Beveiligde toegang configureren met beveiligde firewall met hoge beschikbaarheid

Inleiding

In dit document wordt beschreven hoe u Secure Access configureert met Secure Firewall with High Availability.

Voorwaarden

• Provisioning van gebruiker configureren
• ZTNA SSO-verificatieconfiguratie
• Remote Access VPN Secure Access configureren

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Firepower Management Center 7.2
• Firepower Threat Defence 7.2
• beveiligde toegang
• Cisco Secure Client - VPN
• Cisco Secure Client - ZTNA
• Clientless ZTNA

Gebruikte componenten

De informatie in dit document is gebaseerd op: 

• Firepower Management Center 7.2
• Firepower Threat Defence 7.2
• beveiligde toegang
• Cisco Secure Client - VPN
• Cisco Secure Client - ZTNA

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Cisco heeft Secure Access ontworpen om privétoepassingen te beschermen en toegang te bieden, zowel on-premise als in de cloud. Het beschermt ook de verbinding van het netwerk naar het internet. Dit wordt bereikt door de implementatie van meerdere beveiligingsmethoden en -lagen, allemaal gericht op het behoud van de informatie terwijl ze er toegang toe hebben via de cloud.

Netwerkdiagram

Configureren

VPN configureren voor beveiligde toegang

Navigeer naar het beheerderspaneel van Secure Access.

• Klik op Connect > Network Connections

• OnderNetwork Tunnel Groupsklik op + Add

• ConfigurerenTunnel Group Name, RegionenDevice Type
• Klik op de knop Next

• Configureer deTunnel ID Formaten Passphrase
• Klik op de knop Next

• Configureer de IP-adresbereiken of -hosts die u in uw netwerk hebt geconfigureerd en die het verkeer via Secure Access willen doorgeven
• Klik op de knop Save

Nadat u hebt geklikt op Save de informatie over de tunnel die wordt weergegeven, kunt u die informatie opslaan voor de volgende stap, Configure the tunnel on Secure Firewall.

Gegevens voor tunnelinstallatie

De tunnel configureren op een beveiligde firewall

De tunnelinterface configureren

Voor dit scenario gebruikt u Virtual Tunnel Interface (VTI) -configuratie op Secure Firewall om dit doel te bereiken; onthoud dat u in dit geval een dubbele ISP hebt en we willen HA hebben als een van uw ISP's faalt.

Noot: 1. U moet een statische route toevoegen of toewijzen aan het Primary or Secondary Datacenter IP netwerk om beide tunnels te kunnen gebruiken.

Noot: 2. Als u ECMP hebt geconfigureerd tussen de interfaces, hoeft u geen statische route naar de Primary or Secondary Datacenter IP tunnel te maken om beide tunnels te kunnen gebruiken.

Op basis van het scenario hebben we PrimaryWAN en SecondaryWANmoeten we die gebruiken om de VTI-interfaces te maken.

Navigeer naar uwFirepower Management Center > Deviceswebsite.

• Kies uw FTD
• kiezen Interfaces

• Klik op Add Interfaces > Virtual Tunnel Interface

• De interface configureren op basis van de volgende informatie

• Name : Configureer een naam die verwijst naar de PrimaryWAN interface
• Security Zone : U kunt een andere Security Zonegebruiken, maar het maken van een nieuwe voor Secure Access-verkeer is beter
• Tunnel ID : Voeg een nummer toe voor de tunnel-ID
• Tunnel Source : Kies uw PrimaryWAN interface browser en kies de private of publieke IP van uw interface
• IPsec Tunnel Mode : Kies IPv4 en configureer een niet-routeerbaar IP-adres in uw netwerk met masker 30

Opmerking: voor de VTI-interface moet u een niet-routeerbaar IP-adres gebruiken. Als u bijvoorbeeld twee VTI-interfaces hebt, kunt u 169.254.2.1/30 gebruiken voor de PrimaryVTI en 169.254.3.1/30 voor de SecondaryVTIVTI.

