Cisco Cisco AnyConnect Secure Mobility Client v2.x 관리자 가이드
1
禁用 Aircard 加速。
2
启动 AT&T Communication Manager > Tools(工具)> Settings(设置)> Acceleration(加
速)> Startup(启动)。
速)> Startup(启动)。
3
键入 manual。
4
点击 Stop(停止)。
• 获取 show vpn-sessiondb detail anyconnect filter name <username> 命令的输出。 如果输出指定
Filter Name: XXXXX(过滤器名称:XXXXX),则还要获取 show access-list XXXXX 命令的输
出。 检查确定 ACL 未阻止需要的流量。
出。 检查确定 ACL 未阻止需要的流量。
• 从 AnyConnect VPN Client(AnyConnect VPN 客户端)> Statistics(统计信息)> Details(详细
信息)> Export(导出)获取 DART 文件或输出 (AnyConnect-ExportedStats.txt)。 观察统计信
息、接口和路由表。
息、接口和路由表。
• 检查 ASA 配置文件中的 NAT 语句。 如果已启用 NAT,则您必须排除从网络地址转换返回到
客户端的数据。 例如,要使 NAT 从 AnyConnect 池中排除 IP 地址,需要使用以下代码:
access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
nat (inside) 0 access-list in_nat0_out
• 验证是否为设置启用了隧道化默认网关。 传统默认网关最不适合非解密流量。
route outside 0.0.209.165.200.225
route inside 0 0 10.0.4.2 tunneled
route inside 0 0 10.0.4.2 tunneled
如果 VPN 客户端需要访问 VPN 网关路由表中未列出的资源,数据包将由标准默认网关传送。
VPN 网关不需要完整的内部路由表。 如果您使用隧道化关键字,则路由将处理来自 IPsec/SSL
VPN 网关不需要完整的内部路由表。 如果您使用隧道化关键字,则路由将处理来自 IPsec/SSL
VPN 连接的解密流量。 标准流量通常不会路由到 209.165.200.225,而来自 VPN 的流量将路由
到 10.0.4.2 且已进行解密。
到 10.0.4.2 且已进行解密。
• 在使用 AnyConnect 建立隧道前后,收集 ipconfig /all 的文本转储和路由打印输出。
• 在客户端上执行网络数据包捕获,或在 ASA 上启用捕获。
如果某些应用(例如 Microsoft Outlook)无法使用隧道,则在支持 ping 扩展集的
网络中 ping 已知设备,以查看接受的大小(例如,ping -| 500,ping -| 1000,ping
-| 1500,以及 ping -| 2000)。 从 ping 结果中可对网络中的分段问题略知一二。
然后,您可以为存在分段问题的用户配置一个特殊组,并将该组的 anyconnect
mtu 设置为 1200。 您也可从旧 IPsec 客户端复制 Set MTU.exe 实用程序,并强制
将物理适配器 MTU 设置为 1300。 重新启动后,请检查是否出现改观。
网络中 ping 已知设备,以查看接受的大小(例如,ping -| 500,ping -| 1000,ping
-| 1500,以及 ping -| 2000)。 从 ping 结果中可对网络中的分段问题略知一二。
然后,您可以为存在分段问题的用户配置一个特殊组,并将该组的 anyconnect
mtu 设置为 1200。 您也可从旧 IPsec 客户端复制 Set MTU.exe 实用程序,并强制
将物理适配器 MTU 设置为 1300。 重新启动后,请检查是否出现改观。
注释
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
236
AnyConnect 故障排除
AnyConnect 无法传输流量