المقدمة
يصف هذا وثيقة خطوة بخطوة كيف أن يشكل RA VPN على cisco يأمن منفذ أن يصادق مقابل معرف بطاقة.
المتطلبات الأساسية
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- المعرفة باستخدام معرف Azure/Entra.
- المعرفة باستخدام الوصول الآمن من Cisco.
المتطلبات
ويجب استيفاء هذه المتطلبات قبل المضي قدما:
- الوصول إلى لوحة معلومات الوصول الآمن من Cisco كمسؤول كامل.
- الوصول إلى Azure ك Admin.
- اكتمل توفير المستخدم بالفعل إلى Cisco Secure Access.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- لوحة معلومات الوصول الآمن من Cisco.
- مدخل Microsoft Azure.
- Cisco Secure Client AnyConnect VPN، الإصدار 5.1.8.105
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
تكوين Azure
1. سجل الدخول إلى لوحة معلومات الوصول الآمن من Cisco وانسخ VPN Global FQDN. نحن نستخدم FQDN هذا في تكوين تطبيق Azure Enterprise.
اتصال > اتصال المستخدم النهائي > الشبكة الخاصة الظاهرية > FQDN > العامة
VPN Global FQDN
2. سجل الدخول إلى Azure وقم بإنشاء تطبيق مؤسسي لمصادقة RA VPN. يمكنك إستخدام التطبيق المعرف مسبقا باسم "جدار حماية Cisco الآمن - مصادقة العميل الآمن (المعروفة سابقا باسم AnyConnect)".
الصفحة الرئيسية > تطبيقات المؤسسات > تطبيق جديد > Cisco Secure Firewall - مصادقة العميل الآمن (المعروفة سابقا باسم AnyConnect) > إنشاء
إنشاء تطبيق في Azure
3. قم بإعادة تسمية التطبيق.
خصائص > اسم
إعادة تسمية التطبيق
4. ضمن تطبيق المؤسسة، قم بتعيين المستخدمين الذين يسمحون للمصادقة باستخدام AnyConnect VPN.
تعيين مستخدمين ومجموعات > + إضافة مستخدم/مجموعة > تعيين
المستخدمون/المجموعات المعينة
5. انقر فوق تسجيل الدخول الأحادي وقم بتكوين معلمات SAML. هنا نستخدم FQDN المنسوخ في الخطوة 1، وأيضا اسم ملف تعريف VPN الذي تقوم بتكوينه في "تكوين Cisco Secure Access" لاحقا في الخطوة 2.
على سبيل المثال، إذا كان VPN Global FQDN هو example1.vpn.sse.cisco.com وكان اسم ملف تعريف VPN للوصول الآمن من Cisco الخاص بك هو VPN_EntraID، فإن قيم (معرف الوحدة) وعنوان URL الخاص بالرد (عنوان URL لتأكيد خدمة المستهلك) هي:
المعرف (معرف الكيان): https://example1.vpn.sse.cisco.com/saml/sp/metadata/VPN_EntraID
عنوان URL الخاص بالرد (عنوان URL الخاص بخدمة المستهلك للتأكيد): https://example1.vpn.sse.cisco.com/+CSCOE+/saml/sp/acs?tgname=VPN_EntraID
معلمات SAML في Azure
6. تنزيل XML لبيانات تعريف الاتحاد.

تكوين الوصول الآمن من Cisco
1. سجل الدخول إلى لوحة معلومات الوصول الآمن من Cisco الخاصة بك، وأضف تجمع IP.
اتصال > اتصال المستخدم النهائي > الشبكة الخاصة الظاهرية > إضافة تجمع IP
المنطقة: حدد المنطقة التي سيتم فيها نشر شبكة VPN الخاصة بالرجوع.
اسم العرض: اسم تجمع VPN IP.
خادم DNS: إنشاء أو تعيين DNS Server الذي يستخدمه مستخدمو DNS لحل DNS بمجرد الاتصال.
