Cisco CSR1000v (IOS XE 16.x) 配置 AnyConnect SSL VPN

注意事项

  • 这一配置方法不支持IPSec模式IPSec模式需要用FlexVPN方法配置是另一套东西
  • 只支持用户名密码登录不支持证书登录

如果开了http server需要改一下端口它和AnyConnect不能开在同一个端口上否则二者都不能正常使用

基础配置

部署客户端

如果不部署对应平台的客户端部署包该平台的客户端是无法连接的

安装AnyConnect客户端部署包

证书

这边为了方便起见直接在路由器上生成自签证书

生成SSL CA证书

创建TrustPoint

创建用户

创建SSL VPN客户端IP

创建SSL Proposal/Policy

这里和IPSec的相应概念是比较相似的

创建SSL Authorization Policy

这个东西是连接时下发给客户端的数据

创建SSL Profile

用于服务器验证客户端发送的数据各种头部用户账户是否正确注意这边一定要用group override

NAT

那个叫SSLVPN-VIF0interface是不能也不需要配置的

调试

客户端在弹出用户登录之前就提示Connection failed due to server communication errors检查是否有别的东西和AnyConnect的端口冲突了

User not authorized to access full tunnelaaa authorization group override ...那一行没写

其它问题可以用debug crypto ssl aaadebug crypto ssl tunnel errorsdebug


参考

Cisco CSR1000v (IOS XE 16.x) 配置 AnyConnect SSL VPN3个想法

发表回复

您的邮箱地址不会被公开 必填项已用 * 标注

这个站点使用 Akismet 来减少垃圾评论了解你的评论数据如何被处理