anyconnect

Выполните следующие действия, чтобы настроить для пользователей полный туннель Anyconnect и пул IP-адресов:

Anyconnect предоставляет прямой доступ к корпоративным ресурсам Интранет, при этом список URL-адресов настраивать не нужно. Нажмите кнопку Next, расположенную в диалоговом окне «Configure Intranet Websites».

Убедитесь, что установлен флажок Enable Full Tunnel.

Создайте пул IP-адресов, которые могут использовать клиенты контекста SSL VPN.

Адресный пул должен соответствовать адресам, доступным и используемым в вашей сети интранет.

Нажмите кнопку (. ), расположенную рядом с полем «IP Address Pool» и выберите Create a new IP Pool.

В диалоговом окне «Add IP Local Pool» введите название пула (например, новый) и нажмите кнопку Add.

В диалоговом окне «Add IP address range» введите диапазон адресов для VPN-клиентов Anyconnect и нажмите кнопку OK.

Примечание. До версии 12.4(20)T пул IP-адресов должен был входить в диапазон адресов интерфейса, напрямую соединенного с маршрутизатором. Если вы хотите использовать диапазон пула, не входящий в диапазон вышеназванного интерфейса, вы можете создать адрес обратной связи, ассоциированный с созданным вами новым пулом, для удовлетворения данным требованиям. .

Нажмите кнопку ОК.

Убедитесь, что установлен флажок Install Full Tunnel Client.

Читайте также:  Настройка атс ldk 300

Настройте дополнительные параметры туннеля, такие как раздельное туннелирование, раздельный DNS, настройки браузера для прокси-сервера, а также серверы DNS и WINS.

Примечание. Компания Cisco рекомендует произвести настройку как минимум серверов DNS и WINS.

Для настройки дополнительных параметров туннеля выполните следующие действия:

Нажмите кнопку Advanced Tunnel Options.

Перейдите на вкладку DNS and WINS Servers и введите первичные IP-адреса серверов DNS и WINS.

Перейдите на вкладку Split Tunneling.

Возможность передавать через один интерфейс как защищенный трафик, так и открытый называется раздельным туннелированием. Раздельное туннелирование требует точного указания, какой трафик является защищённым и откуда он происходит, таким образом только указанный трафик попадает в туннель, в то время как другой передается в незашифрованном виде через публичную сеть (Интернет).

Для получения примеров обратитесь к документу ASA 8.x : Включение раздельного туннелирования для VPN-клиентов AnyConnect на примере конфигурации ASA , в котором представлены пошаговые инструкции о том, как разрешить VPN-клиентам Cisco AnyConnect выходить в Интернет, когда они находятся в туннеле устройства защиты Cisco ASA 8.0.2.

После настройки необходимых параметров нажмите кнопку Next.

Измените страницу портала SSL VPN или выберите значения по умолчанию.

Окно «Customize SSL VPN Portal Page» позволяет вам изменить внешний вид страницы портала.

После внесения изменений на странице портала SSL VPN нажмите кнопку Next.

Нажмите кнопку Finish.

Нажмите кнопку Deliver, чтобы сохранить конфигурацию, а затем нажмите кнопку OK.

Мастер SSL VPN представит список совершенных настроек.

Примечание. Если вы получили сообщение об ошибке, возможно, что лицензия SSL VPN недействительна. Пример сообщения об ошибке показан на рисунке на шаге 19:

Для решения проблемы с лицензией выполните следующие шаги:

Перейдите Configure > Security > VPN и выберите SSL VPN.

Щелкните SSL VPN Manager, а затем по вкладке Edit SSL VPN.

Выделите созданный контекст и нажмите кнопку Edit.

В поле «Maximum Number of users» введите правильное количество пользователей для вашей лицензии.

Нажмите кнопку OK, а затем кнопку Deliver.

Ваши команды сохранены в конфигурационный файл.

Конфигурация интерфейса командой строки CLI

CCP создает следующие конфигурации командных строк:

Установление соединения с помощью VPN-клиента AnyConnect

Выполните эти шаги, чтобы установить VPN-соединение AnyConnect с маршрутизатором.

