在AnyConnect远程访问VPN的ISE状态在FTD
简介
本文描述如何配置Cisco Firepower威胁防御(FTD)版本6.4.0为了摆VPN用户姿势思科身份服务引擎(ISE)。
先决条件
要求
Cisco 建议您了解以下主题:
- AnyConnect远程访问VPN
- 在FTD的远程访问VPN配置
- 身份服务引擎和状态服务
使用的组件
本文档中的信息基于以下软件版本:
- Cisco Firepower威胁防御(FTD)软件版本6.4.0
- Cisco Firepower管理控制台(FMC)软件版本6.5.0
- 有Cisco AnyConnect安全移动客户端版本4.7的Microsoft Windows 10
- 与补丁程序3的思科身份服务引擎(ISE)版本2.6
配置
网络图和流量流程
- 远程用户使用Cisco Anyconnect对FTD的VPN访问。
- FTD发送该用户的一RADIUS Access-Request对ISE。
- 请求点击策略命名了在ISE的FTD VPN状态未知。ISE发送与三个属性的一RADIUS Access-Accept :
- cisco-av-pair = url-redirect-acl=fyusifovredirect-这是在FTD定义本地,决定流量重定向的访问控制表(ACL)名称。
- cisco-av-pair = url-redirect=https://ip:port/portal/gateway?sessionId=SessionIdValue&portal=27b1bc30-2e58-11e9-98fb-0050568775a3&action=cpp -这是远程用户重定向的URL。
- DACL = PERMIT_ALL_IPV4_TRAFFIC -可下载的ACLs (此属性可选。在此方案中所有流量在DACL允许)
- 如果DACL发送, RADIUS Access-Request/Access-Accept交换为了下载DACL的内容
- 当从VPN用户的流量匹配本地定义的ACL时,重定向到ISE客户端设置的门户。ISE提供AnyConnect状态模块和法规遵从性模块。
- 在代理程序在客户端机器后安装,自动地搜索ISE通过发送探测器。当ISE顺利时地检测,状态需求被检查终端。在本例中,代理程序检查所有已安装反恶意软件软件。然后它发送状态报告对ISE
- 当ISE收到从代理程序时的状态报告, ISE更改摆此会话的状态姿势并且触发RADIUS CoA与新的属性的类型推送。这时,状态状态知道,并且另一个规则点击。
- 如果用户是兼容的,则允许完全权限的DACL名称被发送。
- 如果用户是固执的,则允许有限访问的DACL名称被发送。
- FTD取消重定向。FTD发送Access-Request为了下载从ISE的DACL。特定DACL附加给VPN会话。
配置
FTD/FMC
步骤1.创建ISE和修正服务器的网络对象组(若有)在Objects>Object Management>Network下
步骤2.创建重定向ACL在Objects>Object Management>Access下List>Extended。点击"Add Extended Access list"并且提供重定向ACL名称。此名称应该是相同的正如在ISE授权结果。
步骤3.通过点击"Add"按钮添加重定向ACL条目。阻塞流量到ISE和补救服务器从重定向排除它。允许流量的其余,这将触发重定向若需要(ACL条目可能是更多特定)。 
步骤4.添加ISE PSN节点/节点在Objects>Object Management>RADIUS服务器组下。点击"Add RADIUS Server Group",然后提供名称,启用检查所有复选框并且单击加上图标
第 5 步:在打开的窗口,请提供ISE PSN IP地址, RADIUS锁上,选择"Specific Interface"并且选择ISE是可及的接口(此接口将使用作为RADIUS流量来源)然后选择重定向ACL以前配置。
步骤6.创建VPN用户的地址池在Objects>Object Management>Address Pools>IPv4池下。点击"Add IPv4 Pools"并且填装在详细信息。 
步骤7.创建AnyConnect包在Objects>Object Management>VPN>AnyConnect文件下。click "Add AnyConnect File"提供数据包名称,下载从Cisco软件下载的包并且选择Anyconnect客户端镜像文件类型。
步骤7.创建证书Objects>Object Management>PKI>Cert登记。点击"Add Cert Enrollment",提供名称,选择"Self Signed Certificate"在登记类型。点击证书参数选项卡并且提供CN。
步骤8.启动远程访问VPN向导在Devices>VPN>Remote访问下并且点击"Add"
步骤9.提供名称,检查SSL作为VPN协议,选择将使用作为VPN集中器和点击"Next"的FTD
步骤10.提供连接配置文件名称,挑选认证/授权服务器,选择以前配置的地址池并且点击"Next"
步骤11.选择以前配置的AnyConnect包并且点击"Next"
步骤 12VPN流量预计的挑选接口,选择以前配置的证书登记并且点击"Next"
Step13.检查汇总页并且点击"Finish"
步骤 14部署配置对FTD通过点击"Deploy"和选择将使用作为VPN集中器的FTD。
ISE
步骤1.运行状态更新在Administration>System>Settings>Posture>Updates下
步骤2.加载法规遵从性模块Policy>Policy Elements>Results>Client Provisioning>Resources。点击"Add"并且选择"Agent resources from Cisco site"
