簡介
本檔案介紹如何在思科FMC管理的Cisco FTD上使用本機驗證來設定思科安全使用者端(包括Anyconnect)。
必要條件
需求
思科建議您瞭解以下主題:
- 通過Firepower管理中心(FMC)進行SSL安全客戶端配置
- 通過FMC配置Firepower對象
- Firepower上的SSL證書
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco Firepower威脅防禦(FTD)版本7.0.0(內部版本94)
- Cisco FMC 7.0.0版(內部版本94)
- 思科安全行動化使用者端4.10.01075
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
在此範例中,安全通訊端層(SSL)用於在FTD和Windows 10使用者端之間建立虛擬私人網路(VPN)。
自7.0.0版起,由FMC管理的FTD支援思科安全使用者端的本機驗證。可以將其定義為主要身份驗證方法,或者在主要方法失敗時將其定義為回退。在本示例中,本地身份驗證配置為主身份驗證。
在此軟體版本之前,FTD上的思科安全客戶端本地身份驗證僅在Cisco Firepower裝置管理器(FDM)上可用。
設定
組態
步驟1.驗證許可
在配置Cisco Secure Client之前,必須註冊FMC並符合智慧許可門戶的要求。如果FTD沒有有效的Plus、Apex或僅VPN許可證,則無法部署Cisco Secure Client。
導覽至System > Licenses > Smart Licenses,以確保FMC已註冊且符合智慧許可門戶的要求:

在同一頁上向下滾動。在「智慧許可證」圖表的底部,您可以看到不同型別的思科安全客戶端(AnyConnect)許可證以及每個許可證所訂用的裝置。確保手頭的FTD已註冊為以下任一類別:

步驟2.將Cisco安全客戶端軟體包上傳到FMC
從cisco.com下載適用於Windows的Cisco Secure Client(AnyConnect)頭端部署包:

要上傳Cisco Secure Client映像,請導航到Objects > Object Management,然後在目錄的VPN類別下選擇Cisco Secure Client File:

按一下Add AnyConnect File。在Add AnyConnect Secure Client File視窗中,為對象分配名稱,然後選擇瀏覽。選擇思科安全客戶端軟體包。最後,在下拉選單中選擇AnyConnect Client Image作為檔案型別:

按一下「Save」。必須將對象新增到對象清單中:

步驟3.生成自簽名證書
SSL思科安全客戶端(AnyConnect)要求在VPN頭端和客戶端之間的SSL握手中使用一個有效證書。
附註:在此範例中,系統會為此用途產生自簽名的憑證。此外,除了自簽名的憑證外,還可以上傳由內部憑證授權單位(CA)或公認的CA簽名的憑證。
要建立自簽名證書,請導航到Devices > Certificates。

按一下「新增」。然後選擇Add New Certificate視窗的Device下拉選單中列出的FTD。

按一下Add Cert Enrollment按鈕(綠色+符號)以建立新的註冊對象。現在,在「Add Cert Enrollment」視窗中,為對象分配名稱,並從Enrollment Type下拉選單中選擇Self Signed Certificate。

最後,對於自簽名證書,必須有一個公用名(CN)。 導覽至Certificate Parameters索引標籤以定義CN:

按一下「Save」和「Add」按鈕。幾秒鐘後,必須將新憑證新增到憑證清單中:

步驟4.在FMC上建立本地領域
本地使用者資料庫和各自的口令儲存在本地領域中。要建立本地領域,請導航到系統>整合>領域:

選擇Add Realm按鈕。在新增新領域視窗中,分配名稱並在型別下拉選單中選擇LOCAL選項:

使用者帳戶和密碼在Local User Configuration部分建立。
附註: 密碼必須至少包含一個大寫字母、一個小寫字母、一個數字和一個特殊字元。

儲存更改,然後單擊Add Realm以向現有領域清單中新增新領域。

步驟5.配置SSL思科安全客戶端
要配置SSL Cisco Secure Client,請導航到Devices > VPN > Remote Access:

按一下Add以建立新的VPN策略。定義連線配置檔案的名稱,選中SSL覈取方塊,然後選擇作為目標裝置列出的FTD。必須在遠端訪問VPN策略嚮導的策略分配部分中配置所有內容:

按一下下一步以轉到連線配置檔案配置。定義連線配置檔案的名稱,然後選擇AAA Only作為身份驗證方法。然後,在Authentication Server下拉選單中,選擇LOCAL,最後,在Local Realm下拉選單中選擇步驟4中建立的本地領域:

在同一頁上向下滾動,然後按一下IPv4地址池部分中的鉛筆圖示,以定義Cisco安全客戶端使用的IP池:

按一下下一步以轉到AnyConnect部分。現在,選擇步驟2中上傳的Cisco Secure Client映像:

按一下「Next」以轉到「Access & Certificate」部分。在「Interface group/Security Zone」下拉選單中,選擇需要啟用Cisco Secure Client(AnyConnect)的介面。然後在「Certificate Enrollment」下拉選單中,選擇在第3步中建立的證書:

最後,按一下下一步檢視思科安全客戶端配置的摘要:

如果所有設定都正確,請按一下Finish並將更改部署到FTD。

驗證
成功部署後,啟動Cisco AnyConnect安全移動客戶端從Windows客戶端到FTD的連線。身份驗證提示中使用的使用者名稱和密碼必須與步驟4中建立的使用者名稱和密碼相同:

憑證經FTD批准後,Cisco AnyConnect安全行動化使用者端應用必須顯示已連線狀態:

在FTD中,您可以執行show vpn-sessiondb anyconnect 命令以顯示防火牆上目前作用中的思科安全使用者端作業階段:
firepower# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : dperezve Index : 8
Assigned IP : 172.16.13.1 Public IP : 10.31.124.34
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 15756 Bytes Rx : 14606
Group Policy : DfltGrpPolicy
Tunnel Group : SSL_AnyConnect_LocalAuth
Login Time : 21:42:33 UTC Tue Sep 7 2021
Duration : 0h:00m:30s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 00000000000080006137dcc9
Security Grp : none Tunnel Zone : 0
疑難排解
在FTD上執行debug webvpn anyconnect 255命令,以便檢視FTD上的SSL連線流:
firepower# debug webvpn anyconnect 255
除Cisco安全客戶端調試外,還可以通過TCP資料包捕獲觀察連線流。以下是成功連線的範例,Windows使用者端和FTD之間會完成三次定期交涉,然後執行一次用於同意密碼的SSL交涉。

協定握手後,FTD必須使用儲存在本地領域中的資訊驗證憑據。
收集DART捆綁包並聯絡思科TAC進行進一步研究。