تكوين الوحدات النمطية AnyConnect للوصول عن بعد VPN على FTD

المقدمة

يوضح هذا المستند كيفية تكوين وحدات AnyConnect النمطية لتكوين شبكة VPN للوصول عن بعد (RA VPN) الموجودة مسبقا على "الدفاع عن تهديد FirePOWER (FTD)" المدار بواسطة مركز إدارة FirePOWER (FMC) من خلال "مدير أجهزة FirePOWER (FDM)".

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• الفهم الأساسي لعمل الشبكة الخاصة الظاهرية (RA).
• فهم التنقل من خلال FMC/FDM.
• معرفة أساسية ب REST API و FDM REST API Explorer.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

• مركز إدارة Cisco Firepower (FMC)، الإصدار 6.7.0
• Cisco Firepower Threat Defense (FTD)، الإصدار 6.7.0
• Cisco Firepower Device Manager (FDM)، الإصدار 6.7.0
• Cisco AnyConnect Secure Mobility Client الذي يتم تشغيله 4.9.0086
• Postman أو أي أداة أخرى لتطوير API 

ملاحظة: ليس لدى FMC/FDM محرر ملف تعريف مضمن ويجب إستخدام محرر ملف تعريف AnyConnect ل Windows لإنشاء ملف تعريف. 

ملاحظة: تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي تغيير في التكوين.

معلومات أساسية

لا يقتصر Cisco AnyConnect Secure Mobility Client على دعمه كعميل شبكة VPN، بل يحتوي على عدد من الخيارات الأخرى التي يمكن دمجها كوحدات نمطية. الوحدات النمطية التالية مدعومة ل AnyConnect :

• البدء قبل تسجيل الدخول (SBL):تسمح هذه الوحدة النمطية للمستخدم بإنشاء اتصال VPN داخل المؤسسة قبل تسجيل الدخول إلى Windows.
  
  
• أداة التشخيص وإعداد التقارير (DART): تستخدم هذه الوحدة النمطية لتنفيذ كل من التشخيصات وإعداد التقارير حول تثبيت وتوصيل AnyConnect. يعمل DART عن طريق تجميع السجلات والحالة والمعلومات التشخيصية للتحليل.
  
  
• الحماية المتقدمة من البرامج الضارة (AMP): توفر هذه الوحدة حلا من الجيل التالي يتم توفيره عبر السحابة لاكتشاف مختلف التهديدات ومنعها والاستجابة لها.
  
  
• ISE Posture (وضعية محرك خدمات الهوية من Cisco):يوفر الجيل التالي من سياسة التحكم في الهوية والوصول. توفر هذه الوحدة النمطية القدرة على تحديد نظام التشغيل (OS) ومكافحة الفيروسات وبرامج مكافحة التجسس وما إلى ذلك المثبتة حاليا على الجهاز المضيف. ثم يتم إستخدام هذه المعلومات مع سياسة لتحديد ما إذا كان المضيف سيتمكن من الاتصال بالشبكة أم لا.
  
  
• Network Visibility Module (الوحدة النمطية لإمكانية رؤية الشبكة): تقوم وحدة رؤية الشبكة بمراقبة إستخدام تطبيق نقطة نهاية للكشف عن حالات السلوك الشاذة المحتملة واتخاذ قرارات أكثر إستنارة لتصميم الشبكة.
  
  
• Umbrella: Cisco Umbrella Roaming عبارة عن خدمة أمان يتم تسليمها عبر السحابة تحمي الأجهزة عند وجودها خارج شبكة الشركة.
  
  
• أمان الويب: يقوم جهاز أمان الويب (WSA) من Cisco، المشغل بواسطة Cisco Talos، بحماية نقطة النهاية عن طريق الحظر التلقائي للمواقع الخطرة واختبار المواقع غير المعروفة.
  
  
• مدير الوصول إلى الشبكة: يوفر مدير الوصول إلى الشبكة شبكة آمنة من الطبقة 2 وفقا لسياساته. وتقوم باكتشاف شبكة الوصول المثالية من الطبقة 2 وتحديد هذه الشبكة، كما تقوم بإجراء مصادقة الجهاز للوصول إلى كل من الشبكات السلكية واللاسلكية.
  
  
• الملاحظات: تقوم هذه الوحدة النمطية بجمع المعلومات وإرسالها بشكل دوري إلى الخادم. وهو يساعد فريق المنتج على تحسين الجودة والموثوقية والأداء وتجربة المستخدم ل AnyConnect. 

في Firepower 6.7، تتم إضافة واجهة مستخدم FMC ودعم واجهة برمجة تطبيقات REST للأجهزة في نظام FTD لتمكين النشر السلس لجميع وحدات AnyConnect المذكورة. 

يسرد هذا الجدول ملحقات التوصيفات وما يقترن بها أنواع الوحدات النمطية المطلوبة لنشر وظيفة نقطة النهاية بنجاح.

