أستكشاف أخطاء إتصالات AnyConnect الشائعة على FTD وإصلاحها
المحتويات
المقدمة
يصف هذا المستند كيفية أستكشاف أخطاء بعض مشاكل الاتصال الأكثر شيوعا الخاصة ب Cisco AnyConnect Secure Mobility Client على الدفاع عن تهديد FirePOWER (FTD) عند إستخدامه إما طبقة مأخذ التوصيل الآمنة (SSL) أو الإصدار 2 من تبادل مفتاح الإنترنت (IKEv2).
تمت المساهمة من قبل أنجل أورتيز وفرناندو جيمينيز، مهندسي TAC من Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- Cisco AnyConnect Secure Mobility Client.
- برنامج FTD من Cisco.
- مركز إدارة FireSIGHT (FMC) من Cisco.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- تتم إدارة برنامج الإرسال فائق السرعة (FTD) بواسطة وحدة التحكم FMC الإصدار 6. 4. 0.
- AnyConnect 4. 8.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
عملية أستكشاف الأخطاء وإصلاحها الموصى بها
يشرح هذا الدليل كيفية أستكشاف أخطاء بعض مشكلات الاتصال الشائعة التي يواجهها عملاء AnyConnect وإصلاحها عند إستخدام FTD كبوابة شبكة الوصول عن بعد الخاصة الظاهرية (VPN). تعالج هذه الأقسام المشاكل التالية وتوفر لها حلولا:
- يتعذر على عملاء AnyConnect الوصول إلى الموارد الداخلية.
- لا يتوفر لعملاء AnyConnect حق الوصول إلى الإنترنت.
- يتعذر على عملاء AnyConnect الاتصال فيما بينهم.
- يتعذر على عملاء AnyConnect إنشاء مكالمات هاتفية.
- يمكن لعملاء AnyConnect إنشاء المكالمات الهاتفية. ومع ذلك، لا يوجد صوت في المكالمات.
يتعذر على عملاء AnyConnect الوصول إلى الموارد الداخلية
أكمل الخطوات التالية:
الخطوة 1. تحقق من تكوين نفق التقسيم.
- انتقل إلى ملف تعريف الاتصال المتصل به عملاء AnyConnect: أجهزة > VPN > الوصول عن بعد > ملف تعريف الاتصال > تحديد ملف التعريف.
- انتقل إلى نهج المجموعة المعين ل Profile: Edit Group Policy > عام.
- تحقق من تكوين تقسيم الاتصال النفقي، كما هو موضح في الصورة.
- إذا تم تكوينه كشبكات نفق محددة أدناه، فتحقق من تكوين قائمة التحكم في الوصول (ACL):
انتقل إلى الكائنات > إدارة الكائن > قائمة الوصول > تحرير قائمة الوصول للاتصال النفقي المنقسم.
- تأكد من إدراج الشبكات التي تحاول الوصول إليها من عميل AnyConnect VPN في قائمة الوصول تلك، كما هو موضح في الصورة.
الخطوة 2. تحقق من تكوين إستثناء ترجمة عنوان الشبكة (NAT).
تذكرت أن نحن ينبغي شكلت nat إعفاء قاعدة أن يتجنب حركة مرور أن يكون ترجمت إلى القارن عنوان، عادة يشكل ل إنترنت منفذ منفذ عنوان (مع ترجمة عنوان أيسر (ضرب)).
- انتقل إلى تكوين nat: أجهزة > NAT.
- ضمنت أن شكلت ال nat إستثناء قاعدة ل ال يصح مصدر (داخلي) وغاية (AnyConnect VPN بركة) شبكة. تحقق أيضا من تحديد واجهات المصدر والوجهة الصحيحة، كما هو موضح في الصورة.
الخطوة 3. التحقق من سياسة التحكم في الوصول.
حسب تكوين نهج التحكم في الوصول، تأكد من السماح لحركة مرور البيانات من عملاء AnyConnect بالوصول إلى الشبكات الداخلية المحددة، كما هو موضح في الصورة.
لا يتوفر لعملاء AnyConnect حق الوصول إلى الإنترنت
هناك سيناريوهان محتملان لهذه المسألة.
- يجب ألا تمر حركة المرور الموجهة للإنترنت عبر نفق VPN.
