Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
3
键入 manual。
4
点击 Stop。
• 获取 show vpn-sessiondb detail anyconnect filter name <username> 命令的输出。 如果输出指定
Filter Name: XXXXX,则还要获取 show access-list XXXXX 命令的输出。 验证 ACL 未阻止需
要的流量。
要的流量。
• 从 AnyConnect VPN Client > Statistics > Details > Export 获取 DART 文件或输出
(AnyConnect-ExportedStats.txt)。 观察统计、界面和路由表。
• 检查 ASA 配置文件中的 NAT 语句。 如果已启用 NAT,则您必须排除从网络地址转换返回到
客户端的数据。 例如,要使 NAT 从 AnyConnect 池中排除 IP 地址,需要使用以下代码:
access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
• 验证是否为设置启用了隧道化默认网关。 传统默认网关是最不适合非解密流量的网关。
route outside 0.0.209.165.200.225
route inside 0 0 10.0.4.2 tunneled
route inside 0 0 10.0.4.2 tunneled
如果 VPN 客户端需要访问 VPN 网关路由表中未列出的资源,数据包将由标准默认网关传送。
VPN 网关不需要完整的内部路由表。 如果您使用隧道化关键字,则路由将处理来自 IPsec/SSL
VPN 网关不需要完整的内部路由表。 如果您使用隧道化关键字,则路由将处理来自 IPsec/SSL
VPN 连接的解密流量。 标准流量通常不会路由到 209.165.200.225,而来自 VPN 的流量将路由
到 10.0.4.2 且已进行解密。
到 10.0.4.2 且已进行解密。
• 在使用 AnyConnect 建立隧道前后,收集 ipconfig /all 的文本转储和路由打印输出。
• 在客户端上执行网络数据包捕获,或在 ASA 上启用捕获。
如果某些应用(例如 Microsoft Outlook)无法使用隧道,则在具有 ping 扩展集的
网络中 ping 已知设备,可查看接受的大小(例如,ping -| 500,ping -| 1000,ping
-| 1500,以及 ping -| 2000)。 从 ping 结果中可对网络中的分段问题略知一二。
然后,您可以为存在分段问题的用户配置一个特殊组,并将该组的 anyconnect
mtu 设置为 1200。 您也可从旧 IPsec 客户端复制 Set MTU.exe 实用程序,并强制
将物理适配器 MTU 设置为 1300。 重启后,查看是否有区别。
网络中 ping 已知设备,可查看接受的大小(例如,ping -| 500,ping -| 1000,ping
-| 1500,以及 ping -| 2000)。 从 ping 结果中可对网络中的分段问题略知一二。
然后,您可以为存在分段问题的用户配置一个特殊组,并将该组的 anyconnect
mtu 设置为 1200。 您也可从旧 IPsec 客户端复制 Set MTU.exe 实用程序,并强制
将物理适配器 MTU 设置为 1300。 重启后,查看是否有区别。
注释
VPN 服务故障
VPN 服务连接失败
问题:您收到“Unable to Proceed, Cannot Connect to the VPN Service”消息。 AnyConnect 的 VPN 服
务未运行。
务未运行。
解决方案:确定是否有另一个应用与该服务冲突。 请参阅
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
238
AnyConnect 故障排除
VPN 服务故障