步骤3.从Cisco软件下载的下载AnyConnect,然后上传它对ISE在Policy>Policy Elements>Results>Client Provisioning>Resources下。点击"Add"并且选择"Agent resources from local disk"。选择"Cisco Provided Packages"在类别下,选择AnyConnect包从本地磁盘并且点击"submit"。
步骤4.创建AnyConnect状态配置文件在Policy>Policy Elements>Results>Client Provisioning>Resources下。点击"Add"并且选择"AnyConnect Posture Profile"。填写名称并且摆协议姿势。在服务器名下规则放置*和放置所有假的IP地址在发现主机下
步骤5.创建AnyConnect配置在Policy>Policy Elements>Results>Client Provisioning>Resources下。点击"Add"并且选择"AnyConnect Configuration"。选择AnyConnect
包,提供配置名称,选择法规遵从性模块,检查诊断和报告工具,选择状态配置文件并且点击"Save"。 
步骤6.创建客户端提供的策略在Policy>Client供应下。点击"Edit"然后选择"Insert Rule Above",提供名称,选择OS并且选择在上一步创建的AnyConnect配置。
步骤7.在Policy>Policy Elements>Conditions>Posture>Anti-Malware情况下创造状态条件。在本例中我们使用了预定义的“ANY_am_win_inst”
步骤8.创建状态修正操作在Policy>Policy Elements>Results>Posture>Remediation操作下。在本例中它被跳过。修正操作是文本消息。
步骤9.创建状态需求在Policy>Policy Elements>Results>Posture>Requirements下。使用预定义的需求Any_AM_Installation_Win。
步骤10.创建状态策略在Policies>Posture下。默认所有AntiMalware的状态策略检查Windows OS使用。 
步骤11.创建DACLs在不同的状态状态的Policy>Policy Elements>Results>Authorization>Downlodable ACL下。在本例中:
- 状态未知DACL -允许流量到DNS、PSN和HTTP和HTTPS流量。
- 摆固执的DACL姿势-拒绝对私有子网的访问并且允许仅互联网数据流。
- 允许所有DACL -允许所有流量状态兼容状态。
步骤。12请创建状态未知的三授权配置文件,摆固执和状态兼容状态姿势在Policy>Policy Elements>Results>Authorization>Authorization配置文件下。在未知配置文件选择状态未知DACL的状态,请检查Web重定向,选择客户端供应,提供重定向ACL名称(在FTD配置)并且选择门户。 
在状态固执的配置文件对限制访问的挑选DACL对网络
在允许对网络的完全权限的状态兼容挑选DACL
步骤 13根据Policy>Policy Sets>Default>Authorization策略创建授权策略。情况使用状态状态和VNP TunnelGroup名称。 
验证
在ISE第一个验证步骤RADIUS Live日志在Operations>RADIUS Live日志下。此处用户阿丽斯连接,并且预计的授权策略选择。
授权策略FTD VPN状态未知匹配,并且,结果FTD VPN配置文件发送对FTD
状态状态Pendig
结果部分显示哪些属性是发送对FTD。 
在验证VPN连接的FTD, SSH到方框,执行“系统支持诊断CLI” “然后显示vpn-sessiondb详细信息anyconnect”。从此输出请验证从ISE发送的属性为此VPN会话应用。
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : alice@training.example.com Index : 12 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 15326 Bytes Rx : 13362 Pkts Tx : 10 Pkts Rx : 49 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 07:13:30 UTC Mon Feb 3 2020 Duration : 0h:06m:43s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000c0005e37c81a Security Grp : none Tunnel Zone : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 12.1 Public IP : 10.229.16.169 Encryption : none Hashing : none TCP Src Port : 56491 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : win Client OS Ver: 10.0.18363 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0 Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 12.2 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 56495 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 592 Pkts Tx : 5 Pkts Rx : 7 