在FTD上配置AnyConnect VPN客戶端:髮夾和NAT免除

下載選項

  • PDF     (2.7 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (2.4 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (2.4 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2023 年 6 月 8 日
文件 ID:215875

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹如何在FMC管理的Firepower威脅防禦(FTD)v6.3上配置思科遠端訪問VPN解決方案(AnyConnect)。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • 基本遠端訪問VPN、安全套接字層(SSL)和網際網路金鑰交換版本2(IKEv2)知識
    • 基本驗證、授權及記帳(AAA)和RADIUS知識
    • 基本的FMC知識
    • 基本FTD知識

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • 思科FMC 6.4
    • 思科FTD 6.3
    • AnyConnect 4.7

    本檔案介紹在Firepower威脅防禦(FTD)版本6.3(由Firepower管理中心(FMC)管理)上配置思科遠端訪問VPN解決方案(AnyConnect)的程式。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    本文檔旨在介紹FTD裝置上的配置。如果您查詢ASA配置示例,請參閱文檔:https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html

    限制:

    目前,這些功能在FTD上不受支援,但在ASA裝置上仍然可用:

    • 雙AAA驗證(在FTD 6.5版上可用)
    • 動態訪問策略
    • 主機掃描
    • ISE狀態
    • RADIUS CoA
    • VPN負載平衡器
    • 本地身份驗證(在Firepower裝置管理器6.3上可用。思科錯誤ID CSCvf92680)
    • LDAP屬性對映(通過FlexConfig提供,思科錯誤ID CSCvd64585)
    • AnyConnect自定義
    • AnyConnect指令碼
    • AnyConnect本地化
    • 每應用VPN
    • SCEP代理
    • WSA整合
    • SAML SSO(思科錯誤ID CSCvq90789)
    • 適用於RA和L2L VPN的同步IKEv2動態加密對映
    • AnyConnect模組(NAM、Hostscan、AMP Enabler、SBL、Umbrella、Web Security等)。DART是此版本中預設安裝的唯一模組。
    • TACACS、Kerberos(KCD身份驗證和RSA SDI)
    • 瀏覽器代理

    設定

    要通過FMC中的遠端訪問VPN嚮導,必須完成以下步驟:

    步驟 1.匯入SSL證書


    設定AnyConnect時,憑證是必需的。SSL和IPSec僅支援基於RSA的證書。

    IPSec支援橢圓曲線數位簽章演演算法(ECDSA)憑證,但使用基於ECDSA的憑證時,無法部署新的AnyConnect封包或XML設定檔。

    它可用於IPSec,但必須預先部署AnyConnect軟體包和XML配置檔案,所有XML配置檔案更新必須在每個客戶端上手動推送(思科錯誤ID CSCtx42595)。

    此外,憑證必須包含具有DNS名稱和/或IP位址的通用名稱(CN)擴充模組,才能避免Web瀏覽器中的「Untrusted server certificate」錯誤。

    :在FTD裝置上,需要先取得憑證授權單位(CA)憑證,才能產生憑證簽署請求(CSR)。

    • 如果在外部伺服器(例如Windows Server或OpenSSL)中產生CSR,則手動註冊方法會失敗,因為FTD不支援手動金鑰註冊。
    • 必須使用其他方法,例如PKCS12。

    若要使用手動註冊方法取得FTD裝置的憑證,需要產生CSR,使用CA對其進行簽名,然後匯入身分憑證。

    1.導覽至Devices > Certificates,然後選擇Add,如下圖所示。

    Certificates panel

    2.選擇Device並新增新的Cert Enrollment對象,如下圖所示。

    Certificate import menu

    3.選擇手動註冊型別,然後貼上CA證書(用於簽署CSR的證書)。

    Certificate manual import representation

    4.選擇「Certificate Parameters」頁籤,然後為「Include FQDN」欄位選擇「自定義FQDN」,並填寫證書詳細資訊,如下圖所示。

    Certificate parameters


    5.選擇頁籤,然後選擇鍵型別,您可以選擇名稱和大小。對於RSA,最低要求為2048位元組。

    6.選擇儲存,確認裝置,然後在證書註冊下選擇剛建立的信任點,選擇新增以部署證書。

    Add new certificate

    7.在Status列中,選擇ID圖示,然後選擇Yes以產生CSR,如下圖所示。

    CSR Generation pop-up

    8.複製CSR並用您首選的CA(例如GoDaddy或DigiCert)簽名。

    9.從CA收到身份證書(必須採用base64格式)後,選擇Browse Identity Certificate,然後在本地電腦中查詢該證書。選擇匯入。

    Import Identity Certificate

    10.匯入後,CA和ID證書詳細資訊可供顯示。

    Certificate import success validation

    步驟 2.設定RADIUS伺服器

    在FMC管理的FTD裝置上,不支援本地使用者資料庫,必須使用其他身份驗證方法,例如RADIUS或LDAP。

    1.導覽至Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group,如下圖所示。

    Radius server creation

    2.為Radius Server Group指定名稱,並將Radius伺服器IP地址與共用金鑰一起新增(需要共用金鑰才能將FTD與Radius伺服器配對),完成此表單後,選擇Save,如下圖所示。

    Radius server creation example

    3. RADIUS伺服器資訊現在在Radius伺服器清單中可用,如下圖所示。

    Radius advanced menu

    步驟 3.建立IP池

    1.導航到對象 > 對象管理 > 地址池 > 新增IPv4池

    2.指定IP地址的名稱和範圍,不需要Mask欄位,但可以指定該欄位,如下圖所示。

    ip local pool configuration

    步驟 4.建立XML配置檔案

    1.從Cisco.com下載配置檔案編輯器工具並運行應用程式。

    2.在「配置檔案編輯器」應用程式中,導航到伺服器清單,然後選擇新增,如下圖所示。

    XML profile: Server list

    3.指定顯示名稱、完全限定域名(FQDN)或IP地址,然後選擇OK,如下圖所示。

    XML profile: Server entry

    4.現在可在Server List選單中看到該條目:

    XML profile: Server list validation

    5.導覽至File > Save as。

    注意:使用.xml副檔名儲存帶有易於識別名稱的配置檔案。

    步驟 5.上傳Anyconnect XML配置檔案

    1.在FMC中,導覽至Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File。

    2.為對象指定名稱,然後按一下瀏覽,在本地系統中找到客戶端配置檔案,然後選擇儲存

    注意:確保選擇Anyconnect Client Profile作為檔案型別。

    AnyConnect File (XML profile) import

    步驟 6.上傳AnyConnect映像

    1.從思科下載網頁下載webdeploy(.pkg)映像。

    AnyConnect image download (from Cisco website)

    2.導航到Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File。

    3.為Anyconnect軟體包檔案指定名稱,並在選擇檔案後從本地系統中選擇.pkg檔案。

    4.選擇儲存

    AnyConnect image upload

    注意:您可以根據您的要求(Windows、Mac、Linux)上傳其他軟體包。

    步驟 7.遠端訪問VPN嚮導

    根據以上步驟,可以相應地執行遠端訪問嚮導。

    1.導航至Devices > VPN > Remote Access

    2.分配遠端訪問策略的名稱,並從可用裝置中選擇FTD裝置

    Remote Access FMC wizard: Policy assignment to device

    3.指定連線配置檔名稱(連線配置檔名稱是隧道組名稱),選擇Authentication ServerAddress Pools,如下圖所示。

    Remote Access FMC wizard: Connection profile configuration

    4.選擇+符號以建立組策略

    Group policy: VPN protocol selection

    5.(可選)可以基於組策略配置本地IP地址池。如果未配置,則從連線配置檔案(隧道組)中配置的池繼承該池。

    Group Policy: IP local pool selection

    6.在此案例中,所有流量都透過通道路由,IPv4分割通道原則設定為允許所有流量透過通道,如下圖所示。

    Group policy: Split tunnel configuration

    7.選擇Anyconnect配置檔案的.xml配置檔案,然後選擇Save,如下圖所示。

    Group policy: AnyConnect xml profile selection

    8.根據運行的系統要求選擇所需的AnyConnect映像,然後選擇Next(圖中所示)。

    Remote Access FMC wizard: AnyConnect image selection

    9.選擇Security ZoneDeviceCertificates:

    • 此配置定義VPN終止的介面以及通過SSL連線提供的證書。

    注意:在此案例中,FTD設定為不檢查任何VPN流量,並繞過存取控制原則(ACP)選項。

    Remote Access FMC wizard: Target interface selection

    10.選擇FinishDeploy更改:

    • 與VPN、SSL證書和AnyConnect軟體包相關的所有配置均通過FMC部署進行推送,如下圖所示。

    Remote Access FMC wizard: Configuration overview

    NAT免除和發卡

    步驟 1.NAT免除配置

    NAT免除是一種首選轉換方法,用於在流量通過VPN隧道(遠端訪問或站點到站點)時防止將其路由到網際網路。

    當來自內部網路的流量要流經隧道而不進行任何轉換時,就需要使用此功能。

    1.導覽至對象>網路>新增網路>新增對象,如下圖所示。

    Object creation for VPN pool NAT translations

    2.導航到Device > NAT,選擇相關裝置使用的NAT策略,然後建立新語句

    :流量從內部流向外部。

    NAT Exemption interface selection

    3.選擇FTD(原始來源和已轉換來源)背後的內部資源,以及目的地作為Anyconnect使用者的ip本地池(原始目的地已轉換目的地),如下圖所示。

    NAT Exemption source/destination object selection

    4.確保切換選項(如圖所示),要在NAT規則中啟用「no-proxy-arp」和「route-lookup」,請選擇OK(如圖所示)。

    NAT Exemption advance option selection

    5.這是NAT免除配置的結果。

    NAT Exemption rule overview

    上一節中使用的對象如下所述。

    FTDv-Supernet-object

    vpn-pool-object

    步驟 2.髮夾配置

    這也稱為U-turn,這是一種轉換方法,允許流量在接收流量的同一介面上流動。

    例如,當Anyconnect配置了Full tunnel split-tunnel策略時,根據NAT免除策略訪問內部資源。如果Anyconnect客戶端流量要到達網際網路上的外部站點,髮夾NAT(或U-turn)負責將流量從外部路由到外部。

    在NAT配置之前必須建立VPN池對象。

    1.建立新的NAT語句,在NAT Rule欄位中選擇自動NAT規則,然後選擇Dynamic作為NAT型別

    2.為源介面對象和目標介面對象(外部)選擇相同的介面:

    Hairpin NAT configuration: interface selection

    3.在「轉換」選項卡中,選擇vpn-pool對象作為原始源,然後選擇Destination Interface IP作為轉換源,選擇OK,如下圖所示。

    Hairpin NAT configuration: Source/destination object and interface configuration

    4.這是NAT配置的摘要,如下圖所示。

    NAT-Results

    5.按一下儲存部署更改。

    驗證

    使用本節內容,確認您的組態是否正常運作。

    在FTD命令列中運行這些命令。

    • sh crypto ca certificates
    • show running-config ip local pool
    • show running-config webvpn
    • show running-config tunnel-group
    • show running-config group-policy
    • show running-config ssl
    • show running-config nat

    疑難排解

    目前尚無適用於此組態的具體疑難排解資訊。</a>

    修訂記錄

    修訂 發佈日期 意見
    3.0
    08-Jun-2023
    重新認證
    2.0
    13-Jan-2022
    已驗證重新發佈所需的資訊。
    1.0
    30-Jul-2020
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Hugo Olguin
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品