在FDM管理的FTD上配置远程访问VPN

下载选项

  • PDF     (1.3 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.1 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (855.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2020 年 5 月 18 日
文档 ID:215532

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何配置在运行版本6.5.0及更高版本的机上管理器FDM管理的FTD上的RA VPN部署。

    先决条件

    要求

    思科建议您了解Firepower设备管理器(FDM)上的远程访问虚拟专用网(RA VPN)配置。

    许可

    • Firepower威胁防御(FTD)注册到智能许可门户,并启用导出控制功能(以便启用RA VPN配置选项卡)
    • 任何已启用的AnyConnect许可证(APEX、Plus或仅VPN)

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 运行版本6.5.0-115的Cisco FTD
    • Cisco AnyConnect Secure Mobility Client 版本 4.7.01076

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    通过FDM配置FTD时,当您尝试通过外部接口为AnyConnect客户端建立连接时,如果通过同一接口访问管理,则会遇到困难。这是FDM的已知限制。已针对此问题提出CSCvm76499增强请求。

    配置

    网络图

    AnyConnect Client Authentication with use of Local(AnyConnect客户端身份验证使用本地)。

    Network Diagram

    验证FTD上的许可

    步骤1:验证设备是否已注册到智能许可,如图所示:

    Verification of Device Registration in Smart Licensing

    第二步: 验证设备上是否启用了AnyConnect许可证,如图所示。

    Verification of AnyConnect License Enablement on the Device

    第三步: 验证是否在令牌中启用了导出控制功能,如图所示:

    Verify Export-Controlled Feature Enablement in Token

    定义受保护的网络

    导航至 Objects > Networks > Add new Network.从FDM GUI配置VPN池和LAN网络。 创建VPN池以用于AnyConnect用户的本地地址分配,如图所示:

    Create VPN Pool for Local Address Assignment in FDM GUI

    在FDM设备后面创建本地网络对象,如图所示:

    Create Object for Local Network in FDM GUI

    创建本地用户

    导航至 Objects > Users > Add User.添加通过Anyconnect连接到FTD的VPN本地用户。创建本地用户,如图所示:

    Create VPN Local Users for AnyConnect Connection in FDM GUI

    添加证书

    导航至 Objects > Certificates > Add Internal Certificate. 配置证书,如图所示:

    Configure Internal Certificate in FDM GUI

    上传证书和私钥,如图所示:

    Upload Certificate and Private Key in FDM GUI

    可以通过复制并粘贴或每个文件的上传按钮上传证书和密钥,如图所示:

    Upload Certificate and Key via Copy-Paste or Upload Button in FDM GUI

    配置远程访问VPN

    导航至 Remote Access VPN > Create Connection Profile. 在FDM上浏览RA VPN向导,如图所示:

    Create Remote Access VPN Connection Profile with RA VPN Wizard in FDM GUI

    Remote Access VPN Connection Profiles

    创建连接配置文件并开始配置,如图所示:

    Configure Connection Profile in FDM GUI

    选择身份验证方法,如图所示。本指南使用本地身份验证。

    Choose Authentication Methods for Remote Access VPN in FDM GUI

    选择 Anyconnect_Pool 对象,如图所示:

    Choose AnyConnect Pool Object in FDM GUI

    默认组策略的摘要显示在下一页上。当您点击下拉菜单并选择以下选项时,可以创建新的组策略 Create a new Group Policy.在本指南中,使用默认组策略。选择策略顶部的编辑选项,如图所示:

    Edit Default Group Policy in FDM GUI

    在组策略中,添加拆分隧道,以便连接到Anyconnect的用户仅通过Anyconnect客户端发送发往内部FTD网络的流量,而所有其他流量均流出用户的ISP连接,如图所示:

    Configure Split Tunneling in Group Policy for AnyConnect Users in FDM GUI

    在下一页上,选择 Anyconnect_Certificate 已添加到证书部分。 接下来,选择FTD侦听AnyConnect连接的接口。 选择用于已解密流量的旁路访问控制策略(sysopt permit-vpn影响。这是一个可选命令,如果 sysopt permit-vpn 未选择。必须创建访问控制策略,以允许来自Anyconnect客户端的流量访问内部网络,如图所示:

    Configure AnyConnect Certificate, Interface, and Access Control Policy in FDM GUI

    NAT免除可以手动配置在 Policies > NAT 也可以由向导自动配置。如图所示,选择Anyconnect客户端访问所需的内部接口和网络。

    Configure NAT Exemption for AnyConnect Clients in FDM GUI

    为用户可以连接的每个操作系统(Windows/Mac/Linux)选择Anyconnect软件包,如图所示。

    Choose AnyConnect Packages for Different Operating Systems in FDM GUI

    最后一页提供了整个配置的摘要。确认已设置正确的参数,然后点击Finish(完成)按钮并部署新配置。

    验证

    使用本部分可确认配置能否正常运行。

    部署配置后,尝试连接。如果您有一个解析为FTD的外部IP的FQDN,请在Anyconnect连接框中输入该FQDN。在本示例中,使用FTD的外部IP地址。使用在FDM的对象部分中创建的用户名/密码,如图所示。

    Verify Connection to AnyConnect with FQDN and User Credentials in FDM GUI

    从FDM 6.5.0开始,无法通过FDM GUI监视Anyconnect用户。唯一的选项是通过CLI监控Anyconnect用户。FDM GUI的CLI控制台也可用于验证用户是否已连接。使用此命令, Show vpn-sessiondb anyconnect.

    Monitor AnyConnect Users via CLI in FDM GUI

    同一命令可以直接从CLI运行。

    > show vpn-sessiondb anyconnect

    Session Type: AnyConnect

    Username     : Anyconnect_User        Index        : 15
    Assigned IP  : 192.168.19.1           Public IP    : 172.16.100.15
    Protocol     : AnyConnect-Parent SSL-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256
    Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384
    Bytes Tx     : 38830                  Bytes Rx     : 172
    Group Policy : DfltGrpPolicy          Tunnel Group : Anyconnect
    Login Time   : 01:08:10 UTC Thu Apr 9 2020
    Duration     : 0h:00m:53s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : 000000000000f0005e8e757a
    Security Grp : none                   Tunnel Zone  : 0

    故障排除

    本节提供可用于对配置进行故障排除的信息。

    如果用户无法通过SSL连接到FTD,请执行以下步骤以隔离SSL协商问题:

    1. 验证可以通过用户的计算机ping FTD以外的IP地址。
    2. 使用外部嗅探器验证TCP三次握手是否成功。

    AnyConnect客户端问题

    本部分提供了对两个最常见的AnyConnect VPN客户端问题进行故障排除的指南。有关AnyConnect客户端的故障排除指南,请参阅AnyConnect VPN客户端故障排除指南

    初始连接问题

    如果用户存在初始连接问题,请启用调试 webvpn FTD上的AnyConnect并分析调试消息。调试必须在FTD的CLI上运行。使用命令 debug webvpn anyconnect 255.

    从客户端计算机收集DART捆绑包以从AnyConnect获取日志。有关如何收集DART捆绑包的说明,请参阅收集DART捆绑包

    特定流量问题

    如果连接成功,但流量在SSL VPN隧道上失败,请查看客户端上的流量统计信息,以验证客户端正在接收和传输流量。详细的客户端统计信息在AnyConnect的所有版本中均可用。如果客户端显示正在发送和接收流量,请检查FTD中是否有已接收和已传输的流量。如果FTD应用过滤器,则会显示过滤器名称,您可以查看ACL条目以检查您的流量是否被丢弃。用户遇到的常见流量问题包括:

    • FTD后的路由问题 — 内部网络无法将数据包路由回分配的IP地址和VPN客户端
    • 访问控制列表阻止流量
    • VPN流量未绕过网络地址转换

    有关由FDM管理的FTD上的远程访问VPN的详细信息,请在此找到完整配置指南:由FDM管理的远程访问FTD

    修订历史记录

    版本 发布日期 备注
    1.0
    18-May-2020
    初始版本
    TAC Authored

    由思科工程师提供

    • 卡梅隆·舍弗
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们