امتدادات التوصيفات	نوع الوحدة النمطية
.fsp	الملاحظات
.asp أو .xml	AMP_Enabler
.sip أو .xml	ISE_Posture
.nvmsp أو .xml	إمكانية رؤية الشبكة
.nsp أو .xml	network_access_manager
.json أو .xml	مظلة
.wsp أو .xml	Web_Security

ملاحظة: لا تتطلب الوحدات النمطية DART و SBL أي ملف تعريف.

ملاحظة: لا يلزم منح ترخيص إضافي لاستخدام هذه الميزة.

التكوين

التكوين على مركز إدارة Firepower (FMC) 

الخطوة 1.  انتقل إلى الجهاز> VPN > الوصول عن بعد وانقر على Edit (تحرير) لتكوين RA VPN.

الخطوة 2.  انتقل إلى خيارات متقدمة> نهج المجموعة وانقر فوق تحرير لنهج المجموعة المعني، كما هو موضح في هذه الصورة.

الخطوة 3.  انتقل إلى AnyConnect>الوحدات النمطية للعملاء وانقر فوق + لإضافة الوحدات النمطية، كما هو موضح في هذه الصورة.

ولغرض الإيضاح، يتم عرض وحدات AMP و DART و SBL التي تم نشرها.

الخطوة 4.  حدد الوحدة النمطية DART وانقر على إضافة، كما هو موضح في هذه الصورة.

الخطوة 5.  انقر فوق + لإضافة وحدة نمطية أخرى وحدد وحدة البدء قبل تسجيل الدخول ، كما هو موضح في هذه الصورة.

ملاحظة: تسمح لك هذه الخطوة بتنزيل وحدة SBL النمطية. يجب على SBL أيضا التمكين في ملف تعريف عميل AnyConnect، والذي يتم تحميله أثناء تنقلك إلى ملف تعريف AnyConnect> ضمن نهج المجموعة.

الخطوة 6.  انقر فوق + لإضافة وحدة نمطية أخرى وحدد أداة تمكين AMP.  انقر على + لإضافة ملف تعريف عميل، كما هو موضح في هذه الصورة.

أدخل اسم ملف التعريف وقم بتحميل ملف تعريف AMP. انقر فوق حفظ ، كما هو موضح في هذه الصورة.

أختر ملف التعريف الذي تم إنشاؤه في الخطوة السابقة وانقر على خانة إختيار تمكين تنزيل الوحدة النمطية، كما هو موضح في هذه الصورة.

الخطوة 7.  انقر على حفظ بمجرد إضافة جميع الوحدات النمطية المطلوبة.

الخطوة 8.  انتقل إلى النشر >النشر ونشر التكوين في قاعدة بيانات المحول (FTD).

التكوين على FirePOWER Device Manager (FDM)

الخطوة 1. قم بتشغيل "مستكشف واجهة برمجة التطبيقات (API)" الخاص ب FTD على نافذة مستعرض.

انتقل إلى tohttps://<FTD Management IP>/API-Explorer

يحتوي هذا على القائمة الكاملة لواجهة برمجة التطبيقات (API) المتوفرة على FTD. ويتم تقسيمه استنادا إلى الميزة الرئيسية مع طلبات GET/POST/PUT/DELETE المتعددة التي يدعمها FDM.

RaVpnGroupPolicy هو واجهة برمجة التطبيقات (API) المستخدمة.

الخطوة 2. إضافة مجموعة ساعي البريد لوحدات AnyConnect النمطية. قم بتوفير اسم للمجموعة. انقر على إنشاء.

الخطوة 3. إضافة طلب جديد Auth لإنشاء طلب POST لتسجيل الدخول إلى FTD للحصول على الرمز المميز لتخويل أي طلبات POST/GET/PUT. انقر فوق حفظ.

يجب أن يحتوي نص طلب POST على ما يلي:

النوع	خام - JSON (التطبيق/json)
grant_type	كلمة المرور
username	اسم مستخدم المسؤول لتسجيل الدخول إلى FTD
كلمة المرور	كلمة المرور المقترنة بحساب المستخدم المسؤول

طلب مادة النشر:https://<FTD Management IP>/API/FDM/latest/FDM/Token

يحتوي نص الاستجابة على الرمز المميز للوصول الذي يتم إستخدامه لإرسال أي طلبات PUT/GET/POST إلى/من FTD.

الخطوة 4.  قم بإنشاء طلب نهج مجموعة Get لإضافة تفاصيل الحصول على نهج المجموعة الحالية. انقر فوق حفظ ، كما هو موضح في هذه الصورة.

