22
Cliente de AnyConnect VPN (SSL) no IOS Router com exemplo de configuração CCP Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Diagrama de Rede Tarefas de Pré-configuração Configuração do AnyConnect VPN no IOS Passo 1. Instalar e habilitar o Anyconnect VPN Software no Cisco IOS Router Passo 2. Configurar um contexto de VPN SSL e o gateway de VPN SSL com o CCP Wizard Passo 3. Configurar o banco de dados de usuários para usuários do AnyConnect VPN Passo 4. Configurar o túnel completo de Anyconnect Configuração de CLI Estabelecimento da conexão do AnyConnect VPN Client Verificar Comandos Troubleshooting Problema de Conectividade SSL Erro: SSLVPN Package SSL-VPN-Client : installed Error: Disco Comandos para Troubleshooting Informações Relacionadas Introdução Este documento descreve como estabelecer um roteador do ® do Cisco IOS para executar SSL VPN em uma vara com o Cisco AnyConnect VPN Client que usa o Cisco Configuration Professional (CCP). Esta configuração aplica-se a um caso específico onde o roteador não permite o tunelamento dividido e os usuários se conectam diretamente ao roteador antes de receberem permissão para acessar a Internet. A tecnologia de VPN SSL ou WebVPN possui suporte nas seguintes plataformas do IOS Router: 870, 1811, 1841, 2801, 2811, 2821, 2851 3725, 3745, 3825, 3845, 7200 e 7301 O CCP é uma ferramenta com base em GUI de gerenciamento de dispositivos que permite que você configure os roteadores de acesso com base no Cisco IOS, incluindo roteadores de serviços integrados da Cisco, Cisco 7200 Series Routers e o Cisco 7301 Router. O CCP é instalado em um PC e simplifica a configuração básica do roteador, segurança, comunicações unificadas, tecnologia wireless, WAN e LAN através de assistentes com base em GUI fáceis de utilizar. Os roteadores encomendados com CCP são enviados com o Cisco Configuration Professional Express (CCP Express) instalado na memória flash do roteador. O CCP Express é uma versão leve do CCP. Você pode utilizar o CCP Express para configurar recursos básicos de segurança nas interfaces WAN e LAN do roteador. O CCP Express está disponível na memória flash do roteador. Pré-requisitos Requisitos Certifique-se de atender a estes requisitos antes de tentar esta configuração: Microsoft Windows 2000 ou XP Navegador da Web com SUN JRE 1.4 ou posterior ou um navegador controlado por ActiveX Privilégios administrativos locais no cliente Cisco IOS Router com Advanced Security image -12.4(20)T ou posterior Cisco Configuration Professional 1.3

configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

  • Upload
    lytuyen

  • View
    249

  • Download
    0

Embed Size (px)

Citation preview

Page 1: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Cliente de AnyConnect VPN (SSL) no IOS Router com exemplo deconfiguração CCP

ÍndiceIntroduçãoPré-requisitosRequisitosComponentes UtilizadosConvençõesDiagrama de RedeTarefas de Pré-configuraçãoConfiguração do AnyConnect VPN no IOSPasso 1. Instalar e habilitar o Anyconnect VPN Software no Cisco IOS RouterPasso 2. Configurar um contexto de VPN SSL e o gateway de VPN SSL com o CCP WizardPasso 3. Configurar o banco de dados de usuários para usuários do AnyConnect VPNPasso 4. Configurar o túnel completo de AnyconnectConfiguração de CLIEstabelecimento da conexão do AnyConnect VPN ClientVerificarComandosTroubleshootingProblema de Conectividade SSLErro: SSLVPN Package SSL-VPN-Client : installed Error: DiscoComandos para TroubleshootingInformações Relacionadas

IntroduçãoEste documento descreve como estabelecer um roteador do ® do Cisco IOS para executar SSL VPN em uma vara com o Cisco AnyConnect VPNClient que usa o Cisco Configuration Professional (CCP). Esta configuração aplica-se a um caso específico onde o roteador não permite otunelamento dividido e os usuários se conectam diretamente ao roteador antes de receberem permissão para acessar a Internet.

