FTD의 AnyConnect 원격 액세스 VPN을 통한 ISE 상태

다운로드 옵션

  • PDF     (5.6 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (5.8 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (4.3 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2021년 10월 22일 (금)
문서 ID:215236

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 Cisco ISE(Identity Services Engine)에 대해 VPN 사용자를 포스팅하기 위해 Cisco Firepower FTD(Threat Defense) 버전 6.4.0을 구성하는 방법에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • AnyConnect 원격 액세스 VPN
    • FTD의 원격 액세스 VPN 컨피그레이션
    • Identity Services Engine 및 상태 서비스

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.

    • Cisco FTD(Firepower Threat Defense) 소프트웨어 버전 6.4.0
    • Cisco FMC(Firepower Management Console) 소프트웨어 버전 6.5.0
    • Microsoft Windows 10 with Cisco AnyConnect Secure Mobility Client 버전 4.7
    • Cisco ISE(Identity Services Engine) 버전 2.6(패치 3 포함)

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

    구성

    네트워크 다이어그램 및 트래픽 흐름

    Flow diagram

    1. 원격 사용자는 FTD에 대한 VPN 액세스를 위해 Cisco Anyconnect를 사용합니다.

    2. FTD는 해당 사용자에 대한 RADIUS 액세스 요청을 ISE에 전송합니다.

    3. 해당 요청이 ISE에서 FTD-VPN-Posture-Unknown이라는 정책에 도달합니다. ISE는 다음 세 가지 특성을 사용하여 RADIUS 액세스 수락 전송 합니다.

    4. DACL이 전송되면 DACL의 콘텐츠를 다운로드하기 위해 RADIUS 액세스 요청/액세스 수락이 교환됩니다

    5. VPN 사용자의 트래픽이 로컬로 정의된 ACL과 일치하면 ISE 클라이언트 프로비저닝 포털로 리디렉션됩니다. ISE는 AnyConnect Posture 모듈 및 규정 준수 모듈을 프로비저닝합니다.

    6. 에이전트가 클라이언트 시스템에 설치되면 프로브를 전송하여 자동으로 ISE를 검색합니다. ISE가 성공적으로 탐지되면 포스처 요구 사항이 엔드포인트에서 확인됩니다. 이 예에서는 에이전트가 설치된 안티멀웨어 소프트웨어를 확인합니다. 그런 다음 포스처 보고서를 ISE에 보냅니다.

    7. ISE가 상담원으로부터 상태 보고서를 받으면 ISE는 이 세션에 대한 상태 상태를 변경하고 새 특성을 가진 RADIUS CoA 유형 푸시를 트리거합니다. 이번에는 상태 상태를 알고 또 다른 규칙이 적중됩니다.

    • 사용자가 규정을 준수하는 경우 전체 액세스를 허용하는 DACL 이름이 전송됩니다.
    • 사용자가 규정을 준수하지 않으면 제한된 액세스를 허용하는 DACL 이름이 전송됩니다.

    8. FTD는 리디렉션을 제거합니다. FTD는 ISE에서 DACL을 다운로드 하기 위해 액세스 요청을 전송 합니다. 특정 DACL은 VPN 세션에 연결됩니다.


    구성

    FTD/FMC

    1단계. ISE 및 리미디에이션 서버용 네트워크 객체 그룹을 생성합니다(있는 경우). 이미지에 표시된 대로 Objects > Object Management > Network로 이동합니다.

    ASA configuration - Create Network Object Group for ISE and Remediation Servers (if any)


    2단계. 리디렉션 ACL을 생성합니다. Objects > Object Management > Access List > Extended로 이동합니다. Add Extended Access List(확장 액세스 목록 추가)를 클릭하고 리디렉션 ACL의 이름을 제공합니다. 이 이름은 ISE 권한 부여 결과와 동일해야 합니다.

    ASA configuration - Create Redirect ACL


    3단계. 리디렉션 ACL 항목을 추가합니다. Add 버튼을 클릭합니다. 리디렉션에서 제외하도록 DNS, ISE 및 리미디에이션 서버에 대한 트래픽을 차단합니다. 나머지 트래픽을 허용하면 이미지에 표시된 대로 리디렉션이 트리거됩니다(필요한 경우 ACL 항목이 더 구체적일 수 있음).