تجمع IP للنظام: يستخدم بواسطة الوصول الآمن لميزات مثل مصادقة RADIUS، يتم توفير طلب المصادقة بواسطة IP ضمن هذا النطاق.
تجمع IP: أضفت جديد ip بركة وعينت ال IPs مستعمل يحصل مرة يربط إلى ال RA VPN.
إضافة ملف تعريف VPN
تكوين تجمع IP - الجزء 1
تكوين تجمع IP - الجزء 2
2. إضافة ملف تعريف شبكة VPN.
اتصال > اتصال المستخدم النهائي > الشبكة الخاصة الظاهرية > + ملف تعريف VPN
الإعدادات العامة
ملاحظة: ملاحظة: يجب أن يتطابق اسم ملف تعريف VPN مع الاسم الذي قمت بتكوينه في "Configuration Azure" في الخطوة 5. في دليل التكوين هذا، إستخدمنا VPN_EntraID لذلك نقوم بتكوين نفسه في Cisco Secure Access كاسم ملف تعريف VPN.
اسم ملف تعريف VPN: اسم ملف تعريف VPN هذا، مرئي في لوحة المعلومات فقط.
اسم العرض: اسم المستخدمين النهائيين الذين يرونهم في القائمة المنسدلة "عميل آمن - AnyConnect" التي تظهر عند الاتصال بملف تعريف RA VPN هذا.
المجال الافتراضي: يتصل مستخدمو المجال مرة واحدة ب VPN.
خوادم DNS: خادم DNS يتصل مستخدمو شبكة VPN مرة واحدة بشبكة VPN.
المنطقة المحددة: يستخدم خادم DNS المقترن بتجمع IP لشبكة VPN.
مخصص محدد: يمكنك تعيين DNS المطلوب يدويا.
تجمعات IP: IPs يتم تعيين المستخدمين بمجرد الاتصال ب VPN.
إعدادات التوصيف: لتضمين ملف تعريف شبكة VPN هذا ل Machine Tunnel أو لتضمين FQDN الإقليمي حتى يقوم المستخدم النهائي بتحديد المنطقة التي يريد الاتصال بها (تخضع لتجمعات IP التي يتم نشرها).
البروتوكولات: حدد البروتوكول الذي تريد أن يستخدمه مستخدمو VPN الخاص بك للاتصال النفقي لحركة المرور.
وضع وقت الاتصال (إختياري): إن يتطلب أن يتم VPN Posture (وضعية الشبكة الخاصة الظاهرية (VPN) في وقت الاتصال. المزيد من المعلومات هنا
تكوين ملف تعريف VPN - الجزء 1
تكوين ملف تعريف VPN - الجزء 2
المصادقة والتخويل والمحاسبة
البروتوكولات: تحديد SAML.
المصادقة بشهادات المرجع المصدق: في حالة رغبتك في المصادقة باستخدام شهادة SSL والتخويل مقابل موفر IdP SAML.
فرض إعادة المصادقة: فرض إعادة المصادقة عند إجراء اتصال VPN. تستند إعادة المصادقة الإجبارية إلى مهلة الجلسة. يمكن أن يخضع هذا لإعدادات SAML IDp (Azure في هذه الحالة).
قم بتحميل ملف XML الخاص ببيانات تعريف إتحاد ملفات XML الذي تم تنزيله في "تكوين Azure" في الخطوة 6.
تكوين SAML
توجيه حركة المرور (نفق انقسام)
وضع النفق:
الاتصال بالوصول الآمن: يتم إرسال جميع حركات المرور إلى النفق (نفق الكل).
تجاوز الوصول الآمن: تم إنشاء قنوات لحركة مرور محددة فقط تم تعريف قسم في الاستثناءات (تقسيم النفق).
وضع DNS:
DNS الافتراضي: تنتقل جميع استعلامات DNS من خلال خوادم DNS التي تم تعريفها بواسطة ملف تعريف VPN. في حالة الاستجابة السلبية، يمكن لاستعلامات DNS أيضا الانتقال إلى خوادم DNS التي تم تكوينها على المحول الفعلي.
