Configure o acesso seguro com firewall seguro com alta disponibilidade

Introdução

Este documento descreve como configurar o acesso seguro com firewall seguro com alta disponibilidade.

Pré-requisitos

• Configurar Provisionamento de Usuário
• Configuração de Autenticação ZTNA SSO
• Configurar o acesso seguro da VPN de acesso remoto

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Firepower Management Center 7.2
• Firepower Threat Defense 7.2
• Acesso seguro
• Cisco Secure Client - VPN
• Cisco Secure Client - ZTNA
• ZTNA sem cliente

Componentes Utilizados

As informações neste documento são baseadas em: 

• Firepower Management Center 7.2
• Firepower Threat Defense 7.2
• Acesso seguro
• Cisco Secure Client - VPN
• Cisco Secure Client - ZTNA

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

A Cisco projetou o Secure Access para proteger e fornecer acesso a aplicativos privados, no local e baseados em nuvem. Ele também protege a conexão da rede à Internet. Isso é obtido por meio da implementação de vários métodos e camadas de segurança, todos voltados para preservar as informações à medida que elas são acessadas pela nuvem.

Diagrama de Rede

Configurar

Configurar a VPN no acesso seguro

Navegue até o painel de administração do Acesso seguro.

• Clique em Connect > Network Connections

• EmNetwork Tunnel Groupsclique em + Add

• ConfigureTunnel Group Name, RegioneDevice Type
• Clique em Next

• Configure oTunnel ID Formate Passphrase
• Clique em Next

• Configure os intervalos de endereços IP ou hosts que você configurou na sua rede e deseja passar o tráfego pelo Secure Access
• Clique em Save

Depois de clicar Save nas informações sobre o túnel que são exibidas, salve essas informações para a próxima etapa, Configure the tunnel on Secure Firewall.

Dados para configuração de túnel

Configurar o túnel no Firewall Seguro

Configurar a interface do túnel

Para esse cenário, você usa a configuração da Interface de Túnel Virtual (VTI - Virtual Tunnel Interface) no Firewall Seguro para atingir essa meta; lembre-se de que, nesse caso, você tem ISP duplo e queremos ter HA se um de seus ISPs falhar.

INTERFACES	FUNÇÃO
WAN primária	WAN de Internet principal
WAN secundária	WAN de Internet secundária
VTIprimário	Vinculado para enviar o tráfego pelo Principal Internet WAN para acesso seguro
VTIsecundário	Vinculado para enviar o tráfego pelo Secondary Internet WAN para acesso seguro

Com base no cenário, temos PrimaryWAN e SecondaryWAN, que devemos usar para criar as interfaces VTI.

Navegue até oFirepower Management Center > Devices.

• Escolha seu FTD
• Escolha  Interfaces

• Clique em Add Interfaces > Virtual Tunnel Interface

• Configure a interface com base nas próximas informações

• Name : Configure um nome que se refira ao PrimaryWAN interface
• Security Zone : Você pode reutilizar outro Security Zone, mas criar um novo para tráfego de acesso seguro é melhor
• Tunnel ID : Adicionar um número para a ID do túnel
• Tunnel Source : Escolha seu PrimaryWAN interface endereço IP e o IP privado ou público da interface
• IPsec Tunnel Mode : Escolha IPv4 e configure um IP não roteável em sua rede com máscara 30

Depois disso, você precisa fazer o mesmo para o SecondaryWAN interface, e você tem tudo configurado para a alta disponibilidade de VTI e, como resultado, você tem o próximo resultado:

Para esse cenário, os IPs usados são: 

Configuração IP de VTI
Nome Lógico	IP	Faixa
VTIprimário	169.254.2.1/30	169.254.2.1-169.254.2.2
VTIsecundário	169.254.3.1/30	169.254.3.1-169.254.3.2

Configurar a rota estática para a interface secundária

Para permitir que o tráfego do SecondaryWAN interface acesse oSecondary Datacenter IP Addressservidor, você precisa configurar uma rota estática para o IP do datacenter. Você pode configurá-lo com uma métrica de um (1) para torná-lo superior à tabela de roteamento; especifique também o IP como um host.

