适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南,版本 6.3.0

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book
语言选择
Download Options

Book Title

适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南,版本 6.3.0

Chapter Title

远程接入 VPN

Results

已更新:
2020年6月16日

Chapter: 远程接入 VPN

远程接入 VPN

远程接入虚拟专用网络 (VPN) 允许个人用户使用连接到互联网的计算机或其他受支持的 iOS 或 Android 设备,从远程位置连接到您的网络。这样,移动员工就可以从家庭网络或公共 Wi-Fi 网络进行连接。

以下主题介绍如何为您的网络配置远程接入 VPN。

远程接入 VPN 概述

您可以使用 Firepower 设备管理器,配置通过 SSL 借助 AnyConnect 客户端软件实现的远程接入 VPN。

AnyConnect 客户端与 Firepower 威胁防御设备协商 SSL VPN 连接时,会使用传输层安全 (TLS) 或数据报传输层安全 (DTLS) 进行连接。DTLS 可避免与某些 SSL 连接关联的延迟和带宽问题,并可提高对于数据包延迟敏感的实时应用的性能。客户端与 Firepower 威胁防御设备会协商要使用的 TLS/DTLS 版本。如果客户端支持 DTLS,则使用 DTLS。

各设备型号的最大并发 VPN 会话数量

根据设备型号,设备上允许的并发远程接入 VPN 会话数量有最大值限制。此限制用于确保系统性能不会降低到不可接受的水平。请使用这些限制进行容量规划。

设备型号

最大并发远程接入 VPN 会话数

ASA 5508-X

100

、ASA 5515-X

250

ASA 5516-X

300

ASA 5525-X

750

ASA 5545-X

2500

ASA 5555-X

5000

Firepower 2110

1500

Firepower 2120

3500

Firepower 2130

7500

Firepower 2140

10,000

Firepower 威胁防御虚拟

250

ISA 3000

25

下载 AnyConnect 客户端软件

在配置远程接入 VPN 之前,必须将 AnyConnect 软件下载到您的工作站。定义 VPN 时,您需要上传这些软件包。

您应该下载最新的 AnyConnect 版本,以确保获得最新的功能、漏洞修复和安全补丁。请定期更新 Firepower 威胁防御设备上的软件包。


可以为以下每个操作系统上传一个 AnyConnect 软件包:Windows、Mac 和 Linux。无法为特定操作系统类型上传多个版本。

从 software.cisco.com 上的 AnyConnect 安全移动客户端类别中获取 AnyConnect 软件包。您需要下载客户端的“完全安装软件包”版本。

用户如何安装 AnyConnect 软件

要完成 VPN 连接,您的用户必须安装 AnyConnect 客户端软件。可以使用现有的软件分发方法直接安装该软件。或者,用户直接从 Firepower 威胁防御设备安装 AnyConnect 客户端。

用户必须对其工作站具有管理员权限才能安装软件。

安装 AnyConnect 客户端后,如果您将新的 AnyConnect 版本上传到系统,AnyConnect 客户端将在用户进行下一个 VPN 连接时检测到新版本。系统将自动提示用户下载并安装更新的客户端软件。这种自动化可为您和您的客户端简化软件分发。

如果您决定让用户一开始从 Firepower 威胁防御设备安装软件,请告诉用户执行以下步骤。


Android 和 iOS 用户应从相应的应用商店下载 AnyConnect。

过程

步骤 1

使用 Web 浏览器,打开 https://ravpn-address ,其中 ravpn-address 是您允许 VPN 连接的外部接口的 IP 地址或主机名。

您在配置远程接入 VPN 时确定此接口。系统提示用户登录。

步骤 2

登录到网站。

用户使用为远程接入 VPN 配置的目录服务器进行身份验证。登录成功后可继续操作。

如果登录成功,系统将确定用户是否已具有所需的 AnyConnect 客户端版本。如果用户的计算机上没有 AnyConnect 客户端,或者客户端的版本较低,系统将自动开始安装 AnyConnect 软件。

安装后,AnyConnect 会完成远程接入 VPN 连接。

远程接入 VPN 的许可要求

您的基本设备许可证必须满足出口要求,您才能配置远程接入 VPN。注册设备时,必须使用启用了出口管制功能的智能软件管理器账户。您也不能使用评估许可证配置该功能。

此外,您需要购买并启用远程接入 VPN 许可证,请选择以下任一项:AnyConnect Plus、AnyConnect Apex 或仅 AnyConnect VPN。即使这些许可证被设计为在与基于 ASA 软件的头端一起使用时允许不同的功能集,它们对于 Firepower 威胁防御设备都同等处理。

要启用许可证,请依次选择设备 > 智能许可证 > 查看配置,然后在远程接入 RA VPN 许可证组中选择正确的许可证。您需要在智能软件管理器账户中提供许可证。有关启用许可证的详细信息,请参阅启用或禁用可选许可证

有关详细信息,请参阅《思科 AnyConnect 订购指南》http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf。另外,http://www.cisco.com/c/en/us/products/security/anyconnect-secure-mobility-client/datasheet-listing.html 中还提供了其他数据表。

远程接入 VPN 的准则与限制

配置 RA VPN 时,请时刻注意以下准则和限制。

  • 对于同一个 TCP 端口,无法在同一接口上同时配置 Firepower 设备管理器访问(管理访问列表中的 HTTPS 访问)和 AnyConnect 远程访问 SSL VPN。例如,如果在外部接口上配置远程访问 SSL VPN,则也无法在端口 443 上打开 HTTPS 连接的外部接口。因为无法在 Firepower 设备管理器中配置这些功能所使用的端口,所以无法在同一接口上配置这两项功能。

  • 无法在 NAT 规则的源地址和远程接入 VPN 地址池中使用重叠地址。

  • (仅限 REST API 配置。)如果您使用 RADIUS 和 RSA 令牌配置双因素身份验证,则在大多数情况下,12 秒的默认身份验证超时太短,无法实现成功的身份验证。您可以通过创建自定义 AnyConnect 客户端配置文件并将其应用到 RA VPN 连接配置文件,来增加身份验证超时值,如配置并上传客户端配置文件中所述。建议身份验证超时时间最短为 60 秒,以便用户有足够的时间进行身份验证并粘贴 RSA 令牌,以及进行令牌往返验证。

配置远程接入 VPN

要为客户端启用远程接入 VPN,需要配置许多单独的项目。以下步骤程序介绍了端到端流程。

过程

步骤 1

配置许可证。

需要启用两个许可证:

  • 注册设备时,必须使用启用了出口管制功能的智能软件管理器账户。基本许可证必须符合出口管制要求,然后才能配置远程接入 VPN。您也不能使用评估许可证配置该功能。有关注册设备的步骤程序,请参阅注册设备

  • 远程接入 VPN 许可证。有关详细信息,请参阅远程接入 VPN 的许可要求。要启用该许可证,请参阅启用或禁用可选许可证
步骤 2

配置证书。

对客户端与设备之间的 SSL 连接进行身份验证需要使用证书。您可以将预定义的 DefaultInternalCertificate 用于 VPN,也可以自行创建证书。

如果对用于身份验证的目录领域使用加密连接,则必须上传受信任的 CA 证书。

有关证书及其上传方法的详细信息,请参阅配置证书
步骤 3

(可选。)配置并上传客户端配置文件
步骤 4

配置用于对远程用户进行身份验证的身份源。

您可以对允许登录远程接入 VPN 的用户账户使用以下源。

  • Active Directory 身份领域 - 作为主要身份验证源。在 Active Directory AD 服务器中定义用户账户。请参阅配置 AD 身份领域

