تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند التكوين الأساسي لشبكة VPN الخاصة بالوصول عن بعد باستخدام IKEv2 ومصادقة ISE على FTD التي تتم إدارتها بواسطة FMC.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يعد IKEv2 وطبقة مآخذ التوصيل الآمنة (SSL) البروتوكولين المستخدمين لإنشاء إتصالات آمنة، وخاصة في سياق شبكات VPN. يوفر IKEv2 أساليب تشفير ومصادقة قوية، مما يوفر مستوى مرتفعا من الأمان لاتصالات VPN.
يقدم هذا المستند مثالا لتكوين الإصدار 7.2.0 من FTD والإصدارات الأحدث، والذي يسمح بالوصول عن بعد إلى شبكة VPN لاستخدام أمان طبقة النقل (TLS) و IKEv2. كعميل، يمكن إستخدام Cisco AnyConnect، وهو مدعوم على أنظمة أساسية متعددة.
تكون الشهادات ضرورية عند تكوين AnyConnect.
هناك قيود على التسجيل اليدوي للشهادة:
1. في FTD، يلزم الحصول على شهادة المرجع المصدق (CA) قبل إنشاء طلب توقيع الشهادة (CSR).
2. إذا تم إنشاء الأجزاء القابلة للاستبدال بواسطة العميل نفسه (CSR) خارجيا، يتم إستخدام طريقة مختلفة من PKCS12.
هناك العديد من الطرق للحصول على شهادة على جهاز FTD، ولكن الطريقة الآمنة والسهلة هي إنشاء CSR وتوقيعه من قبل CA. وإليك طريقة القيام بذلك:
1. انتقل إلىObjects > Object Management > PKI > Cert Enrollment
، وانقر فوقAdd Cert Enrollment
.
2. أدخل اسمRAVPN-SSL-cert
TrustPoint .
3. تحتCA Information
علامة التبويب، أختر نوع التسجيل على هيئةManual
ولصق شهادة المرجع المصدق كما هو موضح في الصورة.
FMC - شهادة CA
4. تحتCertificate Parameters
، أدخل اسم الموضوع. على سبيل المثال:
FMC - معلمات الشهادة
5. تحتKey
علامة التبويب، أختر نوع المفتاح، وقم بتوفير اسم وحجم البت. بالنسبة ل RSA، يكون الحد الأدنى ل 2048 وحدة بت.
6. انقرSave
.
FMC - مفتاح الشهادة
7. انتقل إلىDevices > Certificates > Add > New Certificate
.
8. أخترDevice
. تحت
Cert Enrollment
، أختر TrustPoint الذي تم إنشاؤه، وانقرAdd
كما هو موضح في الصورة.
FMC - تسجيل الشهادة في FTD
9. انقرID
، ويتم عرض مطالبة بإنشاء CSR، أخترYes
.
FMC - شهادة CA مسجلة
FMC - إنشاء CSR
10. يتم إنشاء CSR الذي يمكن مشاركته مع CA للحصول على شهادة الهوية.
11. بعد تلقي شهادة الهوية من CA بتنسيق base64، إخترها من القرص بالنقرBrowse Identity Certificate
Import
كما هو موضح في الصورة.
FMC - إستيراد شهادة الهوية
12. بمجرد نجاح الاستيراد، ينظر إلى نقطةRAVPN-SSL-cert
الثقة على أنها:
FMC - نجاح تسجيل TrustPoint
1. انتقل إلىObjects > Object Management > RADIUS Server Group > Add RADIUS Server Group
.
2. أدخل الاسمISE
وأضف خوادم RADIUS بالنقر فوق+
.
FMC - تكوين خادم RADIUS
3. أذكر عنوان IP الخاص بخادم ISE Radius مع السر المشترك (المفتاح) وهو نفسه الموجود على خادم ISE.
4. أختر إماRouting
أوSpecific Interface
الذي يتصل من خلاله برنامج الإرسال فائق السرعة (FTD) بخادم ISE.
5. انقرSave
كما هو موضح في الصورة.