A tecnologia de VPN SSL ou WebVPN possui suporte nas seguintes plataformas do IOS Router:

870, 1811, 1841, 2801, 2811, 2821, 28513725, 3745, 3825, 3845, 7200 e 7301

O CCP é uma ferramenta com base em GUI de gerenciamento de dispositivos que permite que você configure os roteadores de acesso com baseno Cisco IOS, incluindo roteadores de serviços integrados da Cisco, Cisco 7200 Series Routers e o Cisco 7301 Router. O CCP é instalado em umPC e simplifica a configuração básica do roteador, segurança, comunicações unificadas, tecnologia wireless, WAN e LAN através de assistentescom base em GUI fáceis de utilizar.

Os roteadores encomendados com CCP são enviados com o Cisco Configuration Professional Express (CCP Express) instalado na memória flashdo roteador. O CCP Express é uma versão leve do CCP. Você pode utilizar o CCP Express para configurar recursos básicos de segurança nasinterfaces WAN e LAN do roteador. O CCP Express está disponível na memória flash do roteador.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Microsoft Windows 2000 ou XPNavegador da Web com SUN JRE 1.4 ou posterior ou um navegador controlado por ActiveXPrivilégios administrativos locais no clienteCisco IOS Router com Advanced Security image -12.4(20)T ou posteriorCisco Configuration Professional 1.3

Page 2: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Se o Cisco Configuration Professional ainda não estiver carregado em seu computador, você poderá obter uma cópia gratuita do software einstalar o arquivo .exe (cisco-config-pro-k9-pkg-1_3-en.zip) na página Download de Software. Para obter informações detalhadas sobre ainstalação e a configuração do CCP, consulte o Guia de Início Rápido do Cisco Configuration Professional.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Cisco IOS Series 1841 Router com versão do software 12.4(24)TCisco Configuration Professional (CCP) 1.3Cisco AnyConnect SSL VPN Client para Windows versão 2.3.2016

Nota: As informações apresentadas neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos osdispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de queentende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Tarefas de Pré-configuração

Você deve configurar o roteador para o CCP.1.

Os roteadores com a licença apropriada do pacote da segurança já possuem o aplicativo CCP carregado na memória flash. Consulte o Guiade Início Rápido do Cisco Configuration Professional para obter e configurar o software.Baixe uma cópia do arquivo .pkg de VPN do Anyconnect para seu PC de configuração.2.

Configuração do AnyConnect VPN no IOSNesta seção, você será apresentado aos passos necessários para configurar os recursos descritos neste documento. Este exemplo de configuraçãousa o CCP Wizard para habilitar a operação do Anyconnect VPN no IOS Router.

Conclua estes passos para configurar o AnyConnect VPN no Cisco IOS Router:

Instalar e habilitar o Anyconnect VPN Software no Cisco IOS Router1.Configurar um contexto de VPN SSL e o gateway de VPN SSL com o CCP Wizard2.Configurar o banco de dados de usuários para usuários do Anyconnect VPN3.Configurar os recursos para expor aos usuários4.

Passo 1. Instalar e habilitar o Anyconnect VPN Software no Cisco IOS Router

Para instalar e habilitar o AnyConnect VPN Software no IOS Router, conclua estes passos:

Abra o aplicativo CCP, vá para Configure > Security e, em seguida, clique em VPN.1.Expanda SSLVPN e escolha Packages.2.

Page 3: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

No Cisco SSLVPN Client Software, clique em Browse.3.

A caixa de diálogo Install SSL VPN Client Package é exibida.

Especifique o local da imagem do Cisco Anyconnect VPN Client.4.

Se a imagem do Cisco Anyconnect VPN client estiver na flash do roteador, clique no botão de opção da caixa de diálogo RouterFile System e clique em Browse.Se a imagem do Cisco Anyconnect VPN Client não estiver na flash do roteador, clique no botão de opção da caixa de diálogo MyComputer e clique em Browse.

A caixa de diálogo File Selection é exibida.

Selecione a imagem do cliente que você deseja instalar e clique em OK.5.

Page 4: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Após você especificar o local da imagem do cliente, clique em Install.6.Clique em Yes e, em seguida, em OK.7.Uma vez que a imagem do cliente seja instalada com êxito, você receberá esta mensagem:8.

Clique em OK para continuar.9.

Passo 2. Configurar um contexto de VPN SSL e o gateway de VPN SSL com o CCP Wizard

Conclua estes passos para configurar um contexto de VPN SSL e o gateway de VPN SSL:

Vá para Configure > Security > VPN e clique em SSL VPN.1.

Clique em SSL VPN Manager e, em seguida, clique na guia Create SSL VPN.2.

