تكوين وضعية ISE عبر AnyConnect Remote Access VPN على FTD

خيارات التنزيل

  • PDF     (5.6 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (6.0 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (4.8 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٥ مايو ٢٠٢٣
معرّف المستند:215236

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تكوين الإصدار 6.4.0 من "الدفاع عن تهديد FirePOWER (FTD)" لتهيئة مستخدمي VPN مقابل محرك خدمات الهوية (ISE).

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • AnyConnect Remote Access VPN
    • تكوين VPN للوصول عن بعد على FTD
    • خدمات وضعية محرك خدمات الهوية

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

    • برنامج الدفاع عن تهديد FirePOWER (FTD) من Cisco، الإصدار 6.4.0
    • برنامج Cisco Firepower Management Console (FMC)، الإصدار 6.5.0
    • Microsoft Windows 10 مع Cisco AnyConnect Secure Mobility Client، الإصدار 4.7
    • Cisco Identity Services Engine (ISE)، الإصدار 2.6 مع Patch 3

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    الرسم التخطيطي للشبكة وتدفق حركة مرور البيانات

    Flow diagram

    1. يستخدم المستخدم البعيد Cisco AnyConnect للوصول إلى VPN إلى FTD.

    2. يرسل FTD طلب وصول RADIUS لذلك المستخدم إلى ISE.

    3. يؤثر هذا الطلب على السياسة المسماة FTD-VPN-Posture-Unknown على ISE. يرسل ISE قبول وصول RADIUS بثلاثة سمات:

    • cisco-av-pair = url-redirect-acl=fyusifovredirect - هذا هو اسم قائمة التحكم في الوصول (ACL) الذي تم تعريفه محليا على FTD، والذي يقرر حركة مرور البيانات التي يتم إعادة توجيهها.
    • Cisco-av-pair = url-redirect=https://ip:port/portal/gateway?sessionId=SessionIdValue&portal=27b1bc30-2e58-11e9-98fb-0050568775a3&action=cpp - هذا هو عنوان URL الذي يتم إعادة توجيه المستخدم البعيد إليه.
    • DACL = ALLOWED_ALL_IPv4_TRAFFIC - قائمة التحكم في الوصول (ACL) القابلة للتنزيل هذه السمة إختيارية. في هذا السيناريو، يتم السماح بجميع حركات مرور البيانات في قائمة التحكم في الوصول الخاصة بالمنفذ (DACL)

    4. في حالة إرسال قائمة التحكم في الوصول للبنية الأساسية (DACL)، يتم تبادل طلب وصول RADIUS/قبول الوصول من أجل تنزيل محتوى قائمة التحكم في الوصول للبنية الأساسية (DACL)

    5. عند تطابق حركة المرور من مستخدم الشبكة الخاصة الظاهرية (VPN) مع قائمة التحكم في الوصول (ACL) المحددة محليا، تتم إعادة توجيهها إلى بوابة إمداد عميل ISE. توفر ISE AnyConnect Posture Module ووحدة التوافق.

    6. بعد تثبيت الوكيل على جهاز العميل، يقوم تلقائيا بالبحث عن ISE باستخدام المسابير. عند اكتشاف ISE بنجاح، يتم التحقق من متطلبات الوضع على نقطة النهاية. في هذا المثال، يتحقق العميل من وجود أي برنامج مثبت لمكافحة البرامج الضارة. ثم يرسل تقرير حالة إلى ISE.

    7. عندما يستقبل ISE تقرير الحالة من الوكيل، يقوم ISE بتغيير حالة الوضع لجلسة العمل هذه ويطلق دفع نوع RADIUS CoA مع سمات جديدة. هذه المرة، تكون حالة الوضع معروفة ويتم الوصول إلى قاعدة أخرى.

    • إذا كان المستخدم متوافقا، فسيتم إرسال اسم DACL يسمح بالوصول الكامل.
    • إذا كان المستخدم غير متوافق، فسيتم إرسال اسم DACL يسمح بالوصول المحدود.

    8. يزيل "برنامج الإرسال فائق السرعة (FTD)" إعادة التوجيه. يرسل FTD طلب الوصول من أجل تنزيل DACL من ISE. يتم إرفاق قائمة التحكم في الوصول (DACL) المحددة بجلسة عمل الشبكة الخاصة الظاهرية (VPN).


    التكوينات

    FTD/FMC

    الخطوة 1. قم بإنشاء مجموعة كائنات الشبكة لخوادم ISE والمعالجة (إن وجدت). انتقل إلى كائنات > إدارة الكائن > الشبكة.