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d DTLS-Tunnel: Tunnel ID : 12.3 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES256 Hashing : SHA1 Ciphersuite : DHE-RSA-AES256-SHA Encapsulation: DTLSv1.0 UDP Src Port : 59396 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 0 Bytes Rx : 12770 Pkts Tx : 0 Pkts Rx : 42 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d ISE Posture: Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc... Redirect ACL : fyusifovredirect fyusifov-ftd-64#
客户端提供的策略可以验证在Operations>Reports>Endpoints和Users>Client供应下
从AnyConnect发送的状态报告可以被检查在Operations>Reports>Endpoints和Users>Posture评估下由终端。
要看到在状态的更多详细信息报告,请点击"Details"
在接收的报告以后关于ISE,状态状态更新。在本例中,状态状态是兼容的,并且CoA推送触发与新的套属性。
验证在新建的重定向ACL和重定向URL为VPN会话删除,并且PermitAll DACL应用的FTD
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : alice@training.example.com Index : 14 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 53990 Bytes Rx : 23808 Pkts Tx : 73 Pkts Rx : 120 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 16:58:26 UTC Mon Feb 3 2020 Duration : 0h:02m:24s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000e0005e385132 Security Grp : none Tunnel Zone : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 14.1 Public IP : 10.55.218.19 Encryption : none Hashing : none TCP Src Port : 51965 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : win Client OS Ver: 10.0.18363 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0 Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 14.2 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 51970 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7715 Bytes Rx : 10157 Pkts Tx : 6 Pkts Rx : 33 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0 DTLS-Tunnel: Tunnel ID : 14.3 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES256 Hashing : SHA1 Ciphersuite : DHE-RSA-AES256-SHA Encapsulation: DTLSv1.0 UDP Src Port : 51536 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 38612 Bytes Rx : 13651 Pkts Tx : 62 Pkts Rx : 87 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0 fyusifov-ftd-64#
故障排除
对于详细的状态流和排除故障AnyConnect和ISE,请检查此链路:ISE状态前的样式比较和发表物2.2
- 溢出的通道
其中一个常见问题,当有唾液通道时配置。在使用的此示例默认组策略,以隧道传输所有流量。万一,如果仅特定的流量被建立隧道,然后AnyConnect探测器(enroll.cisco.com和发现主机)必须通过通道除流量之外ISE和其他内部资源。
要检查在FMD的通道策略,首先请检查哪项组策略使用在Devicies>VPN远程访问下的VPN连接
然后请导航对Objects>Object Management>VPN>Group策略并且单击“为VPN配置的”组策略
- 标识NAT
另一个常见问题,使用不正确NAT条目,当VPN用户的回程数据流被转换。要调整此问题,按适当的顺序应该创建标识NAT。
首先请检查NAT规则此设备在Devices>NAT下通过单击然后添加新规则增加规则:
在打开的窗口,在“接口对象”选项卡挑选安全区下。在本例中, NAT条目从ZONE-INSIDE创建到ZONE-OUTSIDE。
在“转换”选项卡挑选原始和翻译的信息包详细信息下。因为它是标识NAT,源和目的被保持不可更改:
下面“提前”选项卡检查复选框如下所示:
反馈