تأكد من تكوين "نهج المجموعة" للاتصال النفقي المنقسم كشبكات نفق محددة أدناه وليس كالسماح لجميع حركة المرور عبر النفق، كما هو موضح في الصورة.
2. يجب أن تمر حركة المرور الموجهة إلى الإنترنت عبر نفق VPN.
في هذه الحالة، سيكون تكوين نهج المجموعة الأكثر شيوعا للاتصال النفقي المنقسم هو تحديد السماح لجميع حركة المرور عبر النفق، كما هو موضح في الصورة.
الخطوة 1. تحقق من تكوين إعفاء NAT لقابلية الوصول إلى الشبكة الداخلية.
تذكر أنه لا يزال يتعين علينا تكوين قاعدة إستثناء NAT للحصول على حق الوصول إلى الشبكة الداخلية. يرجى مراجعة الخطوة 2 من يتعذر على عملاء AnyConnect الوصول إلى المورد الداخلي قسم.
الخطوة 2. تحقق من تكوين إعادة التوجيه للترجمات الديناميكية.
لكي يتمكن عملاء AnyConnect من الوصول إلى الإنترنت من خلال نفق VPN، نحن بحاجة إلى التأكد من أن تكوين وضع كلمة مرور NAT صحيح حتى تتم ترجمة حركة المرور إلى عنوان IP الخاص بالواجهة.
- انتقل إلى تكوين nat: أجهزة > NAT.
- ضمنت أن شكلت الحركي nat قاعدة يكون ل ال يصح قارن (إنترنت خدمة مزود (isp) خطوة) كمصدر وغاية (يقارن). تحقق أيضا من تحديد الشبكة المستخدمة لتجمع عناوين AnyConnect VPN في المصدر الأصلي وواجهة الوجهة يتم تحديد الخيار للمصدر المترجم، كما هو موضح في الصورة.
الخطوة 3. التحقق من سياسة التحكم في الوصول.
حسب تكوين نهج التحكم في الوصول، تأكد من السماح لحركة مرور البيانات من عملاء AnyConnect بالوصول إلى الموارد الخارجية، كما هو موضح في الصورة.
يتعذر على عملاء AnyConnect الاتصال فيما بين بعضهم البعض
هناك سيناريوهان محتملان لهذه المسألة:
- عملاء AnyConnect مع السماح لكل حركة المرور عبر النفق التكوين في موضعه.
- عملاء AnyConnect مع شبكات الأنفاق المحددة أدناه التكوين في موضعه.
- عملاء AnyConnect مع السماح لكل حركة المرور عبر النفق التكوين في موضعه.
متى السماح لكل حركة المرور عبر النفق تم تكوينها ل AnyConnect تعني أنه يجب إعادة توجيه جميع حركات مرور البيانات، الداخلية والخارجية، إلى وحدة الاستقبال والبث الخاصة ب AnyConnect، وهذا يصبح مشكلة عندما يكون لديك NAT للوصول العام إلى الإنترنت، نظرا لأن حركة المرور تأتي من عميل AnyConnect الموجه إلى عميل AnyConnect آخر تتم ترجمتها إلى عنوان IP للواجهة وبالتالي يفشل الاتصال.
الخطوة 1. دققت nat إعفاء تشكيل.
للتغلب على هذه المشكلة، يجب تكوين قاعدة إستثناء NAT يدوية للسماح بالاتصال ثنائي الإتجاه داخل عملاء AnyConnect.
- انتقل إلى تكوين nat: أجهزة > NAT.
- ضمنت أن شكلت ال nat إستثناء قاعدة ل المصدر صحيح (AnyConnect VPN بركة) وغاية. (تجمع AnyConnect VPN) الشبكات. تحقق أيضا من أن تكوين دبوس الشعر الصحيح في موضعه، كما هو موضح في الصورة.
الخطوة 2. التحقق من سياسة التحكم في الوصول.
حسب تكوين نهج التحكم في الوصول، تأكد من السماح بحركة مرور البيانات من عملاء AnyConnect، كما هو موضح في الصورة.
2. عملاء AnyConnect مع شبكات الأنفاق المحددة أدناه التكوين في موضعه.