  • LocalIdentitySource(本地用户数据库)- 作为主要或回退源。您可以直接在设备上定义用户,不使用外部服务器。如果您使用本地数据库作为回退源,请确保您定义与外部服务器中定义的相同用户名/密码。请参阅配置本地用户
步骤 5

配置远程接入 VPN 连接
步骤 6

允许流量通过远程接入 VPN
步骤 7

(可选。)控制远程接入 VPN 组对资源的访问

如果您不希望所有远程接入用户访问所有内部资源的权限都相同,可以应用访问控制规则以根据用户组成员关系允许或阻止访问。

步骤 8

验证远程接入 VPN 配置

如果在完成连接时遇到问题,请参阅远程接入 VPN 故障排除
步骤 9

(可选。)启用身份策略并配置被动身份验证规则。

如果启用被动用户验证,通过远程接入 VPN 登录的用户将显示在控制面板上,他们也可以用作策略中的流量匹配条件。如果不启用被动身份验证,只有当远程接入 VPN 用户匹配主动身份验证策略时,这些用户才可用。必须启用身份策略以在控制面板中获取任何用户名信息,或将其用于流量匹配。

配置并上传客户端配置文件

AnyConnect 客户端配置文件随 AnyConnect 客户端软件一起下载到客户端。这些配置文件定义与客户端相关的诸多选项,例如启动时自动连接和自动重新连接,以及是否允许终端用户更改 AnyConnect 客户端首选项和高级设置中的选项。

如果在配置远程接入 VPN 连接时为外部接口配置完全限定主机名 (FQDN),系统将为您创建一个客户端配置文件。此配置文件启用默认设置。只有在需要非默认行为时,才需要创建和上传客户端配置文件。请注意,客户端配置文件是可选的:如果您不上传,AnyConnect 客户端将对所有配置文件控制选项使用默认设置。


必须将 Firepower 威胁防御设备的外部接口添加到 VPN 配置文件的服务器列表中,以便 AnyConnect 客户端在第一次连接时显示所有用户可控的设置。如果您不将地址或 FQDN 添加为配置文件中的主机条目,则系统不会向会话应用过滤器。例如,如果您创建了一个证书匹配,且证书与条件正确匹配,但您未将设备添加为该配置文件中的主机条目,那么证书匹配将被忽略。

以下程序介绍了如何通过“对象”页面直接创建和编辑对象。另外,您还可以在编辑配置文件属性时,点击对象列表中所示的创建新 AnyConnect 客户端配置文件链接来创建 AnyConnect 客户端配置文件对象。

开始之前

在上传客户端配置文件之前,必须先执行以下操作。

  • 下载并安装独立版 AnyConnect“配置文件编辑器 - Windows/独立版安装程序 (MSI)”。此安装文件仅适用于 Windows,文件名为 anyconnect-profileeditor-win-<version>-k9.msi,其中 <version> 指 AnyConnect 版本。例如, anyconnect-profileeditor-win-4.3.04027-k9.msi。您还必须在安装配置文件编辑器之前安装 Java JRE 1.6(或更高版本)。从 software.cisco.com,在“AnyConnect 安全移动客户端”类别中,获取 AnyConnect 配置文件编辑器。

  • 使用配置文件编辑器创建所需的配置文件。您应在配置文件中指定外部接口的主机名或 IP 地址。有关详细信息,请参阅编辑器的在线帮助。

过程

步骤 1

选择对象,然后从目录中选择 AnyConnect 客户端配置文件
步骤 2

执行以下操作之一:

  • 要创建对象,请点击 + 按钮。

  • 要编辑对象,请点击该对象的编辑图标 (编辑图标)。

  • 要下载与对象关联的配置文件,请点击对象的下载图标 (下载文件按钮。)。

要删除未引用的对象,请点击该对象的垃圾桶图标 (删除图标)。

步骤 3

为对象输入名称和(可选)说明。

步骤 4

点击上传并选择使用配置文件编辑器创建的文件。

步骤 5

点击打开上传配置文件。

步骤 6

点击确定添加对象。

配置远程接入 VPN 连接

您可以创建远程接入 VPN 连接,以允许用户在外部网络(例如其家庭网络)上时连接到您的内部网络。

开始之前

在配置远程接入 (RA) VPN 连接之前:

  • 从 software.cisco.com 将所需的 AnyConnect 软件包下载到您的工作站。

  • 或者,使用 AnyConnect 配置文件编辑器创建客户端配置文件。如果为外部接口指定了完全限定域名,系统将为您创建一个默认配置文件。客户端配置文件是可选的,仅当您想要自定义由配置文件控制的功能时才需要创建。

  • 外部接口(作为远程接入 VPN 连接终端的那个外部接口)也不能具有允许 HTTPS 连接的管理访问列表。在配置 RA VPN 之前,从外部接口删除所有 HTTPS 规则。请参阅配置管理访问列表

过程

步骤 1

点击设备,然后点击“远程接入 VPN”组中的设置连接配置文件

您可以配置一个远程接入 VPN。如果已经配置了它,点击查看配置可打开现有的 VPN;点击编辑按钮可进行更改。

如果要删除该配置,请点击清除配置
步骤 2

定义 AnyConnect 客户端配置。

  • 连接配置文件名称 - 此连接的名称,最多 50 个字符,不能含空格。例如,MainOffice。不能将 IP 地址用作名称。

     

    您在此输入的名称将是用户在 AnyConnect 客户端的连接列表中看到的名称。选择一个对您的用户来说有意义的名称。

  • 用户身份验证的身份源 - 用于对远程用户进行身份验证的主要身份源。必须在此源或可选的回退源中定义终端用户,才能完成 VPN 连接。选择以下一个选项:

    • Active Directory (AD) 身份领域。

    • LocalIdentitySource(本地用户数据库)- 您可以直接在设备上定义用户,而不使用外部服务器。

  • 回退本地身份源 - 如果主要源是一个外部服务器,您可以选择 LocalIdentitySource 作为回退源,以防主服务器不可用。如果使用本地数据库作为回退源,请确保您定义的本地用户名/密码与外部服务器中的定义的用户名/密码相同。

  • AnyConnect 软件包 - 您将在此 VPN 连接上支持的 AnyConnect 完整安装软件映像。对于每个软件包,文件名(包括扩展名)不能超过 60 个字符。可以为 Windows、Mac 和 Linux 终端上传单独的软件包。

    从 software.cisco.com 下载该软件包。如果终端尚未安装正确的软件包,系统会提示用户在用户验证后下载并安装软件包。

步骤 3

点击下一步
步骤 4

定义设备身份和客户端寻址配置。

  • 设备身份证书 - 选择用于建立设备身份的内部证书。客户端必须接受此证书才能完成安全的 VPN 连接。如果您还没有证书,请点击下拉列表中的创建新内部证书。您必须配置证书。

  • 外部接口 - 用户在进行远程接入 VPN 连接时连接的接口。请选择您使用此连接配置文件支持的设备与终端用户之间的任何接口,虽然这通常是外部(面向互联网的)接口。

  • 外部接口的完全限定域名 - 接口的名称,例如 ravpn.example.com。如果指定名称,系统可以为您创建一个客户端配置文件。

     

