المقدمة
يصف هذا المستند إجراء تكوين المنفذ المخصص ل SSL و IKEv2 AnyConnect على FirePOWER Threat Defense (FTD) الذي تتم إدارته بواسطة FMC.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- الفهم الأساسي لشبكة VPN للوصول عن بعد (RAVPN)
- تجربة مركز إدارة FirePOWER (FMC)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco FTD - 7.6
- Cisco FMC - 7.6
- نظام التشغيل Windows 10
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوينات
تغيير منفذ SSL/DTLS ل AnyConnect
1. انتقل إلى الأجهزة > VPN > الوصول عن بعد وتحرير سياسة الوصول عن بعد الحالية.
2. انتقل إلى قسم واجهات الوصول وقم بتغيير رقم منفذ الوصول إلى الويب وDTLS رقم المنفذ أسفل إعدادات SSL إلى منفذ من إختيارك.
تغيير منفذ SSL و DTLS ل AnyConnect
3. احفظ التكوين.
تغيير منفذ IKEv2 ل AnyConnect
1. انتقل إلى الأجهزة > VPN > الوصول عن بعد وتحرير سياسة الوصول عن بعد الحالية.
2. انتقل إلى قسم خيارات متقدمة ثم انتقل إلى IPsec > خرائط التشفير. قم بتحرير النهج وتغيير المنفذ إلى المنفذ الذي تريده.
تغيير منفذ IKEv2 ل AnyConnect
3. قم بحفظ التكوين والنشر.
ملاحظة: عند إستخدام المنفذ المخصص مع ملفات تعريف AnyConnect Client، لاحظ أن حقل عنوان المضيف في قائمة الخوادم يجب أن يحتوي على منفذ X.X.X.X:Port (192.168.50.5:444) للاتصال.
التحقق من الصحة
1. بعد النشر، يمكن التحقق من التكوين باستخدام أوامر show run webVPN وshow run crypto ikev2:
> show run webvpn
webvpn
port 444 <----- Custom Port that has been configured for SSL
enable outside
dtls port 444 <----- Custom Port that has been configured for DTLS
http-headers
hsts-server
enable
max-age 31536000
include-sub-domains
no preload
hsts-client
enable
x-content-type-options
x-xss-protection
content-security-policy
anyconnect image disk0:/csm/cisco-secure-client-win-X.X.X.X-webdeploy-k9.pkg 1 regex "Windows"
anyconnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
> show run crypto ikev2
crypto ikev2 policy 10
encryption aes-gcm-256 aes-gcm-192 aes-gcm
integrity null
group 21 20 19 16 15 14
prf sha512 sha384 sha256 sha
lifetime seconds 86400
crypto ikev2 enable outside client-services port 444 <----- Custom Port configured for IKEv2 Client Services
2. تحقق من خلال الوصول إلى الوصول عن بعد من المستعرض/تطبيق AnyConnect المزود بمنفذ مخصص:
التحقق من خلال الوصول إلى AnyConnect باستخدام المنفذ المخصص
استكشاف الأخطاء وإصلاحها
- تأكد من عدم إستخدام المنفذ المستخدم في تكوين الوصول عن بعد في الخدمات الأخرى.
- ضمنت أن لا يمنع الميناء ب isp أو أي أداة متوسط.
- يمكن التقاط على FTD للتحقق مما إذا كانت الحزم تصل إلى جدار الحماية وما إذا كانت الاستجابة قيد الإرسال أم لا.