Marque o botão de opção Create a New SSL VPN e, em seguida, clique em Launch the selected task.3.

A caixa de diálogo SSL VPN Wizard é aberta.

Page 5: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Clique em Next.4.

Insira o endereço IP do novo gateway de VPN SSL e insira um nome exclusivo para este contexto de VPN SSL.5.

Você pode criar contextos diferentes de VPN SSL para o mesmo endereço IP (gateway de VPN SSL), mas cada nome deve ser exclusivo.Este exemplo usa este endereço IP: https://172.16.1.1/

Clique em Next e prossiga para o Passo 3.6.

Passo 3. Configurar o banco de dados de usuários para usuários do AnyConnect VPN

Para autenticação, você pode utilizar um servidor AAA, usuários locais ou ambos. Este exemplo de configuração usa usuários criados localmentepara a autenticação.

Conclua estes passos para configurar o banco de dados de usuários para usuários do AnyConnect VPN:

Após concluir o Passo 2, clique no botão de opção Locally on this router localizado na caixa de diálogo User Authentication do SSL VPNWizard.

1.

Page 6: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Esta caixa de diálogo permite que você adicione usuários ao banco de dados local.

Clique em Add e insira as informações do usuário.2.

Clique em OK e adicione usuários a mais conforme o necessário.3.

Depois de adicionar os usuários necessários, clique em Next e prossiga para o Passo 4.4.

Passo 4. Configurar o túnel completo de Anyconnect

Conclua estes passos para configurar o túnel completo do AnyConnect e o pool de endereços IP para os usuários:

Como o AnyConnect concede acesso direto aos recursos da intranet corporativa, a lista de URLs não precisa ser configurada. Clique nobotão Next localizado na caixa de diálogo Configure Intranet Websites.

1.

Page 7: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Certifique-se de que a caixa de verificação Enable Full Tunnel esteja marcada.2.

Crie um pool de endereços IP que podem ser utilizados pelos clientes deste contexto de VPN SSL.3.

O pool de endereços deve corresponder aos endereços disponíveis e roteáveis em sua intranet.

Clique as elipses (…) ao lado do endereço IP de Um ou Mais Servidores Cisco ICM NT associe o campo, e escolha-o criam um IP poolnovo.

4.

Na caixa de diálogo Add IP Local Pool, insira um nome para o pool (por exemplo, novo) e clique em Add.5.

Page 8: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Na caixa de diálogo Add IP address range, insira o intervalo do pool de endereços para os clientes VPN do Anyconnect e clique em OK.6.

Nota: Antes da versão 12.4(20)T, o pool de endereços IP deveria estar em um intervalo de uma interface conectada diretamente aoroteador. Se desejar utilizar um intervalo de pool diferente, você poderá criar um endereço de loopback associado ao seu novo pool parasatisfazer esta exigência. .

Clique em OK.7.

Certifique-se de marcar a caixa de seleção Install Full Tunnel Client.8.

Configure as opções avançadas do túnel, como tunelamento dividido, DNS dividido, configurações de proxy do navegador e servidoresDNS e WINS.

9.

Nota: A Cisco recomenda que você configure pelo menos os servidores DNS e WINS.

Para configurar opções avançadas do túnel, conclua estes passos:Clique no botão >Advanced Tunnel Options.a.

Clique na guia DNS and WINS Servers e insira os endereços IP primários dos servidores DNS e WINS.b.

Page 9: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Para configurar o tunelamento dividido, clique na guia Split Tunneling.c.

A capacidade de transmitir tráfego protegido e não protegido na mesma interface é conhecida como tunelamento dividido. Otunelamento dividido exige que você especifique exatamente qual tráfego é protegido e qual é o destino desse tráfego. Assim,somente o tráfego especificado entra no túnel, enquanto que o resto é transmitido sem criptografia através da rede pública (Internet).

Por exemplo, consulte ASA 8.x: Exemplo de Configuração de Permissão do Tunelamento Dividido para o AnyConnect VPN Clientno ASA, o qual fornece instruções passo a passo sobre como permitir o acesso do Cisco AnyConnect VPN Client à Internet quandoele está tunelado em um Cisco Adaptive Security Appliance (ASA) 8.0.2.

Após configurar as opções necessárias, clique Next.10.

Personalize a página do portal de VPN SSL ou selecione os valores padrão.11.

A página de personalização do portal de VPN SSL permite que você personalize como a página do portal de VPN SSL é mostrada paraseus clientes.

