تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية تكوين الإصدار 6.4.0 من "الدفاع عن تهديد FirePOWER (FTD)" لتهيئة مستخدمي VPN مقابل محرك خدمات الهوية (ISE).
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
1. يستخدم المستخدم البعيد Cisco AnyConnect للوصول إلى VPN إلى FTD.
2. يرسل FTD طلب وصول RADIUS لذلك المستخدم إلى ISE.
3. يؤثر هذا الطلب على السياسة المسماة FTD-VPN-Posture-Unknown على ISE. يرسل ISE قبول وصول RADIUS بثلاثة سمات:
4. في حالة إرسال قائمة التحكم في الوصول للبنية الأساسية (DACL)، يتم تبادل طلب وصول RADIUS/قبول الوصول من أجل تنزيل محتوى قائمة التحكم في الوصول للبنية الأساسية (DACL)
5. عند تطابق حركة المرور من مستخدم الشبكة الخاصة الظاهرية (VPN) مع قائمة التحكم في الوصول (ACL) المحددة محليا، تتم إعادة توجيهها إلى بوابة إمداد عميل ISE. توفر ISE AnyConnect Posture Module ووحدة التوافق.
6. بعد تثبيت الوكيل على جهاز العميل، يقوم تلقائيا بالبحث عن ISE باستخدام المسابير. عند اكتشاف ISE بنجاح، يتم التحقق من متطلبات الوضع على نقطة النهاية. في هذا المثال، يتحقق العميل من وجود أي برنامج مثبت لمكافحة البرامج الضارة. ثم يرسل تقرير حالة إلى ISE.
7. عندما يستقبل ISE تقرير الحالة من الوكيل، يقوم ISE بتغيير حالة الوضع لجلسة العمل هذه ويطلق دفع نوع RADIUS CoA مع سمات جديدة. هذه المرة، تكون حالة الوضع معروفة ويتم الوصول إلى قاعدة أخرى.
8. يزيل "برنامج الإرسال فائق السرعة (FTD)" إعادة التوجيه. يرسل FTD طلب الوصول من أجل تنزيل DACL من ISE. يتم إرفاق قائمة التحكم في الوصول (DACL) المحددة بجلسة عمل الشبكة الخاصة الظاهرية (VPN).
الخطوة 1. قم بإنشاء مجموعة كائنات الشبكة لخوادم ISE والمعالجة (إن وجدت). انتقل إلى كائنات > إدارة الكائن > الشبكة.
الخطوة 2. إنشاء قائمة تحكم في الوصول (ACL) لإعادة التوجيه. انتقل إلى كائنات > إدارة الكائن > قائمة الوصول > موسع. انقر فوق إضافة قائمة الوصول الموسعة وتقديم اسم قائمة التحكم في الوصول (ACL) لإعادة التوجيه. يجب أن يكون هذا الاسم هو نفسه الموجود في نتيجة تخويل ISE.
الخطوة 3. إضافة إدخالات قائمة التحكم في الوصول (ACL) المعاد توجيهها. انقر فوق الزر إضافة. حظر حركة المرور إلى DNS و ISE وخوادم الإصلاح لاستبعادهم من إعادة التوجيه. السماح ببقية حركة المرور، يؤدي هذا إلى تشغيل إعادة التوجيه (يمكن أن تكون إدخالات قائمة التحكم في الوصول أكثر تحديدا إذا لزم الأمر).
الخطوة 4. إضافة عقدة/عقد ISE PSN. انتقل إلى كائنات > إدارة الكائن > مجموعة خوادم RADIUS. انقر فوق إضافة مجموعة خوادم RADIUS، ثم قم بتوفير الاسم، وقم بتمكين تحديد كل خانات الاختيار وانقر فوق أيقونة زائد.
الخطوة 5. في النافذة المفتوحة، قم بتوفير عنوان IP ل ISE PSN، ومفتاح RADIUS، وحدد واجهة محددة وحدد الواجهة التي يمكن الوصول من خلالها إلى ISE (يتم إستخدام هذه الواجهة كمصدر لحركة مرور RADIUS) ثم حدد قائمة التحكم في الوصول لإعادة توجيه ACL التي تم تكوينها مسبقا.
الخطوة 6. قم بإنشاء تجمع عناوين لمستخدمي VPN. انتقل إلى الكائنات > إدارة الكائن > مجموعات العناوين > تجمعات IPv4. انقر فوق إضافة تجمعات IPv4 وقم بتعبئة التفاصيل.