    ASA configuration - Create Network Object Group for ISE and Remediation Servers (if any)


    الخطوة 2. إنشاء قائمة تحكم في الوصول (ACL) لإعادة التوجيه. انتقل إلى كائنات > إدارة الكائن > قائمة الوصول > موسع. انقر فوق إضافة قائمة الوصول الموسعة وتقديم اسم قائمة التحكم في الوصول (ACL) لإعادة التوجيه. يجب أن يكون هذا الاسم هو نفسه الموجود في نتيجة تخويل ISE.

    ASA configuration - Create Redirect ACL


    الخطوة 3. إضافة إدخالات قائمة التحكم في الوصول (ACL) المعاد توجيهها. انقر فوق الزر إضافة. حظر حركة المرور إلى DNS و ISE وخوادم الإصلاح لاستبعادهم من إعادة التوجيه. السماح ببقية حركة المرور، يؤدي هذا إلى تشغيل إعادة التوجيه (يمكن أن تكون إدخالات قائمة التحكم في الوصول أكثر تحديدا إذا لزم الأمر).

    ASA configuration - Add Redirect ACL Entries

    ASA configuration - Add Redirect ACL Entries


    الخطوة 4. إضافة عقدة/عقد ISE PSN. انتقل إلى كائنات > إدارة الكائن > مجموعة خوادم RADIUS. انقر فوق إضافة مجموعة خوادم RADIUS، ثم قم بتوفير الاسم، وقم بتمكين تحديد كل خانات الاختيار وانقر فوق أيقونة زائد.

    ASA configuration - Add ISE PSN node/nodes

    الخطوة 5. في النافذة المفتوحة، قم بتوفير عنوان IP ل ISE PSN، ومفتاح RADIUS، وحدد واجهة محددة وحدد الواجهة التي يمكن الوصول من خلالها إلى ISE (يتم إستخدام هذه الواجهة كمصدر لحركة مرور RADIUS) ثم حدد قائمة التحكم في الوصول لإعادة توجيه ACL التي تم تكوينها مسبقا.

    ASA configuration - Provide ISE PSN IP address


    الخطوة 6. قم بإنشاء تجمع عناوين لمستخدمي VPN. انتقل إلى الكائنات > إدارة الكائن > مجموعات العناوين > تجمعات IPv4. انقر فوق إضافة تجمعات IPv4 وقم بتعبئة التفاصيل.

    ASA configuration - Create Address Pool for VPN users


    الخطوة 7. إنشاء حزمة AnyConnect. انتقل إلى كائنات > إدارة الكائن > VPN > ملف AnyConnect. انقر فوق إضافة ملف AnyConnect، وأدخل اسم الحزمة، وقم بتنزيل الحزمة من تنزيل برامج Cisco Software وحدد نوع ملف صورة عميل AnyConnect.

    ASA configuration - Create AnyConnect package


    الخطوة 8. انتقل إلى كائنات الترخيص > إدارة الكائن > PKI > تسجيل الشهادة. انقر فوق إضافة تسجيل الثقة، قم بتوفير الاسم، واختر شهادة موقعة ذاتيا في نوع التسجيل. انقر فوق علامة التبويب معلمات الشهادة وقم بتوفير CN.

    ASA configuration - Cert Enrollment

    ASA configuration - Cert Enrollment

    الخطوة 9. تشغيل معالج VPN للوصول عن بعد. انتقل إلى الأجهزة > VPN > الوصول عن بعد وانقر فوق إضافة.

    ASA configuration - Launch Remote Access VPN wizard

    الخطوة 10. قم بتوفير الاسم، وفحص SSL كبروتوكول VPN، واختر FTD الذي يتم إستخدامه كمركز VPN وانقر على التالي.

    ASA configuration - configure FTD use as vpn concentrator

    الخطوة 11. توفير اسم ملف تعريف الاتصال، وتحديد خوادم المصادقة/المحاسبة، وتحديد تجمع العناوين الذي تم تكوينه مسبقا، ثم انقر على التالي.

    ملاحظة: لا تحدد خادم التخويل. وهو يشغل طلبين للوصول لمستخدم واحد (مرة واحدة باستخدام كلمة مرور المستخدم ومرة ثانية باستخدام كلمة المرور cisco).

    ASA configuration - Connection Profile

    الخطوة 12. حدد حزمة AnyConnect التي تم تكوينها مسبقا وانقر فوق التالي.