    ASA configuration - Add Redirect ACL Entries

    ASA configuration - Add Redirect ACL Entries


    4단계. ISE PSN 노드/노드를 추가합니다. Objects(개체) > Object Management(개체 관리) > RADIUS Server Group(RADIUS 서버 그룹)으로 이동합니다. Add RADIUS Server Group(RADIUS 서버 그룹 추가)을 클릭한 다음 이름을 제공하고 모든 확인란을 활성화하고 이미지에 표시된 대로 더하기 아이콘을 클릭합니다.

    ASA configuration - Add ISE PSN node/nodes

    5단계. 열린 창에서 ISE PSN IP 주소, RADIUS 키를 제공하고 Specific Interface를 선택하고 ISE에 연결할 수 있는 인터페이스(이 인터페이스는 RADIUS 트래픽의 소스로 사용됨)를 선택한 다음 이미지에 표시된 것처럼 이전에 구성된 Redirect ACL(리디렉션 ACL)을 선택합니다.

    ASA configuration - Provide ISE PSN IP address


    6단계. VPN 사용자를 위한 주소 풀을 생성합니다. Objects(개체) > Object Management(개체 관리) > Address Pools(주소 풀) > IPv4 Pools(IPv4 풀)로 이동합니다. Add IPv4 Pools(IPv4 풀 추가)를 클릭하고 이미지에 표시된 대로 의 세부 정보를 입력합니다.

    ASA configuration - Create Address Pool for VPN users


    7단계. AnyConnect 패키지를 만듭니다. Objects(개체) > Object Management(개체 관리) > VPN > AnyConnect File(AnyConnect 파일)으로 이동합니다. Add AnyConnect File(AnyConnect 파일 추가)을 클릭하고 패키지 이름을 제공하고 Cisco Software Download(Cisco 소프트웨어 다운로드)에서 패키지를 다운로드한 다음 이미지에 표시된 대로 Anyconnect Client Image File Type(Anyconnect 클라이언트 이미지 파일 유형)을 선택합니다.

    ASA configuration - Create AnyConnect package


    8단계. Certificate Objects(인증서 개체) > Object Management(개체 관리) > PKI > Cert Enrollment(인증서 등록)로 이동합니다. Add Cert Enrollment(인증서 등록 추가)를 클릭하고 이름을 입력한 다음 Enrollment Type(등록 유형)에서 Self Signed Certificate(자체 서명 인증서)를 선택합니다. Certificate Parameters(인증서 매개변수) 탭을 클릭하고 이미지에 표시된 대로 CN을 제공합니다.

    ASA configuration - Cert Enrollment

    ASA configuration - Cert Enrollment

    9단계. 원격 액세스 VPN 마법사를 시작합니다. Devices(디바이스) > VPN > Remote Access(원격 액세스)로 이동하고 이미지에 표시된 대로 Add(추가)를 클릭합니다.

    ASA configuration - Launch Remote Access VPN wizard

    10단계. 이름을 제공하고, SSL을 VPN 프로토콜로 선택하고, VPN Concentrator로 사용할 FTD를 선택한 다음, 이미지에 표시된 대로 Next(다음)를 클릭합니다.

    ASA configuration - configure FTD use as vpn concentrator

    11단계. 연결 프로파일 이름 제공하고 인증/어카운팅 서버를 선택하고 이전에 구성된 주소 풀을 선택한 다음 다음을 클릭합니다.

    참고: 권한 부여 서버를 선택하지 마십시오. 단일 사용자에 대해 두 개의 액세스 요청을 트리거합니다(한 번은 사용자의 비밀번호와 cisco 비밀번호의 두 번째).

    ASA configuration - Connection Profile

    12단계. 이전에 구성된 AnyConnect 패키지를 선택하고 이미지에 표시된 다음을 클릭합니다.

    ASA configuration - AnyConnect package that was configured previously

    13단계. VPN 트래픽이 예상되는 인터페이스를 선택하고 이전에 구성한 Certificate Enrollment(인증서 등록)를 선택하고 이미지에 표시된 대로 Next(다음)를 클릭합니다.

    ASA configuration - Select interface from which VPN traffic is expected

    14단계. 요약 페이지를 확인하고 이미지에 표시된 대로 마침을 클릭합니다.