FMC - خادم ISE
6. بمجرد حفظها، تتم إضافة الخادم ضمنRADIUS Server Group
كما هو موضح في الصورة.
FMC - مجموعة خوادم RADIUS
1. انتقل إلىNetwork Devices
، وانقر إلىAdd
.
2. أدخل اسم "Cisco-RADIUS" للخادم وعميل RADIUSIP Address
الذي هو واجهة اتصال FTD.
3. تحتRadius Authentication Settings
، أضفShared Secret
.
4. انقرSave
.
ISE - أجهزة الشبكة
5. لإنشاء مستخدمين، انتقل إلىNetwork Access > Identities > Network Access Users
، وانقر فوق Add
.
6. قم بإنشاء كلمة مرور UserNameAndLogin حسب الحاجة.
ISE - المستخدمون
7. من أجل إعداد السياسة الأساسية، انتقل إلىPolicy > Policy Sets > Default > Authentication Policy > Default
، واخترAll_User_ID_Stores
.
8. انتقل إلىPolicy > Policy Sets > Default > Authorization Policy > Basic_Authenticated_Access,
واخترPermitAccess
كما هو موضح في الصورة.
ISE - سياسة المصادقة
ISE - سياسة التخويل
1. انتقل إلىObjects > Object Management > Address Pools > Add IPv4 Pools
.
2. أدخل الاسمRAVPN-Pool
ونطاق العنوان، والقناع إختياري.
3. انقر فوق حفظ.
FMC - تجمع العناوين
1. انتقل إلىObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
2. أدخل الاسمanyconnect-win-4.10.07073-webdeploy
وانقر فوقBrowse
لاختيار ملف AnyConnect من القرص، انقرSave
كما هو موضح في الصورة.
FMC - صورة عميل AnyConnect
1. قم بتنزيل محرر ملف التعريف منsoftware.cisco.com
وفتحه.
2. انتقل إلى Server List > Add
..
3. أدخل اسم العرضRAVPN-IKEV2
FQDN
مع مجموعة المستخدمين (اسم الاسم المستعار).
4. أختر البروتوكول الأساسي كما IPsec
,
انقر Ok
كما هو موضح في الصورة.
محرر ملف التعريف - قائمة الخوادم
5. تتم إضافة قائمة الخوادم. حفظ باسمClientProfile.xml
.
محرر ملف التعريف - ClientProfile.xml
1. انتقل إلىObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
2. أدخل اسماClientProfile
وانقر فوقBrowse
لاختيارClientProfile.xml
ملف من القرص.
3. انقر Save
.
FMC - ملف تعريف AnyConnect VPN
1. انتقل إلىDevices > VPN > Remote Access
وانقر+
لإضافة ملف تعريف اتصال كما هو موضح في الصورة.
FMC - ملف تعريف اتصال الوصول عن بعد
2. أدخل اسمRAVPN-IKEV2
ملف تعريف الاتصال وقم بإنشاء نهج مجموعة بالنقر فوق +
كما هو Group Policy
موضح في الصورة.
FMC - سياسة المجموعة
3. أدخل الاسمRAVPN-group-policy
، أختر بروتوكولات VPN SSL and IPsec-IKEv2
كما هو موضح في الصورة.
FMC - بروتوكولات VPN
4. تحتAnyConnect > Profile
، أختر ملف تخصيص XMLClientProfile
من القائمة المنسدلة، وانقرSave
كما هو موضح في الصورة.
FMC - ملف تعريف AnyConnect
5. أضف تجمع العناوينRAVPN-Pool
بالنقر فوق+
as shown in the image
.
FMC - تعيين عنوان العميل
6. انتقل إلىAAA > Authentication Method
، واخترAAA Only
.
7. أخترAuthentication Server
ISE (RADIUS)
.
FMC - مصادقة AAA
8. انتقل إلىAliases
، وأدخل اسمRAVPN-IKEV2
مستعار، والذي يتم إستخدامه كمجموعة مستخدمين فيClientProfile.xml
.