Navegue até Device > Device Management 

• Clique em seu dispositivo FTD
• Clique em Routing
• Escolha  Static Route > + Add Route

• Interface: Escolha a interface WAN secundária
• Gateway: Escolha o gateway WAN secundário
• Selected Network: Adicione o IP do datacenter secundário como um host; você pode encontrar as informações fornecidas ao configurar o túnel na etapa Secure Access, Data for Tunnel Setup
• Metric: Use um (1)
• OKClique em e Save para salvar as informações e, em seguida, implantar.

Configurar a VPN para proteger o acesso no modo VTI

Para configurar a VPN, navegue até o firewall: 

• Clique em Devices > Site to Site
• Clique em + Site to Site VPN

Configuração de endpoints

Para configurar a etapa Endpoints, você precisa usar as informações fornecidas sob a etapa Data for Tunnel Setup.

• Nome da topologia: Criar um nome relacionado à integração do Secure Access
• Escolha  Routed Based (VTI)
• Escolha  Point to Point
• IKE Version: Escolher IKEv2

Em Node A, você precisa configurar os próximos parâmetros:

• Device: Escolha seu dispositivo FTD
• Virtual Tunnel Interface: Escolha o VTI relacionado ao PrimaryWAN Interface.
• Marcar a caixa de seleção para Send Local Identity to Peers
• Local Identity Configuration: Escolha ID de e-mail e preencha as informações com base nas Primary Tunnel ID informações fornecidas na sua configuração na etapa, Data for Tunnel Setup

Depois de configurar as informações no PrimaryVTI clique em + Add Backup VTI: 

• Virtual Tunnel Interface: Escolha o VTI relacionado ao PrimaryWAN Interface.
• Marcar a caixa de seleção para Send Local Identity to Peers
• Local Identity Configuration: Escolha ID de e-mail e preencha as informações com base nas Secondary Tunnel ID informações fornecidas na sua configuração na etapa, Data for Tunnel Setup

Em Node B, você precisa configurar os próximos parâmetros:

• Device: Extranet
• Device Name: Escolha um Nome para reconhecer o Acesso Seguro como o destino.
• Endpoint IP Address: A configuração para primário e secundário deve ser primário Datacenter IP,Secondary Datacenter IP, você pode encontrar essas informações na etapa, Data for Tunnel Setup

Depois disso, sua configuração para Endpoints está concluída e você pode ir para a etapa, Configuração IKE.

Configuração de IKE

Para configurar os parâmetros IKE, clique em IKE.

Em IKE, você precisa configurar os próximos parâmetros:

• Policies: Você pode usar a configuração padrão do Umbrella Umbrella-AES-GCM-256 ou configurar parâmetros diferentes com base no Supported IKEv2 and IPSEC Parameters

• Authentication Type: Chave manual pré-compartilhada
• Keye:Confirm Key Você pode encontrar as Passphrase informações na etapa Data for Tunnel Setup

Depois disso, sua configuração para IKE está concluída e você pode ir para a etapa Configuração de IPSEC.

Configuração de IPSEC

Para configurar os parâmetros IPSEC, clique em IPSEC.

Em IPSEC, você precisa configurar os próximos parâmetros:

• Policies: Você pode usar a configuração padrão do Umbrella Umbrella-AES-GCM-256 ou configurar parâmetros diferentes com base no Supported IKEv2 and IPSEC Parameters

Depois disso, sua configuração para IPSEC será concluída e você poderá ir para a etapa Configuração avançada.

Configuração avançada

Para configurar os parâmetros avançados, clique em Avançado.

Em Advanced, você precisa configurar os próximos parâmetros:

• IKE Keepalive: Enable
• Threshold: 10
• Retry Interval: 2
• Identity Sent to Peers: autoOrDN
• Peer Identity Validation: Não verificar

Depois disso, você pode clicar emSavee Deploy.

Depois disso, a configuração do VPN to Secure Access in VTI Mode será concluída e você poderá ir para a etapa Configure Policy Base Routing.