مع شبكات الأنفاق المحددة أدناه التي تم تكوينها لعملاء AnyConnect، تتم إعادة توجيه حركة مرور معينة فقط إلى عبر نفق VPN. ومع ذلك، نحن بحاجة إلى التأكد من أن وحدة الاستقبال والبث تحتوي على التكوين المناسب للسماح بالاتصال داخل عملاء AnyConnect.
الخطوة 1. دققت nat إعفاء تشكيل.
يرجى التحقق من الخطوة 1، في قسم السماح لكل حركة المرور عبر النفق.
الخطوة 2. تحقق من تكوين تقسيم الاتصال النفقي.
لكي يتصل عملاء AnyConnect فيما بينهم، نحتاج إلى إضافة عناوين تجمع VPN إلى قائمة التحكم في الوصول (ACL) الخاصة بالنفق المقسم.
- يرجى اتباع الخطوة 1 من يتعذر على عملاء AnyConnect الوصول إلى الموارد الداخلية قسم.
- تأكد من سرد شبكة تجمع AnyConnect VPN في قائمة الوصول الخاصة بتقسيم الاتصال النفقي، كما هو موضح في الصورة.
الخطوة 3. التحقق من سياسة التحكم في الوصول.
تأكد من السماح بحركة المرور من عملاء AnyConnect كما هو موضح في الصورة.
يتعذر على عملاء AnyConnect إنشاء مكالمات هاتفية
هناك بعض السيناريوهات التي يحتاج فيها عملاء AnyConnect إلى إنشاء مكالمات هاتفية ومؤتمرات فيديو عبر شبكة VPN.
يمكن لعملاء AnyConnect الاتصال بمحطة الاستقبال والبث الخاصة ب AnyConnect دون أي مشكلة. يمكن أن تصل إلى الموارد الداخلية والخارجية، ولكن لا يمكن إجراء المكالمات الهاتفية.
وبالنسبة لهذه الحالات، يتعين علينا أن نأخذ في الاعتبار النقاط التالية:
- طبولوجيا الشبكة للصوت.
- البروتوكولات المعنية. أي بروتوكول بدء جلسة عمل (SIP)، وبروتوكول شجرة الامتداد السريع (RSTP)، وما إلى ذلك.
- كيفية توصيل هواتف الشبكة الخاصة الظاهرية (VPN) ب Cisco Unified Communications Manager (CUCM).
بشكل افتراضي، يحتوي FTD و ASA على فحص التطبيقات الذي تم تمكينه بشكل افتراضي في خريطة السياسة العامة الخاصة بهما.
في معظم الحالات السيناريوهات تكون هواتف الشبكة الخاصة الظاهرية (VPN) غير قادرة على إنشاء اتصال موثوق به مع CUCM لأن وحدة الاستقبال والبث الخاصة ب AnyConnect تحتوي على فحص تطبيق تم تمكينه ليعدل حركة مرور الإشارة والصوت.
لمزيد من المعلومات حول تطبيق الصوت والفيديو حيث يمكنك تطبيق فحص التطبيق راجع الوثيقة التالية:
الفصل: التفتيش على بروتوكولات الصوت والفيديو
لتأكيد ما إذا تم إسقاط حركة مرور تطبيق أو تعديلها بواسطة خريطة السياسة العامة، يمكننا إستخدام الأمر show service-policy كما هو موضح أدناه.
firepower#show service-policy
Global policy:
Service-policy: global_policy
Class-map: inspection_default
.
.
Inspect: sip , packet 792114, lock fail 0, drop 10670, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
.
في هذه الحالة يمكننا أن نرى كيف أن فحص SIP يسقط الحركة مرور.
علاوة على ذلك، يمكن أن يترجم فحص SIP أيضا عناوين IP داخل الحمولة، وليس في رأس IP، مما يتسبب في مشاكل مختلفة، ومن ثم يوصى بتعطيلها عندما نريد إستخدام الخدمات الصوتية عبر AnyConnect VPN.
in order to أعجزت هو يحتاج أن يتم الخطوة تالي:
الخطوة 1. أدخل وضع EXEC ذي الامتيازات.
للحصول على مزيد من المعلومات حول كيفية الوصول إلى هذا الوضع، راجع المستند التالي:
الفصل: إستخدام واجهة سطر الأوامر (CLI)
الخطوة 2. تحقق من خريطة السياسة العامة.