Daarna moet je hetzelfde doen voor de SecondaryWAN interfaceVTI, en heb je alles ingesteld voor de VTI High Availability, en als gevolg daarvan heb je het volgende resultaat:

Voor dit scenario worden de volgende IP's gebruikt: 

Statische route configureren voor de secundaire interface

Om het verkeer van de SecondaryWAN interface computer naar de locatieSecondary Datacenter IP Addresstoe te laten, moet u een statische route naar het IP-adres van het datacenter configureren. U kunt het configureren met een metriek van één (1) om het bovenop de routeringstabel te maken; specificeer ook het IP als host.

Let op: Dit is alleen nodig als u geen ECMP-installatie hebt tussen de WAN-kanalen; als u ECMP hebt geconfigureerd, kunt u naar de volgende stap gaan.

Navigeer naar Device > Device Management 

• Klik op uw FTD-apparaat
• Klik op Routing
• kiezen Static Route > + Add Route

• Interface: Kies de secundaire WAN-interface
• Gateway: Kies de secundaire WAN-gateway
• Selected Network: Voeg de IP van het secundaire datacenter toe als host; u kunt de informatie vinden over de informatie die wordt gegeven wanneer u de tunnel configureert in de stap Veilige toegang, Gegevens voor tunnelinstallatie
• MetricGebruik één (1)
• OKKlik en klik Save om de informatie op te slaan en vervolgens te implementeren.

VPN configureren voor beveiligde toegang in VTI-modus

Om de VPN te configureren, navigeert u naar uw firewall: 

• Klik op Devices > Site to Site
• Klik op + Site to Site VPN

Eindpuntenconfiguratie

Als u de stap Eindpunten wilt configureren, moet u de informatie gebruiken die wordt verstrekt in de stap Gegevens voor tunnelinstallatie.

• Naam topologie: maak een naam die gerelateerd is aan de integratie van Secure Access
• kiezen Routed Based (VTI)
• kiezen Point to Point
• IKE VersionKies: IKEv2

Opmerking: IKEv1 wordt niet ondersteund voor integratie met Secure Access.

Onder de Node Aknop moet u de volgende parameters configureren:

• Device: Kies uw FTD-apparaat
• Virtual Tunnel Interface: Kies de VTI met betrekking tot de PrimaryWAN Interfacebehandeling.
• Vink het selectievakje aan voor Send Local Identity to Peers
• Local Identity Configuration: Kies E-mail-ID en vul de informatie in op basis van de informatie die is Primary Tunnel ID verstrekt in uw configuratie in de stap Gegevens voor tunnelinstallatie

Nadat u de informatie op de PrimaryVTI klik op hebt geconfigureerd, + Add Backup VTIklikt u op: 

• Virtual Tunnel Interface: Kies de VTI met betrekking tot de PrimaryWAN Interfacebehandeling.
• Vink het selectievakje aan voor Send Local Identity to Peers
• Local Identity Configuration: Kies E-mail-ID en vul de informatie in op basis van de informatie die is Secondary Tunnel ID verstrekt in uw configuratie in de stap Gegevens voor tunnelinstallatie

Onder de Node Bknop moet u de volgende parameters configureren:

• Device: Extranet
• Device Name: Kies een naam om Secure Access als bestemming te herkennen.
• Endpoint IP Address: De configuratie voor primair en secundair moet Primair zijn, Datacenter IP,Secondary Datacenter IPu kunt die informatie vinden in de stap, Gegevens voor tunnelinstallatie

Daarna is uw configuratie voor Endpoints voltooid en kunt u nu naar de stap gaan, IKE Configuration.

IKE-configuratie

Om de IKE-parameters te configureren, klikt u op IKEInstellen.