Cenários de configuração da política de acesso

As regras de política de acesso definidas se baseiam em: 

Interface	Zona
VTIprimário	SIG
VTIsecundário	SIG
LAN	LAN

Cenário de acesso à Internet

Para fornecer acesso à Internet para todos os recursos que você configura no Roteamento de base de política, você precisa configurar algumas regras de acesso e também algumas políticas no acesso seguro, então deixe-me explicar como conseguir isso neste cenário: 

Essa regra fornece acesso à Internet e, nesse caso, LAN a Internet está SIGdesativada.

Cenário de RA-VPN

Para fornecer acesso dos usuários do RA-VPN, você precisa configurá-lo com base no intervalo atribuído no pool do RA-VPN. 

Como você verifica o pool IP de seu VPNaaS? 

Navegue até o Painel do Secure Access

• Clique em Connect > End User Connectivity
• Clique em Virtual Private Network 
• Em Manage IP Pools, clique em Manage

• Você vê sua piscina sob Endpoint IP Pools

• Você precisa permitir esse intervalo em SIG, mas também deve adicioná-lo na ACL configurada em seu PBR. 

Configuração de regra de acesso

Se você estiver configurando apenas o Acesso seguro para usá-lo com os recursos para acessar os recursos de aplicativos particulares, sua regra de acesso poderá ter esta aparência: 

Essa regra permite o tráfego do pool de RA-VPN 192.168.50.0/24 para sua LAN; você pode especificar mais, se necessário.

Configuração da ACL

Para permitir o tráfego de roteamento de SIG para sua LAN, você deve adicioná-lo na ACL para fazê-lo funcionar no PBR.

Cenário ZTNA CLAP-BAP

Você deve configurar sua rede com base no intervalo CGNAT 100.64.0.0/10 para fornecer acesso à sua rede a partir dos usuários Client Base ZTA ou Browser Base ZTA.

Configuração de regra de acesso

Se você estiver configurando apenas o Acesso seguro para usá-lo com os recursos para acessar os recursos de aplicativos particulares, sua regra de acesso poderá ter esta aparência: 

Essa regra permite o tráfego do intervalo ZTNA CGNAT 100.64.0.0/10 para sua LAN.

Configuração da ACL

Para permitir o tráfego de roteamento de SIG usando CGNAT para sua LAN, você deve adicioná-lo na ACL para fazê-lo funcionar sob o PBR.

Configurar o Roteamento Base da Política

Para fornecer acesso a recursos internos e à Internet por meio do Secure Access, você deve criar rotas por meio do Roteamento Base de Política (PBR - Policy Base Routing) que facilitam o roteamento do tráfego da origem para o destino.

• Navegue até Devices > Device Management
• Escolha o dispositivo FTD onde você criou a rota

• Clique em Routing
• Escolha  Policy Base Routing
• Clique em Add

Neste cenário, você seleciona todas as interfaces que usa como origem para rotear o tráfego para o Secure Access ou para fornecer autenticação de usuário para o Secure Access usando RA-VPN ou acesso ZTA baseado em cliente ou navegador aos recursos internos da rede:

• Em Interface de ingresso, selecione todas as interfaces que enviam tráfego através do Secure Access:

• Em Match Criteria and Egress Interface, você define os próximos parâmetros depois de clicar emAdd:

• Match ACL: Para essa ACL, você configura tudo o que é roteado para o Secure Access:

• Send To: Escolher endereço IP
• IPv4 Addresses: Você deve usar o próximo IP sob a máscara 30 configurada em ambos os VTIs; você pode verificar isso na etapa Config da interface VTI

Interface	IP	GW
VTIprimário	169.254.2.1/30	169.254.2.2
VTIsecundário	169.254.3.1/30	169.254.3.2

Depois de configurá-lo dessa forma, você obterá o próximo resultado e poderá continuar clicando em Save:

Depois disso, você precisará Save fazer isso novamente e configurá-lo da seguinte maneira: 

Depois disso, você poderá Implantar e verá o tráfego das máquinas configuradas na ACL que faz o roteamento do tráfego para Acesso seguro:

A partir do Conexion Events CVP:

No Activity Search no Secure Access:

Configurar a Diretiva de Acesso à Internet no Acesso Seguro

Para configurar o acesso para acesso à Internet, você precisa criar a política no Painel de Acesso Seguro:

• Clique em Secure > Access Policy

• Clique em Add Rule > Internet Access

Nela, você pode especificar a origem como o túnel e, para o destino, você pode escolher qualquer um, dependendo do que deseja configurar na política. Verifique o Guia do usuário do Secure Access.

Configurar o acesso a recursos privados para ZTNA e RA-VPN

Para configurar o acesso para recursos privados, você precisa criar os recursos primeiro no Painel de Acesso Seguro:

Clique em Resources > Private Resources

• Depois, clique em  ADD 

Na configuração, você encontrará as próximas seções para configurar: General, Communication with Secure Access Cloud and Endpoint Connection Methods.

General

• Private Resource Name : Crie um nome para o recurso ao qual você fornece acesso por meio do Acesso Seguro à sua rede

Métodos de Conexão de Endpoint 

• Zero Trust Connections: Marque a caixa de seleção.
• Client-based connection: Se você habilitá-lo, poderá usar o Secure Client - Zero Trust Module para habilitar o acesso por meio do modo baseado no cliente.
• Remote Reachable Address (FQDN, Wildcard FQDN, IP Address) : Configurar os recursos IP ou FQDN; se você configurar o FQDN, precisará adicionar o DNS para resolver o nome.
• Browser-based connection: Se você habilitá-lo, poderá acessar seus recursos por meio do navegador (somente adicione recursos com comunicação HTTP ou HTTPS)
• Public URL for this resource: Configurar o URL público que você usa através do navegador; O acesso seguro protege esse recurso.
• Protocol: Selecionar o protocolo (HTTP ou HTTPS)

VPN Connection: Marque a caixa de seleção para habilitar o acesso via RA-VPNaaS.

Depois disso, clique em Save e você poderá adicionar esse recurso ao Access Policy.

Configurar a política de acesso 

Ao criar o recurso, você precisa atribuí-lo a uma das políticas de acesso seguro:

• Clique em Secure > Access Policy

• Clique em  Add > Private Resource

Para essa regra de acesso privado, você configura os valores padrão para fornecer acesso ao recurso. Para saber mais sobre configurações de diretivas, consulte o Guia do usuário.

• Action : Escolha Permitir para fornecer acesso ao recurso.
• From : Especifique o usuário que pode ser usado para fazer logon no recurso.
• To : Escolha o recurso que você deseja acessar por meio do Acesso seguro.

• Zero-Trust Client-based Posture Profile: Escolha o perfil padrão para o acesso da base de clientes
• Zero-Trust Browser-based Posture Profile: Escolha o acesso básico do navegador de perfil padrão

Depois disso, clique em Next eSave e sua configuração, e você pode tentar acessar seus recursos por meio de RA-VPN e Client Base ZTNA ou Browser Base ZTNA.

Troubleshooting

Para solucionar problemas com base na comunicação entre o Firewall Seguro e o Acesso Seguro, você pode verificar se a Fase 1 (IKEv2) e a Fase 2 (IPSEC) foram estabelecidas entre os dispositivos sem problemas.

Verificar Fase1 (IKEv2)

Para verificar a Fase 1, você precisa executar o próximo comando na CLI do FTD:

show crypto isakmp sa

Nesse caso, a saída desejada é dois IKEv2 SAs IPs do data center de acesso seguro e o status desejado é READY:

There are no IKEv1 SAs

IKEv2 SAs:

Session-id:3, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                                               Remote                                     fvrf/ivrf     Status         Role
 52346451 192.168.0.202/4500                                  3.120.45.23/4500                        Global/Global      READY    RESPONDER
      Encr: AES-GCM, keysize: 256, Hash: N/A, DH Grp:20, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/4009 sec
Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
          remote selector 0.0.0.0/0 - 255.255.255.255/65535
          ESP spi in/out: 0xfb34754c/0xc27fd2ba

IKEv2 SAs:

Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                                               Remote                                     fvrf/ivrf     Status         Role
 52442403 192.168.30.5/4500                                   18.156.145.74/4500                      Global/Global      READY    RESPONDER
      Encr: AES-GCM, keysize: 256, Hash: N/A, DH Grp:20, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/3891 sec
Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
          remote selector 0.0.0.0/0 - 255.255.255.255/65535
          ESP spi in/out: 0x4af761fd/0xfbca3343