    ASA configuration - Check the summary page


    15단계. FTD에 컨피그레이션을 구축합니다. Deploy(구축)를 클릭하고 이미지에 표시된 대로 VPN 집선 장치로 사용할 FTD를 선택합니다.

    ASA configuration - Deploy configuration to FTD

    ISE

    1단계. 상태 업데이트를 실행합니다. 이미지에 표시된 대로 Administration > System > Settings > Posture > Updates로 이동합니다.

    ISE configuration - Run Posture Updates

    2단계. 컴플라이언스 모듈을 업로드합니다. Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)로 이동합니다. Add(추가)를 클릭하고 Cisco 사이트에서 Agent resources(에이전트 리소스)를 선택합니다.

    ISE configuration - Upload Compliance Module


    3단계. Cisco 소프트웨어에서 AnyConnect를 다운로드한 다음 ISE에 업로드합니다. Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)로 이동합니다. Add(추가)를 클릭하고 Agent Resources From Local Disk(로컬 디스크에서 에이전트 리소스)를 선택합니다. Category(카테고리) 아래에서 Cisco Provided Packages(Cisco 제공 패키지)를 선택하고 로컬 디스크에서 AnyConnect 패키지를 선택하고 Submit(제출)을 클릭합니다.

    ISE configuration - Download AnyConnect from Cisco Software Download


    4단계. AnyConnect Posture Profile을 생성합니다. Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)로 이동합니다. Add(추가)를 클릭하고 AnyConnect Posture Profile(AnyConnect 포스처 프로파일)을 선택합니다. 이름 및 상태 프로토콜을 입력합니다. *Server name 규칙에서 *를 입력하고 이미지에 표시된 대로 Discovery 호스트 아래에 더미 IP 주소를 배치합니다.

    ISE configuration - Create AnyConnect Posture Profile

    ISE configuration - Create AnyConnect Posture Profile

    5단계. Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)로 이동하고 AnyConnect Configuration(AnyConnect 컨피그레이션)을 생성합니다. Add(추가)를 클릭하고 AnyConnect Configuration(AnyConnect 컨피그레이션)을 선택합니다. AnyConnect 패키지를 선택하고, 구성 이름을 제공하고, 규정 준수 모듈을 선택하고, 진단 및 보고 도구를 선택한 다음, Posture Profile을 선택하고 Save를 클릭합니다.

    ISE configuration - create AnyConnect Configuration


    6단계. Policy(정책) > Client Provisioning(클라이언트 프로비저닝)으로 이동하고 Client Provisioning Policy(클라이언트 프로비저닝 정책) 생성합니다. Edit(수정)를 클릭한 다음 Insert Rule Above(위에 규칙 삽입)를 선택하고 이름을 입력한 다음 OS를 선택한 다음 이전 단계에서 생성한 AnyConnect Configuration(AnyConnect 컨피그레이션)을 선택합니다.

    ISE configuration - create Client Provisioning Policy.

    7단계. Policy(정책) > Policy Elements(정책 요소) > Conditions(조건) > Posture(포스처) > Anti-Malware Condition(안티멀웨어 조건)에서 Posture Condition(포스처 조건)을 생성합니다. 이 예에서는 미리 정의된 "ANY_am_win_inst"가 이미지에 표시된 대로 사용됩니다.

    ISE configuration - Create Anti-Malware Condition


    8단계. Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Posture(포스처) > Remediation Actions(교정 작업)로 이동하고 Posture Remediation(포스처 교정)을 생성합니다. 이 예에서는 건너뜁니다. 교정 작업은 텍스트 메시지일 수 있습니다.


    9단계. Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Posture(포스처) > Requirements(요구 사항)로 이동하고 Posture Requirements(포스처 요구 사항)를 생성합니다. 사전 정의된 요구 사항 Any_AM_Installation_Win이 사용됩니다.

    ISE configuration - create Posture Requirements


    10단계. Policies(정책) > Posture(포스처)에서 Posture Policies(포스처 정책)를 생성합니다. Windows OS용 AntiMalware Check에 대한 기본 상태 정책이 사용됩니다.


    ISE configuration - Create Posture Policies


    11단계. Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Downloadable ACL로 이동하고 다른 상태 대한 DACL을 생성합니다.