Onder moet IKE, u de volgende parameters configureren:

• Policies: U kunt de standaardconfiguratie van de paraplu gebruiken Umbrella-AES-GCM-256 of u kunt verschillende parameters configureren op basis van de Supported IKEv2 and IPSEC Parameters

• Authentication Type: Vooraf gedeelde handmatige sleutel
• Keyen Confirm Key: U kunt de informatie vinden Passphrase in de stap, Gegevens voor tunnelinstallatie

Daarna is uw configuratie voor IKE voltooid en kunt u nu naar de stap gaan, IPSEC Configuration.

IPSEC-configuratie

Om de IPSEC-parameters te configureren, klikt u op IPSEC.

Onder moet IPSEC, u de volgende parameters configureren:

• Policies: U kunt de standaardconfiguratie van de paraplu gebruiken Umbrella-AES-GCM-256 of u kunt verschillende parameters configureren op basis van de Supported IKEv2 and IPSEC Parameters

Opmerking: er is niets anders vereist op IPSEC.

Daarna is uw configuratie voor IPSEC voltooid en kunt u nu naar de stap Geavanceerde configuratie gaan.

Geavanceerde configuratie

Om de geavanceerde parameters te configureren, klikt u op Geavanceerd.

Onder moet Advanced, u de volgende parameters configureren:

• IKE Keepalive:Inschakelen
• Threshold:10
• Retry Interval:2
• Identity Sent to Peers: autoOrDN
• Peer Identity Validation: Niet controleren

Daarna kunt u klikken opSaveen Deployklikken.

Opmerking: na een paar minuten ziet u de VPN die voor beide knooppunten is ingesteld.

Daarna is uw configuratie voor de VPN to Secure Access in VTI Mode computer voltooid en kunt u nu naar de Configure Policy Base Routingvolgende stap gaan.

Waarschuwing: het verkeer naar Secure Access wordt alleen doorgestuurd naar de primaire tunnel wanneer beide tunnels zijn ingesteld; als de primaire uitvalt, kan Secure Access het verkeer doorsturen via de secundaire tunnel.

Opmerking: de failover op de site voor beveiligde toegang is gebaseerd op de DPD-waarden die zijn gedocumenteerd in de gebruikershandleiding voor ondersteunde IPsec-waarden.

Configuratiescenario's voor toegangsbeleid

De regels voor het toegangsbeleid zijn gebaseerd op: 

internettoegangsscenario

Om toegang tot internet te bieden tot alle bronnen die u configureert op de Policy Base Routing, moet u enkele toegangsregels en ook enkele beleidsregels voor beveiligde toegang configureren, dus laat me uitleggen hoe u dat in dit scenario kunt bereiken: 

Deze regel biedt toegang tot het LAN internet, en in dit geval is het internet SIGgratis.

RA-VPN-scenario

Om toegang te bieden van de RA-VPN-gebruikers, moet u deze configureren op basis van het bereik dat u hebt toegewezen aan de RA-VPN-pool. 

Opmerking: om uw RA-VPNaaS-beleid te configureren, kunt u Virtual Private Networks beheren

Hoe verifieer je de IP-pool van je VPNaaS? 

Navigeer naar uw Secure Access Dashboard

• Klik op Connect > End User Connectivity
• Klik op Virtual Private Network 
• Klik Manage IP Poolsonder op Manage

• Je ziet je zwembad onder Endpoint IP Pools

• U moet dit bereik toestaan onder SIG, maar u moet het ook toevoegen onder de ACL die u in uw PBR configureert. 

Configuratie toegangsregel

Als u alleen Secure Access configureert om deze te gebruiken met de mogelijkheden om toegang te krijgen tot de bronnen voor privétoepassingen, kan uw toegangsregel er als volgt uitzien: 

Die regel staat verkeer toe van de RA-VPN Pool 192.168.50.0/24 naar uw LAN; u kunt meer opgeven als dat nodig is.

ACL-configuratie

Om het routeringsverkeer van SIG naar uw LAN toe te staan, moet u het toevoegen onder de ACL om het onder de PBR te laten werken.