    ASA configuration - AnyConnect package that was configured previously

    الخطوة 13. انتقيت قارن من أي VPN حركة مرور يكون متوقع، عينت شهادة تسجيل أن كان شكلت سابقا وطقطقة بعد ذلك.

    ASA configuration - Select interface from which VPN traffic is expected

    الخطوة 14. تحقق من صفحة الملخص وانقر فوق إنهاء.

    ASA configuration - Check the summary page


    الخطوة 15. نشر التكوين إلى FTD. انقر فوق نشر وحدد FTD الذي يتم إستخدامه كمركز للشبكة الخاصة الظاهرية (VPN).

    ASA configuration - Deploy configuration to FTD

    محرك خدمات كشف الهوية (ISE)

    الخطوة 1. قم بتشغيل تحديثات الوضع. انتقل إلى إدارة > نظام > إعدادات > وضعية > تحديثات.

    ISE configuration - Run Posture Updates

    الخطوة 2. وحدة التوافق مع التحميل. انتقل إلى السياسة > عناصر السياسة > النتائج > إمداد العميل > الموارد. انقر فوق إضافة وحدد موارد الوكيل من موقع Cisco

    ISE configuration - Upload Compliance Module


    الخطوة 3. قم بتنزيل AnyConnect من تنزيل برامج Cisco، ثم قم بتحميله إلى ISE. انتقل إلى السياسة > عناصر السياسة > النتائج > إمداد العميل > الموارد.

    انقر فوق إضافة وحدد موارد الوكيل من القرص المحلي. أختر حزم Cisco المقدمة ضمن الفئة، وحدد حزمة AnyConnect من القرص المحلي وانقر فوق إرسال.

    ISE configuration - Download AnyConnect from Cisco Software Download


    الخطوة 4. إنشاء ملف تعريف AnyConnect Posture. انتقل إلى السياسة > عناصر السياسة > النتائج > إمداد العميل > الموارد.

    انقر على إضافة وحدد توصيف AnyConnect Posture. قم بتعبئة بروتوكول الاسم والوضعية.

    تحت *قواعد اسم الخادم وضعت * ووضعت أي عنوان IP وهمي تحت مضيف الاكتشاف.

    ISE configuration - Create AnyConnect Posture Profile

    ISE configuration - Create AnyConnect Posture Profile

    الخطوة 5. انتقل إلى السياسة > عناصر السياسة > النتائج > إمداد العميل > الموارد وإنشاء تكوين AnyConnect. انقر فوق إضافة وحدد تكوين AnyConnect. حدد حزمة AnyConnect، وقم بتوفير اسم التكوين، وحدد وحدة التوافق النمطية، واختر أداة التشخيص وإعداد التقارير، وحدد وضع ملف التعريف وانقر فوق حفظ.

    ISE configuration - create AnyConnect Configuration


    الخطوة 6. انتقل إلى نهج > إمداد العميل وإنشاء سياسة إمداد العميل. انقر فوق تحرير ثم حدد إدراج القاعدة أعلاه، قم بتوفير الاسم، وحدد نظام التشغيل، واختر تكوين AnyConnect الذي تم إنشاؤه في الخطوة السابقة.

    ISE configuration - create Client Provisioning Policy.

    الخطوة 7. قم بإنشاء حالة تحت السياسة > عناصر السياسة > الشروط > الوضع > حالة الحماية من البرامج الضارة. في هذا المثال، يتم إستخدام "ANY_am_win_inst" المحدد مسبقا.

    .

    ISE configuration - Create Anti-Malware Condition


    الخطوة 8. انتقل إلى السياسة > عناصر السياسة > النتائج > الوضع > إجراءات المعالجة وإنشاء معالجة الوضع. في هذا المثال، يتم تخطيها. يمكن أن يكون إجراء الإصلاح رسالة نصية.


    الخطوة 9. انتقل إلى السياسة > عناصر السياسة > النتائج > الوضع > المتطلبات وقم بإنشاء متطلبات الوضع. يتم إستخدام متطلب محدد مسبقا Any_AM_INSTALLATION_WIN.

    ISE configuration - create Posture Requirements


    الخطوة 10. قم بإنشاء سياسات الوضع تحت سياسات > Posture (وضعية). يتم إستخدام نهج الوضع الافتراضي لأي فحص AntiWare لنظام تشغيل Windows.