Page 10: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Após personalizar a página do portal de VPN SSL, clique Next.12.

Clique em Finish.13.

Clique em Deliver para salvar sua configuração e clique em OK.14.

O SSL VPN Wizard envia seus comandos para o roteador.

Page 11: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Nota: Se você receber uma mensagem de erro, a licença de VPN SSL pode estar incorreta.

Para corrigir um problema de licença, conclua estes passos:

Vá para Configure > Security > VPN e clique em SSL VPN.a.

Clique em SSL VPN Manager e, em seguida, clique na guia Edit SSL VPN no lado direito.b.

Realce seu contexto recém-criado e clique no botão Edit.c.

Page 12: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

No campo do Maximum Number of users, insira o número correto de usuários para sua licença.d.

Clique em OK e, em seguida, em Deliver.e.

Seus comandos são gravados no arquivo de configuração.

Configuração de CLI

O CCP cria estas configurações da linha de comando:

RouterRouter#show runBuilding configuration...

Current configuration : 4110 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!logging message-counter syslogno logging bufferedenable password cisco!aaa new-model!!aaa authentication login default localaaa authentication login ciscocp_vpn_xauth_ml_1 localaaa authorization exec default local!!aaa session-id common!crypto pki trustpoint TP-self-signed-1951692551enrollment selfsignedsubject-name cn=IOS-Self-Signed-Certificate-1951692551revocation-check nonersakeypair TP-self-signed-1951692551!!crypto pki certificate chain TP-self-signed-1951692551

Page 13: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

certificate self-signed 02 3082023E 308201A7 A0030201 02020102 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 31393531 36393235 3531301E 170D3039 30383037 31303538 33345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39353136 39323535 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100CD40 156E21C4 4F84401A F5674319 CC05B708 72A79C69 90997D30 6F556A37 75FC53DA AB0B43AF 70E7DBC2 C9416C4B 009C3695 67C20847 4F0BC7B0 715F0518 5E558DFC 13A20167 5D169C47 3BC083C9 A2B66790 79B83814 5008EBF6 169FA897 6D955F46 2BDADBB0 5275F07E C124CCF3 64DD9CE1 1B6F5744 282E4EA5 A0840385 5FD90203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603 551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 05F279A9 C556AF46 C5F7A1F0 2ADD2D22 F75BF7B7 301D0603 551D0E04 16041405 F279A9C5 56AF46C5 F7A1F02A DD2D22F7 5BF7B730 0D06092A 864886F7 0D010104 05000381 81004886 D666121E 42862509 CA7FDACC 9C57C8BE EB6745FC 533A8C08 FEF2C007 274374EE 803823FB 79CFD135 2B116544 88B5CFB1 B7BB03E2 F3D65A62 B0EE050A 924D3168 98357A5B E1F15449 5C9C22D0 577FB036 A3D8BB08 5507C574 18F2F48F 0694F21C 0983F254 6620FCD7 8E460D29 B09B87E8 ADC3D589 F4D74659 A5CEA30F 1A9C quitdot11 syslogip source-route!!!!ip cef!multilink bundle-name authenticated!!!username test privilege 15 password 0 testusername tsweb privilege 15 password 0 tsweb!!!archivelog config hidekeys!!!!!!interface FastEthernet0/0ip address 10.77.241.111 255.255.255.192duplex autospeed auto!interface FastEthernet0/1description $ES_LAN$ip address 172.16.1.1 255.255.255.0ip virtual-reassemblyduplex autospeed auto!interface FastEthernet0/1/0!interface FastEthernet0/1/1!interface FastEthernet0/1/2!interface FastEthernet0/1/3!interface ATM0/0/0no ip addressshutdownno atm ilmi-keepalive!interface Vlan1no ip address!ip local pool new 192.168.10.1 192.168.10.10ip forward-protocol ndip route 10.20.10.0 255.255.255.0 172.16.1.2ip route 10.77.233.0 255.255.255.0 10.77.241.65ip http serverip http authentication localip http secure-server!!!

