簡介
本檔案介紹如何在FMC管理的Firepower威脅防禦(FTD)v6.3上配置思科遠端訪問VPN解決方案(AnyConnect)。
必要條件
需求
思科建議您瞭解以下主題:
- 基本遠端訪問VPN、安全套接字層(SSL)和網際網路金鑰交換版本2(IKEv2)知識
- 基本驗證、授權及記帳(AAA)和RADIUS知識
- 基本的FMC知識
- 基本FTD知識
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 思科FMC 6.4
- 思科FTD 6.3
- AnyConnect 4.7
本檔案介紹在Firepower威脅防禦(FTD)版本6.3(由Firepower管理中心(FMC)管理)上配置思科遠端訪問VPN解決方案(AnyConnect)的程式。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
本文檔旨在介紹FTD裝置上的配置。如果您查詢ASA配置示例,請參閱文檔:https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html
限制:
目前,這些功能在FTD上不受支援,但在ASA裝置上仍然可用:
- 雙AAA驗證(在FTD 6.5版上可用)
- 動態訪問策略
- 主機掃描
- ISE狀態
- RADIUS CoA
- VPN負載平衡器
- 本地身份驗證(在Firepower裝置管理器6.3上可用。思科錯誤ID CSCvf92680)
- LDAP屬性對映(通過FlexConfig提供,思科錯誤ID CSCvd64585)
- AnyConnect自定義
- AnyConnect指令碼
- AnyConnect本地化
- 每應用VPN
- SCEP代理
- WSA整合
- SAML SSO(思科錯誤ID CSCvq90789)
- 適用於RA和L2L VPN的同步IKEv2動態加密對映
- AnyConnect模組(NAM、Hostscan、AMP Enabler、SBL、Umbrella、Web Security等)。DART是此版本中預設安裝的唯一模組。
- TACACS、Kerberos(KCD身份驗證和RSA SDI)
- 瀏覽器代理
設定
要通過FMC中的遠端訪問VPN嚮導,必須完成以下步驟:
步驟 1.匯入SSL證書
設定AnyConnect時,憑證是必需的。SSL和IPSec僅支援基於RSA的證書。
IPSec支援橢圓曲線數位簽章演演算法(ECDSA)憑證,但使用基於ECDSA的憑證時,無法部署新的AnyConnect封包或XML設定檔。
它可用於IPSec,但必須預先部署AnyConnect軟體包和XML配置檔案,所有XML配置檔案更新必須在每個客戶端上手動推送(思科錯誤ID CSCtx42595)。
此外,憑證必須包含具有DNS名稱和/或IP位址的通用名稱(CN)擴充模組,才能避免Web瀏覽器中的「Untrusted server certificate」錯誤。
註:在FTD裝置上,需要先取得憑證授權單位(CA)憑證,才能產生憑證簽署請求(CSR)。
- 如果在外部伺服器(例如Windows Server或OpenSSL)中產生CSR,則手動註冊方法會失敗,因為FTD不支援手動金鑰註冊。
- 必須使用其他方法,例如PKCS12。
若要使用手動註冊方法取得FTD裝置的憑證,需要產生CSR,使用CA對其進行簽名,然後匯入身分憑證。
1.導覽至Devices > Certificates,然後選擇Add,如下圖所示。
2.選擇Device並新增新的Cert Enrollment對象,如下圖所示。
3.選擇手動註冊型別,然後貼上CA證書(用於簽署CSR的證書)。
4.選擇「Certificate Parameters」頁籤,然後為「Include FQDN」欄位選擇「自定義FQDN」,並填寫證書詳細資訊,如下圖所示。
5.選擇鍵頁籤,然後選擇鍵型別,您可以選擇名稱和大小。對於RSA,最低要求為2048位元組。
6.選擇儲存,確認裝置,然後在證書註冊下選擇剛建立的信任點,選擇新增以部署證書。
7.在Status列中,選擇ID圖示,然後選擇Yes以產生CSR,如下圖所示。
8.複製CSR並用您首選的CA(例如GoDaddy或DigiCert)簽名。
9.從CA收到身份證書(必須採用base64格式)後,選擇Browse Identity Certificate,然後在本地電腦中查詢該證書。選擇匯入。
10.匯入後,CA和ID證書詳細資訊可供顯示。
步驟 2.設定RADIUS伺服器
在FMC管理的FTD裝置上,不支援本地使用者資料庫,必須使用其他身份驗證方法,例如RADIUS或LDAP。
1.導覽至Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group,如下圖所示。
2.為Radius Server Group指定名稱,並將Radius伺服器IP地址與共用金鑰一起新增(需要共用金鑰才能將FTD與Radius伺服器配對),完成此表單後,選擇Save,如下圖所示。
3. RADIUS伺服器資訊現在在Radius伺服器清單中可用,如下圖所示。
步驟 3.建立IP池
1.導航到對象 > 對象管理 > 地址池 > 新增IPv4池。