Verificar Fase2 (IPSEC)

Para verificar a Fase2, você precisa executar o próximo comando na CLI do FTD:

interface: PrimaryVTI
    Crypto map tag: __vti-crypto-map-Tunnel1-0-1, seq num: 65280, local addr: 192.168.30.5

      Protected vrf (ivrf): Global
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      current_peer: 18.156.145.74


      #pkts encaps: 71965, #pkts encrypt: 71965, #pkts digest: 71965
      #pkts decaps: 91325, #pkts decrypt: 91325, #pkts verify: 91325
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 71965, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 192.168.30.5/4500, remote crypto endpt.: 18.156.145.74/4500
      path mtu 1500, ipsec overhead 63(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: FBCA3343
      current inbound spi : 4AF761FD

    inbound esp sas:
      spi: 0x4AF761FD (1257726461)
         SA State: active
         transform: esp-aes-gcm-256 esp-null-hmac no compression
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, VTI, }
         slot: 0, conn_id: 2, crypto-map: __vti-crypto-map-Tunnel1-0-1
         sa timing: remaining key lifetime (kB/sec): (3916242/27571)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0xFBCA3343 (4224332611)
         SA State: active
         transform: esp-aes-gcm-256 esp-null-hmac no compression
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, VTI, }
         slot: 0, conn_id: 2, crypto-map: __vti-crypto-map-Tunnel1-0-1
         sa timing: remaining key lifetime (kB/sec): (4239174/27571)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

interface: SecondaryVTI
    Crypto map tag: __vti-crypto-map-Tunnel2-0-2, seq num: 65280, local addr: 192.168.0.202

      Protected vrf (ivrf): Global
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      current_peer: 3.120.45.23


      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 192.168.0.202/4500, remote crypto endpt.: 3.120.45.23/4500
      path mtu 1500, ipsec overhead 63(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: C27FD2BA
      current inbound spi : FB34754C

    inbound esp sas:
      spi: 0xFB34754C (4214519116)
         SA State: active
         transform: esp-aes-gcm-256 esp-null-hmac no compression
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, VTI, }
         slot: 0, conn_id: 20, crypto-map: __vti-crypto-map-Tunnel2-0-2
         sa timing: remaining key lifetime (kB/sec): (4101120/27412)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0xC27FD2BA (3263156922)
         SA State: active
         transform: esp-aes-gcm-256 esp-null-hmac no compression
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, VTI, }
         slot: 0, conn_id: 20, crypto-map: __vti-crypto-map-Tunnel2-0-2
         sa timing: remaining key lifetime (kB/sec): (4239360/27412)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

Na última saída, você pode ver os dois túneis estabelecidos; o que não é desejado é a próxima saída sob o pacoteencapsedecaps.

Se você tiver esse cenário, abra um caso no TAC.

Função de alta disponibilidade

A função dos túneis com acesso seguro que se comunicam com o data center na nuvem é ativa/passiva, o que significa que apenas a porta para DC 1 estará aberta para receber tráfego; a porta DC 2 fica fechada até que o túnel número 1 se desligue. 

Verificar o roteamento de tráfego para proteger o acesso

Neste exemplo, usamos a origem como a máquina na rede de firewall:

• Fonte: 192.168.10.40
• Destino: 146.112.255.40 (IP de monitoramento de acesso seguro)

Exemplo: 

Comando: 

 packet-tracer input LAN tcp 192.168.10.40 3422 146.112.255.40 80

Saída:

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Elapsed time: 14010 ns
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: PBR-LOOKUP
Subtype: policy-route
Result: ALLOW
Elapsed time: 21482 ns
Config:
route-map FMC_GENERATED_PBR_1707686032813 permit 5
 match ip address ACL
 set ip next-hop 169.254.2.2 169.254.3.2
Additional Information:
 Matched route-map FMC_GENERATED_PBR_1707686032813, sequence 5, permit
 Found next-hop 169.254.2.2 using egress ifc PrimaryVTI

