简介
本文档介绍如何在Cisco FMC管理的Cisco FTD上配置思科安全客户端(包括Anyconnect)和本地身份验证。
先决条件
要求
Cisco 建议您了解以下主题:
- 通过Firepower管理中心(FMC)进行SSL安全客户端配置
- 通过FMC配置Firepower对象
- Firepower上的SSL证书
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科Firepower威胁防御(FTD)版本7.0.0(内部版本94)
- 思科FMC 7.0.0版(内部版本94)
- 思科安全移动客户端4.10.01075
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
在本示例中,安全套接字层(SSL)用于在FTD和Windows 10客户端之间创建虚拟专用网络(VPN)。
从版本7.0.0开始,由FMC管理的FTD支持思科安全客户端的本地身份验证。这可以定义为主要身份验证方法,或定义为主方法发生故障时的回退。在本示例中,本地身份验证配置为主身份验证。
在此软件版本之前,FTD上的思科安全客户端本地身份验证仅在Cisco Firepower设备管理器(FDM)上可用。
配置
配置
步骤1:验证许可
在配置思科安全客户端之前,必须注册FMC并符合智能许可门户的要求。如果FTD没有有效的Plus、Apex或仅VPN许可证,则无法部署Cisco安全客户端。
导航到System > Licenses > Smart Licenses,以验证FMC已注册且符合智能许可门户的要求。
在同一页面上向下滚动,在Smart Licenses图表底部,您可以看到不同类型的可用思科安全客户端(AnyConnect)许可证以及每个许可证所订用的设备。验证手头的FTD是否已按以下任何类别进行注册。
第二步:将思科安全客户端软件包上传到FMC
从cisco.com下载适用于Windows的Cisco安全客户端(AnyConnect)头端部署包。
要上传Cisco Secure Client映像,请导航到Objects > Object Management,然后在目录的VPN类别下选择Cisco Secure Client File。
选择Add AnyConnect File按钮。在Add AnyConnect Secure Client File窗口中,为对象指定名称,然后选择Browse.. 以选择Cisco Secure Client软件包,并最终选择AnyConnect Client Image 作为下拉菜单中的文件类型。
选择Save按钮。必须将对象添加到对象列表中。
第三步:生成自签名证书
SSL思科安全客户端(AnyConnect)要求在VPN头端和客户端之间的SSL握手中使用一个有效证书。
注:在本示例中,将为此生成自签名证书。但是,除了自签名证书外,还可以上传由内部证书颁发机构(CA)或公认CA签名的证书。
要创建自签名证书,请导航到设备>证书。
选择Add按钮。然后,在添加新证书窗口的设备下拉菜单中选择手头的FTD。
选择Add Cert Enrollment按钮(绿色+符号)以创建新的注册对象。现在,在Add Cert Enrollment窗口中,为对象分配名称,并在Enrollment Type下拉菜单中选择Self Signed Certificate。
最后,对于自签名证书,必须使用公用名(CN)。导航到证书参数选项卡以定义CN。
选择Save和Add按钮。几秒钟后,必须将新证书添加到证书列表中。
第四步:在FMC上创建本地领域
本地用户数据库和各自的密码存储在本地领域中。要创建本地领域,请导航到System > Integration > Realms。
选择Add Realm按钮。在添加新领域窗口中,分配名称并在类型下拉菜单中选择LOCAL选项。
用户帐户和密码在Local User Configuration部分创建。
注意:密码必须至少包含一个大写字母、一个小写字母、一个数字和一个特殊字符。
必须将保存更改和新领域添加到现有领域列表。
第五步:配置SSL Cisco安全客户端
要配置SSL Cisco安全客户端,请导航到设备> VPN >远程访问。
选择Add按钮以创建新的VPN策略。定义连接配置文件的名称,选中SSL复选框,然后选择手边的FTD作为目标设备。必须在远程访问VPN策略向导的策略分配部分中配置所有内容。
选择Next以转到Connection Profile配置。定义连接配置文件的名称,然后选择AAA Only作为身份验证方法。然后,在Authentication Server下拉菜单中,选择LOCAL,最后,在Local Realm下拉菜单中选择步骤4中创建的本地领域。
在同一页上向下滚动,然后在IPv4地址池部分中选择铅笔图标,以定义Cisco安全客户端使用的IP池。
选择Next以转到AnyConnect部分。现在,请选择步骤2中上传的Cisco安全客户端映像。
选择Next以转到Access & Certificate部分。在Interface group/Security Zone下拉菜单中,选择需要启用Cisco安全客户端(AnyConnect)的接口。然后,在Certificate Enrollment下拉菜单中,选择在第3步中创建的证书。
最后,选择Next以查看Cisco安全客户端配置的摘要。
如果所有设置都正确,请选择Finish并将更改部署到FTD。
验证
部署成功后,启动从Windows客户端到FTD的Cisco AnyConnect安全移动客户端连接。身份验证提示中使用的用户名和密码必须与步骤4中创建的用户名和密码相同。
FTD批准凭证后,Cisco AnyConnect安全移动客户端应用必须显示已连接状态。
在FTD中,您可以运行show vpn-sessiondb anyconnect命令以显示防火墙上当前处于活动状态的Cisco安全客户端会话。
firepower# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : dperezve Index : 8
Assigned IP : 172.16.13.1 Public IP : 10.31.124.34
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 15756 Bytes Rx : 14606
Group Policy : DfltGrpPolicy
Tunnel Group : SSL_AnyConnect_LocalAuth
Login Time : 21:42:33 UTC Tue Sep 7 2021
Duration : 0h:00m:30s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 00000000000080006137dcc9
Security Grp : none Tunnel Zone : 0
故障排除
在FTD上运行debug webvpn anyconnect 255命令以查看FTD上的SSL连接流。
firepower# debug webvpn anyconnect 255
除Cisco安全客户端调试外,还可以通过TCP数据包捕获观察连接流。这是一个成功连接的示例,Windows客户端和FTD之间定期完成三次握手,然后是用于约定密码的SSL握手。
协议握手后,FTD必须使用存储在本地领域中的信息验证凭证。
收集DART捆绑包并联系思科TAC进行进一步研究。