Page 14: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

!!!!!control-plane!!line con 0line aux 0line vty 0 4password ciscotransport input telnet sshtransport output telnet!scheduler allocate 20000 1000!webvpn gateway gateway_1ip address 172.16.1.1 port 443http-redirect port 80ssl trustpoint TP-self-signed-1951692551inservice!webvpn install svc flash:/webvpn/svc_1.pkg sequence 1!webvpn context salessecondary-color whitetitle-color #CCCC66text-color blackssl authenticate verify all

!!policy group policy_1

functions svc-enabled

svc address-pool "new" svc dns-server primary 10.1.1.1 svc wins-server primary 10.1.1.2default-group-policy policy_1aaa authentication list ciscocp_vpn_xauth_ml_1gateway gateway_1max-users 10inservice!end

Estabelecimento da conexão do AnyConnect VPN Client

Conclua estes passos para estabelecer uma conexão do AnyConnect VPN Client com o roteador.

Nota: Adicione um roteador à lista de sites confiáveis no Internet Explorer. Para obter mais informações, consulte Adição de um SecurityAppliance/Roteador à Lista de Sites Confiáveis (IE).

Insira o URL ou o endereço IP da interface WebVPN do roteador em seu navegador da Web no formato mostrado.1.

https://<url>

OU

https://<IP address of the Router WebVPN interface>

Page 15: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Insira seu nome de usuário e a senha.2.

Clique no botão Start para iniciar a conexão de túnel do AnyConnect VPN.3.

Esta janela é mostrada antes da conexão VPN SSL ser estabelecida.4.

Page 16: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Nota: O software ActiveX deve ser instalado em seu computador antes do AnyConnect VPN ser baixado.

A mensagem Connection Established é mostrada assim que o cliente se conecta com êxito.

Assim que a conexão for estabelecida com êxito, clique na guia Statistics.5.

A guia Statistics exibe informações sobre a conexão SSL.

Page 17: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Clique em Details.6.

O Cisco AnyConnect VPN Client: A caixa de diálogo Statistics Detail é mostrada.

As caixas de diálogo Statistics Details exibe informações estatísticas detalhadas da conexão, incluindo o estado do túnel e o modo, aduração da conexão, o número de bytes e frames enviados e recebidos, informação de endereço, informação do transporte e o estado daavaliação de postura do Cisco Secure Desktop. O botão Reset nesta guia redefine as estatísticas da transmissão. O botão Export permite quevocê exporte as estatísticas atual, a interface e a tabela de roteamento para um arquivo de texto. O AnyConnect Client pergunta a você umnome e local para o arquivo de texto. O nome padrão é AnyConnect-ExportedStats.txt e o local padrão é na área de trabalho.Na caixa de diálogo Cisco AnyConnect VPN Client, clique na guia About.7.

Esta guia indica as informações de versão do Cisco AnyConnect VPN Client.

Page 18: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

VerificarUse esta seção para confirmar se a sua configuração funciona corretamente.

Comandos

Vários comandos show estão associados ao WebVPN. Você pode executar estes comandos na interface de linha de comando (CLI) para mostrarestatísticas e outras informações. Para obter informações detalhadas sobre os comandos show, consulte Verificação da Configuração doWebVPN.

Nota: A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir umaanálise da saída do comando show.

Router#show webvpn session context allWebVPN context name: salesClient_Login_Name Client_IP_Address No_of_Connections Created Last_Usedtest 10.20.10.2 3 00:03:10 00:02:56

Router#show webvpn session user test context salesWebVPN user name = test ; IP address = 10.20.10.2 ; context = sales No of connections: 0 Created 00:26:05, Last-used 00:25:24 User Policy Parameters Group name = policy_1 Group Policy Parameters url list name = "webserver" idle timeout = 2100 sec session timeout = Disabled functions = mask-urls svc-enabled

citrix disabled address pool name = "new" dpd client timeout = 300 sec dpd gateway timeout = 300 sec keepalive interval = 30 sec SSLVPN Full Tunnel mtu size = 1406 bytes keep sslvpn client installed = enabled rekey interval = 3600 sec rekey method = lease duration = 43200 sec

Router#show webvpn statsUser session statistics:

Active user sessions : 1 AAA pending reqs : 0 Peak user sessions : 2 Peak time : 00:00:52 Active user TCP conns : 0 Terminated user sessions : 2 Session alloc failures : 0 Authentication failures : 1 VPN session timeout : 0 VPN idle timeout : 0

Page 19: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

User cleared VPN sessions: 0 Exceeded ctx user limit : 0 Exceeded total user limit: 0 Client process rcvd pkts : 108 Server process rcvd pkts : 0 Client process sent pkts : 589 Server process sent pkts : 0 Client CEF received pkts : 76 Server CEF received pkts : 0 Client CEF rcv punt pkts : 0 Server CEF rcv punt pkts : 0 Client CEF sent pkts : 0 Server CEF sent pkts : 0 Client CEF sent punt pkts: 0 Server CEF sent punt pkts: 0

