使用Sonicwall防火牆配置安全訪問

簡介

本文檔介紹如何使用靜態路由在Secure Access to Sonicwall防火牆之間配置IPsec VTI隧道。

必要條件

• 配置使用者調配
• ZTNA SSO身份驗證配置
• 配置遠端訪問VPN安全訪問

需求

思科建議您瞭解以下主題：

• Sonicwall(NSv270 - SonicOSX 7.0.1)防火牆 
• 安全訪問
• Cisco安全使用者端 — VPN
• 思科安全使用者端 — ZTNA
• 無客戶端ZTNA

採用元件

本檔案中的資訊是根據： 

• Sonicwall(NSv270 - SonicOSX 7.0.1)防火牆 
• 安全訪問
• Cisco安全使用者端 — VPN
• 思科安全使用者端 — ZTNA

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

網路圖表

網路圖表

設定

在安全訪問上配置網路隧道組(VPN) 

在安全訪問和Sonicwall之間配置VPN隧道

• 導航到Secure Access的管理員門戶

安全訪問 — 首頁

• 按一下Connect > Network Connections

安全訪問 — 網路連線

• 在Network Tunnel Groups下，按一下+ Add 

安全訪問 — 網路隧道組

• 配置隧道組名稱、區域和設備型別
• 按一下下一步

安全訪問 — 網路隧道組 — 常規設定

附註：選擇距離防火牆位置最近的區域。

• 設定通道ID格式和密碼
• 按一下下一步

安全存取 — 通道ID和密碼

• 配置您已經在網路上配置的IP地址範圍、主機或子網，並希望通過安全訪問傳遞流量 
• 按一下「Add」
• 按一下「Save」

安全存取 — 通道組 — 路由選項

點選Save後，會顯示有關隧道的資訊。請儲存此資訊以用於下一個配置步驟

安全訪問 — 用於隧道設定的資料

配置Sonicwall上的隧道

配置隧道 — 規則和設定 

導航到Sonicwall儀表板。

•  網路 > IPsec VPN > 規則和設定
• 按一下+ Add

Sonicwall - IPSec VPN — 規則和設定 

• 在VPN策略下，根據來自安全訪問的隧道資料和supported-ipsec-parameters填充VPN配置

• 按一下Save

新增VPN隧道介面

導航到Sonicwall儀表板。

• Network > System > Interface
• 按一下「+ Add Interface」
• 選擇VPN隧道介面

Sonicwall — 介面

• 按一下「OK」

Sonicwall — 介面 — VPN隧道介面

新增網路對象和組 

導航到Sonicwall儀表板。

•  Object >Match Objects > Addresses
• 地址對象
• 按一下+Add

Sonicwall — 對象 — 地址對象

• 按一下「Save」

• 按一下「Save」

• 按一下「Save」

• 建立地址組
• 按一下+Add
• 選擇地址對象並將其新增到地址組中

Sonicwall — 對象 — 地址組

• 按一下「Save」

新增路由

導航到Sonicwall儀表板。

• Policy > Rules and Policies >Routing Rules
• 按一下+ Add 

Sonicwall — 路由規則

• 新增路由規則 

• 按一下+ Add

Sonicwall — 路由規則

新增訪問規則

導航到Sonicwall儀表板。

• Policy > Rules and Policies >Access Rules
• 按一下+ Add 

Sonicwall — 訪問規則

• 按一下+Add

Sonicwall — 訪問規則

驗證

• 安全存取上的通道狀態

安全訪問 — 網路隧道組 — VPN狀態

• Sonicwall防火牆上的隧道狀態

Sonicwall - IPSec VPN狀態 

您可以執行相同的過程來配置安全訪問輔助資料中心和Sonicwall之間的隧道

現在，安全訪問和Sonicwall上的隧道已啟動，您可以通過RA-VPN、基於瀏覽器的ZTA或基於客戶端的ZTA在安全訪問控制面板上繼續配置對專用資源的訪問

疑難排解

使用者PC

• 驗證使用者是否能夠成功連線/註冊到RAVPN/ZTNA。如果不是，請進一步排除控制平面連線失敗的原因。
• 驗證使用者嘗試訪問的網路是否應該通過RAVPN隧道或ZTNA。如果不是，請驗證頭端上的配置。

安全訪問 

•  驗證RAVPN連線配置檔案上的流量引導配置，以確認目標網路已配置為通過隧道傳送到安全訪問。
• 驗證是否使用有效的協定/埠定義了Private Resource ，並檢查ZTNA/RAVPN連線機制。
• 驗證Access-policy是否配置為允許RAVPN/ZTNA使用者訪問私有資源網路及其設定順序，以確保沒有其他規則優先阻止流量。
• 驗證IPSec隧道是否為UP且安全訪問顯示通過靜態路由（涵蓋使用者嘗試訪問的私有資源）的有效客戶端路由。

Sonicwall

• 驗證IPSec隧道是否啟用（IKE和IPSec SA）。
• 驗證是否正確通告了客戶端路由或路由。
• 驗證從RAVPN/ZTNA使用者發往Sonicwall後方的私有資源的流量源是否通過隧道在Sonicwall上捕獲資料包到達Sonicwall防火牆。
• 驗證流量是否到達私有資源並響應回RAVPN/ZTNA客戶端。如果是，驗證這些資料包是否到達Sonicall X0(LAN)介面。
• 驗證Sonicwall是否通過IPSec隧道將返回流量轉發到安全訪問。

相關資訊

• 思科技術支援與下載
• Cisco Secure Access幫助中心
• 零信任存取模組
• 對安全訪問錯誤「註冊服務沒有響應」進行故障排除。聯絡您的IT服務檯」