    ISE configuration - Create Posture Policies


    الخطوة 11. انتقل إلى السياسة > عناصر السياسة > النتائج > التفويض > قوائم التحكم في الوصول (ACL) القابلة للتنزيل وإنشاء قوائم التحكم في الوصول (DACL) لمختلف حالات الوضع.

    في هذا المثال:

    • Posture Unknown DACL - يسمح بحركة المرور إلى حركة مرور DNS و PSN و HTTP و HTTPS. 
    • Posture NonCompliant DACL - يرفض الوصول إلى الشبكات الفرعية الخاصة ويسمح فقط لحركة مرور الإنترنت.
    • السماح لجميع قوائم التحكم في الوصول إلى النقل (DACL) - يسمح لجميع حركة المرور لحالة التوافق مع الوضع. 


    ISE configuration - create DACLs for different posture statuses

    ISE configuration - create DACLs for different posture statuses

    ISE configuration - Create three Authorization Profiles

    الخطوة 12. قم بإنشاء ثلاثة ملفات تعريف للتخويل للحالات غير معروفة للوضع، غير متوافقة مع الوضع ومتوافقة مع الوضع. للقيام بذلك، انتقل إلى السياسة > عناصر السياسة > النتائج > التفويض > ملفات تخصيص التفويض. في ملف التعريف Posture Unknown، حدد Posture Unknown DACL، وفحص إعادة توجيه الويب، وحدد تزويد العميل، وقم بتوفير اسم قائمة التحكم في الوصول (ACL) لإعادة التوجيه (الذي تم تكوينه على FTD)، وحدد البوابة.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    في ملف تعريف Posture غير متوافق، حدد DACL للحد من الوصول إلى الشبكة.

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    في ملف التعريف المتوافق مع الوضع، حدد DACL للسماح بالوصول الكامل إلى الشبكة.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    الخطوة 13. قم بإنشاء سياسات التخويل تحت السياسة > مجموعات السياسات > الافتراضي > سياسة التخويل. كما يتم إستخدام حالة وضعية الشرط واسم مجموعة نفق VNP.

    ISE configuration - Create Authorization Policies

    التحقق من الصحة

    استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

    على ISE، خطوة التحقق الأولى هي RADIUS Live Log. انتقل إلى العمليات > سجل RADIUS Live. هنا، المستخدم أليس متصل ويتم تحديد نهج التخويل المتوقع.

    ISE Live log - user Alice is connected and the expected authorization policy

    تتم مطابقة سياسة التخويل FTD-VPN-Posture-Unknown، ونتيجة لذلك، يتم إرسال FTD-VPN-Profile إلى FTD.

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result


    حالة الوضع معلقة.

    ISE detailed live log report - Posture Status Pending
    يظهر قسم النتائج السمات التي يتم إرسالها إلى FTD. 
    ISE detailed live log report - attributes are sent to FTD

    على FTD، للتحقق من اتصال VPN، يقوم بروتوكول SSH بوضع المربع وتنفيذ واجهة سطر الأوامر لدعم النظام التشخيصية ثم عرض تفاصيل VPN-sessionDB على AnyConnect. من هذا الإخراج، تحقق من تطبيق السمات المرسلة من ISE لجلسة عمل الشبكة الخاصة الظاهرية (VPN) هذه.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 12
Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 15326                  Bytes Rx     : 13362
Pkts Tx      : 10                     Pkts Rx      : 49
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 07:13:30 UTC Mon Feb 3 2020
Duration     : 0h:06m:43s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000c0005e37c81a
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 12.1
  Public IP    : 10.229.16.169
  Encryption   : none                   Hashing      : none
  TCP Src Port : 56491                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 12.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 56495
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 592
  Pkts Tx      : 5                      Pkts Rx      : 7
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

DTLS-Tunnel:
  Tunnel ID    : 12.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 59396
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 0                      Bytes Rx     : 12770
  Pkts Tx      : 0                      Pkts Rx      : 42
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

ISE Posture:
  Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc...
  Redirect ACL : fyusifovredirect

fyusifov-ftd-64#

    يمكن التحقق من نهج تزويد العميل. انتقل إلى العمليات > التقارير > نقاط النهاية والمستخدمين > إمداد العميل.

    ISE report - Client Provisioning policies be verified

    يمكن التحقق من "تقرير الوضع" الذي تم إرساله من AnyConnect. انتقل إلى العمليات > التقارير > نقاط النهاية والمستخدمين > تقييم الوضع حسب نقطة النهاية.