CLAP-BAP ZTNA-scenario

U moet uw netwerk configureren op basis van het CGNAT-bereik 100.64.0.0/10 om toegang tot uw netwerk te bieden vanaf de ZTA-gebruikers van de Client Base of de ZTA-gebruikers van de Browser Base.

Configuratie toegangsregel

Als u alleen Secure Access configureert om deze te gebruiken met de mogelijkheden om toegang te krijgen tot de bronnen voor privétoepassingen, kan uw toegangsregel er als volgt uitzien: 

Die regel staat verkeer toe van het ZTNA CGNAT-bereik 100.64.0.0/10 naar uw LAN.

ACL-configuratie

Om het routeringsverkeer van SIG met CGNAT naar uw LAN toe te staan, moet u het toevoegen onder de ACL om het onder de PBR te laten werken.

Beleidsbasisroutering configureren

Om toegang tot interne bronnen en het internet te bieden via beveiligde toegang, moet u routes maken via Policy Base Routing (PBR) die het routeren van het verkeer van de bron naar de bestemming vergemakkelijken.

• Navigeer naar Devices > Device Management
• Kies het FTD-apparaat waar u de route maakt

• Klik op Routing
• kiezen Policy Base Routing
• Klik op de knop Add

In dit scenario selecteert u alle interfaces die u gebruikt als bron om verkeer naar Secure Access te leiden of om gebruikersverificatie naar Secure Access te bieden met behulp van RA-VPN of client- of browsergebaseerde ZTA-toegang tot de interne bronnen van het netwerk:

• Selecteer onder Ingress Interface alle interfaces die verkeer verzenden via Secure Access:

• Onder Overeenstemmingscriteria en Uitgangs-interface definieert u de volgende parameters nadat u opAddhebt geklikt:

• Match ACL: Voor deze ACL configureert u alles dat u naar Secure Access routeert:

• Send ToKies: IP-adres
• IPv4 Addresses: U moet de volgende IP gebruiken onder het masker 30 dat is geconfigureerd op beide VTI; u kunt dat controleren onder de stap, VTI Interface Config

Nadat u het op deze manier hebt geconfigureerd, hebt u het volgende resultaat en kunt u doorgaan met klikken op Save:

Daarna moet u het opnieuw Save configureren en op de volgende manier configureren: 

Daarna kunt u Implementeren en ziet u het verkeer van de machines die zijn geconfigureerd op de ACL die het verkeer naar Secure Access routeert:

Van de Conexion Events leden in het FMC:

Vanaf het Activity Search scherm in Veilige toegang:

Opmerking: het standaardbeleid voor beveiligde toegang staat standaard verkeer naar internet toe. Om toegang te bieden tot privétoepassingen, moet u privébronnen maken en deze toevoegen aan het toegangsbeleid voor toegang tot privébronnen.

Beleid voor internettoegang configureren voor beveiligde toegang

Als u de toegang voor internettoegang wilt configureren, moet u het beleid op uw Dashboard voor beveiligde toegang maken:

• Klik op Secure > Access Policy

• Klik op Add Rule > Internet Access

Daar kunt u de bron opgeven als de tunnel en naar de bestemming kunt u elke bron kiezen, afhankelijk van wat u wilt configureren in het beleid. Raadpleeg de gebruikershandleiding voor beveiligde toegang.

Private Resource Access configureren voor ZTNA en RA-VPN

Om de toegang voor privébronnen te configureren, moet u eerst de bronnen maken onder het Dashboard voor beveiligde toegang:

Klik op Resources > Private Resources

• Klik vervolgens op ADD 

Onder de configuratie vindt u de volgende secties om te configureren: General, Communication with Secure Access Cloud and Endpoint Connection Methods.

Algemeen

• Private Resource Name : Maak een naam aan voor de bron die u via Secure Access toegang geeft tot uw netwerk

Methoden voor eindpuntverbinding 

• Zero Trust Connections: Vink het selectievakje aan.
• Client-based connection: Als u deze optie inschakelt, kunt u de Secure Client - Zero Trust Module gebruiken om toegang via de clientbasismodus in te schakelen.
• Remote Reachable Address (FQDN, Wildcard FQDN, IP Address) : Configureer de bronnen IP of FQDN; als u FQDN configureert, moet u de DNS toevoegen om de naam op te lossen.
• Browser-based connection: Als u het inschakelt, kunt u toegang krijgen tot uw bronnen via de browser (Voeg alleen bronnen toe met HTTP- of HTTPS-communicatie)
• Public URL for this resource: Configureer de openbare URL die u gebruikt via de browser; Secure Access beschermt deze bron.
• Protocol: Selecteer het protocol (HTTP of HTTPS)

VPN Connection: Vink het selectievakje aan om toegang via RA-VPNaaS in te schakelen.

Klik daarna op Save en u kunt die bron toevoegen aan de Access Policylijst.

Het toegangsbeleid configureren 

Wanneer u de bron maakt, moet u deze toewijzen aan een van de veilige toegangsbeleidsregels:

• Klik op Secure > Access Policy

• Klik op de knop  Add > Private Resource

Voor deze regel voor privétoegang configureert u de standaardwaarden om toegang tot de bron te bieden. Raadpleeg de gebruikershandleiding voor meer informatie over beleidsconfiguraties.

• Action Kies: Geef toegang tot de bron.
• From : Geef de gebruiker op die kan worden gebruikt om in te loggen op de bron.
• To : Kies de bron die u wilt openen via Secure Access.

• Zero-Trust Client-based Posture Profile: Kies het standaardprofiel voor toegang tot het clientbestand
• Zero-Trust Browser-based Posture Profile: Kies de standaard browserbasistoegang voor het profiel

Opmerking: raadpleeg de gebruikershandleiding voor veilige toegang voor meer informatie over het postuur.

Klik daarna op Next enSave en uw configuratie en u kunt proberen toegang te krijgen tot uw bronnen via RA-VPN en Client Base ZTNA of Browser Base ZTNA.

Problemen oplossen

Om problemen op te lossen op basis van de communicatie tussen Secure Firewall en Secure Access, kunt u controleren of fase 1 (IKEv2) en fase 2 (IPSEC) zonder problemen tussen de apparaten zijn ingesteld.

Fase 1 controleren (IKEv2)

Om fase 1 te verifiëren, moet u de volgende opdracht uitvoeren op de CLI van uw FTD:

show crypto isakmp sa

In dit geval is de gewenste uitvoer twee IKEv2 SAs die zijn vastgesteld voor de IP's van het datacenter van Secure Access en de gewenste status als READY:

There are no IKEv1 SAs

IKEv2 SAs:

Session-id:3, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                                               Remote                                     fvrf/ivrf     Status         Role
 52346451 192.168.0.202/4500                                  3.120.45.23/4500                        Global/Global      READY    RESPONDER
      Encr: AES-GCM, keysize: 256, Hash: N/A, DH Grp:20, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/4009 sec
Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
          remote selector 0.0.0.0/0 - 255.255.255.255/65535
          ESP spi in/out: 0xfb34754c/0xc27fd2ba

IKEv2 SAs:

Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                                               Remote                                     fvrf/ivrf     Status         Role
 52442403 192.168.30.5/4500                                   18.156.145.74/4500                      Global/Global      READY    RESPONDER
      Encr: AES-GCM, keysize: 256, Hash: N/A, DH Grp:20, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3891 sec
Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
          remote selector 0.0.0.0/0 - 255.255.255.255/65535
          ESP spi in/out: 0x4af761fd/0xfbca3343

Fase 2 (IPSEC) controleren

Om fase 2 te verifiëren, moet u de volgende opdracht uitvoeren op de CLI van uw FTD:

interface: PrimaryVTI
    Crypto map tag: __vti-crypto-map-Tunnel1-0-1, seq num: 65280, local addr: 192.168.30.5

      Protected vrf (ivrf): Global
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      current_peer: 18.156.145.74


      #pkts encaps: 71965, #pkts encrypt: 71965, #pkts digest: 71965
      #pkts decaps: 91325, #pkts decrypt: 91325, #pkts verify: 91325
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 71965, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 192.168.30.5/4500, remote crypto endpt.: 18.156.145.74/4500
      path mtu 1500, ipsec overhead 63(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: FBCA3343
      current inbound spi : 4AF761FD

    inbound esp sas:
      spi: 0x4AF761FD (1257726461)
         SA State: active
         transform: esp-aes-gcm-256 esp-null-hmac no compression
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, VTI, }
         slot: 0, conn_id: 2, crypto-map: __vti-crypto-map-Tunnel1-0-1
         sa timing: remaining key lifetime (kB/sec): (3916242/27571)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0xFBCA3343 (4224332611)
         SA State: active
         transform: esp-aes-gcm-256 esp-null-hmac no compression
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, VTI, }
         slot: 0, conn_id: 2, crypto-map: __vti-crypto-map-Tunnel1-0-1
         sa timing: remaining key lifetime (kB/sec): (4239174/27571)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

interface: SecondaryVTI
    Crypto map tag: __vti-crypto-map-Tunnel2-0-2, seq num: 65280, local addr: 192.168.0.202

      Protected vrf (ivrf): Global
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      current_peer: 3.120.45.23


      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 192.168.0.202/4500, remote crypto endpt.: 3.120.45.23/4500
      path mtu 1500, ipsec overhead 63(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: C27FD2BA
      current inbound spi : FB34754C

    inbound esp sas:
      spi: 0xFB34754C (4214519116)
         SA State: active
         transform: esp-aes-gcm-256 esp-null-hmac no compression
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, VTI, }
         slot: 0, conn_id: 20, crypto-map: __vti-crypto-map-Tunnel2-0-2
         sa timing: remaining key lifetime (kB/sec): (4101120/27412)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0xC27FD2BA (3263156922)
         SA State: active
         transform: esp-aes-gcm-256 esp-null-hmac no compression
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, VTI, }
         slot: 0, conn_id: 20, crypto-map: __vti-crypto-map-Tunnel2-0-2
         sa timing: remaining key lifetime (kB/sec): (4239360/27412)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

In de laatste uitvoer kunt u beide tunnels zien die zijn ingesteld; wat niet gewenst is, is de volgende uitvoer onder het pakketencapsendecaps.

Als u dit scenario hebt, opent u een zaak met TAC.

Functie voor hoge beschikbaarheid

De functie van de tunnels met beveiligde toegang die communiceren met het datacenter in de cloud is actief / passief, wat betekent dat alleen de deur voor DC 1 open staat om verkeer te ontvangen; de DC 2-deur wordt gesloten totdat tunnel nummer 1 wordt uitgeschakeld. 

Verkeersroutering naar beveiligde toegang verifiëren

In dit voorbeeld gebruiken we de bron als de machine op het firewallnetwerk:

• Bron: 192 168 10 40
• Bestemming: 146.112.255.40 (beveiligde toegangscontrole IP)

Voorbeeld: 

Opdracht: 

 packet-tracer input LAN tcp 192.168.10.40 3422 146.112.255.40 80

Uitgang:

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Elapsed time: 14010 ns
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: PBR-LOOKUP
Subtype: policy-route
Result: ALLOW
Elapsed time: 21482 ns
Config:
route-map FMC_GENERATED_PBR_1707686032813 permit 5
 match ip address ACL
 set ip next-hop 169.254.2.2 169.254.3.2
Additional Information:
 Matched route-map FMC_GENERATED_PBR_1707686032813, sequence 5, permit
 Found next-hop 169.254.2.2 using egress ifc PrimaryVTI

Phase: 3
Type: OBJECT_GROUP_SEARCH
Subtype:
Result: ALLOW
Elapsed time: 0 ns
Config:
Additional Information:
 Source Object Group Match Count:       0
 Destination Object Group Match Count:  0
 Object Group Search:                   0

Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Elapsed time: 233 ns
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip any ifc PrimaryVTI any rule-id 268434435
access-list CSM_FW_ACL_ remark rule-id 268434435: ACCESS POLICY: HOUSE - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268434435: L7 RULE: New-Rule-#3-ALLOW
Additional Information:
 This packet will be sent to snort for additional processing where a verdict will be reached

Phase: 5
Type: CONN-SETTINGS
Subtype:
Result: ALLOW
Elapsed time: 233 ns
Config:
class-map class_map_Any
 match access-list Any
policy-map policy_map_LAN
 class class_map_Any
  set connection decrement-ttl
service-policy policy_map_LAN interface LAN
Additional Information:

Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Elapsed time: 233 ns
Config:
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Elapsed time: 233 ns
Config:
Additional Information:

Phase: 8
Type: VPN
Subtype: encrypt
Result: ALLOW
Elapsed time: 18680 ns
Config:
Additional Information:

Phase: 9
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Elapsed time: 25218 ns
Config:
Additional Information:

Phase: 10
Type: NAT
Subtype: per-session
Result: ALLOW
Elapsed time: 14944 ns
Config:
Additional Information:

Phase: 11
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Elapsed time: 0 ns
Config:
Additional Information:

Phase: 12
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Elapsed time: 19614 ns
Config:
Additional Information:
New flow created with id 23811, packet dispatched to next module

Phase: 13
Type: EXTERNAL-INSPECT
Subtype:
Result: ALLOW
Elapsed time: 27086 ns
Config:
Additional Information:
Application: 'SNORT Inspect'

Phase: 14
Type: SNORT
Subtype: appid
Result: ALLOW
Elapsed time: 28820 ns
Config:
Additional Information:
service: (0), client: (0), payload: (0), misc: (0)

Phase: 15
Type: SNORT
Subtype: firewall
Result: ALLOW
Elapsed time: 450193 ns
Config:
Network 0, Inspection 0, Detection 0, Rule ID 268434435
Additional Information:
Starting rule matching, zone 1 -> 3, geo 0 -> 0, vlan 0, src sgt: 0, src sgt type: unknown, dst sgt: 0, dst sgt type: unknown, user 9999997, no url or host, no xff
Matched rule ids 268434435 - Allow

Result:
input-interface: LAN(vrfid:0)
input-status: up
input-line-status: up
output-interface: PrimaryVTI(vrfid:0)
output-status: up
output-line-status: up
Action: allow
Time Taken: 620979 ns

Hier kunnen veel dingen ons context geven over de communicatie en weten of alles correct is onder de PBR-configuratie om het verkeer correct naar Secure Access te routeren: 

Fase 2 geeft aan dat het verkeer wordt doorgestuurd naar de PrimaryVTI interface, wat juist is omdat, op basis van de configuraties in dit scenario, het internetverkeer moet worden doorgestuurd naar Secure Access via de VTI.

Fase 8 komt overeen met de coderingsfase in een VPN-verbinding, waarbij verkeer wordt geëvalueerd en geautoriseerd voor codering, zodat gegevens veilig kunnen worden verzonden. Fase 9 daarentegen richt zich op het specifieke beheer van de verkeersstroom binnen de VPN IPSec-tunnel, wat bevestigt dat gecodeerd verkeer correct wordt gerouteerd en door de gevestigde tunnel wordt toegestaan.

Om te finaliseren, aan het einde van de stroom resultaat, kunt u het verkeer van de LAN naar het PrimaryVTI doorsturen van het verkeer naar Secure Access te zien. De actie allow bevestigt dat het verkeer zonder problemen wordt geleid.

Gerelateerde informatie

• Cisco Technical Support en downloads
• Cisco Secure Access Help Center
• Overzicht van Virtual Trusted Platform Module
• Zero Trust Access Module
• Problemen oplossen bij fout bij beveiligde toegang "Inschrijvingsservice reageert niet. Neem contact op met uw IT-helpdesk"