الخطوة 7. إنشاء حزمة AnyConnect. انتقل إلى كائنات > إدارة الكائن > VPN > ملف AnyConnect. انقر فوق إضافة ملف AnyConnect، وأدخل اسم الحزمة، وقم بتنزيل الحزمة من تنزيل برامج Cisco Software وحدد نوع ملف صورة عميل AnyConnect.
الخطوة 8. انتقل إلى كائنات الترخيص > إدارة الكائن > PKI > تسجيل الشهادة. انقر فوق إضافة تسجيل الثقة، قم بتوفير الاسم، واختر شهادة موقعة ذاتيا في نوع التسجيل. انقر فوق علامة التبويب معلمات الشهادة وقم بتوفير CN.
الخطوة 9. تشغيل معالج VPN للوصول عن بعد. انتقل إلى الأجهزة > VPN > الوصول عن بعد وانقر فوق إضافة.
الخطوة 10. قم بتوفير الاسم، وفحص SSL كبروتوكول VPN، واختر FTD الذي يتم إستخدامه كمركز VPN وانقر على التالي.
الخطوة 11. توفير اسم ملف تعريف الاتصال، وتحديد خوادم المصادقة/المحاسبة، وتحديد تجمع العناوين الذي تم تكوينه مسبقا، ثم انقر على التالي.
ملاحظة: لا تحدد خادم التخويل. وهو يشغل طلبين للوصول لمستخدم واحد (مرة واحدة باستخدام كلمة مرور المستخدم ومرة ثانية باستخدام كلمة المرور cisco).
الخطوة 12. حدد حزمة AnyConnect التي تم تكوينها مسبقا وانقر فوق التالي.
الخطوة 13. انتقيت قارن من أي VPN حركة مرور يكون متوقع، عينت شهادة تسجيل أن كان شكلت سابقا وطقطقة بعد ذلك.
الخطوة 14. تحقق من صفحة الملخص وانقر فوق إنهاء.
الخطوة 15. نشر التكوين إلى FTD. انقر فوق نشر وحدد FTD الذي يتم إستخدامه كمركز للشبكة الخاصة الظاهرية (VPN).
الخطوة 1. قم بتشغيل تحديثات الوضع. انتقل إلى إدارة > نظام > إعدادات > وضعية > تحديثات.
الخطوة 2. وحدة التوافق مع التحميل. انتقل إلى السياسة > عناصر السياسة > النتائج > إمداد العميل > الموارد. انقر فوق إضافة وحدد موارد الوكيل من موقع Cisco
الخطوة 3. قم بتنزيل AnyConnect من تنزيل برامج Cisco، ثم قم بتحميله إلى ISE. انتقل إلى السياسة > عناصر السياسة > النتائج > إمداد العميل > الموارد.
انقر فوق إضافة وحدد موارد الوكيل من القرص المحلي. أختر حزم Cisco المقدمة ضمن الفئة، وحدد حزمة AnyConnect من القرص المحلي وانقر فوق إرسال.
الخطوة 4. إنشاء ملف تعريف AnyConnect Posture. انتقل إلى السياسة > عناصر السياسة > النتائج > إمداد العميل > الموارد.
انقر على إضافة وحدد توصيف AnyConnect Posture. قم بتعبئة بروتوكول الاسم والوضعية.
تحت *قواعد اسم الخادم وضعت * ووضعت أي عنوان IP وهمي تحت مضيف الاكتشاف.
الخطوة 5. انتقل إلى السياسة > عناصر السياسة > النتائج > إمداد العميل > الموارد وإنشاء تكوين AnyConnect. انقر فوق إضافة وحدد تكوين AnyConnect. حدد حزمة AnyConnect، وقم بتوفير اسم التكوين، وحدد وحدة التوافق النمطية، واختر أداة التشخيص وإعداد التقارير، وحدد وضع ملف التعريف وانقر فوق حفظ.
الخطوة 6. انتقل إلى نهج > إمداد العميل وإنشاء سياسة إمداد العميل. انقر فوق تحرير ثم حدد إدراج القاعدة أعلاه، قم بتوفير الاسم، وحدد نظام التشغيل، واختر تكوين AnyConnect الذي تم إنشاؤه في الخطوة السابقة.
الخطوة 7. قم بإنشاء حالة تحت السياسة > عناصر السياسة > الشروط > الوضع > حالة الحماية من البرامج الضارة. في هذا المثال، يتم إستخدام "ANY_am_win_inst" المحدد مسبقا.
.
الخطوة 8. انتقل إلى السياسة > عناصر السياسة > النتائج > الوضع > إجراءات المعالجة وإنشاء معالجة الوضع. في هذا المثال، يتم تخطيها. يمكن أن يكون إجراء الإصلاح رسالة نصية.
الخطوة 9. انتقل إلى السياسة > عناصر السياسة > النتائج > الوضع > المتطلبات وقم بإنشاء متطلبات الوضع. يتم إستخدام متطلب محدد مسبقا Any_AM_INSTALLATION_WIN.
الخطوة 10. قم بإنشاء سياسات الوضع تحت سياسات > Posture (وضعية). يتم إستخدام نهج الوضع الافتراضي لأي فحص AntiWare لنظام تشغيل Windows.
الخطوة 11. انتقل إلى السياسة > عناصر السياسة > النتائج > التفويض > قوائم التحكم في الوصول (ACL) القابلة للتنزيل وإنشاء قوائم التحكم في الوصول (DACL) لمختلف حالات الوضع.
في هذا المثال:
الخطوة 12. قم بإنشاء ثلاثة ملفات تعريف للتخويل للحالات غير معروفة للوضع، غير متوافقة مع الوضع ومتوافقة مع الوضع. للقيام بذلك، انتقل إلى السياسة > عناصر السياسة > النتائج > التفويض > ملفات تخصيص التفويض. في ملف التعريف Posture Unknown، حدد Posture Unknown DACL، وفحص إعادة توجيه الويب، وحدد تزويد العميل، وقم بتوفير اسم قائمة التحكم في الوصول (ACL) لإعادة التوجيه (الذي تم تكوينه على FTD)، وحدد البوابة.
في ملف تعريف Posture غير متوافق، حدد DACL للحد من الوصول إلى الشبكة.
في ملف التعريف المتوافق مع الوضع، حدد DACL للسماح بالوصول الكامل إلى الشبكة.
الخطوة 13. قم بإنشاء سياسات التخويل تحت السياسة > مجموعات السياسات > الافتراضي > سياسة التخويل. كما يتم إستخدام حالة وضعية الشرط واسم مجموعة نفق VNP.
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
على ISE، خطوة التحقق الأولى هي RADIUS Live Log. انتقل إلى العمليات > سجل RADIUS Live. هنا، المستخدم أليس متصل ويتم تحديد نهج التخويل المتوقع.
تتم مطابقة سياسة التخويل FTD-VPN-Posture-Unknown، ونتيجة لذلك، يتم إرسال FTD-VPN-Profile إلى FTD.
حالة الوضع معلقة.
يظهر قسم النتائج السمات التي يتم إرسالها إلى FTD.
على FTD، للتحقق من اتصال VPN، يقوم بروتوكول SSH بوضع المربع وتنفيذ واجهة سطر الأوامر لدعم النظام التشخيصية ثم عرض تفاصيل VPN-sessionDB على AnyConnect. من هذا الإخراج، تحقق من تطبيق السمات المرسلة من ISE لجلسة عمل الشبكة الخاصة الظاهرية (VPN) هذه.
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : alice@training.example.com Index : 12 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 15326 Bytes Rx : 13362 Pkts Tx : 10 Pkts Rx : 49 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 07:13:30 UTC Mon Feb 3 2020 Duration : 0h:06m:43s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000c0005e37c81a Security Grp : none Tunnel Zone : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 12.1 Public IP : 10.229.16.169 Encryption : none Hashing : none TCP Src Port : 56491 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : win Client OS Ver: 10.0.18363 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0 Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 12.2 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 56495 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 592 Pkts Tx : 5 Pkts Rx : 7 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d DTLS-Tunnel: Tunnel ID : 12.3 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES256 Hashing : SHA1 Ciphersuite : DHE-RSA-AES256-SHA Encapsulation: DTLSv1.0 UDP Src Port : 59396 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 0 Bytes Rx : 12770 Pkts Tx : 0 Pkts Rx : 42 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d ISE Posture: Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc... Redirect ACL : fyusifovredirect fyusifov-ftd-64#
يمكن التحقق من نهج تزويد العميل. انتقل إلى العمليات > التقارير > نقاط النهاية والمستخدمين > إمداد العميل.
يمكن التحقق من "تقرير الوضع" الذي تم إرساله من AnyConnect. انتقل إلى العمليات > التقارير > نقاط النهاية والمستخدمين > تقييم الوضع حسب نقطة النهاية.
للحصول على مزيد من التفاصيل حول تقرير الوضع، انقر فوق تفاصيل.
بعد إستلام التقرير على ISE، يتم تحديث حالة الوضع. في هذا المثال، حالة الوضع متوافقة ويتم تشغيل دفع CoA مع مجموعة جديدة من السمات.
تحقق على FTD من إزالة قائمة التحكم في الوصول (ACL) الجديدة لإعادة التوجيه وعنوان URL لإعادة التوجيه لجلسة عمل الشبكة الخاصة الظاهرية (VPN) ومن تطبيق AllowAll DACL.
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : alice@training.example.com Index : 14 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 53990 Bytes Rx : 23808 Pkts Tx : 73 Pkts Rx : 120 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 16:58:26 UTC Mon Feb 3 2020 Duration : 0h:02m:24s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000e0005e385132 Security Grp : none Tunnel Zone : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 14.1 Public IP : 10.55.218.19 Encryption : none Hashing : none TCP Src Port : 51965 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : win Client OS Ver: 10.0.18363 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0 Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 14.2 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 51970 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7715 Bytes Rx : 10157 Pkts Tx : 6 Pkts Rx : 33 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0 DTLS-Tunnel: Tunnel ID : 14.3 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES256 Hashing : SHA1 Ciphersuite : DHE-RSA-AES256-SHA Encapsulation: DTLSv1.0 UDP Src Port : 51536 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 38612 Bytes Rx : 13651 Pkts Tx : 62 Pkts Rx : 87 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0 fyusifov-ftd-64#
يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.
للحصول على تدفق تموضع مفصل ولاستكشاف أخطاء AnyConnect و ISE وإصلاحها، تحقق من هذا الارتباط: مقارنة نمط ISE Posture (وضعية محرك خدمات الهوية (ISE)) للpre و post 2. 2.
إحدى المشكلات الشائعة، عند تكوين نفق spit. في هذا المثال، يتم إستخدام نهج المجموعة الافتراضي، والذي ينفق حركة مرور البيانات بالكامل. في حال إنشاء قنوات لحركة مرور معينة فقط، فيجب أن تمر مستكشفات AnyConnect (enroll.cisco.com ومضيف الاكتشاف) عبر النفق بالإضافة إلى حركة مرور البيانات إلى ISE والموارد الداخلية الأخرى.
للتحقق من سياسة النفق على FMC، أولا، التحقق من نهج المجموعة الذي يتم إستخدامه لاتصال VPN. انتقل إلى الأجهزة > الوصول عن بعد إلى VPN.
بعد ذلك، انتقل إلى الكائنات > إدارة الكائن > VPN > نهج المجموعة وانقر فوق نهج المجموعة الذي تم تكوينه للشبكة الخاصة الظاهرية (VPN).
آخر مشكلة المشتركة، عندما VPN مستعمل يرجع حركة مرور يترجم مع الإستعمالمن غير صحيح nat مدخل. لحل هذه المشكلة، يجب إنشاء NAT للهوية بترتيب مناسب.
اولا، تحقق من قواعد NAT لهذا الجهاز. انتقل إلى الأجهزة > NAT ثم انقر فوق إضافة قاعدة لإنشاء قاعدة جديدة.
في الإطار المفتوح، تحت علامة التبويب كائنات الواجهة، حدد مناطق الأمان. في هذا المثال، يتم إنشاء إدخال NAT من المنطقة الداخلية إلى المنطقة الخارجية.
تحت علامة التبويب ترجمة، حدد تفاصيل الحزمة الأصلية والمترجمة. بما أنه NAT للهوية، يتم الحفاظ على المصدر والوجهة دون تغيير:
تحت علامة التبويب خيارات متقدمة، حدد خانات الاختيار كما هو موضح في هذه الصورة:
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
3.0 |
25-May-2023 |
تقويم |
2.0 |
22-Oct-2021 |
تمت إزالة حقل التخويل وتم تصحيح قائمة التحكم في الوصول (ACL). |
1.0 |
07-Feb-2020 |
الإصدار الأولي |