LearnCisco.Ru – Cisco для практиков и новичков
CCIE# 27142
Алексей Николаев
e-mail: al@learncisco.ru
Web: LearnCisco.Ru
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Содержание видео

Базовая настройка AnyConnect VPN на Cisco ASA через графический
интерфейс ASDM в формате лабораторной работы в виртуальной
среде EVE-NG (http://eve-ng.net)

Редактирование базовой конфигурации AnyConnect VPN на Cisco ASA

Обзор в командой строке CLI основных принципов настройки и конфигурации,
созданной через ASDM

Что такое EVE-NG Community Edition:
 Знакомство с архитектурой и принципами работы EVE-NG
https://learncisco.ru/eve/What_is_EVE-NG_Community_Edition.pdf
 Страница видео курса по установке и настройке EVE-NG
https://learncisco.ru/eve

Более детальный видео курс по настройка и работе с Cisco ASA:
https://learncisco.ru/video/asa-vol-1.html
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Запуск пошаговой подсказки
через основное меню
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 1 – «Введение»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 2 – «Создание профиля»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 2 – «Создание профиля»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 3 – «Выбор протоколов и
создание сертификата»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 3 – «Выбор протоколов и
создание сертификата»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 3 – «Выбор протоколов и
создание сертификата»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 3 – «Выбор протоколов и
создание сертификата»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 3 – «Выбор протоколов и
создание сертификата»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 4 – «Добавление образа
AnyConnect VPN клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 4 – «Добавление образа
AnyConnect VPN клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 4 – «Добавление образа
AnyConnect VPN клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 4 – «Добавление образа
AnyConnect VPN клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 4 – «Добавление образа
AnyConnect VPN клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 5 – «Выбор метода
аутентификации и создание
пользователя»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 5 – «Выбор метода
аутентификации и создание
пользователя»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 6 – «Настройка SAML»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 7 – «Создание пула IP адресов
для удаленных пользователей»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 7 – «Создание пула IP адресов
для удаленных пользователей»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 7 – «Создание пула IP адресов
для удаленных пользователей»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 8 – «Описание DNS/WINS/
Domain для удаленных
пользователей»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 9 – «Создание правила для
исключения из NAT»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 10 – «Выбор способов
внедрения AnyConnect клиента»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
VPN Wizard

Шаг 11 – «Summary – обзор новой
конфигурации»
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
Profiles

Сохранение конфигурации
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
Profiles

Редактирование профиля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
Profiles


Редактирование профиля
Редактирование групповой политики
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
Profiles


Редактирование профиля
Редактирование групповой политики
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM
AnyConnect
Profiles

Настройка правил
Split Tunnel
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM
AnyConnect
Profiles


Настройка правил
Split Tunnel
Добавление списка
доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM
AnyConnect
Profiles


Настройка правил
Split Tunnel
Добавление списка
доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM
AnyConnect
Profiles


Настройка правил
Split Tunnel
Добавление правила
в список доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM
AnyConnect
Profiles


Настройка правил
Split Tunnel
Добавление правила
в список доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM
AnyConnect
Profiles


Настройка правил
Split Tunnel
Добавление правила
в список доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM
AnyConnect
Profiles


Настройка правил
Split Tunnel
Добавление правила
в список доступа ACL
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM
AnyConnect
Profiles


Настройка правил
Split Tunnel
Задание политики
туннелирования
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM
AnyConnect
Profiles


Настройка правил
Split Tunnel
Задание политики
туннелирования
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
Profiles

Сохранение всех изменений
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
Profiles

Сохранение всех изменений
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
Profiles

Сохранение всех изменений
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
ASDM AnyConnect
Profiles

Сохранение всех изменений
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure
Mobility Client

Подключение к ASA,
проверка настроек и
правильности работы
VPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure
Mobility Client

Подключение к ASA,
проверка настроек и
правильности работы
VPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure
Mobility Client

Подключение к ASA,
проверка настроек и
правильности работы
VPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure
Mobility Client

Подключение к ASA,
проверка настроек и
правильности работы
VPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure
Mobility Client

Подключение к ASA,
проверка настроек и
правильности работы
VPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure
Mobility Client

Подключение к ASA,
проверка настроек и
правильности работы
VPN туннеля
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure
Mobility Client

Подключение к ASA, проверка настроек и правильности работы VPN туннеля
show vpn-sessiondb anyconnect
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
AnyConnect Secure
Mobility Client

Подключение к ASA,
проверка настроек и
правильности работы
VPN туннеля
show vpn-sessiondb
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Пул IP адресов для клиентов
ip local pool RA-POOL 192.168.1.100-192.168.1.200 mask 255.255.255.0
! Объект «локальная сеть»
object network NETWORK_OBJ_192.168.1.0_24
subnet 192.168.1.0 255.255.255.0
! Список доступа для описания шифруемого трафика
access-list SPLIT-ACL standard permit 192.168.1.0 255.255.255.0
! Исключение из трансляции локальной IP сети
nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.1.0_24
NETWORK_OBJ_192.168.1.0_24 no-proxy-arp route-lookup
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Наборы политик для IPSec
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Описание и подключение крипто карты на интерфейсе outside
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES
DES
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
! Описание TrustPoint (Центра Сертификации)
crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_0
enrollment self
fqdn none
subject-name CN=192.168.1.1,CN=ASAv
keypair ASDM_LAUNCHER
crl configure
crypto ca trustpool policy
auto-import
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Цепочка сертификатов
crypto ca certificate chain ASDM_Launcher_Access_TrustPoint_0
certificate 32347859
308202c6 308201ae a0030201 02020432 34785930 0d06092a 864886f7 0d01010b
05003025 310d300b 06035504 03130441 53417631 14301206 03550403 130b3139
322e3136 382e312e 31301e17 0d313730 37323630 36333333 355a170d 32373037
32343036 33333335 5a302531 0d300b06 03550403 13044153 41763114 30120603
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2a53d4dc 84f12f8d 057b69b4 0d78e9f7 cd8c5ad9 f24187e4 403789bb b5fe40b1
15b149c4 c37e6838 61ee5b6a 1432371e 32476661 00dab5da 7f6f32e9 eff75085
263ba714 16046cb6 a8e9bc35 e0e98151 ed54d808 d9b25edf 6f784a05 7dce99bb
6c993dc8 de51f20d b2a9872e 3a4ae141 e0cfe602 dc95e84d 453e90b5 d59f3af0
aaede960 1a0d23c0 a74259bf ef14522a a51d7517 f55b0271 2ee20ecc da722a18
70527ce5 35bcac2f 7c7c08b6 274244e4 4de52d8b ab79c240 3973abfb d2f966ae
f60b07b3 fe4e5f64 b9bd
quit
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Наборы политик для IKEv2
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Наборы политик для IKEv2
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Включение IKEv2 на интерфейсе outside и ассоциация с TrustPoint
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint ASDM_Launcher_Access_TrustPoint_0
! Ассоциация с TrustPoint для протокола SSL на всех интерфейсах
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 outside
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside vpnlb-ip
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Подключение AnyConnect клиента и профиля для него
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.3.00748-k9.pkg 1
anyconnect profiles AnyConnect_VPN_client_profile disk0:/AnyConnect_VPN_client_profile.xml
anyconnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Описание групповой политики и прикрепление профиля для AnyConnect
group-policy GroupPolicy_AnyConnect_VPN internal
group-policy GroupPolicy_AnyConnect_VPN attributes
wins-server none
dns-server value 192.168.1.1
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT-ACL
default-domain value learncisco.ru
webvpn
anyconnect profiles value AnyConnect_VPN_client_profile type user
dynamic-access-policy-record DfltAccessPolicy
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
Конфигурация созданная с помощью ASDM
! Аккаунт для удаленного пользователя
username ra-user password Remote123
! Описание и включение профиля (tunnel-group), привязка пула IP адресов и групповой политики
tunnel-group AnyConnect_VPN type remote-access
tunnel-group AnyConnect_VPN general-attributes
address-pool RA-POOL
default-group-policy GroupPolicy_AnyConnect_VPN
tunnel-group AnyConnect_VPN webvpn-attributes
group-alias AnyConnect_VPN enable
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017
Простая настройка AnyConnect VPN на Cisco ASA 5500-X
В следующем видео:
«Онлайн лаборатория проекта LearnCisco.Ru»
Подписывайтесь на канал YouTube:
http://www.youtube.com/MrLearnCisco
Сайт проекта:
https://LearnCisco.Ru
Поддержка:
E-mail: support@learncisco.ru
Web: https://LearnCisco.Ru/support
© LearnCisco.Ru, Алексей Николаев. Все права защищены, 2007-2017