    您要确保 VPN 中和客户端使用的 DNS 服务器可以将此名称解析为外部接口的 IP 地址。将 FQDN 添加到相关 DNS 服务器。

  • IPv4、IPv6 地址池 - 这些选项为远程终端定义地址池。根据客户端用于建立 VPN 连接的 IP 版本,从这些池为客户端分配地址。选择一个网络对象,定义要支持的每个 IP 类型的子网。如果不想支持该 IP 版本,则选择(或留空)。例如,可以将 IPv4 池定义为 10.100.10.0/24。地址池不能与外部接口的 IP 地址位于同一子网。

  • 主要、辅助 DNS 服务器 - 当连接到 VPN 时,DNS 服务器客户端应用于域名解析。点击 OpenDNS 按钮以使用 OpenDNS 公共 DNS 服务器加载这些字段。或者,输入 DNS 服务器的 IP 地址。

  • 域搜索名称 - 为您的网络输入域名,例如 example.com。此域将被添加到非完全限定的主机名,例如 serverA 而不是 serverA.example.com。

步骤 5

点击下一步
步骤 6

定义连接设置以自定义 AnyConnect 客户端行为。

  • 适用于通过身份验证的客户端的 banner 文本 -(可选)输入要在 VPN 会话开始时向用户显示的任何消息。例如,关于适当使用的法律免责声明和警告。Banner 最多可包含 500 个字符,但不能包含分号 (;) 或 HTML 标记。

  • 最长连接时间 - 在不注销和重新连接的情况下,允许用户持续连接到 VPN 的最大时间长度(以分钟为单位),范围为 1 到 4473924 或留空。默认值为无限(留空),但空闲超时仍适用。

  • 空闲超时 - VPN 连接在自动关闭之前可以闲置的时间长度(以分钟为单位),范围为 1 到 35791394。默认值为 30 分钟。

  • VPN 会话期间的浏览器代理 - 是否在 Windows 客户端设备上的 Internet Explorer Web 浏览器的 VPN 会话期间使用代理。从以下选项中进行选择:

    • 终端设置无变化 - 允许用户配置(或不配置)浏览器代理,并在已配置的情况下使用代理。

    • 禁用浏览器代理 - 不使用为浏览器定义的代理(如有)。浏览器连接不会通过该代理。

    • 自动检测设置 - 允许在浏览器中使用自动代理服务器检测。

    • 使用自定义设置 - 为客户端浏览器配置代理。输入 HTTP 代理服务器的 IP 地址和(可选)端口(主机和端口加起来不能超过 100 个字符)。如果要免除特定 Web 服务器通过代理的请求,也可以点击添加代理例外(在例外列表中指定端口为可选项)。整个代理例外列表(包括所有地址和端口)不能超过 255 个字符。

  • 分离隧道 - 启用分离隧道以允许用户在使用安全 VPN 隧道的同时直接访问本地网络或互联网。保持禁用分离隧道功能以确保 VPN 连接更安全。如果启用分离隧道,还必须选择代表远程用户将在内部网络列表中访问的内部网络的网络对象。网络列表必须包含与您支持的地址池相同的 IP 类型。对于指定的网络之外的任何网络,用户的 ISP 网关用于传输流量。

  • NAT 免除 - 启用 NAT 免除,使进出远程接入 VPN 终端的流量免于执行 NAT 转换。如果不免除 VPN 流量执行 NAT,请确保外部和内部接口的现有 NAT 规则不适用于 RA VPN 地址池。NAT 免除规则是给定源/目的接口和网络组合的手动静态身份 NAT 规则,但它们不会反映在 NAT 策略中,它们是隐藏起来的。如果启用 NAT 免除,还必须进行以下配置。

    • 内部接口 - 选择远程用户将要访问的内部网络的接口。所创建的 NAT 规则用于这些接口。

    • 内部网络 - 选择代表远程用户将访问的内部网络的网络对象。网络列表必须包含与您支持的地址池相同的 IP 类型。

  • AnyConnect 客户端配置文件 - (可选。)如果为外部接口配置的是完全限定域名,则系统将会为您创建默认配置文件。或者,您可上传您自己的客户端配置文件。使用独立的 AnyConnect 配置文件编辑器创建这些配置文件,您可以从 software.cisco.com 下载和安装该编辑器。如果不选择客户端配置文件,AnyConnect 客户端将为所有选项使用默认值。此列表中的项目是 AnyConnect 客户端配置文件对象,而不是配置文件本身。您可以通过点击下拉列表中的创建新的 AnyConnect 客户端配置文件,创建(和上传)新配置文件。

步骤 7

点击下一步
步骤 8

审核摘要。

首先,验证摘要是否正确。

然后,点击说明查看终端用户初步安装 AnyConnect 软件需要做什么,并测试他们是否可以完成 VPN 连接。点击复制将这些说明复制到剪贴板,然后分发给您的用户。

步骤 9

点击完成

下一步做什么

确保 VPN 隧道中允许流量,如允许流量通过远程接入 VPN中所述。

默认情况下,VPN 终止流量会绕过访问控制策略,包括该策略中定义的任何高级检测,例如 URL 过滤、入侵保护或文件策略。如果想要访问控制策略评估并检测 VPN 流量,请使用 FlexConfig 配置 no sysopt connection permit-vpn 命令。然后,您可以配置访问控制规则以允许地址池和内部网络之间的流量从外部接口传输到内部接口。使用访问控制策略对 VPN 流量进行评估之前,系统会先将其解密,因此您可以应用入侵防御、URL 过滤等。

允许流量通过远程接入 VPN

创建远程接入 VPN 连接无法使系统通过 VPN 隧道发送流量。还必须配置以下其中一个设置:

  • 配置 sysopt connection permit-vpn 命令,此命令会使匹配 VPN 连接的流量免受访问控制策略的限制。此命令的默认值是 no sysopt connection permit-vpn ,这意味着 VPN 流量还必须获得访问控制策略的允许,

    外部用户无法在远程接入 VPN 地址池中伪造 IP 地址,因此这种允许 VPN 流量的方法较为安全。但它的缺点是,VPN 流量得不到检测,也就是说不会对流量应用入侵和文件保护、URL 过滤或其他高级功能。同时,系统不会生成有关此流量的任何连接事件,且统计控制面板不会反映 VPN 连接。

    使用 FlexConfig 配置此命令。

  • 创建访问控制规则以允许来自远程接入 VPN 地址池的连接。此方法可确保对 VPN 流量进行检测,并将高级服务应用于连接。但它的缺点是,有可能造成外部用户伪造 IP 地址,进而获得访问内部网络的权限。

    如果您希望基于用户组控制访问,则必须使用此选项,如控制远程接入 VPN 组对资源的访问中所述。

控制远程接入 VPN 组对资源的访问

如果您熟悉如何在 ASA 上配置远程接入 VPN 或在 FTD设备上使用 Firepower 设备管理器配置远程接入 VPN,则您可能熟悉根据远程接入 VPN 组控制对网络中各种资源的访问。

在 Firepower 设备管理器中,您可以使用单个组策略配置单个连接配置文件。不过,通过直接实施身份策略和基于用户组的访问控制,也可以根据用户组控制访问。

以下流程程序介绍配置方式。

开始之前

此步骤程序假定您已配置远程接入 VPN (RA VPN) 和所需的身份领域。不过,您可以首先配置身份和访问控制策略,再配置 RA VPN。

此配置要求 VPN 流量受到访问控制策略的限制。在 CLI 中,使用 show running-config 命令来检查 no sysopt connection permit-vpn 命令是否已显示。如果不是在运行配置中,请使用 FlexConfig 配置此命令。

过程

步骤 1

在目录服务器中配置所需的用户组。

目录服务器必须包含用户组,而这些组必须包含符合要部署的策略的正确用户。例如,如果要区分工程用户和营销用户,并允许组成员访问不同的资源,则必须在目录服务器中定义这些用户的组。