SSLVPN appl bufs inuse : 0 SSLVPN eng bufs inuse : 0 Active server TCP conns : 0

Mangling statistics: Relative urls : 0 Absolute urls : 0 Non-http(s) absolute urls: 0 Non-standard path urls : 0 Interesting tags : 0 Uninteresting tags : 0 Interesting attributes : 0 Uninteresting attributes : 0 Embedded script statement: 0 Embedded style statement : 0 Inline scripts : 0 Inline styles : 0 HTML comments : 0 HTTP/1.0 requests : 0 HTTP/1.1 requests : 9 Unknown HTTP version : 0 GET requests : 9 POST requests : 0 CONNECT requests : 0 Other request methods : 0 Through requests : 0 Gateway requests : 9 Pipelined requests : 0 Req with header size >1K : 0 Processed req hdr bytes : 2475 Processed req body bytes : 0 HTTP/1.0 responses : 0 HTTP/1.1 responses : 0 HTML responses : 0 CSS responses : 0 XML responses : 0 JS responses : 0 Other content type resp : 0 Chunked encoding resp : 0 Resp with encoded content: 0 Resp with content length : 0 Close after response : 0 Resp with header size >1K: 0 Processed resp hdr size : 0 Processed resp body bytes: 0 Backend https response : 0 Chunked encoding requests: 0

HTTP Authentication stats : Successful NTLM Auth : 0 Failed NTLM Auth : 0 Successful Basic Auth : 0 Failed Basic Auth : 0 Unsupported Auth : 0 Unsup Basic HTTP Method : 0 NTLM srv kp alive disabld: 0 NTLM Negotiation Error : 0 Oversize NTLM Type3 cred : 0 Internal Error : 0 Num 401 responses : 0 Num non-401 responses : 0 Num Basic forms served : 0 Num NTLM forms served : 0 Num Basic Auth sent : 0 Num NTLM Auth sent : 0

CIFS statistics: SMB related Per Context: TCP VC's : 0 UDP VC's : 0 Active VC's : 0 Active Contexts : 0 Aborted Conns : 0 NetBIOS related Per Context: Name Queries : 0 Name Replies : 0 NB DGM Requests : 0 NB DGM Replies : 0 NB TCP Connect Fails : 0 NB Name Resolution Fails : 0 SMB related Global: Sessions in use : 0 Mbufs in use : 0 Mbuf Chains in use : 0 Active VC's : 0 Active Contexts : 0 Browse Errors : 0 Empty Browser List : 0 NetServEnum Errors : 0 Empty Server List : 0 NBNS Config Errors : 0 NetShareEnum Errors : 0 HTTP related Per Context: Requests : 0 Request Bytes RX : 0 Request Packets RX : 0 Response Bytes TX : 26286 Response Packets TX : 33 Active Connections : 0 Active CIFS context : 0 Requests Dropped : 0 HTTP related Global: Server User data : 0 CIFS User data : 0 Net Handles : 0 Active CIFS context : 0 Authentication Fails : 0 Operations Aborted : 0 Timers Expired : 0 Pending Close : 0 Net Handles Pending SMB : 0 File Open Fails : 0 Browse Network Ops : 0 Browse Network Fails : 0 Browse Domain Ops : 0 Browse Domain Fails : 0 Browse Server Ops : 0 Browse Server Fails : 0 Browse Share Ops : 0 Browse Share Fails : 0 Browse Dir Ops : 0 Browse Network Fails : 0 File Read Ops : 0 File Read Fails : 0 File Write Ops : 0 File Write Fails : 0 Folder Create Ops : 0 Folder Create Fails : 0 File Delete Ops : 0 File Delete Fails : 0 File Rename Ops : 0 File Rename Fails : 0 URL List Access OK : 0 URL List Access Fails : 0

Page 20: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Socket statistics: Sockets in use : 1 Sock Usr Blocks in use : 1 Sock Data Buffers in use : 0 Sock Buf desc in use : 0 Select timers in use : 1 Sock Select Timeouts : 0 Sock Tx Blocked : 0 Sock Tx Unblocked : 0 Sock Rx Blocked : 0 Sock Rx Unblocked : 0 Sock UDP Connects : 0 Sock UDP Disconnects : 0 Sock Premature Close : 0 Sock Pipe Errors : 12 Sock Select Timeout Errs : 0

