Konfigurieren des ISE-Status über AnyConnect Remote Access VPN auf FTD

Download-Optionen

  • PDF     (5.6 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (6.0 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (4.8 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:25. Mai 2023
Dokument-ID:215236

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie Firepower Threat Defense (FTD) Version 6.4.0 so konfigurieren, dass VPN-Benutzer den Status der Identity Services Engine (ISE) erhalten.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • AnyConnect Remote Access-VPN
    • Konfiguration des Remote Access VPN auf dem FTD
    • Identity Services Engine und Statusservices

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

    • Cisco Firepower Threat Defense (FTD) Softwareversion 6.4.0
    • Cisco FirePOWER Management Console (FMC) Softwareversion 6.5.0
    • Microsoft Windows 10 mit Cisco AnyConnect Secure Mobility Client Version 4.7
    • Cisco Identity Services Engine (ISE) Version 2.6 mit Patch 3

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Netzwerkdiagramm und Datenverkehrsfluss

    Flow diagram

    1. Der Remote-Benutzer verwendet Cisco AnyConnect für den VPN-Zugriff auf den FTD.

    2. Der FTD sendet eine RADIUS-Zugriffsanforderung für diesen Benutzer an die ISE.

    3. Diese Anforderung erreicht die Richtlinie FTD-VPN-Posture-Unknown auf der ISE. Die ISE sendet ein RADIUS Access-Accept mit drei Attributen:

    4. Wenn DACL gesendet wird, wird RADIUS Access-Request/Access-Accept ausgetauscht, um den Inhalt der DACL herunterzuladen

    5. Wenn der Datenverkehr vom VPN-Benutzer mit der lokal definierten ACL übereinstimmt, wird er zum ISE-Client-Bereitstellungsportal umgeleitet. Die ISE stellt das AnyConnect Posture Module und das Compliance Module bereit.

    6. Nachdem der Agent auf dem Client-Computer installiert wurde, sucht er automatisch mithilfe von Tests nach ISE. Wenn die ISE erfolgreich erkannt wurde, werden die Statusanforderungen am Endpunkt überprüft. In diesem Beispiel sucht der Agent nach installierter Anti-Malware-Software. Anschließend wird ein Statusbericht an die ISE gesendet.

    7. Wenn die ISE den Statusbericht vom Agenten empfängt, ändert die ISE den Status für diese Sitzung und löst den RADIUS CoA-Typ "Push" mit neuen Attributen aus. Dieses Mal ist der Status bekannt und eine weitere Regel wird getroffen.

    • Wenn der Benutzer die Richtlinien erfüllt, wird ein DACL-Name gesendet, der den vollständigen Zugriff ermöglicht.
    • Wenn der Benutzer nicht konform ist, wird ein DACL-Name gesendet, der den eingeschränkten Zugriff zulässt.

    8. Die FTD entfernt die Umleitung. FTD sendet Access-Request, um DACL von der ISE herunterzuladen. Die jeweilige DACL ist mit der VPN-Sitzung verbunden.


    Konfigurationen

    FTD/FMC

    Schritt 1: Erstellen Sie eine Netzwerkobjektgruppe für ISE- und Problembehebungsserver (falls vorhanden). Navigieren Sie zu Objekte > Objektverwaltung > Netzwerk.

    ASA configuration - Create Network Object Group for ISE and Remediation Servers (if any)


    Schritt 2: Umleitungs-ACL erstellen. Navigieren Sie zu Objekte > Objektverwaltung > Zugriffsliste > Erweitert. Klicken Sie auf Add Extended Access List (Erweiterte Zugriffsliste hinzufügen), und geben Sie den Namen der Umleitungszugriffskontrollliste an. Dieser Name muss mit dem ISE-Autorisierungsergebnis übereinstimmen.

    ASA configuration - Create Redirect ACL


    Schritt 3: ACL-Umleitungseinträge hinzufügen. Klicken Sie auf die Schaltfläche Hinzufügen. Blockieren Sie den Datenverkehr zu DNS, ISE und zu den Wiederherstellungsservern, um diese von der Umleitung auszuschließen. Lässt den restlichen Verkehr zu, löst dies eine Umleitung aus (ACL-Einträge können bei Bedarf spezifischer sein).

    ASA configuration - Add Redirect ACL Entries

    ASA configuration - Add Redirect ACL Entries


    Schritt 4: ISE PSN-Knoten hinzufügen Navigieren Sie zu Objekte > Objektverwaltung > RADIUS-Servergruppe. Klicken Sie auf RADIUS-Servergruppe hinzufügen, geben Sie den Namen ein, aktivieren Sie die Kontrollkästchen, und klicken Sie auf das Pluszeichen.

    ASA configuration - Add ISE PSN node/nodes

    Schritt 5: Geben Sie im geöffneten Fenster ISE PSN IP address (ISE-PSN-IP-Adresse), RADIUS Key (RADIUS-Schlüssel) ein, wählen Sie Specific Interface (Spezifische Schnittstelle) und dann eine Schnittstelle aus, von der ISE erreichbar ist (diese Schnittstelle wird als Quelle für RADIUS-Datenverkehr verwendet), und wählen Sie dann Redirect ACL (ACL umleiten) aus.

    ASA configuration - Provide ISE PSN IP address


    Schritt 6: Erstellen eines Adresspools für VPN-Benutzer Navigieren Sie zu Objekte > Objektverwaltung > Adresspools > IPv4-Pools. Klicken Sie auf Add IPv4 Pools (IPv4-Pools hinzufügen), und geben Sie die Details ein.

    ASA configuration - Create Address Pool for VPN users


    Schritt 7. AnyConnect-Paket erstellen. Navigieren Sie zu Objects > Object Management > VPN > AnyConnect File. Klicken Sie auf AnyConnect-Datei hinzufügen, geben Sie den Paketnamen an, laden Sie das Paket von Cisco Software Download herunter, und wählen Sie AnyConnect Client Image File Type aus.

    ASA configuration - Create AnyConnect package


    Schritt 8: Navigieren Sie zu Zertifikatobjekte > Objektverwaltung > PKI > Zertifikatregistrierung. Klicken Sie auf Add Certificate Enrollment (Zertifikatregistrierung hinzufügen), geben Sie einen Namen ein, und wählen Sie in Enrollment Type (Registrierungstyp) die Option Self Signed Certificate (Selbstsigniertes Zertifikat) aus. Klicken Sie auf die Registerkarte Zertifikatsparameter, und geben Sie CN an.

    ASA configuration - Cert Enrollment

    ASA configuration - Cert Enrollment

    Schritt 9. Starten des VPN-Assistenten für Remote-Zugriff Navigieren Sie zu Geräte > VPN > Remotezugriff, und klicken Sie auf Hinzufügen.

    ASA configuration - Launch Remote Access VPN wizard

    Schritt 10. Geben Sie den Namen an, aktivieren Sie SSL als VPN-Protokoll, wählen Sie FTD aus, das als VPN-Konzentrator verwendet wird, und klicken Sie auf Weiter.

    ASA configuration - configure FTD use as vpn concentrator

    Schritt 11. Geben Sie den Namen des Verbindungsprofils an, wählen Sie Authentication/Accounting Servers aus, wählen Sie den zuvor konfigurierten Adresspool aus, und klicken Sie auf Next (Weiter).

    Hinweis: Wählen Sie nicht den Autorisierungsserver aus. Es löst zwei Zugriffsanfragen für einen einzelnen Benutzer aus (einmal mit dem Benutzerkennwort und das zweite Mal mit dem Kennwort cisco).

    ASA configuration - Connection Profile

    Schritt 12: Wählen Sie das zuvor konfigurierte AnyConnect-Paket aus, und klicken Sie auf Weiter.

    ASA configuration - AnyConnect package that was configured previously

    Schritt 13: Wählen Sie die Schnittstelle aus, von der der VPN-Datenverkehr erwartet wird, wählen Sie die zuvor konfigurierte Zertifikatregistrierung aus, und klicken Sie auf Weiter.

    ASA configuration - Select interface from which VPN traffic is expected

    Schritt 14: Überprüfen Sie die Übersichtsseite, und klicken Sie auf Fertig stellen.

    ASA configuration - Check the summary page


    Schritt 15: Konfiguration in FTD bereitstellen. Klicken Sie auf Deploy (Bereitstellen), und wählen Sie FTD aus, das als VPN-Konzentrator verwendet wird.

    ASA configuration - Deploy configuration to FTD

    ISE

    Schritt 1: Ausführen von Statusaktualisierungen. Navigieren Sie zu Administration > System > Settings > Posture > Updates.

    ISE configuration - Run Posture Updates

    Schritt 2: Compliance-Modul hochladen. Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Clientbereitstellung > Ressourcen. Klicken Sie auf Hinzufügen, und wählen Sie Agenten-Ressourcen von der Cisco Website aus.

    ISE configuration - Upload Compliance Module


    Schritt 3: Laden Sie AnyConnect über Cisco Software Download herunter, und laden Sie es dann auf die ISE hoch. Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Clientbereitstellung > Ressourcen.

    Klicken Sie auf Hinzufügen, und wählen Sie Agent-Ressourcen von lokalem Datenträger aus. Wählen Sie Cisco Provided Packages unter Category (Kategorie) aus, wählen Sie AnyConnect Package von der lokalen Festplatte aus, und klicken Sie auf Submit (Senden).

    ISE configuration - Download AnyConnect from Cisco Software Download


    Schritt 4: AnyConnect-Statusprofil erstellen. Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Clientbereitstellung > Ressourcen.

    Klicken Sie auf Hinzufügen, und wählen Sie AnyConnect Posture Profile aus. Geben Sie den Namen und das Posture Protocol ein.

    Setzen Sie unter *Server name rules put* (Servernamensregeln) eine beliebige Dummy-IP-Adresse unter den Discovery-Host.

    ISE configuration - Create AnyConnect Posture Profile

    ISE configuration - Create AnyConnect Posture Profile

    Schritt 5: Navigieren Sie zu Policy > Policy Elements > Results > Client Provisioning > Resources, und erstellen Sie AnyConnect Configuration. Klicken Sie auf Hinzufügen, und wählen Sie AnyConnect Configuration aus. Wählen Sie AnyConnect-Paket, geben Sie den Konfigurationsnamen an, wählen Sie Compliance Module aus, aktivieren Sie das Diagnose- und Reporting-Tool, wählen Sie Statusprofil aus, und klicken Sie auf Speichern.

    ISE configuration - create AnyConnect Configuration


    Schritt 6: Navigieren Sie zu Policy > Client Provisioning, und erstellen Sie Client Provisioning Policy. Klicken Sie auf Bearbeiten und wählen Sie dann Regel oben einfügen, geben Sie einen Namen an, wählen Sie Betriebssystem aus, und wählen Sie die AnyConnect-Konfiguration aus, die im vorherigen Schritt erstellt wurde.

    ISE configuration - create Client Provisioning Policy.

    Schritt 7. Erstellen Sie einen Status unter Richtlinie > Richtlinienelemente > Bedingungen > Status > Anti-Malware-Status. In diesem Beispiel wird die vordefinierte Option "ANY_am_win_inst" verwendet.

    .

    ISE configuration - Create Anti-Malware Condition


    Schritt 8: Navigieren Sie zu Policy > Policy Elements > Results > Posture > Remediation Actions, und erstellen Sie Posture Remediation. In diesem Beispiel wird sie übersprungen. Die Behebungsaktion kann eine Textnachricht sein.


    Schritt 9. Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Status > Anforderungen, und erstellen Sie Statusanforderungen. Die vordefinierte Anforderung Any_AM_Installation_Win wird verwendet.

    ISE configuration - create Posture Requirements


    Schritt 10. Erstellen Sie Statusrichtlinien unter Richtlinien > Status. Es wird eine Standard-Statusrichtlinie für alle AntiMalware Check for Windows-Betriebssysteme verwendet.


    ISE configuration - Create Posture Policies


    Schritt 11. Navigieren Sie zu Policy > Policy Elements > Results > Authorization > Downlodable ACLS, und erstellen Sie DACLs für verschiedene Statusstatus.

    In diesem Beispiel:

    • Status: Unbekannte DACLs ermöglichen den Datenverkehr zu DNS-, PSN-, HTTP- und HTTPS-Datenverkehr. 
    • Nicht konforme DACL mit Status - verweigert den Zugriff auf private Subnetze und lässt nur Internetdatenverkehr zu.
    • Alle DACLs zulassen: Der gesamte Datenverkehr wird für den Status "Status konform" zugelassen. 


    ISE configuration - create DACLs for different posture statuses

    ISE configuration - create DACLs for different posture statuses

    ISE configuration - Create three Authorization Profiles

    Schritt 12: Erstellen Sie drei Autorisierungsprofile für den Status "Status unbekannt", "Status nicht konform" und "Status konform". Navigieren Sie dazu zu Policy > Policy Elements > Results > Authorization > Authorization Profiles. Wählen Sie im Profil Posture Unknown (Status unbekannt) die Option Posture Unknown DACL (Status unbekannt - DACL), aktivieren Sie die Option Web Redirection (Webumleitung), wählen Sie Client Provisioning (Clientbereitstellung) aus, geben Sie den Namen der Umleitungszugriffskontrollliste (die für FTD konfiguriert ist) an, und wählen Sie das Portal aus.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    Wählen Sie im Profil Posture NonCompliant (Status nicht konform) die Option DACL aus, um den Zugriff auf das Netzwerk einzuschränken.

    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles
    Wählen Sie im Profil "Posture Compliant" die Option DACL aus, um den vollständigen Zugriff auf das Netzwerk zu ermöglichen.
    ISE configuration - Create three Authorization Profiles

    ISE configuration - Create three Authorization Profiles

    Schritt 13: Erstellen Sie Autorisierungsrichtlinien unter Richtlinie > Richtliniensätze > Standard > Autorisierungsrichtlinie. Als Bedingung werden Posture Status und VNP TunnelGroup Name verwendet.

    ISE configuration - Create Authorization Policies

    Überprüfung

    Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Auf der ISE ist der erste Verifizierungsschritt RADIUS Live Log. Navigieren Sie zu Operations > RADIUS Live Log (Vorgänge > RADIUS-Live-Protokoll). Hier wird der Benutzer Alice verbunden und die erwartete Autorisierungsrichtlinie ausgewählt.

    ISE Live log - user Alice is connected and the expected authorization policy

    Die Autorisierungsrichtlinie FTD-VPN-Posture-Unknown wird zugeordnet, und das FTD-VPN-Profil wird an FTD gesendet.

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result


    Statusstatus ausstehend.

    ISE detailed live log report - Posture Status Pending
    Im Ergebnisabschnitt wird angezeigt, welche Attribute an FTD gesendet werden. 
    ISE detailed live log report - attributes are sent to FTD

    Auf FTD, um VPN-Verbindung zu überprüfen, SSH auf die Box, führen Sie System-Support-Diagnose-CLI und dann zeigen vpn-sessiondb Detail anyconnect. Überprüfen Sie anhand dieser Ausgabe, ob die von der ISE gesendeten Attribute für diese VPN-Sitzung angewendet werden.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 12
Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 15326                  Bytes Rx     : 13362
Pkts Tx      : 10                     Pkts Rx      : 49
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 07:13:30 UTC Mon Feb 3 2020
Duration     : 0h:06m:43s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000c0005e37c81a
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 12.1
  Public IP    : 10.229.16.169
  Encryption   : none                   Hashing      : none
  TCP Src Port : 56491                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 12.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 56495
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 592
  Pkts Tx      : 5                      Pkts Rx      : 7
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

DTLS-Tunnel:
  Tunnel ID    : 12.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 59396
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 0                      Bytes Rx     : 12770
  Pkts Tx      : 0                      Pkts Rx      : 42
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

ISE Posture:
  Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc...
  Redirect ACL : fyusifovredirect

fyusifov-ftd-64#

    Richtlinien für die Client-Bereitstellung können überprüft werden. Navigieren Sie zu Operations > Reports > Endpoints and Users > Client Provisioning.

    ISE report - Client Provisioning policies be verified

    Statusbericht, der von AnyConnect gesendet wurde, kann überprüft werden. Navigieren Sie zu Vorgänge > Berichte > Endpunkte und Benutzer > Statusüberprüfung nach Endpunkt.

    ISE report - Posture Report sent from AnyConnect

    Um weitere Details zum Statusbericht anzuzeigen, klicken Sie auf Details.

    ISE report - see more details on the posture reportScreen Shot 2020-02-03 at 09.21.07ISE report - see more details on the posture report

    Nachdem der Bericht über die ISE eingegangen ist, wird der Status aktualisiert. In diesem Beispiel ist der Status "konform", und der CoA-Push wird mit einer neuen Gruppe von Attributen ausgelöst.

    ISE report - posture status is updated

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    ISE detailed live log report - Authorization policy FTD-VPN-Posture-Unknown is matched and as result

    Vergewissern Sie sich auf FTD, dass die neue Umleitungs-ACL und die Umleitungs-URL für die VPN-Sitzung entfernt und die PermitAll-DACL-Anweisung angewendet wurde.

    fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 14
Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 53990                  Bytes Rx     : 23808
Pkts Tx      : 73                     Pkts Rx      : 120
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 16:58:26 UTC Mon Feb 3 2020
Duration     : 0h:02m:24s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000e0005e385132
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 14.1
  Public IP    : 10.55.218.19
  Encryption   : none                   Hashing      : none
  TCP Src Port : 51965                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 14.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 51970
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7715                   Bytes Rx     : 10157
  Pkts Tx      : 6                      Pkts Rx      : 33
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

DTLS-Tunnel:
  Tunnel ID    : 14.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 51536
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 28 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 38612                  Bytes Rx     : 13651
  Pkts Tx      : 62                     Pkts Rx      : 87
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

fyusifov-ftd-64#

    Fehlerbehebung

    Dieser Abschnitt enthält Informationen, die Sie zur Fehlerbehebung bei Ihrer Konfiguration verwenden können.

    Detaillierte Informationen zum Status-Fluss und zur Fehlerbehebung bei AnyConnect und ISE finden Sie unter diesem Link: ISE Posture Style Comparison for Pre and Post 2.2

    • Verschütteter Tunnel

    Eines der häufigsten Probleme, wenn es einen Spit-Tunnel konfiguriert ist. In diesem Beispiel wird die Standardgruppenrichtlinie verwendet, die den gesamten Datenverkehr tunnelt. Wenn nur bestimmter Datenverkehr getunnelt wird, müssen zusätzlich zum Datenverkehr zur ISE und zu anderen internen Ressourcen auch AnyConnect-Tests (enroll.cisco.com und Discovery Host) durch den Tunnel geleitet werden.

    Um die Tunnelrichtlinie auf FMC zu überprüfen, müssen Sie zunächst prüfen, welche Gruppenrichtlinie für die VPN-Verbindung verwendet wird. Navigieren Sie zu Geräte > VPN-Remotezugriff.

    FTD GUI - check the tunnel policy on FMC

    Navigieren Sie anschließend zu Objects > Object Management > VPN > Group Policy, und klicken Sie auf Group Policy configured for VPN (Für VPN konfigurierte Gruppenrichtlinie).

    FTD GUI -check the tunnel policy on FMC

    • Identitäts-NAT

    Ein weiteres häufiges Problem, wenn der Rückverkehr von VPN-Benutzern mithilfe einer falschen NAT-Eingabe umgewandelt wird. Um dieses Problem zu beheben, muss die Identitäts-NAT in der richtigen Reihenfolge erstellt werden.

    Überprüfen Sie zunächst die NAT-Regeln für dieses Gerät. Navigieren Sie zu Devices > NAT, und klicken Sie dann auf Add Rule (Regel hinzufügen), um eine neue Regel zu erstellen.

    FTD GUI -check NAT rules for this device

    Wählen Sie im geöffneten Fenster auf der Registerkarte Interface Objects (Schnittstellenobjekte) die Option Security Zones (Sicherheitszonen). In diesem Beispiel wird der NAT-Eintrag von ZONE-INSIDE zu ZONE-OUTSIDE erstellt.

    FTD GUI -NAT entry is created from ZONE-INSIDE to ZONE-OUTSIDE

    Wählen Sie auf der Registerkarte Translation (Übersetzung) die Originalpaketdetails und die übersetzten Paketdetails aus. Da es sich um Identity NAT handelt, bleiben Quelle und Ziel unverändert:

    FTD GUI -Translation tab

    Aktivieren Sie auf der Registerkarte Erweitert die Kontrollkästchen, wie in dieser Abbildung dargestellt:

    FTD GUI -Advanced tab

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    25-May-2023
    Rezertifizierung
    2.0
    22-Oct-2021
    Autorisierungsfeld entfernt und ACL korrigiert.
    1.0
    07-Feb-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Farid Yusifov
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.