يجب أن تحتوي علامة التبويب التخويل على هذا لكافة طلبات GET/POST التالية:

الحصول على الطلب:https://<FTD Management IP>/API/FDM/latest/object/rangeGroupPolicy

يظهر نص الاستجابة كافة نهج المجموعة التي تم تكوينها على الجهاز. يتم إستخدام معرف "نهج المجموعة" لتحديث "نهج المجموعة" المحدد.

ولغرض الإيضاح، يتم عرض وحدات AMP و DART و SBL التي تم نشرها.

الخطوة 5. إنشاء طلب لتحميل ملف تعريف. هذه الخطوة مطلوبة فقط للوحدات النمطية التي تتطلب توصيفا. قم بتحميل ملف التعريف في قسم filetoUpload. انقر فوق حفظ.

طلب مادة النشر:https://<FTD Management IP>/API/FDM/latest/action/Uploaddiskfile

يجب أن يحتوي النص الأساسي للطلب على ملف ملف ملف التعريف الذي تمت إضافته في النص الرئيسي بتنسيق بيانات النموذج. يجب إنشاء ملف التعريف باستخدام محرر ملف تعريف AnyConnect لنظام التشغيل Windows

يجب أن يكون نوع المفتاح beFileforfiletoUpload.

طلب مادة النشر: https://<FDM IP>/API/FDM/latest/object/anyConnectClientProfile

يحتوي نص الطلب على هذه المعلومات:

الاسم	الاسم المنطقي الذي ستتصل به الملف
diskFileName	يلزم مطابقة fileName الذي تم إستلامه في إستجابة POST لملف تعريف التحميل
AnyConnectModuleType	إجتماعات لمطابقة الوحدة النمطية المناسبة الموضحة في جدول نوع الوحدة النمطية
النوع	AnyConnectClientProfile

يظهر نص الاستجابة ملف التعريف جاهزا للدفع إلى الجهاز. يتم إستخدام الاسم والإصدار والمعرف والنوع المتلقى في الاستجابة في الخطوة التالية لربط ملف التعريف بنهج المجموعة.

الخطوة 6. قم بإنشاء طلب PUT لإضافة ملف تعريف عميل ووحدة نمطية إلى نهج المجموعة الموجود. انقر فوق حفظ ، كما هو موضح في هذه الصورة.

طلب PUT:https://<FDM IP>/API/FDM/latest/object/ravpnGroupPolicy/{objId}

ObjId هو المعرف الذي تم الحصول عليه في الخطوة 4. قم بنسخ محتويات سياسة المجموعة المعنية التي تم الحصول عليها في الخطوة 4 إلى نص الطلب وإضافة ما يلي:

ملف تعريف العميل 

اسم ملف التعريف الذي تم إستلامه في الخطوة السابقة وإصداره ومعرفه ونوع هذا الملف.

الوحدات النمطية للعميل

يجب أن يتطابق اسم الوحدة النمطية التي يجب تمكينها تماما كما هو موضح في جدول الوحدة النمطية.

يظهر نص الاستجابة ملف التعريف والوحدة النمطية المرتبطة بنهج المجموعة بنجاح.

ملاحظة: تسمح هذه الخطوة بتنزيل وحدة SBL النمطية. يجب أن يتم تمكين SBL أيضا في ملف تعريف عميل AnyConnect الذي يمكن تحميله أثناء تنقلك إلى الأجهزة > Remote Access VPN >سياسات المجموعة >تحرير سياسة المجموعة > عامة >ملف تعريف عميل AnyConnect.

الخطوة 7. قم بنشر التكوين على الجهاز من خلال FDM. تظهر التغييرات المعلقة ملف تعريف العميل والوحدات النمطية المطلوب دفعها.

تم دفع التكوين إلى واجهة سطر الأوامر (CLI) الخاصة ب FTD بعد عملية النشر الناجحة:

!--- RA VPN Configuration ---!

webvpn
 enable outside 
 anyconnect image disk0:/anyconnpkgs/anyconnect-win-4.9.00086-webdeploy-k9.pkg 2
 anyconnect profiles AMP.asp disk0:/anyconncprofs/AMP.asp
 anyconnect profiles defaultClientProfile disk0:/anyconncprofs/defaultClientProfile.xml
 anyconnect enable
 tunnel-group-list enable

!--- Group Policy Configuration ---!

group-policy RA-VPN internal
group-policy RA-VPN attributes
 webvpn
  anyconnect modules value ampenabler,dart,vpngina
  anyconnect profiles value AMP.asp type ampenabler

التحقق من الصحة

قم بإنشاء اتصال ناجح ب FTD.

انتقل إلى الإعدادات >VPN>محفوظات الرسائل للاطلاع على تفاصيل الوحدات النمطية التي تم تنزيلها.

استكشاف الأخطاء وإصلاحها

تجميع DARTfor أستكشاف أخطاء أستكشاف الأخطاء وإصلاحها باستخدام تثبيت وحدات العميل النمطية.