El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe la configuración básica de VPN de acceso remoto con autenticación IKEv2 e ISE en FTD administrado por FMC.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en estas versiones de software:
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
IKEv2 y Secure Sockets Layer (SSL) son protocolos que se utilizan para establecer conexiones seguras, especialmente en el contexto de las VPN. IKEv2 proporciona sólidos métodos de cifrado y autenticación, lo que ofrece un alto nivel de seguridad para las conexiones VPN.
Este documento proporciona un ejemplo de configuración para FTD versión 7.2.0 y posteriores, que permite VPN de acceso remoto para utilizar Transport Layer Security (TLS) e IKEv2. Como cliente, se puede utilizar Cisco AnyConnect, que es compatible con varias plataformas.
Los certificados son esenciales cuando se configura AnyConnect.
La inscripción manual de certificados tiene limitaciones:
1. En FTD, se necesita un certificado de autoridad certificadora (CA) antes de generar una solicitud de firma de certificado (CSR).
2. Si la CSR se genera externamente, se utiliza un método diferente de PKCS12.
Hay varios métodos para obtener un certificado en un dispositivo FTD, pero el más seguro y fácil es crear una CSR y conseguir que esté firmada por una CA. A continuación se explica cómo hacerlo:
1. Desplácese hastaObjects > Object Management > PKI > Cert Enrollment
y haga clic enAdd Cert Enrollment
.
2. Introduzca el nombre del punto de confianzaRAVPN-SSL-cert
.
3. En laCA Information
ficha, elija Tipo de inscripción comoManual
y pegue el certificado de CA como se muestra en la imagen.
4. EnCertificate Parameters
, introduzca el nombre del asunto. Por ejemplo:
5. En laKey
ficha, seleccione el tipo de clave y proporcione un nombre y un tamaño de bit. Para RSA, 2048 bits es el mínimo.
6. Haga clic enSave
.
7. Acceda aDevices > Certificates > Add > New Certificate
.
8. SeleccioneDevice
. En
Cert Enrollment
, elija el punto de confianza creado y haga clicAdd
como se muestra en la imagen.
9. Haga clic enID
y se mostrará un mensaje para generar CSR. SeleccioneYes
.
10. Se genera una CSR que se puede compartir con la CA para obtener el certificado de identidad.
11. Después de recibir el certificado de identidad de CA en formato base64, selecciónelo del disco haciendo clic enBrowse Identity Certificate
yImport
como se muestra en la imagen.
12. Una vez que la importación es exitosa, el punto de confianzaRAVPN-SSL-cert
se ve como:
1. Acceda aObjects > Object Management > RADIUS Server Group > Add RADIUS Server Group
.
2. Introduzca el nombreISE
y agregue servidores RADIUS haciendo clic en+
.
3. Mencione la dirección IP del servidor ISE Radius junto con el secreto compartido (clave), que es el mismo que en el servidor ISE.
4. SeleccioneRouting
oSpecific Interface
a través de la cual el FTD se comunica con el servidor ISE.
5. Haga clicSave
como se muestra en la imagen.
6. Una vez guardado, el servidor se agrega bajo elRADIUS Server Group
como se muestra en la imagen.
1. Desplácese hasta Network Devices
y haga clic enAdd
.
2. Introduzca el nombre 'Cisco-Radius' del servidor yIP Address
del cliente RADIUS que es la interfaz de comunicación FTD.
3. EnRadius Authentication Settings
, agregue elShared Secret
.
4. Haga clic enSave
.
5. Para crear usuarios, navegue hastaNetwork Access > Identities > Network Access Users
y haga clic Add
en.
6. Cree un nombre de usuario y una contraseña de inicio de sesión según sea necesario.
7. Para configurar la política básica, acceda aPolicy > Policy Sets > Default > Authentication Policy > Default
, seleccioneAll_User_ID_Stores
.
8. Acceda aPolicy > Policy Sets > Default > Authorization Policy > Basic_Authenticated_Access,
y seleccionePermitAccess
como se muestra en la imagen.
1. Acceda aObjects > Object Management > Address Pools > Add IPv4 Pools
.
2. Introduzca el nombreRAVPN-Pool
y el rango de direcciones, la máscara es opcional.
3. Haga clic en Guardar.
1. Acceda aObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
2. Ingrese el nombreanyconnect-win-4.10.07073-webdeploy
y haga clicBrowse
para elegir el archivo Anyconnect del disco, haga clic enSave
como se muestra en la imagen.
1. Descargue el Editor de perfiles desoftware.cisco.com
y ábralo.
2. Acceda a Server List > Add
...
3. Introduzca el nombre mostradoRAVPN-IKEV2
yFQDN
junto con el grupo de usuarios (nombre de alias).
4. Elija el protocolo principal como IPsec
,
haga clic Ok
como se muestra en la imagen.
5. Se agrega la lista de servidores. Guárdelo comoClientProfile.xml
.
1. Acceda aObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
2. Ingrese un nombreClientProfile
y haga clicBrowse
para elegir elClientProfile.xml
archivo del disco.
3. Haga clic en Save
.
1. Navegue hastaDevices > VPN > Remote Access
y haga clic+
para agregar un perfil de conexión como se muestra en la imagen.
2. Introduzca el nombre del perfil de conexiónRAVPN-IKEV2
y cree una política de grupo haciendo clic en +
en Group Policy
como se muestra en la imagen.
3. Ingrese el nombreRAVPN-group-policy
, elija los Protocolos VPN SSL and IPsec-IKEv2
como se muestra en la imagen.
4. EnAnyConnect > Profile
, seleccione el perfil XMLClientProfile
en el menú desplegable y haga clicSave
como se muestra en la imagen.
5. Agregue el pool de direccionesRAVPN-Pool
haciendo clic en+
as shown in the image
.
6. Acceda aAAA > Authentication Method
y seleccioneAAA Only
.
7. SeleccioneAuthentication Server
comoISE (RADIUS)
.
8. Acceda aAliases
e introduzca un nombre de aliasRAVPN-IKEV2
, que se utiliza como grupo de usuarios enClientProfile.xml
.
9. Haga clic enSave
.
10. Desplácese hastaAccess Interfaces
y seleccione la interfaz en la que debe activarse RAVPN IKEv2.
11. Seleccione el certificado de identidad tanto para SSL como para IKEv2.
12. Haga clic enSave
.
13. Acceda a Advanced
.
14. Agregue las imágenes del cliente Anyconnect haciendo clic en+
.
15. DebajoIPsec
, agregue losCrypto Maps
como se muestra en la imagen.
16. EnIPsec
, agregue elIKE Policy
haciendo clic en+
.
17. EnIPsec
, añada elIPsec/IKEv2 Parameters
.
18. EnConnection Profile
, se crea un nuevo perfilRAVPN-IKEV2
.
19. HagaSave
clic como se muestra en la imagen.
20. Implemente la configuración.
Perfil en el PC, guardado en C:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile
.
<?xml version="1.0" encoding="UTF-8"?> <AnyConnectProfile xmlns="http://schemas[dot]xmlsoap<dot>org/encoding/" xmlns:xsi="http://www[dot]w3<dot>org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas[dot]xmlsoap[dot]org/encoding/ AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="true">false </AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AllowLocalProxyConnections>true</AllowLocalProxyConnections> <AuthenticationTimeout>12</AuthenticationTimeout> <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">false</LocalLanAccess> <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend </AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="true">Automatic </RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Disable <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <EnableAutomaticServerSelection UserControllable="false">false <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement> <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime> </EnableAutomaticServerSelection> <RetainVpnOnLogoff>false </RetainVpnOnLogoff> </ClientInitialization> <ServerList> <HostEntry>RAVPN-IKEV2 ftd.cisco.com RAVPN-IKEV2 IPsec </HostEntry> </ServerList> </AnyConnectProfile>
Nota: Se recomienda inhabilitar el cliente SSL como protocolo de tunelización bajo la política de grupo una vez que el perfil del cliente se descarga en la PC de todos los usuarios. Esto garantiza que los usuarios puedan conectarse exclusivamente mediante el protocolo de tunelación IKEv2/IPsec.
Puede utilizar esta sección para confirmar que su configuración funciona correctamente.
1. Para la primera conexión, utilice el FQDN/IP para establecer una conexión SSL desde el PC del usuario a través de Anyconnect.
2. Si el protocolo SSL está inhabilitado y no se puede realizar el paso anterior, asegúrese de que el perfil de clienteClientProfile.xml
esté presente en la PC bajo la trayectoriaC:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile
.
3. Introduzca el nombre de usuario y la contraseña para la autenticación una vez que se le solicite.
4. Después de la autenticación exitosa, el perfil del cliente se descarga en el PC del usuario.
5. Desconectar de Anyconnect.
6. Una vez descargado el perfil, utilice el menú desplegable para elegir el nombre de host mencionado en el perfil del cliente para conectarse a Anyconnect RAVPN-IKEV2
mediante IKEv2/IPsec.
7. Haga clic enConnect
.
8. Introduzca el nombre de usuario y la contraseña para la autenticación creada en el servidor ISE.
9. Compruebe el perfil y el protocolo (IKEv2/IPsec) que se utilizan una vez conectados.
Salidas CLI de FTD:
firepower# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Username : ikev2-user Index : 9 Assigned IP : 10.1.1.1 Public IP : 10.106.55.22 Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent License : AnyConnect Premium Encryption : IKEv2: (1)AES256 IPsecOverNatT: (1)AES-GCM-256 AnyConnect-Parent: (1)none
Hashing : IKEv2: (1)SHA512 IPsecOverNatT: (1)none AnyConnect-Parent: (1)none Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : RAVPN-group-policy Tunnel Group : RAVPN-IKEV2
Login Time : 07:14:08 UTC Thu Jan 4 2024
Duration : 0h:00m:08s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5e205000090006596618c
Security Grp : none Tunnel Zone : 0
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 9.1
Public IP : 10.106.55.22
Encryption. : none. Hashing : none
Auth Mode : userPassword
Idle Time out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : 4.10.07073
IKEv2:
Tunnel ID : 9.2
UDP Src Port : 65220 UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption : AES256 Hashing : SHA512
Rekey Int (T): 86400 Seconds Rekey Left(T): 86391 Seconds
PRF : SHA512 D/H Group : 19
Filter Name :
Client OS : Windows Client Type : AnyConnect
IPsecOverNatT:
Tunnel ID : 9.3
Local Addr : 0.0.0.0/0.0.0.0/0/0
Remote Addr : 10.1.1.1/255.255.255.255/0/0
Encryption : AES-GCM-256 Hashing : none
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T) : 28791 Seconds
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
firepower# show crypto ikev2 sa
IKEv2 SAs:
Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status Role
16530741 10.197.167.5/4500 10.106.55.22/65220 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:19, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/17 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.1.1.1/0 - 10.1.1.1/65535
ESP spi in/out: 0x6f7efd61/0xded2cbc8
firepower# show crypto ipsec sa
interface: Outside
Crypto map tag: CSM_Outside_map_dynamic, seq num: 30000, local addr: 10.197.167.5
Protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)
current_peer: 10.106.55.22, username: ikev2-user
dynamic allocated peer ip: 10.1.1.1
dynamic allocated peer ip(ipv6): 0.0.0.0
#pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.197.167.5/4500, remote crypto endpt.: 10.106.55.22/65220
path mtu 1468, ipsec overhead 62(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: DED2CBC8
current inbound spi : 6F7EFD61
inbound esp sas:
spi: 0x6F7EFD61 (1870593377)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x000001FF
outbound esp sas:
spi: 0xDED2CBC8 (3738356680)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
Registros de ISE:
En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.
debug radius all
debug crypto ikev2 platform 255
debug crypto ikev2 protocol 255
debug crypto ipsec 255
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
06-Feb-2024 |
Versión inicial |