不能直接在 FTD 设备上创建用户组。

有关创建用户组的信息,请参阅目录服务器文档。

步骤 2

依次选择策略 > 身份,启用身份策略,然后创建一条规则以对 RA VPN 用户执行被动身份验证。

被动身份验证规则与 RA VPN 连接使用相同的领域。至少,必须设置一条身份策略,要求对包含 RA VPN 外部接口的区域的 RA VPN 地址池中的 IP 地址执行被动身份验证。

如果您有一揽子身份策略要求对所有地址和所有区域执行被动身份验证,则无需任何其他规则。

有关启用此策略和创建规则的信息,请参阅配置身份策略

由于只有通过身份策略身份验证收集的名称才能用于基于用户的访问控制策略,所以必须配置身份规则。访问控制策略不能使用仅从 RA VPN 连接获取的、没有关联身份规则的用户名。请注意,覆盖远程接入 VPN 用户的主动身份验证规则也足以收集所需的用户身份信息。

步骤 3

点击菜单中的部署按钮,然后点击立即部署按钮以部署更改。

部署更改按钮,在有更改需要部署时突出显示。

系统需要建立与目录服务器的连接并下载用户和用户组。部署配置从下载用户/组开始。如果不部署,则不可在访问控制规则中选择用户和组。

步骤 4

依次选择策略 > 访问控制,并创建基于组的访问控制规则。

现在,您即可创建访问控制规则来区分 RA VPN 用户的目录领域组。您可以创建常用的规则,也可以创建有针对性的具体规则。有关创建访问控制规则的信息,请参阅配置访问控制规则

例如,根据“添加/编辑访问规则”对话框中的选项卡,针对特定 RA VPN 用户组的规则可能使用以下条件:

  • 源/目标区域 - 区域应包括 RA VPN 外部接口。目标区域可以包括任何相关的内部接口。

  • 源/目标网络端口 - 选择 RA VPN 地址池网络对象作为网络,并选择定义受控资源的网络(或端口)对象作为目标网络/端口。如果应用或 URL 更适合您的要求,您可以不选择目标网络/端口,而使用应用URL 选项卡来定义目标资源。

  • 用户 - 在此选项卡上选择特定目录组。这是提供基于组的访问控制的标准。

  • 应用URL - 除源/目标选项卡上的目标网络/端口标准之外,您也可以使用这些标准。例如,您可以选择网络对象将规则限制为特定子网,然后选择应用来控制对目标网络上这些应用的访问。

  • 入侵策略文件策略 - 选择符合您要求的选项。这些选项可控制威胁,但不能控制对特定资源的访问。

  • 日志记录 - 选择符合您要求的选项。您必须启用日志记录,才能查看监控控制面板中的任何结果或事件查看器中的连接事件。

验证远程接入 VPN 配置

在配置远程接入 VPN 并将该配置部署到设备后,请确认是否可以进行远程连接。

如果遇到问题,请阅读故障排除主题以帮助隔离和更正问题。请参阅远程接入 VPN 故障排除

过程

步骤 1

在外部网络中,使用 AnyConnect 客户端建立 VPN 连接。

使用 Web 浏览器,打开 https://ravpn-address ,其中 ravpn-address 是您允许 VPN 连接的外部接口的 IP 地址或主机名。如有必要,安装客户端软件并完成连接。请参阅用户如何安装 AnyConnect 软件
步骤 2

登录到设备 CLI,如登录命令行界面 (CLI)中所述。 或者,打开 CLI 控制台。
步骤 3

使用 show vpn-sessiondb 命令查看有关当前 VPN 会话的摘要信息。

统计信息应显示您的活动 AnyConnect 客户端会话以及有关累积会话、峰值并发会话数量和非活动会话的信息。以下是该命令的输出示例。 


> show vpn-sessiondb 
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
                               Active : Cumulative : Peak Concur : Inactive
                             ----------------------------------------------
AnyConnect Client            :      1 :         49 :           3 :        0
  SSL/TLS/DTLS               :      1 :         49 :           3 :        0
Clientless VPN               :      0 :          1 :           1
  Browser                    :      0 :          1 :           1
---------------------------------------------------------------------------
Total Active and Inactive    :      1             Total Cumulative :     50
Device Total VPN Capacity    :  10000
Device Load                  :     0%
---------------------------------------------------------------------------

---------------------------------------------------------------------------
Tunnels Summary
---------------------------------------------------------------------------
                               Active : Cumulative : Peak Concurrent   
                             ----------------------------------------------
Clientless                   :      0 :          1 :               1
AnyConnect-Parent            :      1 :         49 :               3
SSL-Tunnel                   :      1 :         46 :               3
DTLS-Tunnel                  :      1 :         46 :               3
---------------------------------------------------------------------------
Totals                       :      3 :        142
---------------------------------------------------------------------------

---------------------------------------------------------------------------
IPv6 Usage Summary
---------------------------------------------------------------------------
                               Active : Cumulative : Peak Concurrent   
                             ----------------------------------------------
AnyConnect SSL/TLS/DTLS      :        :            :
  Tunneled IPv6              :      1 :         20 :           2
---------------------------------------------------------------------------
步骤 4

使用 show vpn-sessiondb anyconnect 命令查看有关当前 AnyConnect VPN 会话的详细信息。

详细信息包括使用的加密方式、传输和接收的字节数及其他统计信息。如果使用 VPN 连接,随着您重新发出命令,您应可看到传输/接收的字节数会变化。 


> show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : priya                  Index        : 4820
Assigned IP  : 172.18.0.1             Public IP    : 192.168.2.20
Assigned IPv6: 2009::1
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 27731                  Bytes Rx     : 14427
Group Policy : MyRaVpn|Policy         Tunnel Group : MyRaVpn
Login Time   : 21:58:10 UTC Mon Apr 10 2017
Duration     : 0h:51m:13s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a800fd012d400058ebfff2
Security Grp : none                   Tunnel Zone  : 0

监控远程接入 VPN

要监控和故障排除远程接入 VPN,请打开 CLI 控制台或登录设备 CLI 并使用以下命令。

  • show vpn-sessiondb 显示有关 VPN 会话的信息。您可以使用 clear vpn-sessiondb 命令重置这些统计信息。

  • show webvpn keyword 显示的是远程接入 VPN 配置相关信息,包括统计信息和安装的 AnyConnect 映像。输入 show webvpn ? 查看可用关键字。

  • show aaa-server 可显示用于远程接入 VPN 的目录服务器的统计信息。

远程接入 VPN 故障排除

远程接入 VPN 连接问题可能源自客户端或 Firepower 威胁防御设备配置。以下主题介绍您可能会遇到的主要故障排除问题。

SSL 连接问题故障排除

如果用户无法对外部 IP 地址进行初始非 AnyConnect SSL 连接以下载 AnyConnect 客户端,请执行以下操作:

  1. 从客户端工作站,验证能否对外部接口的 IP 地址执行 ping 命令。如果不能,请确定从用户工作站到该地址无路由的原因。

  2. 从客户端工作站,验证能否对外部接口(即远程接入 [RA] VPN 连接配置文件中定义的接口)的完全限定域名 (FQDN) 执行 ping 操作。如果能够 ping 通 IP 地址但 ping 不通 FQDN,则需要更新客户端和 RA VPN 连接配置文件使用的 DNS 服务器,添加该 FQDN 到 IP 地址的映射。

