Position ISE sur VPN d'accès à distance AnyConnect sur FTD

Options de téléchargement

  • PDF     (5.5 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (5.8 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (4.3 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:22 octobre 2021
ID du document:215236

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer la version 6.4.0 de Cisco Firepower Threat Defense (FTD) afin de positionner les utilisateurs VPN sur Cisco Identity Services Engine (ISE).

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • VPN d'accès à distance AnyConnect
    • Configuration VPN d'accès à distance sur le FTD
    • Identity Services Engine et services de posture

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

    • Logiciel Cisco Firepower Threat Defense (FTD) version 6.4.0
    • Logiciel Cisco Firepower Management Console (FMC) version 6.5.0
    • Microsoft Windows 10 avec Cisco AnyConnect Secure Mobility Client version 4.7
    • Cisco Identity Services Engine (ISE) version 2.6 avec correctif 3

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configuration

    Diagramme et flux du trafic du réseau

    Flow diagram

    1. L'utilisateur distant utilise Cisco Anyconnect pour l'accès VPN au FTD.

    2. Le FTD envoie une demande d'accès RADIUS pour cet utilisateur à l'ISE.

    3. Cette demande atteint la stratégie nommée FTD-VPN-Posture-Unknown sur l'ISE. L'ISE envoie un ACCEPT RADIUS avec trois attributs :

    4. Si DACL est envoyé, RADIUS Access-Request/Access-Accept est échangé afin de télécharger le contenu de la DACL

    5. Lorsque le trafic de l'utilisateur VPN correspond à la liste de contrôle d'accès définie localement, il est redirigé vers le portail de provisionnement du client ISE. ISE fournit le module de posture et le module de conformité AnyConnect.

    6. Une fois l'agent installé sur l'ordinateur client, il recherche automatiquement ISE en envoyant des sondes. Lorsque ISE est détecté, les exigences de posture sont vérifiées sur le point d'extrémité. Dans cet exemple, l'agent recherche tout logiciel anti-programme malveillant installé. Ensuite, il envoie un rapport de posture à l'ISE.

    7. Lorsque ISE reçoit le rapport de posture de l'agent, ISE modifie l'état de posture pour cette session et déclenche le type RADIUS CoA Push avec de nouveaux attributs. Cette fois, l'état de la position est connu et une autre règle est atteinte.

    • Si l'utilisateur est conforme, un nom DACL autorisant un accès complet est envoyé.
    • Si l'utilisateur n'est pas conforme, un nom DACL autorisant un accès limité est envoyé.

    8. Le FTD supprime la redirection. FTD envoie Access-Request afin de télécharger DACL à partir de l'ISE. La DACL spécifique est connectée à la session VPN.


    Configurations

    FTD/FMC

    Étape 1. Créer un groupe d'objets réseau pour les serveurs ISE et de correction (le cas échéant). Accédez à Objets > Gestion des objets > Réseau comme indiqué dans l'image.

    ASA configuration - Create Network Object Group for ISE and Remediation Servers (if any)


    Étape 2. Créer une liste de contrôle d'accès de redirection. Accédez à Objets > Gestion des objets > Liste d'accès > Étendu. Cliquez sur Add Extended Access List et indiquez le nom de la liste de contrôle d'accès Redirect. Ce nom doit être identique au résultat de l'autorisation ISE.

    ASA configuration - Create Redirect ACL


    Étape 3. Ajouter des entrées de liste de contrôle d'accès Redirect. Cliquez sur le bouton Add. Bloquez le trafic vers DNS, ISE et vers les serveurs de conversion pour les exclure de la redirection. Autoriser le reste du trafic, cela déclenchera une redirection (les entrées de la liste de contrôle d'accès peuvent être plus spécifiques si nécessaire) comme le montre l'image.

    ASA configuration - Add Redirect ACL Entries

    ASA configuration - Add Redirect ACL Entries


    Étape 4. Ajouter un noeud/des noeuds ISE PSN. Accédez à Objets > Gestion des objets > Groupe de serveurs RADIUS. Cliquez sur Ajouter un groupe de serveurs RADIUS, puis indiquez son nom, activez toutes les cases à cocher et cliquez sur l'icône plus comme illustré dans l'image.

    ASA configuration - Add ISE PSN node/nodes

    Étape 5. Dans la fenêtre ouverte, fournissez l'adresse IP PSN ISE, clé RADIUS, sélectionnez Interface spécifique et sélectionnez l'interface à partir de laquelle ISE est accessible (cette interface sera utilisée comme source de trafic RADIUS), puis sélectionnez Rediriger ACL qui a été configurée précédemment comme indiqué dans l'image.

    ASA configuration - Provide ISE PSN IP address


    Étape 6. Créez un pool d'adresses pour les utilisateurs VPN. Accédez à Objets > Gestion des objets > Pools d'adresses > Pools IPv4. Cliquez sur Ajouter des pools IPv4 et complétez les détails comme indiqué dans l'image.

    ASA configuration - Create Address Pool for VPN users


    Étape 7. Créez un package AnyConnect. Accédez à Objets > Gestion des objets > VPN > Fichier AnyConnect. Cliquez sur Ajouter un fichier AnyConnect, indiquez le nom du package, téléchargez le package à partir du téléchargement de logiciels Cisco et sélectionnez Anyconnect Client Image File Type comme indiqué dans l'image.

    ASA configuration - Create AnyConnect package


    Étape 8. Accédez à Objets de certificat > Gestion des objets > PKI > Inscription de certificat. Cliquez sur Ajouter une inscription au certificat, indiquez son nom, choisissez Certificat auto-signé dans le type d'inscription. Cliquez sur l'onglet Certificate Parameters (Paramètres du certificat) et indiquez CN comme indiqué dans les images.

    ASA configuration - Cert Enrollment

    ASA configuration - Cert Enrollment

    Étape 9. Lancez l'assistant VPN d'accès à distance. Accédez à Devices > VPN > Remote Access et cliquez sur Add comme illustré dans l'image.

    ASA configuration - Launch Remote Access VPN wizard

    Étape 10. Indiquez le nom, cochez SSL as VPN Protocol, choisissez FTD qui sera utilisé comme concentrateur VPN et cliquez sur Next comme illustré dans l'image.

    ASA configuration - configure FTD use as vpn concentrator

    Étape 11. Indiquez le nom du profil de connexion, sélectionnez Serveurs d'authentification/de comptabilité, sélectionnez le pool d'adresses configuré précédemment et cliquez sur Suivant.

    Note: Ne sélectionnez pas le serveur d'autorisation. Il déclenchera deux demandes d'accès pour un seul utilisateur (une fois avec le mot de passe de l'utilisateur et la deuxième fois avec le mot de passe cisco).

    ASA configuration - Connection Profile

    Étape 12. Sélectionnez le package AnyConnect configuré précédemment et cliquez sur Suivant comme indiqué dans l'image.

    ASA configuration - AnyConnect package that was configured previously

    Étape 13. Sélectionnez l'interface à partir de laquelle le trafic VPN est attendu, sélectionnez Certificat Enrollment qui a été configuré précédemment et cliquez sur Suivant comme indiqué dans l'image.

    ASA configuration - Select interface from which VPN traffic is expected

    Étape 14. Vérifiez la page de résumé et cliquez sur Terminer comme indiqué dans l'image.

    ASA configuration - Check the summary page


    Étape 15. Déployez la configuration vers FTD. Cliquez sur Déployer et sélectionnez FTD qui sera utilisé comme concentrateur VPN comme illustré dans l'image.

    ASA configuration - Deploy configuration to FTD

    ISE

    Étape 1. Exécuter les mises à jour de posture. Accédez à Administration > System > Settings > Posture > Updates comme indiqué dans l'image.

    ISE configuration - Run Posture Updates

    Étape 2. Télécharger le module de conformité. Naviguez jusqu'à Policy > Policy Elements > Results > Client Provisioning > Resources. Cliquez sur Ajouter et sélectionnez Ressources d'agent dans le site Cisco

    ISE configuration - Upload Compliance Module


    Étape 3. Téléchargez AnyConnect à partir du téléchargement de logiciels Cisco, puis téléchargez-le sur ISE. Naviguez jusqu'à Policy > Policy Elements > Results > Client Provisioning > Resources. Cliquez sur Ajouter et sélectionnez Ressources d'agent à partir du disque local. Choisissez Cisco Provided Packages sous Category, sélectionnez AnyConnect package sur le disque local et cliquez sur Submit.

    ISE configuration - Download AnyConnect from Cisco Software Download


    Étape 4. Créez un profil de posture AnyConnect. Naviguez jusqu'à Policy > Policy Elements > Results > Client Provisioning > Resources. Cliquez sur Ajouter et sélectionnez Profil de posture AnyConnect. Complétez le nom et le protocole de posture. Sous *Règles de nom de serveur placez * et placez toute adresse IP factice sous Hôte de découverte comme indiqué dans l'image.

    ISE configuration - Create AnyConnect Posture Profile

    ISE configuration - Create AnyConnect Posture Profile

    Étape 5. Accédez à Policy > Policy Elements > Results > Client Provisioning > Resources et créez AnyConnect Configuration. Cliquez sur Ajouter et sélectionnez Configuration AnyConnect. Sélectionnez AnyConnect Package, indiquez le nom de configuration, sélectionnez Module de conformité, cochez Outil de diagnostic et de rapport, sélectionnez Profil de posture et cliquez sur Enregistrer.

    ISE configuration - create AnyConnect Configuration


    Étape 6. Accédez à Policy > Client Provisioning et créez Client Provisioning Policy. Cliquez sur Modifier puis sélectionnez Insérer une règle ci-dessus, indiquez un nom, sélectionnez OS et choisissez Configuration AnyConnect créée à l'étape précédente.

    ISE configuration - create Client Provisioning Policy.

    Étape 7. Créer une condition de posture sous Stratégie > Eléments de stratégie > Conditions > Posture > Anti-Malware Condition. Dans cet exemple, 'ANY_am_win_inst' prédéfini est utilisé comme indiqué dans l'image.

    ISE configuration - Create Anti-Malware Condition


    Étape 8. Naviguez jusqu'à Stratégie > Éléments de stratégie > Résultats > Posture > Actions de correction et créez Remediation de posture. Dans cet exemple, il est ignoré. L'action de correction peut être un message texte.


    Étape 9. Accédez à Politique > Éléments de politique > Résultats > Posture > Requirements et créez Posture Requirements. Exigence prédéfinie Any_AM_Installation_Win est utilisée.

    ISE configuration - create Posture Requirements


    Étape 10. Créer des stratégies de posture sous Politiques > Posture. La stratégie de posture par défaut pour tout contrôle AntiMalware pour le système d'exploitation Windows est utilisée.


    ISE configuration - Create Posture Policies


    Étape 11. Accédez à Stratégie > Éléments de stratégie > Résultats > Autorisation > Listes de contrôle d'accès téléchargeables et créez des listes de contrôle d'accès pour différents statuts de position.

    Dans cet exemple :

    • Posture Unknown DACL : autorise le trafic vers le trafic DNS, PSN et HTTP et HTTPS. 
    • DACL non conforme à la posture : refuse l'accès aux sous-réseaux privés et autorise uniquement le trafic Internet.
    • Permit All DACL (Autoriser tout DACL) : autorise tout le trafic pour l'état conforme à la position. 


    ISE configuration - create DACLs for different posture statuses

    ISE configuration - create DACLs for different posture statuses

    ISE configuration - Create three Authorization Profiles

    Étape 12. Créez trois profils d'autorisation pour les statuts Posture Unknown, Posture NonConforme et Posture Conforme. Pour ce faire, accédez à Policy > Policy Elements > Results > Authorization > Authorization Profiles. Dans le profil Posture Unknown, sélectionnez Posture Unknown DACL, cochez Web Redirection, sélectionnez Client Provisioning, indiquez le nom de la liste de contrôle d'accès Redirect (configuré sur FTD) et sélectionnez le portail comme indiqué dans l'image.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    Dans le profil Posture NonConforme, sélectionnez DACL afin de limiter l'accès au réseau comme indiqué dans l'image.

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    Dans le profil Conformité à la posture, sélectionnez DACL afin de permettre un accès complet au réseau comme illustré dans l'image.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    Étape 13. Créer des stratégies d'autorisation sous Stratégie > Jeux de stratégies > Par défaut > Stratégie d'autorisation. Comme condition, l'état Posture et le nom du groupe de tunnels VNP sont utilisés.

    ISE configuration - Create Authorization Policies

    Vérification

    Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

    Sur ISE, la première étape de vérification est RADIUS Live Log. Accédez à Operations > RADIUS Live Log. Ici, l'utilisateur Alice est connecté et la stratégie d'autorisation attendue est sélectionnée comme l'illustre l'image.

    ISE Live log - user Alice is connected and the expected authorization policy

    La stratégie d'autorisation FTD-VPN-Posture-Unknown est mise en correspondance et, par conséquent, FTD-VPN-Profile est envoyé à FTD comme indiqué sur l'image.

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result


    État de la position en attente.

    ISE detailed live log report - Posture Status Pending
    La section Résultat indique quels attributs sont envoyés à FTD. 
    ISE detailed live log report - attributes are sent to FTD

    Sur FTD, afin de vérifier la connexion VPN, SSH à la boîte, exécuter système support diagnostic-cli puis show vpn-sessiondb detail anyconnect. À partir de ce résultat, vérifiez que les attributs envoyés par ISE sont appliqués pour cette session VPN.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 12
Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 15326                  Bytes Rx     : 13362
Pkts Tx      : 10                     Pkts Rx      : 49
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 07:13:30 UTC Mon Feb 3 2020
Duration     : 0h:06m:43s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000c0005e37c81a
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 12.1
  Public IP    : 10.229.16.169
  Encryption   : none                   Hashing      : none
  TCP Src Port : 56491                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 12.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 56495
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 592
  Pkts Tx      : 5                      Pkts Rx      : 7
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

DTLS-Tunnel:
  Tunnel ID    : 12.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 59396
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 0                      Bytes Rx     : 12770
  Pkts Tx      : 0                      Pkts Rx      : 42
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

ISE Posture:
  Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc...
  Redirect ACL : fyusifovredirect

fyusifov-ftd-64#

    Les stratégies d'approvisionnement client peuvent être vérifiées. Accédez à Operations > Reports > Endpoints and Users > Client Provisioning comme illustré dans l'image.

    ISE report - Client Provisioning policies be verified

    Le rapport de posture envoyé par AnyConnect peut être vérifié. Naviguez jusqu'à Operations > Reports > Endpoints and Users > Posture Assessment by Endpoint.

    ISE report - Posture Report sent from AnyConnect

    Pour afficher plus de détails sur le rapport de posture, cliquez sur Détails comme indiqué dans l'image.

    ISE report - see more details on the posture reportScreen Shot 2020-02-03 at 09.21.07ISE report - see more details on the posture report

    Une fois le rapport reçu sur ISE, l'état de la position est mis à jour. Dans cet exemple, l'état de la posture est conforme et CoA Push est déclenché avec un nouvel ensemble d'attributs comme illustré dans l'image.

    ISE report - posture status is updated

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    Vérifiez sur FTD que la nouvelle liste de contrôle d'accès Redirect et la nouvelle URL Redirect sont supprimées pour la session VPN et que PermitAll DACL est appliquée.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 14
Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 53990                  Bytes Rx     : 23808
Pkts Tx      : 73                     Pkts Rx      : 120
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 16:58:26 UTC Mon Feb 3 2020
Duration     : 0h:02m:24s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000e0005e385132
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 14.1
  Public IP    : 10.55.218.19
  Encryption   : none                   Hashing      : none
  TCP Src Port : 51965                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 14.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 51970
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7715                   Bytes Rx     : 10157
  Pkts Tx      : 6                      Pkts Rx      : 33
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

DTLS-Tunnel:
  Tunnel ID    : 14.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 51536
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 28 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 38612                  Bytes Rx     : 13651
  Pkts Tx      : 62                     Pkts Rx      : 87
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

fyusifov-ftd-64#

    Dépannage

    Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

    Pour obtenir des informations détaillées sur le flux de position et le dépannage d'AnyConnect et d'ISE, consultez le lien suivant : Comparaison du style de posture ISE pour avant et après 2.2.

    • Tunnel Spilt

    L'un des problèmes courants, lorsqu'un tunnel de crachage est configuré. Dans cet exemple, la stratégie de groupe par défaut est utilisée, qui isole tout le trafic. Si seul un trafic spécifique est tunnelisé, les sondes AnyConnect (enroll.cisco.com et l'hôte de découverte) doivent passer par le tunnel en plus du trafic vers ISE et d'autres ressources internes.

    Afin de vérifier la stratégie de tunnel sur FMC, commencez par vérifier quelle stratégie de groupe est utilisée pour la connexion VPN. Accédez à Devices > VPN Remote Access comme indiqué dans l'image.

    FTD GUI - check the tunnel policy on FMC

    Ensuite, accédez à Objets > Gestion des objets > VPN > Stratégie de groupe et cliquez sur Stratégie de groupe configurée pour VPN comme illustré dans l'image.

    FTD GUI -check the tunnel policy on FMC

    • NAT d'identité

    Autre problème courant, lorsque le trafic de retour des utilisateurs VPN est traduit par l'utilisation d'une entrée NAT incorrecte. Afin de résoudre ce problème, Identity NAT doit être créé dans un ordre approprié.

    Tout d'abord, vérifiez les règles NAT pour ce périphérique. Accédez à Périphériques > NAT, puis cliquez sur Ajouter une règle pour créer une nouvelle règle comme illustré dans l'image.

    FTD GUI -check NAT rules for this device

    Dans la fenêtre ouverte, sous l'onglet Objets d'interface, sélectionnez Zones de sécurité. Dans cet exemple, l'entrée NAT est créée de ZONE-INSIDE à ZONE-OUTSIDE comme illustré dans l'image.

    FTD GUI -NAT entry is created from ZONE-INSIDE to ZONE-OUTSIDE

    Sous l'onglet Traduction, sélectionnez les détails des paquets d'origine et de traduction. Comme il s’agit de la fonction NAT d’identité, la source et la destination restent inchangées :

    FTD GUI -Translation tab

    Sous l'onglet Avancé, cochez les cases comme indiqué dans cette image :

    FTD GUI -Advanced tab

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    22-Oct-2021
    Champ d'autorisation supprimé et liste de contrôle d'accès corrigée.
    1.0
    07-Feb-2020
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Farid Yusifov
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits