注意事项

• 这一配置方法不支持IPSec模式（IPSec模式需要用FlexVPN方法配置，是另一套东西）
• 只支持用户名密码登录，不支持证书登录

如果开了http server，需要改一下端口，它和AnyConnect不能开在同一个端口上，否则二者都不能正常使用。

基础配置

部署客户端

如果不部署对应平台的客户端部署包，该平台的客户端是无法连接的。

安装AnyConnect客户端部署包：

证书

这边为了方便起见，直接在路由器上生成自签证书。

生成SSL CA证书：

创建TrustPoint：

创建用户

创建SSL VPN客户端IP池

创建SSL Proposal/Policy

这里和IPSec的相应概念是比较相似的。

创建SSL Authorization Policy

这个东西是连接时下发给客户端的数据。

创建SSL Profile

用于服务器验证客户端发送的数据（各种头部，用户账户）是否正确。注意这边一定要用group override。

NAT

那个叫SSLVPN-VIF0的interface是不能也不需要配置的。

调试

客户端在弹出用户登录之前就提示Connection failed due to server communication errors：检查是否有别的东西和AnyConnect的端口冲突了。

User not authorized to access full tunnel：aaa authorization group override ...那一行没写。

其它问题可以用debug crypto ssl aaa和debug crypto ssl tunnel errors来debug。

---

参考：

• AnyConnect: Configure Basic SSLVPN for IOS Router Headend With the Use of CLI
• SSL VPN Configuration Guide for Cisco Cloud Services Router 1000V Series, Cisco IOS XE Fuji 16.9.x
• How to Configure SSLVPN on Cisco CSR1000V (Cloud Services Router 1000V)?