  3. 验证用户是否接受外部接口提供的证书。用户应该永久接受该证书。

  4. 检查 RA VPN 连接配置,并验证您是否选择了正确的外部接口。一个常见错误是选择了面向内部网络的内部接口,而不是面向 RA VPN 用户的外部接口。

  5. 如果正确配置了 SSL 加密,请使用外部嗅探器来验证 TCP 三次握手是否成功。

AnyConnect 下载和安装问题故障排除

如果用户可以与外部接口建立 SSL 连接,但无法下载和安装 AnyConnect 软件包,请考虑以下方面:

  • 确保您已上传客户端操作系统适用的 AnyConnect 软件包。例如,如果用户的工作站运行的是 Linux,但您没有上传 Linux AnyConnect 映像,就没有可安装的软件包。

  • 对于 Windows 客户端,用户必须获有管理员权限才能安装软件。

  • 对于 Windows 客户端,工作站必须启用 ActiveX 或安装 Java JRE 1.5 或更高版本,推荐使用 JRE 7。

  • 对于 Safari 浏览器,必须启用 Java。

  • 请尝试不同的浏览器,一种浏览器失败不意味着其他浏览器也会失败。

AnyConnect 连接问题故障排除

如果用户能够连接到外部接口、下载并安装 AnyConnect 客户端,然后却无法使用 AnyConnect 完成连接,请考虑以下方面:

  • 如果身份验证失败,请检验用户输入的用户名和密码是否正确,该用户名在身份验证服务器中的定义是否正确。身份验证服务器还必须可以通过一个数据接口使用。


    如果身份验证服务器在外部网络,则需要配置与该外部网络的站点间 VPN 连接,并将远程接入 VPN 接口地址包括在 VPN 中。有关详细信息,请参阅如何通过远程接入 VPN 使用外部网络上的目录服务器

  • 如果在远程接入 (RA) VPN 连接配置文件中为外部接口配置了完全限定域名 (FQDN),请验证能否从客户端设备 ping 通该 FQDN。如果能够 ping 通 IP 地址但 ping 不通 FQDN,则需要更新客户端和 RA VPN 连接配置文件使用的 DNS 服务器,添加该 FQDN 到 IP 地址的映射。如果使用的是为外部接口指定 FQDN 时生成的默认 AnyConnect 客户端配置文件,用户需要编辑服务器地址才能使用 IP 地址,直到 DNS 被更新。

  • 验证用户是否接受外部接口提供的证书。用户应该永久接受该证书。

  • 如果用户的 AnyConnect 客户端包括多个连接配置文件,请检验其选择的连接配置文件是否正确。

  • 如果客户端似乎一切正常,请与 Firepower 威胁防御 设备建立 SSH 连接,并输入 debug webvpn 命令。检查尝试连接期间发出的消息。

RA VPN 流量问题故障排除

如果用户可以进行安全远程接入 (RA) VPN 连接,但无法发送和接收流量,请执行以下操作:

  1. 使客户端断开连接,然后重新连接。有时此方法会消除问题。

  2. 在 AnyConnect 客户端中,请检查流量统计信息以确定发送和接收的数据包计数器是否在增加。如果接收的数据包计数保持为零,则 Firepower 威胁防御 设备未返回任何流量。这种情况下,Firepower 威胁防御 配置可能存在问题。常见问题包括:

    • 访问规则在阻止流量。检查访问控制策略是否包含阻止内部网络与 RA VPN 地址池之间传递流量的规则。如果您的默认操作是阻止流量,则可能需要创建一个显式“允许”规则。

    • RA VPN 流量没有绕过NAT 规则。确保为每个内部接口的 RA VPN 连接配置 NAT 免除。或者,确保 NAT 规则不会阻止内部网络和接口与 RA VPN 地址池和外部接口之间的通信。

    • 路由配置错误。确保定义的所有路由有效并在正常工作。例如,如果您为外部接口定义了静态 IP 地址,请确保路由表包含默认路由(对于 0.0.0.0/0 和 ::/0)。

    • 确保为 RA VPN 配置的 DNS 服务器和域名正确,并且客户端系统使用的是正确的 DNS 服务器和域名。验证 DNS 服务器是否可访问。

    • 如果在 RA VPN 中启用分割隧道,请检查到指定内部网络的流量是否通过该隧道,而所有其他流量则绕过该隧道(以使 Firepower 威胁防御设备不可见)。

  3. Firepower 威胁防御设备建立 SSH 连接,并验证是否在为远程接入 VPN 发送和接收流量。使用以下命令。

    • show webvpn anyconnect

    • show vpn-sessiondb

远程接入 VPN 示例

以下是配置远程接入 VPN 的示例。

如何在外部接口上为远程接入 VPN 用户提供互联网访问权限(发夹方法)

在远程接入 VPN 中,您可能希望远程网络用户通过您的设备访问互联网。不过,这些远程用户进入设备所用的接口与访问互联网所用的接口(外部接口)相同,因此需要使互联网流量从外部接口退出。这种技术有时候称为发夹方法。

下图展示了一个示例。外部接口 198.51.100.1 上配置了一个远程接入 VPN。您想要拆分远程用户的 VPN 隧道,以使退出的互联网流量重新回到外部接口,而流向内部网络的流量仍然流经设备。因此,如果远程用户想要访问互联网上的某个服务器(例如 www.example.com),连接会首先通过 VPN,然后从 198.51.100.1 接口路由回到互联网。


远程接入 VPN 中的发夹方法网络图。

以下程序介绍如何配置此服务。

开始之前

此示例假定您已经注册设备、应用远程接入 VPN 许可证并上传 AnyConnect 客户端映像,同时还假定您已配置身份领域,并且此领域也用于身份策略。

此外,此程序假定您使用了允许 VPN 流量的默认设置,使 VPN 流量受访问控制策略的限制。在运行配置中,这由 no sysopt connection permit-vpn 命令表示。如果通过 FlexConfig 启用 sysopt connection permit-vpn ,则无需执行这些步骤来配置访问控制规则。

过程

步骤 1

配置远程接入 VPN 连接配置文件。

  1. 点击设备,然后点击“远程接入 VPN”组中的设置连接配置文件。(如果已对配置文件进行配置,请点击查看配置)。

    对于现有连接,点击编辑可修改配置文件。

  2. 配置连接配置文件设置:

    • 连接配置文件名称 - 输入名称,例如 Corporate-RAVPN。

    • 用于用户身份验证的身份源 - 选择用于远程用户身份验证的身份领域。如果尚未配置身份领域,请点击下拉列表底部的创建新身份领域立即创建。或者,可以使用 LocalIdentitySource 作为主要源或回退源。

    • AnyConnect 软件包 - 上传适用于要支持的各个操作系统的 AnyConnect 客户端。等待上传完成,然后再继续。

    连接配置文件设置应类似于以下内容:


    远程接入 VPN 连接设置。

  3. 点击下一步,然后配置设备身份属性:

    • 设备身份证书 - 选择用于建立设备身份的内部证书。客户端必须接受此证书才能完成安全的 VPN 连接。如果您没有自己的证书,可以使用 DefaultInternalCertificate。

    • 外部接口 - 选择远程用户将要连接到的外部接口。通常,此接口名为“outside”。

    • 外部接口的完全限定域名 - 如果外部接口有 DNS 名称,请在此输入。例如,corporate-vpn.example.com。

    页面的设备身份部分可能如下所示:


    远程接入 VPN 设备身份选项。

  4. 继续向下浏览页面,配置 IPv4 地址池和(可选)IPv6 地址池。

    选择用于标识网络的对象。系统将从该池为远程接入 VPN 用户分配地址。例如,指定 10.1.10.0/24 的网络对象。如果对象尚不存在,请点击列表底部的“创建新网络”。如果您支持这些地址,还要为 IPv6 配置池。


    远程接入 VPN 客户端寻址选项。

  5. 向下滚动页面,并配置远程连接的 DNS 设置。

    输入所用 DNS 服务器的 IP 地址以及您的本地域名,例如 example.com。您可以点击 OpenDNS 以使用开放式 DNS 服务器。


    远程接入 VPN DNS 选项。

  6. 点击下一步,向下滚动,并配置“公司资源”选项。

    (您还可以配置横幅、连接时间与超时以及代理设置,但这些设置与发夹方法没有直接关系。)

    以下设置对于远程接入 VPN 中能否使用发夹方法至关重要。

    • 拆分隧道 - 禁用此功能。您希望所有流量都通过 VPN 网关,而拆分隧道这种方法允许远程客户端直接访问 VPN 外部的本地或互联网站点。

    • NAT 免除 - 启用此功能。选择内部接口,然后选择定义内部网络的网络对象。在本示例中,该对象应指定 192.168.1.0/24。流向内部网络的 RA VPN 流量不会进行地址转换。但是,应用发夹方法的流量通过外部接口传出,因此这些流量仍会进行 NAT,因为 NAT 免除仅适用于内部接口。


    远程接入 VPN 隧道拆分和 NAT 免除选项。

  7. (可选)选择 AnyConnect 客户端配置文件,然后点击下一步

  8. 查看远程接入 VPN 配置,然后点击完成
步骤 2

将 NAT 规则配置为将外部接口发出的所有连接转换到外部 IP 地址上的端口(接口 PAT)。

完成初始设备配置后,系统将创建名为 InsideOutsideNatRule 的 NAT 规则。此规则将接口 PAT 应用于任意接口上通过外部接口流出设备的 IPv4 流量。由于外部接口包含在“任何”源接口中,因此,此规则已经存在,除非您对所需的规则进行编辑或将其删除。

以下程序介绍如何创建所需的规则。

  1. 依次点击策略 > NAT

  2. 执行以下操作之一:

    • 要编辑 InsideOutsideNatRule,请将鼠标指针悬停在操作列上,然后点击编辑图标 (编辑图标)。

    • 要创建新规则,请点击 +

  3. 配置规则的以下属性:

    • 名称 - 为新规则输入一个有意义且不含空格的名称。例如,OutsideInterfacePAT。

    • 创建规则的对象 - 手动 NAT

    • 位置 - 自动 NAT 规则之前(默认)。

    • 类型 - 动态

    • 原始数据包 - 对于源地址,请选择“任何”或 any-ipv4。对于源接口,请确保选择“任何”(默认值)。对于所有其他“原始数据包”选项,请保留默认值“任何”。

    • 已转换的数据包 - 对于目标接口,请选择外部接口。对于已转换的地址,请选择接口。对于所有其他“已转换的数据包”选项,请保留默认值“任何”。

    下图展示了选择“任何”作为源地址时的简单情况。


    接口 PAT 的 NAT 规则。

  4. 点击确定
步骤 3

配置访问控制规则,以允许从远程接入 VPN 地址池进行访问。

在以下示例中,允许来自地址池的流量流至任何目标。您可以根据自己的具体要求调整此选项。也可以在此规则之前添加阻止规则,过滤掉不必要的流量。

  1. 依次点击策略 > 访问控制

  2. 点击 + 创建新规则。

  3. 配置规则的以下属性:

    • 顺序 - 在策略中选择一个位置,此位置应位于可能会匹配并阻止这些连接的任何其他规则之前。默认情况下,会将该规则添加到策略的末尾。如果稍后需要重新调整规则的位置,可以编辑此选项,也可以直接将规则拖放到表格中相应的位置。

    • 名称 - 输入一个有意义且不含空格的名称。例如,RAVPN-address-pool。

    • 操作 - 允许。如果不希望对此流量执行协议违规检测或入侵检测,可以选择“信任”。

    • 源/目标选项卡 - 对于 > 网络,请选择在远程接入 VPN 连接配置文件中用于地址池的同一对象。对于所有其他“源”和“目标”选项,请保留默认值“任何”。


      远程接入 VPN 地址池的访问控制规则。

    • 应用URL用户选项卡 - 保留这些选项卡的默认设置,即不做任何选择。

    • 入侵文件选项卡 -(可选)您可以选择入侵或文件策略,以进行威胁或恶意软件检测。

    • 日志记录选项卡 -(可选)您可以选择启用连接日志记录。

  4. 单击 OK
步骤 4

确认您的更改。

  1. 点击网页右上角的部署更改图标。

    部署更改按钮,在有更改需要部署时突出显示。

  2. 点击立即部署按钮。

    您可以等待部署完成,也可以点击确定,稍后再检查任务列表或部署历史记录。

如何通过远程接入 VPN 使用外部网络上的目录服务器

您可以配置远程接入 VPN,以便移动员工和远程办公人员安全地连接到内部网络。此连接的安全性取决于您的目录服务器,该目录服务器对用户连接进行身份验证,以确保仅授权用户才能登录。

如果您的目录服务器位于外部网络而非内部网络上,则需要配置从外部接口到包含目录服务器的网络的站点间 VPN 连接。站点间 VPN 配置有一个诀窍:您必须将远程接入 VPN 设备的外部接口地址包括在站点间 VPN 连接的“内部”网络内,还必须将其包括在目录服务器所在设备的远程网络中。后续程序会对此加以说明。


如果使用数据接口作为虚拟管理接口的网关,此配置还允许将目录用于身份策略。如果不使用数据接口作为管理网关,请确保存在从管理网络到参与站点间 VPN 连接的内部网络的路由。

此使用案例实施以下网络场景。


远程目录服务器的网络图示例。

图中标注

说明

1

与 192.168.4.6 建立 VPN 连接的远程访问主机。客户端将在 172.18.1.0/24 地址池中获得一个地址。

2

站点 A,托管远程接入 VPN。

3

站点 A 和站点 B FTD 设备的外部接口之间的站点间 VPN 隧道。

4

站点 B,托管目录服务器。

5

目录服务器,位于站点 B 的内部网络上。

开始之前

此使用案例假定您按照设备安装向导进行了正常的基准配置。具体包括:

  • 有一条 Inside_Outside_Rule 访问控制规则,允许(或信任)从 inside_zone 到 outside_zone 的流量。

  • inside_zone 和 outside_zone 安全区(分别)包含内部和外部接口。

  • 有一个 InsideOutsideNATRule,对从内部接口到外部接口的所有流量执行接口 PAT。对于默认情况下使用内部桥接组的设备,可能存在多个接口 PAT 规则。

  • 存在 0.0.0.0/0 的一条静态 IPv4 路由,指向外部接口。此示例假定您对外部接口使用静态 IP 地址,但也可以使用 DHCP 动态获取静态路由。在本示例中,我们假定采用以下静态路由:

    • 站点 A:外部接口,网关为 192.168.4.254。

    • 站点 B:外部接口,网关为 192.168.2.254。

过程

步骤 1

配置站点 B(托管目录服务器)上的站点间 VPN 连接。

  1. 点击设备,然后点击站点间 VPN 组中的查看配置

  2. 点击 + 按钮。

  3. 终端设置配置以下选项。

    • 连接配置文件名称 - 输入名称,例如 SiteA(表示连接到站点 A)。

    • 本地站点 - 这些选项定义本地终端。

      • 本地 VPN 访问接口 - 选择外部接口(图表中地址为 192.168.2.1 的那一个接口)。

      • 本地网络 - 点击 + 并选择标识应参与 VPN 连接的本地网络的网络对象。由于目录服务器在此网络上,因此可以参与站点间 VPN。假定该对象尚不存在,点击创建新网络并为 192.168.1.0/24 网络配置对象。在保存对象后,在下拉列表中选择它并点击确定


        网络 192.168.1.0 对象。

    • 远程站点 - 这些选项定义远程终端。

      • 远程 IP 地址 - 输入 192.168.4.6,这是将托管 VPN 连接的远程 VPN 对等体接口的 IP 地址。

      • 远程网络 - 点击 + 并选择标识应参与 VPN 连接的远程网络的网络对象。点击创建新网络,配置以下对象,然后在列表中选择它们。

        1. SiteAInside,网络,192.168.3.0/24。


          SiteAInside 网络对象。

        2. SiteAInterface,主机,192.168.4.6。这是关键:您必须将远程接入 VPN 连接点地址作为站点间 VPN 连接的远程网络的一部分,以便该接口上托管的 RA VPN 可以使用目录服务器。


          SiteAInterface 网络对象。

    完成后,终端设置应如下所示:


    站点 B 终端设置……

  4. 点击下一步

  5. 定义 VPN 的隐私配置。

    在本使用案例中,我们假定您符合出口控制功能的要求,允许使用强加密。调整这些示例设置以满足您的需求和许可证合规性。

    • IKE 版本 2IKE 版本 1 - 保留默认设置,启用 IKE 版本 2,禁用 IKE 版本 1

    • IKE 策略 - 点击编辑并启用 AES-GCM-NULL-SHAAES-SHA-SHA,禁用 DES-SHA-SHA

    • IPsec 提议 - 点击编辑。在“选择 IPSec 提议”对话框中,点击 +,然后点击设置默认值以选择默认 AES-GCM 提议。

    • 本地预共享密钥远程对等体预共享密钥 - 输入此设备和远程设备上为 VPN 连接定义的密钥。这些密钥在 IKEv2 中可能不同。该密钥可以有 1 至 127 个字母数字字符。记住这些密匙,因为在站点 A 设备上创建站点间 VPN 连接时,必须配置相同的字符串。

    IKE 策略应如下所示:


    站点 B IKE 策略。

  6. 配置其他选项

    • NAT 免除 - 选择托管内部网络的接口,在本示例中为内部接口。通常,您不希望站点间 VPN 隧道中的流量转换其 IP 地址。此选项仅在本地网络驻留在单个路由接口(而非桥接组成员)后时有用。如果本地网络位于多个路由接口或一个或多个桥接组成员之后,则必须手动创建 NAT 免除规则。有关手动创建所需规则的信息,请参阅使站点间 VPN 流量豁免 NAT

    • 完美前向保密的 Diffie-Hellman 组 - 选择第 19 组。此选项决定是否使用完美前向保密 (PFS) 为每个加密交换生成和使用唯一会话密钥。唯一会话密钥可保护交换免于后续解密,即使整个交换已被记录且攻击者已经获得终端设备使用的预共享密钥或私钥。有关选项的说明,请查看决定要使用的 Diffie-Hellman 模数组

    该选项应如下所示:


    站点 B 高级选项。

  7. 点击下一步

  8. 查看摘要并点击完成

    摘要信息将复制到剪贴板。您可以将这些信息粘贴到文档中,并使用它来帮助您配置远程对等体,或将其发送到负责配置对等体的一方。

  9. 点击网页右上角的部署更改图标。

    部署更改按钮,在有更改需要部署时突出显示。

  10. 点击立即部署按钮,并等待部署成功完成。

    现在,站点 B 设备已准备好托管站点间 VPN 连接的一端。

步骤 2

注销站点 B 设备并登录站点 A 设备。

步骤 3

配置站点 A(托管远程接入 VPN)上的站点间 VPN 连接。

  1. 点击设备,然后点击站点间 VPN 组中的查看配置

  2. 点击 + 按钮。

  3. 终端设置配置以下选项。

    • 连接配置文件名称 - 输入名称,例如 SiteB(表示连接到站点 B)。

    • 本地站点 - 这些选项定义本地终端。

      • 本地 VPN 接入接口 - 选择外部接口(图表中地址为 192.168.4.6 的那一个接口)。

      • 本地网络 - 点击 + 并选择标识应参与 VPN 连接的本地网络的网络对象。点击创建新网络,配置以下对象,然后在列表中选择它们。注意,您已在站点 B 设备中创建相同的对象,但是您必须在站点 A 设备中重新创建它们。

        1. SiteAInside,网络,192.168.3.0/24。


          SiteAInside 网络对象。

        2. SiteAInterface,主机,192.168.4.6。这是关键:您必须将远程接入 VPN 连接点地址作为站点间 VPN 连接的内部网络的一部分,以便该接口上托管的 RA VPN 可以使用远程网络上的目录服务器。


          SiteAInterface 网络对象。

    • 远程站点 - 这些选项定义远程终端。

      • 远程 IP 地址 - 输入 192.168.2.1,这是将托管 VPN 连接的远程 VPN 对等体接口的 IP 地址。

      • 远程网络 - 点击 + 并选择标识应该参与 VPN 连接的远程网络的网络对象(包含目录服务器的 VPN 连接)。点击创建新网络并为 192.168.1.0/24 网络配置对象。在保存对象后,在下拉列表中选择它并点击确定注意,您已在站点 B 设备中创建相同的对象,但是您必须在站点 A 设备中重新创建它。


        网络 192.168.1.0 对象。

    完成后,终端设置应如下所示。请注意,与站点 B 设置相比,本地/远程网络是相反的。点对点连接的两端看起来应始终是这样的。


    站点 A S2S VPN 连接终端设置。

  4. 点击下一步

  5. 定义 VPN 的隐私配置。

    与站点 B 连接一样,配置相同的 IKE 版本、策略和 IPsec 提议,以及相同的预共享密钥,但请确保调换本地和远程预共享密钥

    IKE 策略应如下所示:


    站点 A IKE 策略。

  6. 配置其他选项

    • NAT 免除 - 选择托管内部网络的接口,在本示例中为内部接口。通常,您不希望站点间 VPN 隧道中的流量转换其 IP 地址。此选项仅在本地网络驻留在单个路由接口(而非桥接组成员)后时有用。如果本地网络位于多个路由接口或一个或多个桥接组成员之后,则必须手动创建 NAT 免除规则。有关手动创建所需规则的信息,请参阅使站点间 VPN 流量豁免 NAT

    • 完美前向保密的 Diffie-Hellman 组 - 选择第 19 组

    该选项应如下所示:


    站点 B 高级选项。

  7. 点击下一步

  8. 查看摘要并点击完成

  9. 点击网页右上角的部署更改图标。

    部署更改按钮,在有更改需要部署时突出显示。

  10. 点击立即部署按钮,并等待部署成功完成。

    现在,站点 A 设备已准备好托管站点间 VPN 连接的另一端。由于站点 B 已经配置了兼容设置,因此两台设备应该协商 VPN 连接。

    您可以登录设备 CLI 并对目录服务器进行 ping 测试,从而确认连接。您也可以使用 show ipsec sa 命令查看会话信息。

步骤 4

站点 A 上配置目录服务器。点击测试验证是否有连接。

  1. 选择对象,然后从目录中选择身份源

  2. 点击 + > AD

  3. 配置基本领域属性。

    • 名称 - 目录领域的名称。例如,AD。

    • 类型- 目录服务器的类型。Active Directory 是唯一支持的类型,所以无法更改此字段。

    • 目录用户名目录密码 - 用户的标识名称和密码,该用户具备访问您要检索的用户信息的适当权限。对于 Active Directory,用户不需要更高的权限。您可以在域中指定任何用户。用户名必须是完全限定的;例如,Administrator@example.com(而不仅仅是 Administrator)。

