隨著越來越多的人遠(yuǎn)程工作或在混合環(huán)境中工作，IT部門和MSP在ASA防火墻上配置Cisco AnyConnect VPN的呼聲越來越高。但是Cisco文檔可能會(huì)非常混亂，這會(huì)導(dǎo)致一些組織的配置錯(cuò)誤（我們指的是不安全）。

如果步驟安排得很清楚，那么過程實(shí)際上相當(dāng)簡單。這就是我們的向?qū)缮嫌脠龅牡胤健?/p>

在這篇文章中，我們將分析Cisco AnyConnect的來龍去脈，包括它是什么，為什么它很重要，以及為你的VPN正確配置Cisco AnyConnect需要采取哪些步驟。

配置Cisco AnyConnect VPN的5個(gè)步驟，缺一不可

什么是Cisco AnyConnect

Cisco AnyConnect是由Cisco Systems開發(fā)的一個(gè)軟件程序，為用戶提供安全的VPN（虛擬專用網(wǎng)絡(luò)）連接。它主要由企業(yè)和組織使用，使遠(yuǎn)程工作者能夠通過互聯(lián)網(wǎng)安全地訪問內(nèi)部網(wǎng)絡(luò)和資源。

Cisco AnyConnect VPN的一些關(guān)鍵優(yōu)勢

安全連接：AnyConnect提供加密的網(wǎng)絡(luò)連接，確保遠(yuǎn)程用戶和公司網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)是安全的，并防止未經(jīng)授權(quán)的訪問。
支持多個(gè)平臺(tái)：AnyConnect與各種操作系統(tǒng)兼容，包括windows、macOS、linux以及IOS和Android等移動(dòng)平臺(tái)。
自動(dòng)網(wǎng)絡(luò)檢測：該軟件可以自動(dòng)檢測用戶何時(shí)處于不安全的網(wǎng)絡(luò)上，并建立VPN連接以確保通信安全。
遠(yuǎn)程訪問：它允許遠(yuǎn)程用戶訪問內(nèi)部網(wǎng)絡(luò)資源，就好像他們在辦公室一樣，這對(duì)遠(yuǎn)程工作場景特別有用。
可自定義的策略和訪問控制：管理員可以設(shè)置策略來控制用戶對(duì)網(wǎng)絡(luò)資源的訪問，確保用戶根據(jù)其角色擁有適當(dāng)?shù)脑L問級(jí)別。
端點(diǎn)評(píng)估：AnyConnect可以評(píng)估用于連接網(wǎng)絡(luò)的設(shè)備的安全狀況，確保其在允許訪問之前符合某些安全標(biāo)準(zhǔn)。

現(xiàn)在你已經(jīng)了解了其中的一些好處，讓我們來完成為你的VPN配置Cisco AnyConnect所需的步驟。

配置AAA認(rèn)證

首先要配置的是AAA身份驗(yàn)證。我傾向于使用RADIUS進(jìn)行身份驗(yàn)證和授權(quán)，但也有其他選項(xiàng)，如LDAP。配置類似：

aaa-server MYRADIUS protocol radius

aaa-server MYRADIUS (INSIDE) host 10.10.1.1

key ****

這個(gè)配置片段說，我的網(wǎng)絡(luò)中有一個(gè)RADIUS服務(wù)器，IP地址為10.10.1.1，我在ASA配置中用標(biāo)簽“MYRADIUS”來指代它。它是通過ASA接口訪問的，我在接口配置中稱之為“INSIDE”。

定義VPN協(xié)議

當(dāng)用戶連接他們的VPN時(shí)，他們需要一個(gè)VPN會(huì)話的IP地址。這是將顯示在此用戶的公司網(wǎng)絡(luò)中的地址。它與用戶的公共IP地址或他們在家庭網(wǎng)絡(luò)中可能擁有的任何地址無關(guān)。它只是在遠(yuǎn)程用戶的流量通過ASA后在網(wǎng)絡(luò)內(nèi)部使用。

ip local pool ANYCONNECT_POOL1 10.99.1.1-10.99.1.254 mask 255.255.255.0

ip local pool ANYCONNECT_POOL2 10.99.2.1-10.99.2.254 mask 255.255.255.0

我在這里定義了兩個(gè)池，因?yàn)槲矣?jì)劃稍后使用多個(gè)隧道組。

配置隧道組

接下來，我配置我的隧道組。我將創(chuàng)建兩個(gè)這樣的組，原因稍后將解釋。

tunnel-group ANYCONN_1 type remote-access

tunnel-group ANYCONN_1 type general-attributes

address-pool ANYCONNECT_POOL1

authentication-server-group MYRADIUS

default-group-policy NOACCESS

tunnel-group ANYCONN_1 webvpn-attributes

group-alias EMPLOYEES enable

tunnel-group ANYCONN_2 type remote-access

tunnel-group ANYCONN_2 type general-attributes

address-pool ANYCONNECT_POOL2

authentication-server-group MYRADIUS

default-group-policy NOACCESS

tunnel-group ANYCONN_2 webvpn-attributes

group-alias VENDORS enable

這將創(chuàng)建兩個(gè)稱為ANYCON_1和ANYCON_2的隧道組。我已經(jīng)將第一個(gè)池分配給第一個(gè)隧道組，將第二個(gè)池分配給與第二個(gè)。

這里我使用的是“group-alias”命令，它在用戶電腦上的AnyConnect客戶端上創(chuàng)建了一個(gè)下拉框。用戶將看到他們可以選擇Employees或Vendor作為選項(xiàng)。我們正在創(chuàng)建的配置將允許第一組中的用戶僅連接到第一個(gè)隧道組，而第二組中的使用者僅連接到第二個(gè)隧道組。

請注意，“authentication-server-group”命令在這兩個(gè)隧道組中可能不同。因此，我可以將我的員工發(fā)送到一個(gè)RADIUS服務(wù)器（也許是一個(gè)與我的LDAP集成的服務(wù)器，或者等效地，我可以在防火墻上本地使用LDAP），并將供應(yīng)商發(fā)送到另一個(gè)服務(wù)器。

設(shè)置組策略

現(xiàn)在我們需要組策略。事實(shí)上，我們需要三個(gè)。我們需要一個(gè)針對(duì)員工的組策略，另一個(gè)針對(duì)供應(yīng)商的策略。第三種策略適用于以某種方式通過身份驗(yàn)證但未通過授權(quán)的任何人。也就是說，他們有有效的登錄憑據(jù)，但沒有被授權(quán)使用VPN。

發(fā)生這種情況的主要原因是他們只是選擇了錯(cuò)誤的配置文件。但也有可能有人根本沒有被授權(quán)使用VPN，即使他們有合法的憑據(jù)。這種情況可能會(huì)發(fā)生，因?yàn)樵S多事情都使用相同的身份驗(yàn)證系統(tǒng)。

group-policy STAFF_VPN_GROUP internal

group-policy STAFF_VPN_GROUP attributes

vpn-tunnel-protocol ssl-client

vpn-filter value STAFF_VPN_ACL

group-policy VENDOR_VPN_GROUP internal

group-policy VENDOR_VPN_GROUP attributes

vpn-tunnel-protocol ssl-client

vpn-filter value VENDOR_VPN_ACL

group-policy NOACCESS internal

group-policy NOACCESS attributes

vpn-tunnel-protocol ssl-client

vpn-simultaneous-logins 0

這些名字是從哪里來的？這就是事情變得有點(diǎn)混亂的地方，所以請耐心等待。組策略名稱STAFF_VPN_GROUP和VENDOR_VPN_GROUP是由RADIUS或LDAP服務(wù)器提供的值。必須對(duì)服務(wù)器進(jìn)行配置，以便在成功身份驗(yàn)證后，將這些值交回IETF類型25字段（也稱為類）中。并且它必須是特定的格式：OU=STAFF_VPN_GROUP;（包含分號(hào)）。

我想提到的另一個(gè)重要的配置是“vpn-filter”命令。這為這些用戶應(yīng)用了一個(gè)特殊的ACL（訪問控制列表），并允許我們限制他們可以訪問和不能訪問的內(nèi)容。例如，如果我想允許員工組訪問公司網(wǎng)絡(luò)中的任何內(nèi)容，但要限制供應(yīng)商只能訪問特定的子網(wǎng)，我可以這樣做：

access-list STAFF_VPN_ACL extended permit ip any any

access-list VENDOR_VPN_ACL extended permit ip any 10.99.99.0 255.255.255.0