Port Forward statistics: Client Server proc pkts : 0 proc pkts : 0 proc bytes : 0 proc bytes : 0 cef pkts : 0 cef pkts : 0 cef bytes : 0 cef bytes : 0

WEBVPN Citrix statistics:

Server Client Packets in : 0 0 Packets out : 0 0 Bytes in : 0 0 Bytes out : 0 0

ACL statistics: Permit web request : 0 Deny web request : 0 Permit cifs request : 0 Deny cifs request : 0 Permit without ACL : 0 Deny without match ACL : 0 Permit with match ACL : 0 Deny with match ACL : 0

Single Sign On statistics: Auth Requests : 0 Pending Auth Requests : 0 Successful Requests : 0 Failed Requests : 0 Retranmissions : 0 DNS Errors : 0 Connection Errors : 0 Request Timeouts : 0 Unknown Responses : 0

URL-rewrite splitter statistics: Direct access request : 0 Redirect request : 0 Internal request : 0

Tunnel Statistics: Active connections : 0 Peak connections : 1 Peak time : 00:34:51 Connect succeed : 3 Connect failed : 0 Reconnect succeed : 0 Reconnect failed : 0 DPD timeout : 0 Client Server in CSTP frames : 32 out IP pkts : 5 in CSTP data : 5 in CSTP control : 27 in CSTP bytes : 1176 out IP bytes : 805 out CSTP frames : 4 in IP pkts : 0 out CSTP data : 0 out CSTP control : 4 out CSTP bytes : 32 in IP bytes : 0 cef in CSTP data frames : 0 cef out forwarded pkts : 0 cef in CSTP data bytes : 0 cef out forwarded bytes : 0 cef out CSTP data frames : 0 cef in forwarded pkts : 0 cef out CSTP data bytes : 0 cef in forwarded bytes : 0

No CCP, escolha Monitoring > Security > VPN Status > SSL VPN > Users para ver as listas de usuários da VPN SSL no roteador.

Page 21: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Escolha Monitoring > Security > VPN Status > SSL VPN > Sales para ver as informações atuais da sessão de VPN SSL no roteador.

TroubleshootingUse esta seção para resolver problemas de configuração.

Problema de Conectividade SSL

Problema: Os clientes VPN SSL não conseguem se conectar ao roteador.

Solução: Endereços IP insuficientes no pool de endereços IP podem causar este problema. Aumente o número de endereços IP no pool deendereços IP no roteador para resolver este problema.

Para obter informações de troubleshooting do AnyConnect VPN Client, consulte Perguntas Frequentes do AnyConnect VPN Client.

Erro: SSLVPN Package SSL-VPN-Client : installed Error: Disco

Problema: Você recebe este erro ao instalar o pacote SVC em um roteador: SSLVPN Package SSL-VPN-Client : installedError: Disco.

Solução: Este erro pode ser resolvido com a reformatação da flash.

Comandos para Troubleshooting

Vários comandos clear estão associados ao WebVPN. Para obter informações detalhadas sobre os comandos show, consulte Verificação daConfiguração do WebVPN.

Vários comandos debug estão associados ao WebVPN. Para obter informações detalhadas sobre estes comandos, consulte Uso de Comandos deDepuração do WebVPN.

Page 22: configuração CCP Cliente de AnyConnect VPN (SSL) no IOS ... · 5.Selecione a imagem do cliente que você deseja instalar e clique em OK. ... A capacidade de transmitir tráfego

Nota: O uso de comandos debug pode afetar negativamente seu dispositivo Cisco. Antes de utilizar comandos debug, consulte InformaçõesImportantes sobre Comandos Debug.

Informações RelacionadasPerguntas frequentes sobre AnyConnect VPN ClientGuia do Administrador do Cisco AnyConnect VPN Client, Release 2.3SSL VPN - WebVPNExemplo de Configuração de VPN SSL Sem Clientes (WebVPN) no Cisco IOS com SDMExemplo de Configuração de VPN SSL com Thin-Client (WebVPN) no Cisco IOS com SDMExemplos de Configuração e Notas Técnicas

© 1992-2014 Cisco Systems Inc. Todos os direitos reservados.

Data da Geração do PDF: 29 Julho 2013

http://www.cisco.com/cisco/web/support/BR/107/1074/1074491_ssl-ios-00.html