    이 예에서는

    • Posture Unknown DACL(포스처 알 수 없는 DACL) - DNS, PSN, HTTP 및 HTTPS 트래픽에 대한 트래픽을 허용합니다. 
    • Posture NonCompliant DACL - 프라이빗 서브넷에 대한 액세스를 거부하고 인터넷 트래픽만 허용합니다.
    • Permit All DACL(모든 DACL 허용) - Posture Compliant Status(포스처 준수 상태)에 대한 모든 트래픽을 허용합니다. 


    ISE configuration - create DACLs for different posture statuses

    ISE configuration - create DACLs for different posture statuses

    ISE configuration - Create three Authorization Profiles

    12단계. Posture Unknown, Posture NonCompliant 및 Posture Compliant 상태에 대한 3가지 권한 부여 프로파일을 생성합니다. 이렇게 하려면 Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Authorization Profiles(권한 부여 프로파일)로 이동합니다. Posture Unknown 프로필에서 Posture Unknown DACL(포스처 알 수 없는 DACL)을 선택하고 Web Redirection(웹 리디렉션)을 선택하고 Client Provisioning(클라이언트 프로비저닝)(FTD에 구성된 리디렉션 ACL 이름)을 제공하고 이미지에 표시된 대로 포털을 선택합니다.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    Posture NonCompliant 프로파일에서 DACL을 선택하여 이미지에 표시된 대로 네트워크에 대한 액세스를 제한합니다.

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    Posture Compliant 프로필에서 이미지에 표시된 대로 네트워크에 대한 전체 액세스를 허용하려면 DACL을 선택합니다.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    13단계. Policy(정책) > Policy Sets(정책 집합) > Default(기본값) > Authorization Policy(권한 부여 정책)에서 권한 부여 정책을 생성합니다. 상태 상태 상태 및 VNP 터널 그룹 이름 이 사용 됩니다.

    ISE configuration - Create Authorization Policies

    다음을 확인합니다.

    이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

    ISE에서 첫 번째 확인 단계는 RADIUS Live Log입니다. Operations(작업) > RADIUS Live Log(RADIUS 라이브 로그)로 이동합니다. 여기서 사용자 Alice가 연결되고 이미지에 표시된 대로 예상되는 권한 부여 정책이 선택됩니다.

    ISE Live log - user Alice is connected and the expected authorization policy

    권한 부여 정책 FTD-VPN-Posture-Unknown이 일치하므로 이미지에 표시된 대로 FTD-VPN-Profile이 FTD로 전송됩니다.

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result


    상태 보류 중 입니다.

    ISE detailed live log report - Posture Status Pending
    결과 섹션에는 어떤 속성이 FTD로 전송되는지 표시됩니다. 
    ISE detailed live log report - attributes are sent to FTD

    FTD에서 VPN 연결을 확인하기 위해 SSH를 상자에 연결하고 시스템 지원 diagnostic-cli를 실행한 다음 show vpn-sessiondb detail anyconnect를 실행합니다. 이 출력에서 ISE에서 보낸 특성이 이 VPN 세션에 적용되었는지 확인합니다.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 12
Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 15326                  Bytes Rx     : 13362
Pkts Tx      : 10                     Pkts Rx      : 49
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 07:13:30 UTC Mon Feb 3 2020
Duration     : 0h:06m:43s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000c0005e37c81a
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 12.1
  Public IP    : 10.229.16.169
  Encryption   : none                   Hashing      : none
  TCP Src Port : 56491                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 12.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 56495
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 592
  Pkts Tx      : 5                      Pkts Rx      : 7
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

DTLS-Tunnel:
  Tunnel ID    : 12.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 59396
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 0                      Bytes Rx     : 12770
  Pkts Tx      : 0                      Pkts Rx      : 42
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

ISE Posture:
  Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc...
  Redirect ACL : fyusifovredirect

fyusifov-ftd-64#

    클라이언트 프로비저닝 정책을 확인할 수 있습니다. 이미지에 표시된 대로 Operations(작업) > Reports(보고서) > Endpoints and Users(엔드포인트 및 사용자) > Client Provisioning(클라이언트 프로비저닝)으로 이동합니다.

    ISE report - Client Provisioning policies be verified

    AnyConnect에서 전송된 상태 보고서를 확인할 수 있습니다. Operations(운영) > Reports(보고서) > Endpoints and Users(엔드포인트 및 사용자) > Posture Assessment by Endpoint(엔드포인트별 포스처 평가)로 이동합니다.

    ISE report - Posture Report sent from AnyConnect

    상태 보고서에 대한 자세한 내용을 보려면 이미지에 표시된 Details를 클릭합니다.

    ISE report - see more details on the posture reportScreen Shot 2020-02-03 at 09.21.07ISE report - see more details on the posture report

    ISE에서 보고서가 수신되면 상태 상태가 업데이트됩니다. 이 예에서는 상태 상태가 규정을 준수하며 이미지에 표시된 대로 CoA 푸시가 새 특성 집합으로 트리거됩니다.

    ISE report - posture status is updated

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    VPN 세션에 대해 새 리디렉션 ACL 및 리디렉션 URL이 제거되고 PermitAll DACL이 적용되는지 FTD에서 확인합니다.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 14
Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 53990                  Bytes Rx     : 23808
Pkts Tx      : 73                     Pkts Rx      : 120
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 16:58:26 UTC Mon Feb 3 2020
Duration     : 0h:02m:24s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000e0005e385132
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 14.1
  Public IP    : 10.55.218.19
  Encryption   : none                   Hashing      : none
  TCP Src Port : 51965                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 14.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 51970
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7715                   Bytes Rx     : 10157
  Pkts Tx      : 6                      Pkts Rx      : 33
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

DTLS-Tunnel:
  Tunnel ID    : 14.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 51536
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 28 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 38612                  Bytes Rx     : 13651
  Pkts Tx      : 62                     Pkts Rx      : 87
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

fyusifov-ftd-64#

    문제 해결

    이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

    자세한 상태 흐름 및 문제 해결 AnyConnect 및 ISE를 보려면 다음 링크를 확인하십시오. Pre 및 Post 2.2의 ISE Posture Style 비교.

    • 분할 터널

    스플릿 터널이 구성된 경우 일반적인 문제 중 하나입니다. 이 예에서는 모든 트래픽을 터널링하는 기본 그룹 정책이 사용됩니다. 특정 트래픽만 터널링되는 경우 AnyConnect 프로브(enroll.cisco.com 및 검색 호스트)는 ISE 및 기타 내부 리소스에 대한 트래픽 외에도 터널을 통과해야 합니다.

    FMC에서 터널 정책을 확인하려면 먼저 VPN 연결에 사용되는 그룹 정책을 확인합니다. 이미지에 표시된 대로 Devices > VPN Remote Access로 이동합니다.

    FTD GUI - check the tunnel policy on FMC

    그런 다음 Objects(개체) > Object Management(개체 관리) > VPN > Group Policy(그룹 정책)로 이동하고 이미지에 표시된 대로 VPN에 대해 구성된 Group Policy(그룹 정책)를 클릭합니다.

    FTD GUI -check the tunnel policy on FMC

    • ID NAT

    또 다른 일반적인 문제는 VPN 사용자의 반환 트래픽이 잘못된 NAT 항목을 사용하여 변환되는 경우입니다. 이 문제를 해결하려면 ID NAT를 적절한 순서로 만들어야 합니다.

    먼저 이 디바이스에 대한 NAT 규칙을 확인합니다. Devices(디바이스) > NAT로 이동한 다음 Add Rule(규칙 추가)을 클릭하여 이미지에 표시된 대로 새 규칙을 생성합니다.

    FTD GUI -check NAT rules for this device

    열린 창의 Interface Objects 탭 아래에서 Security Zones를 선택합니다. 이 예에서 NAT 항목은 이미지에 표시된 대로 ZONE-INSIDE에서 ZONE-OUTSIDE로 생성됩니다.

    FTD GUI -NAT entry is created from ZONE-INSIDE to ZONE-OUTSIDE

    Translation(변환) 탭 아래에서 원본 및 변환된 패킷 세부 정보를 선택합니다. ID NAT이므로 소스 및 대상은 변경되지 않습니다.

    FTD GUI -Translation tab

    고급 탭에서 다음 이미지에 표시된 확인란을 선택합니다.

    FTD GUI -Advanced tab

    개정 이력

    개정 게시 날짜 의견
    2.0
    22-Oct-2021
    권한 부여 필드가 제거되고 ACL이 수정되었습니다.
    1.0
    07-Feb-2020
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • Farid Yusifov
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품