قم بتشغيل الأمر التالي والتحقق من تمكين فحص SIP.
firepower#show running-config policy-map
.
.
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect icmp error
inspect esmtp
الخطوة 3. تعطيل فحص SIP.
إذا تم تمكين فحص SIP، فقم بإيقاف تشغيله الأمر الجاري تشغيله أدناه من موجه clish:
> configure inspection sip disable
الخطوة 4. تحقق من تعيين النهج العام مرة أخرى.
تأكد من تعطيل فحص SIP من خريطة السياسة العامة:
firepower#show running-config policy-map
.
.
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect icmp error
inspect esmtp
يمكن لعملاء AnyConnect إنشاء المكالمات الهاتفية، ولكن لا يوجد صوت على المكالمات
كما هو موضح في القسم السابق، فإن الحاجة الشائعة جدا لعملاء AnyConnect هي إنشاء مكالمات هاتفية عند الاتصال بالشبكة الخاصة الظاهرية (VPN). في بعض الحالات يمكن تحديد المكالمة، ولكن قد يعاني العملاء من نقص الصوت فيها. ينطبق هذا على السيناريوهات التالية:
- لا يوجد صوت في المكالمة بين عميل AnyConnect ورقم خارجي.
- لا يوجد صوت في المكالمة بين عميل AnyConnect وعميل AnyConnect آخر.
من أجل إصلاح هذا، يمكننا اتباع الخطوات التالية:
الخطوة 1. تحقق من تكوين تقسيم الاتصال النفقي.
- انتقل إلى ملف تعريف الاتصال المستخدم للاتصال ب: أجهزة > VPN > الوصول عن بعد > ملف تعريف الاتصال > تحديد ملف التعريف.
- انتقل إلى نهج المجموعة المعين ل Profile: Edit Group Policy > عام.
- تحقق من تكوين تقسيم الاتصال النفقي، كما هو موضح في الصورة.
- في حالة تكوينه على هيئة شبكات الأنفاق المحددة أدناه، التحقق من تكوين قائمة الوصول: كائنات > إدارة الكائن > قائمة الوصول > تحرير قائمة الوصول للاتصال النفقي المنقسم.
- تأكد من سرد الخوادم الصوتية وشبكات تجمع IP من AnyConnect في قائمة الوصول عبر الاتصال النفقي المنقسم، كما هو موضح في الصورة.
الخطوة 2. دققت nat إعفاء تشكيل.
يجب تكوين قواعد إستثناء NAT لإعفاء حركة المرور من شبكة AnyConnect VPN إلى شبكة الخوادم الصوتية وكذلك للسماح بالاتصال ثنائي الإتجاه داخل عملاء AnyConnect.
- انتقل إلى تكوين nat: أجهزة > NAT.
- تأكد من تكوين قاعدة إستثناء NAT لشبكات المصدر الصحيح (خوادم الصوت) والوجهة (تجمع AnyConnect VPN)، وقاعدة NAT الخاصة بمؤشر الأداء للسماح لعميل AnyConnect باتصال عميل AnyConnect في موضعها. علاوة على ذلك، تأكد من أن تكوين الواجهات الواردة والصادرة الصحيح في موضعه لكل قاعدة، لكل تصميم شبكتك، كما هو موضح في الصورة.
الخطوة 3. تحقق من تعطيل فحص SIP.
الرجاء مراجعة القسم السابق يتعذر على عملاء AnyConnect إنشاء مكالمات هاتفية لمعرفة كيفية تعطيل فحص SIP.
الخطوة 4. التحقق من سياسة التحكم في الوصول.
حسب تكوين نهج التحكم في الوصول، تأكد من السماح لحركة مرور البيانات من عملاء AnyConnect بالوصول إلى خوادم الصوت والشبكات المعنية، كما هو موضح في الصورة.
معلومات ذات صلة
- يقدم هذا الفيديو مثال التكوين للمشاكل المختلفة التي تمت مناقشتها في هذا المستند.
- للحصول على مساعدة إضافية، يرجى الاتصال بمركز المساعدة التقنية (TAC). يلزم عقد دعم صالح: جهات اتصال دعم Cisco في جميع أنحاء العالم.
- يمكنك أيضا زيارة مجتمع Cisco VPN هنا.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
26-Oct-2020 |
الإصدار الأولي |
التعليقات