    ISE report - Posture Report sent from AnyConnect

    للحصول على مزيد من التفاصيل حول تقرير الوضع، انقر فوق تفاصيل.

    ISE report - see more details on the posture reportScreen Shot 2020-02-03 at 09.21.07ISE report - see more details on the posture report

    بعد إستلام التقرير على ISE، يتم تحديث حالة الوضع. في هذا المثال، حالة الوضع متوافقة ويتم تشغيل دفع CoA مع مجموعة جديدة من السمات.

    ISE report - posture status is updated

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    تحقق على FTD من إزالة قائمة التحكم في الوصول (ACL) الجديدة لإعادة التوجيه وعنوان URL لإعادة التوجيه لجلسة عمل الشبكة الخاصة الظاهرية (VPN) ومن تطبيق AllowAll DACL.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 14
Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 53990                  Bytes Rx     : 23808
Pkts Tx      : 73                     Pkts Rx      : 120
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 16:58:26 UTC Mon Feb 3 2020
Duration     : 0h:02m:24s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000e0005e385132
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 14.1
  Public IP    : 10.55.218.19
  Encryption   : none                   Hashing      : none
  TCP Src Port : 51965                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 14.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 51970
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7715                   Bytes Rx     : 10157
  Pkts Tx      : 6                      Pkts Rx      : 33
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

DTLS-Tunnel:
  Tunnel ID    : 14.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 51536
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 28 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 38612                  Bytes Rx     : 13651
  Pkts Tx      : 62                     Pkts Rx      : 87
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

fyusifov-ftd-64#

    استكشاف الأخطاء وإصلاحها

    يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

    للحصول على تدفق تموضع مفصل ولاستكشاف أخطاء AnyConnect و ISE وإصلاحها، تحقق من هذا الارتباط: مقارنة نمط ISE Posture (وضعية محرك خدمات الهوية (ISE)) للpre و post 2. 2.

    • نفق سالت

    إحدى المشكلات الشائعة، عند تكوين نفق spit. في هذا المثال، يتم إستخدام نهج المجموعة الافتراضي، والذي ينفق حركة مرور البيانات بالكامل. في حال إنشاء قنوات لحركة مرور معينة فقط، فيجب أن تمر مستكشفات AnyConnect (enroll.cisco.com ومضيف الاكتشاف) عبر النفق بالإضافة إلى حركة مرور البيانات إلى ISE والموارد الداخلية الأخرى.

    للتحقق من سياسة النفق على FMC، أولا، التحقق من نهج المجموعة الذي يتم إستخدامه لاتصال VPN. انتقل إلى الأجهزة > الوصول عن بعد إلى VPN.

    FTD GUI - check the tunnel policy on FMC

    بعد ذلك، انتقل إلى الكائنات > إدارة الكائن > VPN > نهج المجموعة وانقر فوق نهج المجموعة الذي تم تكوينه للشبكة الخاصة الظاهرية (VPN).

    FTD GUI -check the tunnel policy on FMC

    • Identity NAT

    آخر مشكلة المشتركة، عندما VPN مستعمل يرجع حركة مرور يترجم مع الإستعمالمن غير صحيح nat مدخل. لحل هذه المشكلة، يجب إنشاء NAT للهوية بترتيب مناسب.

    اولا، تحقق من قواعد NAT لهذا الجهاز. انتقل إلى الأجهزة > NAT ثم انقر فوق إضافة قاعدة لإنشاء قاعدة جديدة.

    FTD GUI -check NAT rules for this device

    في الإطار المفتوح، تحت علامة التبويب كائنات الواجهة، حدد مناطق الأمان. في هذا المثال، يتم إنشاء إدخال NAT من المنطقة الداخلية إلى المنطقة الخارجية.

    FTD GUI -NAT entry is created from ZONE-INSIDE to ZONE-OUTSIDE

    تحت علامة التبويب ترجمة، حدد تفاصيل الحزمة الأصلية والمترجمة. بما أنه NAT للهوية، يتم الحفاظ على المصدر والوجهة دون تغيير:

    FTD GUI -Translation tab

    تحت علامة التبويب خيارات متقدمة، حدد خانات الاختيار كما هو موضح في هذه الصورة:

    FTD GUI -Advanced tab

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    3.0
    25-May-2023
    تقويم
    2.0
    22-Oct-2021
    تمت إزالة حقل التخويل وتم تصحيح قائمة التحكم في الوصول (ACL).
    1.0
    07-Feb-2020
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Farid Yusifov
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات