Professional Documents
Culture Documents
Introduction
Ce document dcrit comment installer un routeur de Cisco IOS pour excuter le VPN SSL sur un bton avec le Cisco AnyConnect VPN Client
utilisant le Cisco Configuration Professional (CCP). Cette configuration sapplique un cas spcifique dans lequel le routeur nautorise pas la
transmission tunnel partage et o les utilisateurs se connectent directement au routeur avant dtre autoriss accder Internet.
Le technologie VPN SSL ou WebVPN est prise en charge sur les plate-formes de routeur IOS suivantes :
870, 1811, 1841, 2801, 2811, 2821, 2851
3725, 3745, 3825, 3845, 7200 et 7301
CCP est un outil de gestion des priphriques bas sur GUI vous permettant de configurer les routeurs daccs bass sur Cisco IOS, y compris
les routeurs services intgrs Cisco, les routeurs de la gamme Cisco 7200 et le routeur Cisco 7301. CCP sinstalle sur un PC et simplifie la
configuration du routeur, de la scurit, des communications unifies, du rseau WAN sans fil ainsi que la configuration LAN de base, laide
dassistants conviviaux bass sur GUI.
Les routeurs commands avec CCP sont livrs avec Cisco Configuration Professional Express (CCP Express) install dans la mmoire Flash du
routeur. CCP Express est une version light de CCP. Vous pouvez utiliser CCP Express pour configurer les fonctions de scurit de base sur les
interfaces LAN et WAN du routeur. CCP Express est disponible dans la mmoire Flash du routeur.
Conditions pralables
Conditions requises
Assurez-vous que vous rpondez ces exigences avant d'essayer cette configuration :
Microsoft Windows 2000 ou XP ;
Navigateur Web avec SUN JRE 1.4 (ou version ultrieure) ou navigateur contrl par ActiveX ;
Privilges administratifs locaux sur le client ;
Routeur Cisco IOS avec image Advanced Security -12.4(20)T (ou version ultrieure) ;
Cisco Configuration Professional 1.3
Si Cisco Configuration Professional nest pas encore charg sur votre ordinateur, vous pouvez obtenir une copie gratuite et installer le
fichier .exe (cisco-config-pro-k9-pkg-1_3-en.zip) partir de la section Tlchargement de logiciel. Pour obtenir des informations dtailles
sur linstallation et la configuration de CCP, reportez-vous au Guide de dmarrage rapide Cisco Configuration Professional.
Composants utiliss
Les informations contenues dans ce document sont bases sur les versions de matriel et de logiciel suivantes :
Routeur de la gamme Cisco IOS 1841 avec version logicielle 12.4(24)T
Cisco Configuration Professional (CCP) +1.3
Client VPN SSL Cisco AnyConnect version pour Windows 2.3.2016
Remarque: Les informations contenues dans ce document ont t cres partir des priphriques dans un environnement de laboratoire
spcifique. Tous les priphriques utiliss dans ce document ont dmarr avec une configuration efface (par dfaut). Si votre rseau est
oprationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Conventions
Pour plus d'informations sur les conventions utilises dans ce document, reportez-vous Conventions relatives aux conseils techniques Cisco.
Diagramme du rseau
Ce document utilise la configuration rseau suivante :
Tches de prconfiguration
1. Vous devez configurer le routeur pour CCP.
Les routeurs possdant la licence de scurit approprie ont dj lapplication CCP charge en Flash. Pour obtenir et configurer le logiciel,
reportez-vous au Guide de dmarrage rapide Cisco Configuration Professional.
2. Tlchargez une copie du fichier Anyconnect VPN .pkg sur votre ordinateur de gestion.
5. Slectionnez limage client que vous souhaitez installer, puis cliquez sur OK.
6. Une fois que vous avez spcifi lemplacement de limage client, cliquez sur Install.
7. Cliquez sur Yes, puis cliquez sur OK.
8. Une fois limage client correctement installe, le message suivant saffiche :
3. Cliquez sur la case doption Create a New SSL VPN, puis cliquez sur Launch the selected task.
La bote de dialogue de lAssistant VPN SSL saffiche.
5. Saisissez ladresse IP de la nouvelle passerelle VPN SSL, puis saisissez un nom unique pour ce contexte VPN SSL.
Vous pouvez crer diffrents contextes VPN SSL pour la mme adresse IP (passerelle VPN SSL), cependant, chaque nom doit tre unique.
Cet exemple utilise ladresse IP suivante : https://172.16.1.1/
6. Cliquez sur Next, puis passez ltape 3.
tape 3. Configurez la base de donnes utilisateur pour des utilisateurs d'Anyconnect VPN
Pour lauthentification, vous pouvez utiliser un serveur AAA, des utilisateurs locaux ou les deux. Cet exemple de configuration utilise des
utilisateurs crs localement pour lidentification.
Effectuez les tapes suivantes pour configurer la base de donnes utilisateur pour les utilisateurs dAnyconnect VPN :
1. Une fois que vous avez termin ltape 2, cliquez sur la case doption Locally on this router situe dans la bote de dialogue User
Authentication de lAssistant SSL VPN.
Cette bote de dialogue vous permet dajouter des utilisateurs la base de donnes locale.
2. Cliquez sur Add, puis saisissez les informations utilisateur.
3. Cliquez sur OK, puis ajoutez des utilisateurs supplmentaires selon les besoins.
4. Aprs avoir ajout les utilisateurs ncessaires, cliquez sur le bouton Next, puis passez ltape 4.
3. Crez un pool dadresses IP pouvant tre utilis par les clients de ce contexte VPN SSL.
Le pool dadresses doit correspondre aux adresses disponibles et routables sur votre Intranet.
4. Cliquez sur les ellipses () ct du champ de groupe d'adresse IP, et choisissez crent un nouveau pool d'IP.
5. Dans la bote de dialogue Add IP Local Pool, saisissez un nom pour le pool (par exemple, nouveau), puis cliquez sur Add.
6. Dans la bote de dialogue Add IP address range, saisissez la plage de pool dadresses pour les clients Anyconnect VPN, puis cliquez sur
OK.
Remarque: Pour les versions antrieures 12.4(20)T, le pool dadresses IP doit se trouver dans la plage dune interface directement
connecte au routeur. Si vous voulez utiliser une plage diffrente de groupe, vous pouvez crer une adresse de bouclage associe avec votre
nouveau groupe pour rpondre cette exigence.
7. Cliquez sur OK.
8. Assurez-vous que la case Install Full Tunnel Client est coche.
9. Configurez les options de tunnel avances, notamment la transmission de tunnel partage, le partage de DNS, les paramtres de proxy du
navigateur ainsi que les serveurs DNS et WNS.
Remarque: Cisco vous recommande de configurer au minimum les serveurs DNS et WINS.
Excutez les tapes suivantes pour configurer les options de tunnel avances :
a. Cliquez sur le bouton Advanced Tunnel Options (Options de tunnel avances).
b. Cliquez sur longlet DNS and WINS Servers, puis saisissez les adresses IP principales des serveurs DNS et WINS.
c. Pour configurer la transmission tunnel partage, cliquez sur longlet Split Tunneling (Transmission tunnel partage).
La possibilit de transmettre du trafic scuris comme du trafic non scurit sur la mme interface est connue sous le nom de
transmission tunnel partage. Pour la transmission tunnel partage, vous devez spcifier exactement quel est le trafic scuris ainsi
que sa destination afin que seul le trafic spcifi accde au tunnel alors que le reste du trafic est transmis non chiffr sur le rseau
public (Internet).
Pour obtenir un exemple, reportez-vous ASA 8.x : Exemple de configuration : Autoriser la transmission de tunnel partage pour
AnyConnect VPN Client sur ASA qui fournit des instructions pas pas sur la mthode permettant dautoriser les clients Cisco
AnyConnect VPN accder Internet alors quils sont dirigs vers un appareil Cisco Adaptive Security Appliance (ASA) 8.0.2.
10. Aprs avoir configur les options ncessaires, cliquez sur Next.
11. Personnaliser la page SSL VPN Portal ou slectionner les valeurs par dfaut.
Loption Customize SSL VPN Portal Page vous permet de personnaliser laffichage de la page SSL VPN Portal pour vos clients.
12. Aprs avoir personnalis la page du portail VPN SSL, cliquez sur Next.
13. Cliquez sur Finish (Terminer).
14. Cliquez sur Deliver pour sauvegarder votre configuration, puis cliquez sur OK.
LAssistant VPN SSL soumet vos commandes au routeur.
Remarque: Si vous recevez un message derreur, la licence VPN SSL peut tre incorrecte.
Pour corriger le problme de licence, excutez les tapes suivantes :
a. Accdez Configure > Security > VPN, puis cliquez sur SSL VPN.
b. Cliquez sur SSL VPN Manager, puis cliquez sur longlet Edit SSL VPN situ droite.
c. Mettez le contexte que vous venez de crer en surbrillance, puis cliquez sur le bouton Edit (Modifier).
d. Dans le champ Maximum Number of users (Nombre maximal dutilisateurs), saisissez le nombre correct dutilisateurs de votre
licence.
e. Cliquez sur OK, puis cliquez sur Deliver.
Vos commandes sont enregistres dans le fichier de configuration.
Configuration CLI
CCP cre les configurations de ligne de commande suivantes :
Routeur
Router#show run
Building configuration...