Phase: 3
Type: OBJECT_GROUP_SEARCH
Subtype:
Result: ALLOW
Elapsed time: 0 ns
Config:
Additional Information:
 Source Object Group Match Count:       0
 Destination Object Group Match Count:  0
 Object Group Search:                   0

Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Elapsed time: 233 ns
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip any ifc PrimaryVTI any rule-id 268434435
access-list CSM_FW_ACL_ remark rule-id 268434435: ACCESS POLICY: HOUSE - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268434435: L7 RULE: New-Rule-#3-ALLOW
Additional Information:
 This packet will be sent to snort for additional processing where a verdict will be reached

Phase: 5
Type: CONN-SETTINGS
Subtype:
Result: ALLOW
Elapsed time: 233 ns
Config:
class-map class_map_Any
 match access-list Any
policy-map policy_map_LAN
 class class_map_Any
  set connection decrement-ttl
service-policy policy_map_LAN interface LAN
Additional Information:

Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Elapsed time: 233 ns
Config:
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Elapsed time: 233 ns
Config:
Additional Information:

Phase: 8
Type: VPN
Subtype: encrypt
Result: ALLOW
Elapsed time: 18680 ns
Config:
Additional Information:

Phase: 9
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Elapsed time: 25218 ns
Config:
Additional Information:

Phase: 10
Type: NAT
Subtype: per-session
Result: ALLOW
Elapsed time: 14944 ns
Config:
Additional Information:

Phase: 11
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Elapsed time: 0 ns
Config:
Additional Information:

Phase: 12
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Elapsed time: 19614 ns
Config:
Additional Information:
New flow created with id 23811, packet dispatched to next module

Phase: 13
Type: EXTERNAL-INSPECT
Subtype:
Result: ALLOW
Elapsed time: 27086 ns
Config:
Additional Information:
Application: 'SNORT Inspect'

Phase: 14
Type: SNORT
Subtype: appid
Result: ALLOW
Elapsed time: 28820 ns
Config:
Additional Information:
service: (0), client: (0), payload: (0), misc: (0)

Phase: 15
Type: SNORT
Subtype: firewall
Result: ALLOW
Elapsed time: 450193 ns
Config:
Network 0, Inspection 0, Detection 0, Rule ID 268434435
Additional Information:
Starting rule matching, zone 1 -> 3, geo 0 -> 0, vlan 0, src sgt: 0, src sgt type: unknown, dst sgt: 0, dst sgt type: unknown, user 9999997, no url or host, no xff
Matched rule ids 268434435 - Allow

Result:
input-interface: LAN(vrfid:0)
input-status: up
input-line-status: up
output-interface: PrimaryVTI(vrfid:0)
output-status: up
output-line-status: up
Action: allow
Time Taken: 620979 ns

Aqui, muitas coisas podem nos dar contexto sobre a comunicação e saber se tudo está corretamente na configuração de PBR para rotear o tráfego corretamente para o acesso seguro: 

 PrimaryVTI A Fase 2 indica que o tráfego está sendo encaminhado para a interface, o que está correto porque, com base nas configurações neste cenário, o tráfego da Internet deve ser encaminhado para o Secure Access através do VTI.

A Fase 8 corresponde ao estágio de criptografia em uma conexão VPN, onde o tráfego é avaliado e autorizado para criptografia, garantindo que os dados possam ser transmitidos com segurança. A Fase 9, por outro lado, concentra-se no gerenciamento específico do fluxo de tráfego dentro do túnel VPN IPSec, confirmando que o tráfego criptografado é devidamente roteado e permitido através do túnel estabelecido.

Para finalizar, ao final do resultado do fluxo, você pode ver o tráfego do LAN para PrimaryVTI encaminhar o tráfego para o acesso seguro. A ação allow confirma que o tráfego é roteado sem problemas.

Informações Relacionadas

• Suporte técnico e downloads da Cisco
• Central de ajuda do Cisco Secure Access
• Visão geral do módulo de plataforma confiável virtual
• Módulo de acesso Zero Trust
• Solucione O Erro De Acesso Seguro "O Serviço De Registro Não Está Respondendo. Entre em contato com o help desk de TI"