使用FMC部署AnyConnect Umbrella漫游安全模块

简介

本文档介绍如何使用思科防火墙管理控制台(FMC)部署AnyConnect Umbrella漫游安全模块。

先决条件

要求

Cisco 建议您了解以下主题：

• 访问Cisco Umbrella控制面板
• 访问思科防火墙管理控制台(FMC)版本6.7或更高版本，因为此版本增加了对其他AnyConnect模块的支持。对于6.7之前的版本，可以使用FlexConfig部署模块，有关详细信息，请参阅Cisco文档。
• AnyConnect Umbrella模块配置文件(orginfo.json)
• AnyConnect VPN配置已完成，可在FMC/FTD上正常工作

使用的组件

本文档中的信息基于以下软件和硬件版本：

• AnyConnect Umbrella漫游安全模块
• 6.7或更高版本的思科防火墙管理控制台(FMC)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

概述

注意：思科于2023年宣布了Cisco AnyConnect的生命周期终止。思科于2024年4月2日宣布伞状漫游客户端寿命终止，最后支持日期为2025年4月2日。许多Cisco Umbrella客户已经从迁移到Cisco安全客户端中受益，我们鼓励您尽快开始迁移，以获得更好的漫游体验。阅读此知识库文章的更多信息：如何安装带有Umbrella模块的思科安全客户端？

本配置指南介绍通过思科防火墙管理控制台(FMC)为版本6.7或更高版本调配AnyConnect Umbrella漫游安全模块的步骤。

从FMC安装和下载AnyConnect Umbrella模块：

完成以下步骤以从FMC启用AnyConnect Umbrella模块安装/下载：

1.转至对象>对象管理：

2.导航到VPN > AnyConnect File > Add AnyConnect File。设置配置文件的名称（在本地有效）。

• 浏览从您的Cisco Umbrella控制面板下载的JSON。
• 在文件类型下，选择Umbrella Roaming Security Profile，然后选择保存。

8178144531860

3.完成后，选择Group Policy，然后选择用于部署Umbrella的组策略（本例中为“Umbrella_GP”）：

8178147609492

4.选择AnyConnect > Client Modules > Add Client Module。

• 在Client Module下，选择Umbrella Roaming Client，然后选择Profile以下载我们在步骤2中定义的配置文件。
• 确保选择Enabled module download，以便通过AnyConnect连接的用户可以自动下载Umbrella JSON配置文件。

8178147636628

可选：VPN本地身份验证（需要FMC 7.0或更高版本）

如果要在FMC/FTD上使用本地身份验证测试单独的配置文件，可以完成以下步骤（需要FMC 7.0或更高版本）：

1.创建本地领域。

• 本地用户名和密码存储在本地领域中。
• 创建领域(System > Integration > Realms)并选择新的LOCAL领域类型时，系统提示您添加一个或多个本地用户。

2.将RA VPN配置为使用本地身份验证。

• 创建或编辑RA VPN策略(Devices > VPN > Remote Access)。
• 在该策略中创建连接配置文件。
• 将LOCAL指定为连接配置文件中的主要身份验证服务器、辅助身份验证服务器或回退身份验证服务器。

3.将创建的本地领域与RA VPN策略相关联。

• 在RA VPN策略编辑器中，使用新的Local Realm设置。使用本地身份验证的RA VPN策略中的每个连接配置文件都可以使用您在此处指定的本地领域。
  8178273923732
  8178144714388

Additional Information

Cisco Firewall（以前称为Firepower）发行说明，版本7.0.x