请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 268|回复: 5

【代发】Cisco AnyConnect 安全移动客户端 使用咨询

 关闭 [复制链接]
抢楼 抢楼 查看抢中楼层 本帖为抢楼帖,欢迎抢楼!  截止楼层:6  奖励楼层: 2,3,4,5,6 
发表于 2018-11-9 11:28:42 | 显示全部楼层 |阅读模式
50可用金钱
近期在使用Cisco VPN中遇到一个问题想咨询下:
背景是我们需要通过VPN连接客户内网服务,同事需要连接本机服务,使用中发现开启VPN后,无法连接本机启动的服务。网上搜索后,定位到问题是VPN的适配器的跳跃点为1,网络访问优先通过贵司VPN的适配器。当我手动指定跳跃点后,重新登录VPN,跳跃点还是1
跳跃点的路径为:适配器属性→Internet协议版本4TCP/IPv4属性高级(V)。
这个跳跃点可否设置为自动跃点呢,或者级别设置低一些,这样我就可以连接客户内网服务的同时连接我本机搭建的服务了。
十分感谢答复

注:此贴为抢楼贴,前5楼有效讨论解答奖励10积分,每位用户限1楼,如果有补充可以在原答案上编辑哦(6楼以后无限制)。欢迎大家参与讨论。

最佳答案

查看完整内容

anyconnect的server端没设置隧道分离吗?ASA上配置acl,在组策略里配上隧道分离。只下发需要访问的网段的路由,就不会影响访问本地服务了吧。。。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-11-9 11:28:43 | 显示全部楼层
本帖最后由 maguanghua2013 于 2018-11-9 11:50 编辑

anyconnect的server端没设置隧道分离吗?ASA上配置acl,在组策略里配上隧道分离。只下发需要访问的网段的路由,就不会影响访问本地服务了吧。。。

点评

感谢参与讨论,10积分已发,请查收  发表于 2018-11-9 12:17
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2018-11-9 11:57:49 | 显示全部楼层
这个跃点数有点像路由优先级的意思,在不能更改的ASA配置的情况下,建议在连接anyconnect的情况下在本机下添加静态路由的方式解决。
route add x.x.x.x mask x.x.x.x 下一跳地址 -p为可选。

点评

感谢参与讨论,10积分已发,请查收  发表于 2018-11-9 12:17
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-11-9 13:39:25 | 显示全部楼层
楼主,你好。

1. 拨通anyconnect client,如果想实现如下需求:

1/ 访问客户内网走VPN tunnel
2/ 访问其他网络依然走本地网关。

可以参考1楼大虾提到的隧道分离(split tunnel),即把需要访问的客户网络加入split tunnel

2. 参考案例:

配置AnyConnect有分割隧道的安全移动性客户端在ASA
https://www.cisco.com/c/zh_cn/su ... -anyconnect-00.html

截取测试split tunnel 是否工作部分:
-------------------------------------------------------------------
一旦连接,子网的在已分解ACL的路由或主机被添加到客户端机器的路由表。在Microsoft Windows机器上,这在输出可以查看route print命令中。这些路由的下一跳将是从客户端IP池子网(通常第一个IP地址的一个IP地址子网) :
C:\Users\admin>route print
IPv4 Route Table
======================================================================
Active Routes:
Network Destination      Netmask    Gateway      Interface    Metric
       0.0.0.0            0.0.0.0   10.106.44.1  10.106.44.243  261
    10.10.10.0      255.255.255.0    10.10.11.2  10.10.11.1     2   

!! This is the split tunnel route.

   10.106.44.0      255.255.255.0     On-link    10.106.44.243  261
   172.16.21.1    255.255.255.255     On-link    10.106.44.243  6

!! This is the route for the ASA Public IP Address.
-------------------------------------------------------------------

点评

感谢专家参与问题讨论,10积分已发放,请查收  发表于 2018-11-9 14:08
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-11-9 14:20:43 | 显示全部楼层
使用隧道分离,将要访问的客户目标网络使用标准ACL定义。然后在组策略调用即可

示例
access-list vpn standard permit 172.16.1.0 255.255.255.0

group-policy CUSTOMER internal
group-policy CUSTOMER attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpn

点评

感谢您参与问题讨论,10积分已送上,请查收  发表于 2018-11-9 14:30
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-11-9 14:46:31 | 显示全部楼层
采用隧道分离技术可以实现,也就是推送明细路由给拨号的客户端电脑,明细路由用于访问远端应用,默认路由访问本地网络;需要在ASA上进行配置;
另外,在ASA没有配置隧道分离时,本地电脑上手动添加明细路由是无效的。

点评

感谢您参与问题讨论,10积分已送上,请查收  发表于 2018-11-9 14:55
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-11-17 15:25 , Processed in 0.121501 second(s), 44 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表