نفق كافة DNS: أنفاق كافة استعلامات DNS عبر شبكة VPN.
تقسيم DNS: تتحرك استعلامات DNS المحددة فقط من خلال ملف تعريف VPN، حسب المجالات المحددة أدناه.
تكوين توجيه حركة المرور
تكوين عميل آمن من Cisco
لأغراض هذا الدليل، لا نقوم بتكوين أي من هذه الإعدادات المتقدمة. يمكن تكوين الميزات المتقدمة هنا، على سبيل المثال: TND، تشغيل دائم، مطابقة الشهادة، الوصول إلى شبكة LAN المحلية، وهكذا. احفظ الإعدادات هنا.
إعدادات متقدمة
3. يجب أن يبدو ملف تعريف الشبكة الخاصة الظاهرية (VPN) بهذا الشكل. يمكنك تنزيل ملف تعريف XML ونشره مسبقا إلى المستخدمين النهائيين (ضمن "C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile") لبدء إستخدام شبكة VPN، أو تزويدهم بعنوان URL الخاص بملف التعريف الذي سيتم إدخاله في واجهة مستخدم Cisco Secure Client - AnyConnect VPN.
FQDN العمومي وعنوان URL لملف التعريف
التحقق من الصحة
عند هذه النقطة، يجب أن يكون تكوين RA VPN لديك جاهزا للاختبار.
يرجى ملاحظة أنه في المرة الأولى التي يتصل فيها المستخدمون، يتعين إعطاؤهم عنوان URL لملف التعريف أو النشر المسبق لملف تعريف XML في أجهزة الكمبيوتر الخاصة بهم ضمن "C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile"، وإعادة تشغيل خدمة VPN ويجب عليهم أن يروا في القائمة المنسدلة خيار الاتصال بملف تعريف VPN هذا.
في هذا المثال، نعطي عنوان URL لملف التعريف للمستخدم في محاولة الاتصال الأولى.
قبل التوصيل الأول:
اتصال VPN السابق
أدخل بيانات الاعتماد الخاصة بك ووصل بشبكة VPN:
متصل بشبكة VPN
بعد التوصيل أول مرة، من القائمة المنسدلة، يجب أن تكون قادرا على رؤية الخيار الآن للاتصال بملف تعريف الشبكة الخاصة الظاهرية (VPN) "VPN - Lab":
بعد اتصال VPN الأول
تحقق من سجلات الوصول عن بعد التي تمكن المستخدم من توصيلها:
شاشة > سجل الوصول عن بعد
تسجيل الدخول إلى Cisco Secure Access
استكشاف الأخطاء وإصلاحها
فيما يلي وصف لأساسيات أستكشاف المشكلات وحلها التي يمكن إجراؤها بالنسبة لبعض المشكلات الشائعة:
لازوردي
في Azure تأكد من تعيين المستخدمين لتطبيق المؤسسة الذي تم إنشاؤه للمصادقة في مقابل الوصول الآمن من Cisco:
الصفحة الرئيسية > تطبيقات المؤسسات > Cisco Secure Access RA VPN > Manage (إدارة) > المستخدمون والمجموعات
التحقق من تعيين المستخدمين
Cisco Secure Access
في Cisco Secure Access، تأكد من توفير المستخدمين المسموح لهم بالاتصال عبر RA VPN، ومن مطابقة المستخدمين المزودين في Cisco Secure Access (أقل من المستخدمين والمجموعات وأجهزة نقاط النهاية) مع المستخدمين في Azure (المستخدمين المعينين في تطبيق المؤسسة).
الاتصال > المستخدمين، المجموعات، وأجهزة نقاط النهاية
المستخدمون في الوصول الآمن من Cisco
تحقق من تزويد المستخدم إما بملف XML الصحيح على الكمبيوتر الشخصي أو من إعطاء المستخدم عنوان URL لملف التعريف كما هو موضح في الخطوة "التحقق".
اتصال > اتصال المستخدم النهائي > الشبكة الخاصة الظاهرية
عنوان URL لملف التعريف وملف تعريف .xml