9. انقرSave
.
FMC - أسماء مستعارة
10. انتقل إلىAccess Interfaces
، واختر الواجهة التي يجب تمكين RAVPN IKEv2 بها.
11. أختر شهادة الهوية لكل من SSL و IKEv2.
12. انقرSave
.
FMC - واجهات الوصول
13. انتقل إلى Advanced
.
14. أضف صور AnyConnect Client بالنقر فوق+
.
FMC - حزمة AnyConnect Client
15. تحتIPsec
، أضفCrypto Maps
كما هو موضح في الصورة.
FMC - خرائط التشفير
16. تحتIPsec
، أضفIKE Policy
بنقر+
.
FMC - سياسة IKE
17. تحتIPsec
، أضفIPsec/IKEv2 Parameters
.
FMC - معلمات IPsec/IKEv2
18. تحتConnection Profile
، خلقتRAVPN-IKEV2
توصيف جديد.
19.Save
النسخ الموضحة في الصورة.
FMC - مرجع الاتصال RAPN-IKEV2
20. قم بنشر التكوين.
FMC - نشر بروتوكول FTD
ملف التعريف الموجود على الكمبيوتر، محفوظ ضمن C:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile
.
<?xml version="1.0" encoding="UTF-8"?> <AnyConnectProfile xmlns="http://schemas[dot]xmlsoap<dot>org/encoding/" xmlns:xsi="http://www[dot]w3<dot>org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas[dot]xmlsoap[dot]org/encoding/ AnyConnectProfile.xsd"> <ClientInitialization> <UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon> <AutomaticCertSelection UserControllable="true">false </AutomaticCertSelection> <ShowPreConnectMessage>false</ShowPreConnectMessage> <CertificateStore>All</CertificateStore> <CertificateStoreOverride>false</CertificateStoreOverride> <ProxySettings>Native</ProxySettings> <AllowLocalProxyConnections>true</AllowLocalProxyConnections> <AuthenticationTimeout>12</AuthenticationTimeout> <AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart> <MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect> <LocalLanAccess UserControllable="true">false</LocalLanAccess> <ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin> <AutoReconnect UserControllable="false">true <AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend </AutoReconnectBehavior> </AutoReconnect> <AutoUpdate UserControllable="false">true</AutoUpdate> <RSASecurIDIntegration UserControllable="true">Automatic </RSASecurIDIntegration> <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment> <AutomaticVPNPolicy>false</AutomaticVPNPolicy> <PPPExclusion UserControllable="false">Disable <PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP> </PPPExclusion> <EnableScripting UserControllable="false">false</EnableScripting> <EnableAutomaticServerSelection UserControllable="false">false <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement> <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime> </EnableAutomaticServerSelection> <RetainVpnOnLogoff>false </RetainVpnOnLogoff> </ClientInitialization> <ServerList> <HostEntry>RAVPN-IKEV2 ftd.cisco.com RAVPN-IKEV2 IPsec </HostEntry> </ServerList> </AnyConnectProfile>
ملاحظة: يوصى بتعطيل عميل SSL كبروتوكول اتصال نفقي بموجب نهج المجموعة بمجرد تنزيل ملف تعريف العميل إلى جهاز الكمبيوتر الشخصي لجميع المستخدمين. وهذا يضمن إمكانية اتصال المستخدمين بشكل حصري باستخدام بروتوكول الاتصال النفقي ل IKEv2/IPsec.
يمكنك إستخدام هذا القسم للتأكد من أن التكوين لديك يعمل بشكل صحيح.
1. بالنسبة للاتصال الأول، أستخدم FQDN/IP لإنشاء اتصال SSL من جهاز الكمبيوتر الشخصي للمستخدم من خلال AnyConnect.
2. في حالة تعطيل بروتوكول SSL وعدم إمكانية تنفيذ الخطوة السابقة، تأكد من وجودClientProfile.xml
ملف تعريف العميل على الكمبيوتر الشخصي ضمن المسارC:\ProgramData\Cisco\Cisco Anyconnect Secure Mobility Client\Profile
.
3. أدخل اسم المستخدم وكلمة المرور للمصادقة بمجرد طلبها.
4. بعد المصادقة الناجحة، يتم تنزيل ملف تعريف العميل على جهاز كمبيوتر المستخدم.
5. قطع الاتصال ب AnyConnect.
6. بمجرد تنزيل ملف التعريف، أستخدم القائمة المنسدلة لاختيار اسم المضيف المذكور في ملف تعريف العميل RAVPN-IKEV2
للاتصال ب AnyConnect باستخدام IKEv2/IPsec.
7. انقرConnect
.
القائمة المنسدلة AnyConnect
8. أدخل اسم المستخدم وكلمة المرور للمصادقة التي تم إنشاؤها على خادم ISE.
اتصال AnyConnect
9. التحقق من ملف التعريف والبروتوكول (IKEv2/IPsec) المستخدم بمجرد الاتصال.
AnyConnect متصل
مخرجات واجهة سطر الأوامر في FTD:
firepower# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Username : ikev2-user Index : 9 Assigned IP : 10.1.1.1 Public IP : 10.106.55.22 Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent License : AnyConnect Premium Encryption : IKEv2: (1)AES256 IPsecOverNatT: (1)AES-GCM-256 AnyConnect-Parent: (1)none
Hashing : IKEv2: (1)SHA512 IPsecOverNatT: (1)none AnyConnect-Parent: (1)none Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : RAVPN-group-policy Tunnel Group : RAVPN-IKEV2
Login Time : 07:14:08 UTC Thu Jan 4 2024
Duration : 0h:00m:08s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5e205000090006596618c
Security Grp : none Tunnel Zone : 0
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 9.1
Public IP : 10.106.55.22
Encryption. : none. Hashing : none
Auth Mode : userPassword
Idle Time out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : 4.10.07073
IKEv2:
Tunnel ID : 9.2
UDP Src Port : 65220 UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption : AES256 Hashing : SHA512
Rekey Int (T): 86400 Seconds Rekey Left(T): 86391 Seconds
PRF : SHA512 D/H Group : 19
Filter Name :
Client OS : Windows Client Type : AnyConnect
IPsecOverNatT:
Tunnel ID : 9.3
Local Addr : 0.0.0.0/0.0.0.0/0/0
Remote Addr : 10.1.1.1/255.255.255.255/0/0
Encryption : AES-GCM-256 Hashing : none
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T) : 28791 Seconds
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 450 Bytes Rx : 656
Pkts Tx : 6 Pkts Rx : 8
firepower# show crypto ikev2 sa
IKEv2 SAs:
Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status Role
16530741 10.197.167.5/4500 10.106.55.22/65220 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:19, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/17 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.1.1.1/0 - 10.1.1.1/65535
ESP spi in/out: 0x6f7efd61/0xded2cbc8
firepower# show crypto ipsec sa
interface: Outside
Crypto map tag: CSM_Outside_map_dynamic, seq num: 30000, local addr: 10.197.167.5
Protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)
current_peer: 10.106.55.22, username: ikev2-user
dynamic allocated peer ip: 10.1.1.1
dynamic allocated peer ip(ipv6): 0.0.0.0
#pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 10.197.167.5/4500, remote crypto endpt.: 10.106.55.22/65220
path mtu 1468, ipsec overhead 62(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: DED2CBC8
current inbound spi : 6F7EFD61
inbound esp sas:
spi: 0x6F7EFD61 (1870593377)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x000001FF
outbound esp sas:
spi: 0xDED2CBC8 (3738356680)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, IKEv2, }
slot: 0, conn_id: 9, crypto-map: CSM_Outside_map_dynamic
sa timing: remaining key lifetime (sec): 28723
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
سجلات ISE:
ISE - السجلات المباشرة
يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.
debug radius all
debug crypto ikev2 platform 255
debug crypto ikev2 protocol 255
debug crypto ipsec 255
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
06-Feb-2024 |
الإصدار الأولي |