在FMC管理的FTD上設定AnyConnect動態分割通道

簡介

本文檔介紹如何在由Firepower管理中心管理的Firepower威脅防禦(FTD)上配置AnyConnect動態拆分隧道。

必要條件

需求

思科建議您瞭解以下主題：

• Cisco AnyConnect
• Firepower管理中心(FMC)的基本知識

採用元件

本檔案中的資訊是根據以下軟體版本：

• FMC 7.0版
• FTD 7.0版

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

FMC管理的FTD上的AnyConnect動態分割隧道配置在FMC版本7.0及更高版本上完全可用。如果運行的是舊版本，則需要按照高級AnyConnect VPN部署（針對具有FMC的Firepower威脅防禦）中的說明透過FlexConfig進行配置。

使用動態拆分隧道配置，您可以根據DNS域名微調拆分隧道配置。由於與完全限定域名(FQDN)關聯的IP地址可以更改，因此基於DNS名稱的分割隧道配置可提供更加動態的定義，說明哪些流量包含或不包含於遠端訪問虛擬專用網路(VPN)隧道中。如果為排除的域名返回的任何地址位於VPN中包含的地址池中，則這些地址將被排除。排除的網域不會被封鎖。相反，流向這些域的流量保留在VPN隧道之外。

限制

目前仍不支援這些功能：

• iOS (Apple)裝置不支援動態拆分隧道。 請參閱Cisco bug ID CSCvr54798
  
• AnyConnect Linux客戶端不支援動態拆分隧道。 請參閱Cisco bug IDCSCvt64988

設定

本節介紹如何在FMC管理的FTD上配置AnyConnect動態拆分隧道。

步驟 1.編輯組策略以使用動態拆分隧道

1. 在FMC上，導航到裝置> VPN >遠端訪問，然後選擇您要應用配置的連線配置檔案。

 

2. 選擇編輯組策略以修改已建立的組策略之一。

步驟 2.配置AnyConnect自定義屬性

1. 在組策略配置下，導航到AnyConnect >自定義屬性，點選增加(+)按鈕：

 

 

2. 選擇Dynamic Split Tunneling AnyConnect屬性，然後按一下Add (+)按鈕建立新的自定義屬性對象：

 

3. 輸入AnyConnect自定義屬性的名稱，然後配置要動態包括或排除的域。

注意：您只能設定「包括網域」或「排除網域」。

 

 

在本示例中，已將cisco.com配置為要排除的域，並將自定義屬性Dynamic-Split-Tunnel命名為，如下圖所示：

 

 

步驟 3.驗證配置、儲存和部署

驗證已設定的自訂屬性是否正確，儲存組態並部署變更至討論中的FTD。

 

 

驗證

您可以透過指令行介面(CLI)在FTD上執行下列命令，以確認動態分割通道組態：

• show running-config webvpn
• show running-config anyconnect-custom-data
• show running-config group-policy <組策略名稱>

 

在此範例中，組態為下一個：

ftd# show run group-policy AnyConnect_Local_Auth
group-policy AnyConnect_Local_Auth attributes
vpn-idle-timeout 30
vpn-simultaneous-logins 3
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
ipv6-split-tunnel-policy-tunnelall
split-tunnel-network-list value AC_networks
Default-domain none
split-dns none
address-pools value AC_pool
anyconnect-custom dynamic-split-exclude-domains value cisco.com
anyconnect-custom dynamic-split-include-domains none

ftd# show run webvpn
webvpn
enable outside
anyconnect-custom-attr dynamic-split-exclude-domains
anyconnect-custom-attr dynamic-split-include-domains
http-headers
hsts-server
enable
max-age 31536000
include-sub-domains
no preload
hsts-client
enable
content-security-policy
anyconnect image disk0:/csm/anyconnect-win-4.1005111-webdeploy-k9.pkg regex "Windows"
anyconnect profiles xmltest disk0:/csm/xmltest.xml
anyconnect enable
tunnel-group-list enable
cache
disable
certificate-group-map cert_map_test 10 cert_auth
error-recovery disable

要驗證客戶端上已配置的動態隧道排除，請執行以下操作：

 

1.啟動AnyConnect軟體並按一下齒輪圖示，如下圖所示：

 

 

2. 導航到VPN > Statistics，確認在Dynamic Split Exclusion/Inclusion下顯示的域：

 

疑難排解

您可以使用AnyConnect診斷和報告工具(DART)來收集有助於解決AnyConnect安裝和連線問題的資料。

DART彙編了用於思科技術支援中心(TAC)分析的日誌、狀態和診斷資訊，不需要管理員許可權便可在客戶端電腦上運行。

問題

如果在AnyConnect自定義屬性(例如*.cisco.com)中配置了萬用字元，則會斷開AnyConnect會話。

解決方案

您可以使用cisco.com網域值來允許替代萬用字元。此變更可讓您包含或排除網域，例如www.cisco.com和tools.cisco.com。

相關資訊

• 如需其他協助，請聯絡技術支援中心(TAC)。需要有效的支援合約：思科全球支援聯絡人
• 您還可以訪問Cisco VPN社群此處。