您当前的位置:首页 > 电脑百科 > 网络技术 > 网络设置

配置Cisco AnyConnect VPN的5个步骤,缺一不可

时间:2023-11-14 09:30:41  来源:  作者:驾驭信息纵横科技

随着越来越多的人远程工作或在混合环境中工作,IT部门和MSP在ASA防火墙上配置Cisco AnyConnect VPN的呼声越来越高。但是Cisco文档可能会非常混乱,这会导致一些组织的配置错误(我们指的是不安全)。

如果步骤安排得很清楚,那么过程实际上相当简单。这就是我们的向导派上用场的地方。

在这篇文章中,我们将分析Cisco AnyConnect的来龙去脉,包括它是什么,为什么它很重要,以及为你的VPN正确配置Cisco AnyConnect需要采取哪些步骤。

配置Cisco AnyConnect VPN的5个步骤,缺一不可

什么是Cisco AnyConnect

Cisco AnyConnect是由Cisco Systems开发的一个软件程序,为用户提供安全的VPN(虚拟专用网络)连接。它主要由企业和组织使用,使远程工作者能够通过互联网安全地访问内部网络和资源。

Cisco AnyConnect VPN的一些关键优势

  • 安全连接:AnyConnect提供加密的网络连接,确保远程用户和公司网络之间传输的数据是安全的,并防止未经授权的访问。
  • 支持多个平台:AnyConnect与各种操作系统兼容,包括windowsmacOS、linux以及IOSAndroid等移动平台。
  • 自动网络检测:该软件可以自动检测用户何时处于不安全的网络上,并建立VPN连接以确保通信安全。
  • 远程访问:它允许远程用户访问内部网络资源,就好像他们在办公室一样,这对远程工作场景特别有用。
  • 可自定义的策略和访问控制:管理员可以设置策略来控制用户对网络资源的访问,确保用户根据其角色拥有适当的访问级别。
  • 端点评估:AnyConnect可以评估用于连接网络的设备的安全状况,确保其在允许访问之前符合某些安全标准。

现在你已经了解了其中的一些好处,让我们来完成为你的VPN配置Cisco AnyConnect所需的步骤。

配置AAA认证

首先要配置的是AAA身份验证。我倾向于使用RADIUS进行身份验证和授权,但也有其他选项,如LDAP。配置类似:

!

aaa-server MYRADIUS protocol radius

aaa-server MYRADIUS (INSIDE) host 10.10.1.1

key ****

!

这个配置片段说,我的网络中有一个RADIUS服务器,IP地址为10.10.1.1,我在ASA配置中用标签“MYRADIUS”来指代它。它是通过ASA接口访问的,我在接口配置中称之为“INSIDE”。

定义VPN协议

当用户连接他们的VPN时,他们需要一个VPN会话的IP地址。这是将显示在此用户的公司网络中的地址。它与用户的公共IP地址或他们在家庭网络中可能拥有的任何地址无关。它只是在远程用户的流量通过ASA后在网络内部使用。

!

ip local pool ANYCONNECT_POOL1 10.99.1.1-10.99.1.254 mask 255.255.255.0

ip local pool ANYCONNECT_POOL2 10.99.2.1-10.99.2.254 mask 255.255.255.0

!

我在这里定义了两个池,因为我计划稍后使用多个隧道组。

配置隧道组

接下来,我配置我的隧道组。我将创建两个这样的组,原因稍后将解释。

!

tunnel-group ANYCONN_1 type remote-access

tunnel-group ANYCONN_1 type general-attributes

address-pool ANYCONNECT_POOL1

authentication-server-group MYRADIUS

default-group-policy NOACCESS

tunnel-group ANYCONN_1 webvpn-attributes

group-alias EMPLOYEES enable

!

tunnel-group ANYCONN_2 type remote-access

tunnel-group ANYCONN_2 type general-attributes

address-pool ANYCONNECT_POOL2

authentication-server-group MYRADIUS

default-group-policy NOACCESS

tunnel-group ANYCONN_2 webvpn-attributes

group-alias VENDORS enable

!

这将创建两个称为ANYCON_1和ANYCON_2的隧道组。我已经将第一个池分配给第一个隧道组,将第二个池分配给与第二个。

这里我使用的是“group-alias”命令,它在用户电脑上的AnyConnect客户端上创建了一个下拉框。用户将看到他们可以选择Employees或Vendor作为选项。我们正在创建的配置将允许第一组中的用户仅连接到第一个隧道组,而第二组中的使用者仅连接到第二个隧道组。

请注意,“authentication-server-group”命令在这两个隧道组中可能不同。因此,我可以将我的员工发送到一个RADIUS服务器(也许是一个与我的LDAP集成的服务器,或者等效地,我可以在防火墙上本地使用LDAP),并将供应商发送到另一个服务器。

设置组策略

现在我们需要组策略。事实上,我们需要三个。我们需要一个针对员工的组策略,另一个针对供应商的策略。第三种策略适用于以某种方式通过身份验证但未通过授权的任何人。也就是说,他们有有效的登录凭据,但没有被授权使用VPN。

发生这种情况的主要原因是他们只是选择了错误的配置文件。但也有可能有人根本没有被授权使用VPN,即使他们有合法的凭据。这种情况可能会发生,因为许多事情都使用相同的身份验证系统。

!

group-policy STAFF_VPN_GROUP internal

group-policy STAFF_VPN_GROUP attributes

vpn-tunnel-protocol ssl-client

vpn-filter value STAFF_VPN_ACL

!

group-policy VENDOR_VPN_GROUP internal

group-policy VENDOR_VPN_GROUP attributes

vpn-tunnel-protocol ssl-client

vpn-filter value VENDOR_VPN_ACL

!

group-policy NOACCESS internal

group-policy NOACCESS attributes

vpn-tunnel-protocol ssl-client

vpn-simultaneous-logins 0

!

这些名字是从哪里来的?这就是事情变得有点混乱的地方,所以请耐心等待。组策略名称STAFF_VPN_GROUP和VENDOR_VPN_GROUP是由RADIUS或LDAP服务器提供的值。必须对服务器进行配置,以便在成功身份验证后,将这些值交回IETF类型25字段(也称为类)中。并且它必须是特定的格式:OU=STAFF_VPN_GROUP;(包含分号)。

我想提到的另一个重要的配置是“vpn-filter”命令。这为这些用户应用了一个特殊的ACL(访问控制列表),并允许我们限制他们可以访问和不能访问的内容。例如,如果我想允许员工组访问公司网络中的任何内容,但要限制供应商只能访问特定的子网,我可以这样做:

!

access-list STAFF_VPN_ACL extended permit ip any any

access-list VENDOR_VPN_ACL extended permit ip any 10.99.99.0 255.255.255.0

!

应用配置

最后,我们需要将配置应用于防火墙的OUTSIDE接口:

!

webvpn

enable OUTSIDE

anyconnect enable

tunnel-group-list enable



Tags:VPN   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
VPN与MPLS:运维工程师揭秘两者差异,保障网络安全无忧
在当今的数字化时代,网络安全已成为企业和个人关注的焦点。VPN(虚拟专用网络)和MPLS(多协议标签交换)是两种常见的网络技术,它们在保障网络安全方面发挥着重要作用。本文将由运维...【详细内容】
2023-12-30  Search: VPN  点击:(73)  评论:(0)  加入收藏
SD-WAN相对VPN有什么优势,能否完全取代VPN
现在很多的企业,都有访问海外网络的需求,传统的访问海外网络,可能用VPN的据多,但VPN期实并不符合国家的规定。而后又出现SD-WAN的技术,那么相对VPN,SD-WAN有哪些优势呢。SD-WAN相...【详细内容】
2023-12-14  Search: VPN  点击:(110)  评论:(0)  加入收藏
什么叫分布式VPN?分布式VPN如何实现?
摘要 什么是分布式VPN?通过无线AP将分支节点与总部服务器组成内网。这个方案为客户解决了分支节点连接总部的网络需求,并提供了以下优势: 简单易用:本VPN是一种简单且易于部署的...【详细内容】
2023-12-08  Search: VPN  点击:(116)  评论:(0)  加入收藏
VPN与翻墙:合法与非法使用之间的边界
VPN(虚拟私人网络)是一种可以在公共网络上建立加密通道的技术,通过这种技术可以使远程用户访问公司内部网络资源时,实现安全的连接和数据传输。翻墙是指绕过相应的IP封锁、内容...【详细内容】
2023-11-22  Search: VPN  点击:(62)  评论:(0)  加入收藏
VPN技术在远程访问中的应用与实践
随着信息技术的发展,远程访问成为了一种常见的工作方式。为了保证远程访问的安全性和可靠性,VPN(VirtualPrivate Network)技术应运而生。本文将介绍VPN技术在远程访问中的应用与...【详细内容】
2023-11-22  Search: VPN  点击:(122)  评论:(0)  加入收藏
配置Cisco AnyConnect VPN的5个步骤,缺一不可
随着越来越多的人远程工作或在混合环境中工作,IT部门和MSP在ASA防火墙上配置Cisco AnyConnect VPN的呼声越来越高。但是Cisco文档可能会非常混乱,这会导致一些组织的配置错误(...【详细内容】
2023-11-14  Search: VPN  点击:(90)  评论:(0)  加入收藏
什么是VPN(虚拟私人网络)
VPN(虚拟私人网络)指的是在公用网络上建立专用网络的技术。VPN是一种在链路层实现加密/解密和数据验证功能,保障两点之间数据的机密性和完整性,并在中间节点能完成数字证书、签...【详细内容】
2023-09-05  Search: VPN  点击:(262)  评论:(0)  加入收藏
堡垒机、跳板机和VPN的区别与应用
前言:为了保护网络和数据的安全,许多技术和工具被开发出来。其中,堡垒机、跳板机和VPN是网络安全领域中的三个重要技术。它们可以帮助企业和个人保护内部网络的安全性,控制访问...【详细内容】
2023-06-14  Search: VPN  点击:(479)  评论:(0)  加入收藏
基于linux部署openvpn2.9 as
环境 CentOS7.9安装yum install -y open-vm-tools openvpn-as-bundled-clients-17.rpm yum install -y openvpn-as-2.9.2_04614689-CentOS7.x86_64.rpmyum install -y lrzsz...【详细内容】
2023-04-24  Search: VPN  点击:(375)  评论:(0)  加入收藏
VPN禁令背后的真相:保护信息安全与维护网络治理
国内为什么要构建一道与世界沟通的防火墙?国内对VPN(Virtual Private Network,虚拟私人网络)的使用进行了严格限制,甚至禁止在国内使用VPN。这一举措引发了广泛的讨论和争议。有...【详细内容】
2023-04-11  Search: VPN  点击:(377)  评论:(0)  加入收藏
▌简易百科推荐
iPhone或iPad用户必学:如何通过二维码快速共享Wi-Fi密码,简单又实用!
你有没有想过在不泄露网络密码的情况下与客人共享你的家庭或工作Wi-Fi?你肯定不是第一个这样想的人,我们很高兴地通知你,多亏了以下这个的变通方法,你现在可以使用iPhone或iPad...【详细内容】
2024-01-22  驾驭信息纵横科技    Tags:Wi-Fi密码   点击:(60)  评论:(0)  加入收藏
Windows 11网络连接问题诊断与解决小技巧,轻松解决上网问题!
在日常生活中,如果在连接网络时遇到问题,该如何排查解决?以下是一些故障排除步骤,可帮助你解决戴尔电脑上的无线网络连接问题。一起来看看吧!1、进行基本检查先进行一些基本检查...【详细内容】
2024-01-12  戴尔维修工程师    Tags:   点击:(58)  评论:(0)  加入收藏
配置Cisco AnyConnect VPN的5个步骤,缺一不可
随着越来越多的人远程工作或在混合环境中工作,IT部门和MSP在ASA防火墙上配置Cisco AnyConnect VPN的呼声越来越高。但是Cisco文档可能会非常混乱,这会导致一些组织的配置错误(...【详细内容】
2023-11-14  驾驭信息纵横科技    Tags:VPN   点击:(90)  评论:(0)  加入收藏
如何在Windows 10系统上设置DNS?
如果你正在使用Windows10操作系统,并且想要更好地控制你的网络服务,那么了解如何设置DNS(DomainNameSystem)是非常重要的。DNS是一种将域名解析为IP地址的服务,它能够让你在访问...【详细内容】
2023-11-10  高梦文    Tags:DNS   点击:(188)  评论:(0)  加入收藏
RabbitMQ发送和接收消息的几种方式
channel.basicQos(0, 1, false):0表示对消息的大小无限制,1表示每次只允许消费一条,false表示该限制不作用于channel。同时,我们采用手工ACK的方式,因为我们配置文件配置了 spri...【详细内容】
2023-11-08  程序猿羊  微信公众号  Tags:RabbitMQ   点击:(261)  评论:(0)  加入收藏
CISA发布十大常见网络安全错误配置
美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)在本周五的报告中公布了其红队和蓝队在大型组织网络中发现的十大最常见网络安全误配置。NSA和CISA在安全建议中详细说...【详细内容】
2023-11-07  GoUpSec  微信公众号  Tags:CISA   点击:(253)  评论:(0)  加入收藏
Istio Envoy 配置解读,看这篇就够了
前面我们创建了一个 Gateway 和 VirtualService 对象,用来对外暴露应用,然后我们就可以通过 ingressgateway 来访问 Bookinfo 应用了。那么这两个资源对象是如何实现的呢?Gatew...【详细内容】
2023-11-07  k8s技术圈  微信公众号  Tags:Istio Envoy   点击:(128)  评论:(0)  加入收藏
RabbitMQ的四种交换机详解
交换机主要是接收消息并且转发到绑定的队列,交换机不存储消息,在启用ack模式后,交换机找不到队列会返回错误。交换机有四种类型:Direct, topic, Headers and Fanout。图片一、to...【详细内容】
2023-11-06  程序猿小杨  微信公众号  Tags:交换机   点击:(263)  评论:(0)  加入收藏
路由器配置NAT/UPNP/DMZ方法
常见路由器配置NAT(网络地址转换)、UPnP(通用即插即用)和DMZ(区域暴露)的方法可以根据不同的路由器品牌和型号有所不同,但通常会在路由器的管理界面中找到相关设置。以下是一般步骤...【详细内容】
2023-10-11  晴间多云  今日头条  Tags:路由器配置   点击:(414)  评论:(0)  加入收藏
路由器如何正确安装?后台设置一步即可接入宽带
现在的路由器不论安装还是后台设置都非常方便,但一些网友可能是没有详细了解过相关的知识,所以每次想要更换路由器或者新装路由器的时候并不知道如何安装路由器接入自家宽带,这...【详细内容】
2023-09-21  羽度非凡    Tags:路由器   点击:(290)  评论:(0)  加入收藏
站内最新
站内热门
站内头条