2.指定IP地址的名稱和範圍,不需要Mask欄位,但可以指定該欄位,如下圖所示。
步驟 4.建立XML配置檔案
1.從Cisco.com下載配置檔案編輯器工具並運行應用程式。
2.在「配置檔案編輯器」應用程式中,導航到伺服器清單,然後選擇新增,如下圖所示。
3.指定顯示名稱、完全限定域名(FQDN)或IP地址,然後選擇OK,如下圖所示。
4.現在可在Server List選單中看到該條目:
5.導覽至File > Save as。
注意:使用.xml副檔名儲存帶有易於識別名稱的配置檔案。
步驟 5.上傳Anyconnect XML配置檔案
1.在FMC中,導覽至Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File。
2.為對象指定名稱,然後按一下瀏覽,在本地系統中找到客戶端配置檔案,然後選擇儲存。
注意:確保選擇Anyconnect Client Profile作為檔案型別。
步驟 6.上傳AnyConnect映像
1.從思科下載網頁下載webdeploy(.pkg)映像。
2.導航到Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File。
3.為Anyconnect軟體包檔案指定名稱,並在選擇檔案後從本地系統中選擇.pkg檔案。
4.選擇儲存。
注意:您可以根據您的要求(Windows、Mac、Linux)上傳其他軟體包。
步驟 7.遠端訪問VPN嚮導
根據以上步驟,可以相應地執行遠端訪問嚮導。
1.導航至Devices > VPN > Remote Access。
2.分配遠端訪問策略的名稱,並從可用裝置中選擇FTD裝置。
3.指定連線配置檔名稱(連線配置檔名稱是隧道組名稱),選擇Authentication Server和Address Pools,如下圖所示。
4.選擇+符號以建立組策略。
5.(可選)可以基於組策略配置本地IP地址池。如果未配置,則從連線配置檔案(隧道組)中配置的池繼承該池。
6.在此案例中,所有流量都透過通道路由,IPv4分割通道原則設定為允許所有流量透過通道,如下圖所示。
7.選擇Anyconnect配置檔案的.xml配置檔案,然後選擇Save,如下圖所示。
8.根據運行的系統要求選擇所需的AnyConnect映像,然後選擇Next(圖中所示)。
9.選擇Security Zone和DeviceCertificates:
- 此配置定義VPN終止的介面以及通過SSL連線提供的證書。
注意:在此案例中,FTD設定為不檢查任何VPN流量,並繞過存取控制原則(ACP)選項。
10.選擇Finish和Deploy更改:
- 與VPN、SSL證書和AnyConnect軟體包相關的所有配置均通過FMC部署進行推送,如下圖所示。
NAT免除和發卡
步驟 1.NAT免除配置
NAT免除是一種首選轉換方法,用於在流量通過VPN隧道(遠端訪問或站點到站點)時防止將其路由到網際網路。
當來自內部網路的流量要流經隧道而不進行任何轉換時,就需要使用此功能。
1.導覽至對象>網路>新增網路>新增對象,如下圖所示。
2.導航到Device > NAT,選擇相關裝置使用的NAT策略,然後建立新語句。
註:流量從內部流向外部。
3.選擇FTD(原始來源和已轉換來源)背後的內部資源,以及目的地作為Anyconnect使用者的ip本地池(原始目的地和已轉換目的地),如下圖所示。
4.確保切換選項(如圖所示),要在NAT規則中啟用「no-proxy-arp」和「route-lookup」,請選擇OK(如圖所示)。
5.這是NAT免除配置的結果。
上一節中使用的對象如下所述。
步驟 2.髮夾配置
這也稱為U-turn,這是一種轉換方法,允許流量在接收流量的同一介面上流動。
例如,當Anyconnect配置了Full tunnel split-tunnel策略時,根據NAT免除策略訪問內部資源。如果Anyconnect客戶端流量要到達網際網路上的外部站點,髮夾NAT(或U-turn)負責將流量從外部路由到外部。
在NAT配置之前必須建立VPN池對象。
1.建立新的NAT語句,在NAT Rule欄位中選擇自動NAT規則,然後選擇Dynamic作為NAT型別。
2.為源介面對象和目標介面對象(外部)選擇相同的介面:
3.在「轉換」選項卡中,選擇vpn-pool對象作為原始源,然後選擇Destination Interface IP作為轉換源,選擇OK,如下圖所示。
4.這是NAT配置的摘要,如下圖所示。
5.按一下儲存並部署更改。
驗證
使用本節內容,確認您的組態是否正常運作。
在FTD命令列中運行這些命令。
- sh crypto ca certificates
- show running-config ip local pool
- show running-config webvpn
- show running-config tunnel-group
- show running-config group-policy
- show running-config ssl
- show running-config nat
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。</a>