Current configuration : 4110 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging buffered
enable password cisco
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-1951692551
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1951692551
revocation-check none
rsakeypair TP-self-signed-1951692551
!
!
F70D0101
6E65642D
30383037
06035504
74652D31
818D0030
90997D30
4F0BC7B0
5008EBF6
282E4EA5
030101FF
30168014
16041405
0D010104
533A8C08
F3D65A62
5507C574
F4D74659
04050030
43657274
31303538
03132649
39353136
81890281
6F556A37
715F0518
169FA897
A0840385
30110603
05F279A9
F279A9C5
05000381
FEF2C007
B0EE050A
18F2F48F
A5CEA30F 1A9C
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password cisco
transport input telnet ssh
transport output telnet
!
scheduler allocate 20000 1000
!
webvpn gateway gateway_1
ip address 172.16.1.1 port 443
http-redirect port 80
ssl trustpoint TP-self-signed-1951692551
inservice
!
webvpn install svc flash:/webvpn/svc_1.pkg sequence 1
!
webvpn context sales
secondary-color white
title-color #CCCC66
text-color black
ssl authenticate verify all
!
!
policy group policy_1
functions svc-enabled
svc address-pool "new"
svc dns-server primary 10.1.1.1
svc wins-server primary 10.1.1.2
default-group-policy policy_1
aaa authentication list ciscocp_vpn_xauth_ml_1
gateway gateway_1
max-users 10
inservice
!
end
OU
https://<IP address of the Router WebVPN interface>
3. Cliquez sur le bouton Start pour initialiser la connexion de tunnel Anyconnect VPN.
4. Cette fentre apparat avant que la connexion VPN SSL ne soit tablie.
Remarque: Le logiciel ActiveX doit tre install sur votre ordinateur avant de tlcharger Anyconnect VPN.
Le message Connection Established une fois le client connect avec succs.
5. Une fois la connexion correctement tablie, cliquez sur longlet Statistics (Statistiques).
Longlet Statistics (Statistiques) affiche des informations relatives la connexion SSL.
La bote de dialogue Statistics Details affiche les informations statistiques dtailles sur la connexion, notamment ltat et le mode du
tunnel, la dure de la connexion, le nombre doctets et de trames envoys et reus, les informations relatives ladresse, les informations
relatives au transport ainsi que ltat dvaluation de position Cisco Secure Desktop. Le bouton Reset de cet onglet permet de rinitialiser
les statistiques de transmission. Le bouton Export (Exporter) vous permet dexporter les statistiques, linterface et la table de routage
actuelles dans un fichier texte. Le client AnyConnect vous invite saisir un nom et slectionner un emplacement pour le fichier texte. Le
nom par dfaut est AnyConnect-ExportedStats.txt et lemplacement par dfaut se trouve sur le bureau.
7. Dans la bote de dialogue Cisco AnyConnect VPN Client, cliquez sur longlet About ( propos).
Cet onglet affiche les informations relatives la version de Cisco AnyConnect VPN Client.
Vrifiez
Rfrez-vous cette section pour vous assurer du bon fonctionnement de votre configuration.
Commandes
Plusieurs commandes show sont associes au WebVPN. Vous pouvez excuter ces commandes dans linterface de ligne de commande (CLI)
afin dafficher les statistiques et autres informations. Pour obtenir des informations dtailles propos des commandes show, reportez-vous
Vrification de la configuration de WebVPN.
Remarque: L'Outil Interprteur de sortie (clients enregistrs uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT
pour afficher une analyse de la sortie de la commande show .