Примечание. Добавьте адрес маршрутизатора в список доверенных сайтов в Internet Explorer. Для получения дополнительных сведений обратитесь к разделу Добавление устройства защиты/маршрутизатора в список доверенных сайтов (IE).

Введите URL-адрес или IP-адрес интерфейса маршрутизатора WebVPN в своем браузере в формате, который показан ниже:

Введите имя пользователя и пароль.

Нажмите кнопку «Start», чтобы начать туннельное VPN-соединение Anyconnect.

Это окно будет отображаться перед тем, как VPN-соединения по протоколу SSL будет установлено.

Примечание. ActiveX необходимо установить на компьютере перед загрузкой Anyconnect VPN.

Как только соединение будет установлено, появится сообщение «Connection Established».

После успешного соединения перейдите на вкладку Statistics.

На вкладке «Statistics» отображается информация о SSL-соединении.

Нажмите кнопку Details.

Откроется диалоговое окно.»Cisco AnyConnect VPN Client: Statistics Detail».

В диалоговом окне «Statistics Details» отображается подробная статистическая информация о соединениях, включая информацию о состоянии туннелей и режимах, длительности соединения, количестве полученных и переданных байт и пакетов, адресная информация, транспортная информация, а также оценка состояния защиты Cisco Secure Desktop. Кнопка «Reset» на этой вкладке служит для сброса статистической информации о переданных данных. Кнопка «Export» позволяет экспортировать текущую статистику, интерфейс, и таблицу маршрутизации в текстовый файл. При этом клиент AnyConnect выдаст запрос об имени и местоположении текстового файла. По умолчанию на рабочем столе создается файл AnyConnect-ExportedStats.txt.

В диалоговом окне «Cisco AnyConnect VPN Client» перейдите на вкладку About.

На этой вкладке отображается информация о версии VPN-клиента Cisco AnyConnect.

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Команды

Некоторые команды show связаны с WebVPN. Эти команды можно ввести в интерфейсе командной строке (CLI) для отображения статистики и другой информации. Дополнительные сведения о командах show см. в разделе Проверка конфигурации WebVPN.

Примечание. Интерпретатор выходных данных — OIT (доступный только для зарегистрированных клиентов), поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

В CCP последовательно выберите Monitoring > Security > VPN Status > SSL VPN > Users, чтобы увидеть текущие списки пользователей SSL VPN в маршрутизаторе.

Последовательно выберите Monitoring > Security > VPN Status > SSL VPN > Sales, чтобы увидеть текущие SSL VPN-сеансы в маршрутизаторе.

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Неполадки с подключением SSL

Проблема. Клиенты SSL VPN не могут подключиться к маршрутизатору.

Решение. Недостаточное количество IP-адресов в адресном пуле может вызвать подобную проблему. Для решения данной проблемы увеличьте количество IP-адресов в адресном пуле маршрутизатора.

Для получения дополнительных сведений об устранениях неполадок в VPN-клиенте AnyConnect обратитесь к документу Часто задаваемые вопросы о VPN-клиенте AnyConnect.

Ошибка: SSLVPN Package SSL-VPN-Client : installed Error: Disk

Проблема. Вы получили следующее сообщение об ошибке при установке пакета SVC на маршрутизатор: SSLVPN Package SSL-VPN-Client : installed Error: Disk.

Решение. Эту проблему можно решить путем переформатирования флэш-памяти.

Команды для устранения неполадок

Некоторые команды clear ассоциированы с WebVPN. Дополнительную информацию о данных командах см. в документе Использование команд WebVPN «clear»..

Некоторые команды debug ассоциированы с WebVPN. Дополнительную информацию о данных командах см. в документе Использование команд WebVPN «debug».

Примечание. Использование команд debug может неблагоприятно сказаться на производительности модуля Cisco. Перед использованием команд debug ознакомьтесь с документом Важные сведения о командах «debug».

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.

Источник

Adblock
detector