       

      系统使用此信息生成 ldap-login-dn 和 ldap-login-password。例如,Administrator@example.com 被转换为 cn=adminisntrator、cn=users、dc=example、dc=com。请注意,cn = users 始终是此转换的一部分,因此您必须在公用名“users”文件夹下配置此处指定的用户。

    • 基准 DN (Base DN) - 用于搜索或查询用户和组信息的目录树,即用户和组的公共父项。例如,cn=users、dc=example、dc=com。有关查找基准 DN 的信息,请参阅确定目录基准标识名

    • AD 主域 - 设备应加入的 Active Directory 完全限定域名。例如 example.com。


    身份领域基本设置。

  4. 配置目录服务器属性。

    • 主机名/IP 地址 - 目录服务器的主机名或 IP 地址。如果以加密方式连接到服务器,则必须输入完全限定域名,而非 IP 地址。在本例中,输入 192.168.1.175。

    • 端口 - 用于与服务器通信的端口号。默认值为 389。如果选择 LDAPS 作为加密方法,请使用端口 636。在本例中,保留 389。

    • 加密 - 使用加密连接下载用户和组信息。系统默认为,也就是说以明文形式下载用户和组信息。对于 RA VPN,您可以使用 LDAPS,即基于 SSL 的 LDAP。如果选择此选项,则使用端口 636。RA VPN 不支持 STARTTLS。对于此示例,选择

    • 受信任的 CA 证书 - 如果选择加密方法,请上传证书颁发机构 (CA) 证书以便在系统和目录服务器之间启用受信任的连接。如果要使用证书进行身份验证,则证书中的服务器名称必须与服务器主机名/IP 地址匹配。例如,如果使用 192.168.1.175 作为 IP 地址,但证书中的地址为 ad.example.com,则连接会失败。


    身份领域目录服务器属性。

  5. 点击测试按钮验证系统是否可以与服务器通信。

    系统使用单独的进程访问服务器,因此您可能会收到错误通知,指出连接适用于一种用途而不适用于另一种用途,例如可用于身份策略,但不可用于远程接入 VPN。如果无法访问服务器,请确认 IP 地址和主机名正确、DNS 服务器具有该主机名的条目等。另外,验证站点间 VPN 连接是否正常工作,并且您在 VPN 中包含了站点 A 的外部接口地址,并且 NAT 不会转换目录服务器的流量。您可能还需要为服务器配置静态路由。

  6. 点击确定
步骤 5

依次点击设备 > 智能许可证 > 查看配置,然后启用 RA VPN 许可证。

启用 RA VPN 许可证时,请选择您购买的许可证类型:Plus、Apex(或两者)或仅 VPN。有关详细信息,请参阅远程接入 VPN 的许可要求


RA VPN 许可证。
步骤 6

在站点 A 上配置远程接入 VPN。

  1. 点击设备,然后点击“远程接入 VPN”组中的设置连接配置文件

  2. 定义 AnyConnect 客户端配置。

    • 连接配置文件名称 - 此连接的名称,最多 50 个字符,不能含空格。例如,MainOffice。不能将 IP 地址用作名称。

       

      您在此输入的名称将是用户在 AnyConnect 客户端的连接列表中看到的名称。选择一个对您的用户来说有意义的名称。

    • 用户身份验证的身份源 - 选择目录领域。或者,您可以选择本地数据库作为回退身份源。

    • AnyConnect 软件包 - 您将在此 VPN 连接上支持的 AnyConnect 完整安装软件映像。对于每个软件包,文件名(包括扩展名)不能超过 60 个字符。可以为 Windows、Mac 和 Linux 终端上传单独的软件包。

      从 software.cisco.com 下载软件包(页面底部右侧位置有链接)。如果终端尚未安装正确的软件包,系统会提示用户在用户验证后下载并安装软件包。


    远程接入 VPN 连接设置。

  3. 点击下一步

  4. 定义设备身份和客户端寻址配置。

    • 设备身份证书 - 选择 DefaultInternalCertificate。这是用于建立设备身份的内部证书。客户端必须接受此证书才能完成安全的 VPN 连接。如果您要使用其他证书,请在下拉列表中点击创建新的内部证书,并上传相应证书。

    • 外部接口 - 选择外部,即 IP 地址为 192.168.4.6 的接口。这是用户在远程接入 VPN 连接时要连接的接口。


      RA VPN 证书和接口。

    • 外部接口的完全限定域名 - 接口的名称,例如 ravpn.example.com。如果指定名称,系统可以为您创建一个客户端配置文件。在本例中,我们将它留空。

       

      您要确保 VPN 中和客户端使用的 DNS 服务器可以将此名称解析为外部接口的 IP 地址。将 FQDN 添加到相关 DNS 服务器。

    • IPv4、IPv6 地址池 - 这些选项为远程终端定义地址池。对于本示例,在 IPv4 地址池中选择创建新的网络并为 172.18.1.0/24 网络创建一个对象,然后选择对象。从该地址池中为客户端分配地址。将 IPv6 池留空。地址池不能与外部接口的 IP 地址位于同一子网。

      该对象应如下所示:


      RA VPN 地址池。

      该地址池规范应如下所示:


      RA VPN 地址池设置。

    • 主要、辅助 DNS 服务器 - 在此示例中,点击 OpenDNS 按钮以使用 OpenDNS 公共 DNS 服务器加载这些字段。当连接 VPN 时,RA VPN 客户端使用这些 DNS 服务器客户端进行域名解析。或者,输入您的 DNS 服务器的 IP 地址。

    • 域搜索名称 - 为您的网络输入域名,例如 example.com。此域将被添加到非完全限定的主机名,例如 serverA 而不是 serverA.example.com。


      RA VPN DNS 设置。

  5. 点击下一步

  6. 定义连接设置以自定义 AnyConnect 客户端行为。

    保留所有选项的默认设置,因为它们适用于大多数网络。

    由于选择了 NAT 免除,您需要配置以下选项:

    • 内部接口 - 选择内部接口。这些是远程用户将要访问的内部网络的接口。所创建的 NAT 规则用于这些接口。

    • 内部网络 - 选择 SiteAInside 网络对象。这些是代表远程用户将访问的内部网络的网络对象。


    RA VPN NAT 免除设置。

  7. 点击下一步

  8. 审核摘要。

    首先,验证摘要是否正确。

    然后,点击说明查看终端用户初步安装 AnyConnect 软件需要做什么,并测试他们是否可以完成 VPN 连接。点击复制以将这些说明复制到剪贴板,然后将它们粘贴在文本文件或邮件中。

  9. 点击完成
步骤 7

点击网页右上角的部署更改图标。

部署更改按钮,在有更改需要部署时突出显示。

步骤 8

点击立即部署按钮,并等待部署成功完成。

现在,站点 A 设备已准备好接受 RA VPN 连接。让外部用户安装 AnyConnect 客户端并完成 VPN 连接。

您可以登录设备 CLI 并使用 show vpn-sessiondb anyconnect 命令查看会话信息,从而确认连接。

此文档是否有帮助?

Feedback反馈

联系我们