Router#show webvpn session context all
WebVPN context name: sales
Client_Login_Name Client_IP_Address No_of_Connections Created
test
10.20.10.2
3
00:03:10
Last_Used
00:02:56
:
:
:
:
:
1
2
0
0
0
:
:
:
:
:
0
00:00:52
2
1
0
0
0
108
589
76
0
0
0
: 0
: 0
: 0
SSLVPN eng
bufs inuse
0
0
0
0
0
0
: 0
Mangling statistics:
Relative urls
:
Non-http(s) absolute urls:
Interesting tags
:
Interesting attributes
:
Embedded script statement:
Inline scripts
:
HTML comments
:
HTTP/1.1 requests
:
GET requests
:
CONNECT requests
:
Through requests
:
Pipelined requests
:
Processed req hdr bytes :
HTTP/1.0 responses
:
HTML responses
:
XML responses
:
Other content type resp :
Resp with encoded content:
Close after response
:
Processed resp hdr size :
Backend https response
:
0
0
0
0
0
0
0
9
9
0
0
0
2475
0
0
0
0
0
0
0
0
Absolute urls
:
Non-standard path urls
:
Uninteresting tags
:
Uninteresting attributes :
Embedded style statement :
Inline styles
:
HTTP/1.0 requests
:
Unknown HTTP version
:
POST requests
:
Other request methods
:
Gateway requests
:
Req with header size >1K :
Processed req body bytes :
HTTP/1.1 responses
:
CSS responses
:
JS responses
:
Chunked encoding resp
:
Resp with content length :
Resp with header size >1K:
Processed resp body bytes:
Chunked encoding requests:
0
0
0
0
0
0
0
0
0
0
9
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
:
:
:
:
:
:
:
:
0
0
0
0
0
0
0
0
0
0
0
UDP VC's
Active Contexts
: 0
: 0
0
0
0
Name Replies
: 0
NB DGM Replies
: 0
NB Name Resolution Fails : 0
0
0
0
0
0
0
Mbufs in use
Active VC's
Browse Errors
NetServEnum Errors
NBNS Config Errors
:
:
:
:
:
0
0
0
0
0
0
0
33
0
Request Bytes RX
Response Bytes TX
Active Connections
Requests Dropped
:
:
:
:
0
26286
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
CIFS statistics:
SMB related Per Context:
TCP VC's
:
Active VC's
:
Aborted Conns
:
NetBIOS related Per Context:
Name Queries
:
NB DGM Requests
:
NB TCP Connect Fails
:
SMB related Global:
Sessions in use
:
Mbuf Chains in use
:
Active Contexts
:
Empty Browser List
:
Empty Server List
:
NetShareEnum Errors
:
HTTP related Per Context:
Requests
:
Request Packets RX
:
Response Packets TX
:
Active CIFS context
:
HTTP related Global:
Server User data
:
Net Handles
:
Authentication Fails
:
Timers Expired
:
Net Handles Pending SMB :
Browse Network Ops
:
Browse Domain Ops
:
Browse Server Ops
:
Browse Share Ops
:
Browse Dir Ops
:
File Read Ops
:
File Write Ops
:
Folder Create Ops
:
File Delete Ops
:
File Rename Ops
:
URL List Access OK
:
Socket statistics:
Sockets in use
Sock Data Buffers in use
Select timers in use
Sock Tx Blocked
Sock Rx Blocked
Sock UDP Connects
Sock Premature Close
Sock Select Timeout Errs
:
:
:
:
:
:
:
:
1
0
1
0
0
0
0
0
:
:
:
:
0
0
0
0
Sock
Sock
Sock
Sock
Sock
Sock
Sock
Server
proc pkts
proc bytes
cef pkts
cef bytes
:
:
:
:
:
:
:
1
0
0
0
0
0
12
:
:
:
:
0
0
0
0
Packets in
Packets out
Bytes in
Bytes out
Server
0
0
0
0
Client
0
0
0
0
:
:
:
:
ACL statistics:
Permit web request
Permit cifs request
Permit without ACL
Permit with match ACL
:
:
:
:
0
0
0
0
Deny
Deny
Deny
Deny
:
:
:
:
:
0
0
0
0
0
:
:
:
:
:
0
1
3
0
0
:
:
:
:
:
:
:
:
:
:
:
:
32
5
27
1176
4
0
4
32
0
0
0
0
web request
cifs request
without match ACL
with match ACL
:
:
:
:
0
0
0
0
:
:
:
:
0
0
0
0
Redirect request
: 0
Peak time
Connect failed
Reconnect failed
: 00:34:51
: 0
: 0
Server
out IP pkts
: 5
out IP bytes
in IP pkts
: 805
: 0
in
cef
cef
cef
cef
:
:
:
:
:
IP bytes
out forwarded pkts
out forwarded bytes
in forwarded pkts
in forwarded bytes
0
0
0
0
0
Dans CCP, slectionnez Monitoring > Security > VPN Status > SSL VPN > Users pour afficher la liste dutilisateurs VPN SSL actuels
dans le routeur.
Slectionnez Monitoring > Security > VPN Status > SSL VPN > Sales pour afficher les informations relatives la session VPN SSL
actuelle dans le routeur.
Dpannez
Utilisez cette section pour dpanner votre configuration.
Remarque: Lutilisation des commandes debug peut avoir un impact ngatif sur votre priphrique Cisco. Avant d'utiliser les commandes
debug, rfrez-vous la section Informations importantes sur les commandes Debug.
Informations connexes
Client VPN AnyConnect - Forum Aux Questions
Guide de ladministrateur Cisco AnyConnect VPN Client, Version 2.3
VPN SSL - WebVPN
Exemple de configuration d'un VPN SSL sans client (WebVPN) sur Cisco IOS avec SDM
Exemple de configuration de VPN SSL (WebVPN) client lger sur IOS avec SDM
Exemples et notes techniques de configuration