在FTD上配置AnyConnect VPN客户端:发夹和NAT免除

下载选项

  • PDF     (2.7 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (2.4 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (2.4 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 6 月 8 日
文档 ID:215875

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在FMC管理的Firepower威胁防御(FTD)v6.3上配置思科远程访问VPN解决方案(AnyConnect)。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 基本的远程访问VPN、安全套接字层(SSL)和互联网密钥交换版本2(IKEv2)知识
    • 基本身份验证、授权和记帐(AAA)以及RADIUS知识
    • 基本的FMC知识
    • 基本的FTD知识

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 思科FMC 6.4
    • 思科FTD 6.3
    • AnyConnect 4.7

    本文档介绍在Firepower威胁防御(FTD)版本6.3(由Firepower管理中心(FMC)管理)上配置思科远程访问VPN解决方案(AnyConnect)的过程。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    本文档旨在介绍FTD设备上的配置。如果您寻找ASA配置示例,请参阅文档:https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html

    限制:

    目前,这些功能在FTD上不受支持,但在ASA设备上仍然可用:

    • 双AAA身份验证(在FTD 6.5版上可用)
    • 动态访问策略
    • 主机扫描
    • ISE终端安全评估
    • RADIUS CoA
    • VPN负载均衡器
    • 本地身份验证(在Firepower设备管理器6.3上可用。Cisco Bug ID CSCvf92680)
    • LDAP属性映射(通过FlexConfig提供,思科漏洞ID CSCvd64585)
    • AnyConnect自定义
    • AnyConnect脚本
    • AnyConnect本地化
    • 每应用VPN
    • SCEP代理
    • WSA集成
    • SAML SSO(思科漏洞ID CSCvq90789)
    • RA和L2L VPN的同步IKEv2动态加密映射
    • AnyConnect模块(NAM、Hostscan、AMP Enabler、SBL、Umbrella、网络安全等)。DART是此版本中默认安装的唯一模块。
    • TACACS、Kerberos(KCD身份验证和RSA SDI)
    • 浏览器代理

    配置

    要通过FMC中的远程访问VPN向导,必须完成以下步骤:

    步骤1:导入SSL证书


    配置AnyConnect时,证书至关重要。SSL和IPSec仅支持基于RSA的证书。

    IPSec支持椭圆曲线数字签名算法(ECDSA)证书,但是,当使用基于ECDSA的证书时,无法部署新的AnyConnect软件包或XML配置文件。

    它可用于IPSec,但您必须预部署AnyConnect软件包和XML配置文件,所有XML配置文件更新必须在每个客户端上手动推送(Cisco bug ID CSCtx42595)。

    此外,证书必须包含带有DNS名称和/或IP地址的公用名(CN)扩展,以避免Web浏览器中出现“不受信任的服务器证书”错误。

    意:在FTD设备上,生成证书签名请求(CSR)之前需要证书颁发机构(CA)证书。

    • 如果在外部服务器(例如Windows Server或OpenSSL)中生成CSR,manual enrollment method将会失败,因为FTD不支持手动密钥注册。
    • 必须使用其他方法,例如PKCS12。

    为了使用手动注册方法获取FTD设备的证书,需要生成CSR,使用CA对其进行签名,然后导入身份证书。

    1.导航到设备>证书,然后选择添加,如图所示。

    Certificates panel

    2.选择Device并添加新的Cert Enrollment对象,如图所示。

    Certificate import menu

    3.选择手动注册类型并粘贴CA证书(用于签署CSR的证书)。

    Certificate manual import representation

    4.选择Certificate Parameters选项卡,然后为Include FQDN字段选择“自定义FQDN”,并填写图像中所示的证书详细信息。

    Certificate parameters


    5.选择选项卡,然后选择键类型,您可以选择名称和大小。对于RSA,最低要求为2048字节。

    6.选择“保存”,确认设备,然后在证书注册下,选择刚创建的信任点,选择添加以部署证书。

    Add new certificate

    7.在状态列中,选择ID图标,然后选择以生成CSR,如图所示。

    CSR Generation pop-up

    8.复制CSR并用您首选的CA(例如GoDaddy或DigiCert)签名。

    9.从CA收到身份证书(必须采用base64格式)后,选择Browse Identity Certificate,然后在本地计算机上查找证书。选择导入。

    Import Identity Certificate

    10.导入后,CA和ID证书详细信息将可供显示。

    Certificate import success validation

    第二步:配置RADIUS服务器

    在FMC管理的FTD设备上,不支持本地用户数据库,必须使用其他身份验证方法,例如RADIUS或LDAP。

    1.导航到对象 > 对象管理 > RADIUS服务器组 > 添加RADIUS服务器组,如图所示。

    Radius server creation

    2.为Radius Server Group分配名称并添加Radius服务器IP地址以及共享密钥(需要共享密钥才能将FTD与Radius服务器配对),完成此表单后,请选择Save(如图所示)。

    Radius server creation example

    3. RADIUS服务器信息现在在Radius服务器列表中可用,如图所示。

    Radius advanced menu

    第三步:创建IP池

    1.导航到对象 > 对象管理 > 地址池 > 添加IPv4池

    2.分配IP地址的名称和范围,不需要Mask字段,但可以如图所示指定。

    ip local pool configuration

    第四步:创建XML配置文件

    1.从Cisco.com下载配置文件编辑器工具并运行该应用程序。

    2.在“配置文件编辑器”应用程序中,导航到服务器列表,然后选择添加,如图所示。

    XML profile: Server list

    3.分配显示名称、完全限定域名(FQDN)或IP地址,然后选择确定(如图所示)。

    XML profile: Server entry

    4.现在可在Server List菜单中看到该条目:

    XML profile: Server list validation

    5.定位至文件 > 另存为

    注意:使用带有.xml扩展名的易于识别名称保存配置文件。

    第五步:上传Anyconnect XML配置文件

    1.在FMC中,导航至Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File

    2.为对象指定名称,然后单击浏览,在本地系统中找到客户端配置文件,然后选择保存

    注意:确保选择Anyconnect Client Profile作为文件类型。

    AnyConnect File (XML profile) import

    第六步:上传AnyConnect映像

    1.从思科下载网页下载webdeploy(.pkg)映像。

    AnyConnect image download (from Cisco website)

    2.导航到“对象”(Objects)> “对象管理”(Object Management)> “VPN”(VPN)> AnyConnect文件(AnyConnect File)> 添加AnyConnect文件(Add AnyConnect File)。

    3.为Anyconnect软件包文件指定名称,并在选择文件后从本地系统选择.pkg文件。

    4.选择保存

    AnyConnect image upload

    意:可根据您的要求(Windows、Mac、Linux)上传其他软件包。

    步骤 7.远程访问VPN向导

    根据前面的步骤,可以相应地执行远程访问向导。

    1.导航到设备 > VPN > 远程访问

    2.分配远程访问策略的名称,然后从Available Devices中选择FTD设备。

    Remote Access FMC wizard: Policy assignment to device

    3.分配连接配置文件名称(连接配置文件名称是隧道组名称),选择Authentication ServerAddress Pools,如图所示。

    Remote Access FMC wizard: Connection profile configuration

    4.选择+符号以创建组策略

    Group policy: VPN protocol selection

    5.(可选)可以基于组策略配置本地IP地址池。如果未配置,则从连接配置文件(隧道组)中配置的池继承该池。

    Group Policy: IP local pool selection

    6.对于此场景,所有流量都通过隧道路由,IPv4分割隧道策略设置为Allow all traffic over the tunnel,如图所示。

    Group policy: Split tunnel configuration

    7.为Anyconnect配置文件选择.xml配置文件,然后选择保存,如图所示。

    Group policy: AnyConnect xml profile selection

    8.根据运行的系统要求选择所需的AnyConnect映像,然后选择Next(如图所示)。

    Remote Access FMC wizard: AnyConnect image selection

    9.选择安全区设备证书:

    • 此配置定义VPN终止所在的接口以及SSL连接上显示的证书。

    注意:在此场景中,FTD配置为不检查任何VPN流量,并会切换访问控制策略(ACP)选项。

    Remote Access FMC wizard: Target interface selection

    10.选择完成部署更改:

    • 与VPN、SSL证书和AnyConnect软件包相关的所有配置均通过FMC Deploy进行推送,如图所示。

    Remote Access FMC wizard: Configuration overview

    NAT免除和发夹

    步骤1:NAT免除配置

    NAT免除是首选转换方法,用于防止流量在流经VPN隧道(远程访问或站点到站点)时路由到互联网。

    当来自内部网络的流量要流经隧道而不进行任何转换时,需要执行此操作。

    1.导航至对象>网络>添加网络>添加对象,如图所示。

    Object creation for VPN pool NAT translations

    2.导航到设备(Device)> NAT,选择相关设备使用的NAT策略,并创建新语句

    :流量从内部流向外部。

    NAT Exemption interface selection

    3.选择FTD(原始源和转换后的源)后面的内部资源和目标作为Anyconnect用户的ip本地池(原始目标转换后的目标),如图所示。

    NAT Exemption source/destination object selection

    4.确保切换选项(如图所示),要在NAT规则中启用“no-proxy-arp”和“route-lookup”,请选择OK(如图所示)。

    NAT Exemption advance option selection

    5.这是NAT免除配置的结果。

    NAT Exemption rule overview

    上一节中使用的对象如下所述。

    FTDv-Supernet-object

    vpn-pool-object

    第二步:发夹配置

    这种转换方法也称为U-turn,它允许流量通过接收流量的同一接口进行传输。

    例如,当Anyconnect配置了Full tunnel拆分隧道策略时,根据NAT免除策略访问内部资源。如果Anyconnect客户端流量要到达互联网上的外部站点,发夹NAT(或U-turn)负责将流量从外部路由到外部。

    在NAT配置之前,必须创建VPN池对象。

    1.创建新的NAT语句,在NAT Rule字段中选择Auto NAT Rule,然后选择Dynamic作为NAT Type

    2.为源接口对象和目标接口对象(外部)选择同一接口:

    Hairpin NAT configuration: interface selection

    3.在“转换”选项卡中,选择vpn-pool对象作为原始源,然后选择目标接口IP作为转换源,然后选择确定(如图所示)。

    Hairpin NAT configuration: Source/destination object and interface configuration

    4.这是NAT配置的摘要,如图所示。

    NAT-Results

    5.单击保存署更改。

    验证

    使用本部分可确认配置能否正常运行。

    在FTD命令行中运行这些命令。

    • sh crypto ca certificates
    • show running-config ip local pool
    • show running-config webvpn
    • show running-config tunnel-group
    • show running-config group-policy
    • show running-config ssl
    • show running-config nat

    故障排除

    当前没有可用于此配置的特定故障排除信息。</>

    修订历史记录

    版本 发布日期 备注
    3.0
    08-Jun-2023
    重新认证
    2.0
    13-Jan-2022
    已验证重新发布所需的信息。
    1.0
    30-Jul-2020
    初始版本
    TAC Authored

    由思科工程师提供

    • 雨果·奥尔金
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品