Konfiguration von AnyConnect-Modulen für Remote Access VPN On FTD

Download-Optionen

  • PDF     (2.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.0 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.6 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:30. November 2020
Dokument-ID:216495

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    In diesem Dokument wird beschrieben, wie AnyConnect-Module für Remote Access VPN (RA VPN)-Konfiguration konfiguriert werden, die bereits auf einer FirePOWER Threat Defense (FTD) vorhanden ist, die von einem FirePOWER Management Center (FMC) über FirePOWER Device Manager (FDM) verwaltet wird.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

    • Grundlegende Kenntnisse der RA VPN-Arbeit.
    • Verständnis der Navigation durch das FMC/FDM.
    • Grundkenntnisse der REST API und des FDM Rest API Explorer.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf den folgenden Softwareversionen:

    • Cisco FirePOWER Management Center (FMC) Version 6.7.0
    • Cisco FirePOWER Threat Defense (FTD) Version 6.7.0
    • Cisco FirePOWER Device Manager (FDM) Version 6.7.0
    • Cisco AnyConnect Secure Mobility Client mit 4.9.0086
    • Postman oder ein anderes API-Entwicklungstool 

    Hinweis: FMC/FDM verfügen nicht über einen integrierten Profil-Editor, und der AnyConnect Profile-Editor für Windows muss zum Erstellen eines Profils verwendet werden. 

    Hinweis: Die Informationen in diesem Dokument wurden von Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen von Konfigurationsänderungen verstehen.

    Hintergrundinformationen

    Der Cisco AnyConnect Secure Mobility Client ist nicht auf seine Unterstützung als VPN-Client beschränkt, sondern bietet eine Reihe weiterer Optionen, die als Module integriert werden können. Die folgenden Module werden für AnyConnect unterstützt:

    • Start Before Login (SBL) (Vor Anmeldung starten): Mit diesem Modul kann der Benutzer eine VPN-Verbindung im Unternehmen herstellen, bevor er sich bei Windows anmeldet.

    • Diagnostic and Reporting Tool (DART): Dieses Modul wird verwendet, um Diagnosen durchzuführen und Berichte über die Installation und Verbindung von AnyConnect zu erstellen. DART wird durch das Zusammenstellen der Protokolle, des Status und der Diagnoseinformationen für die Analyse verwendet.

    • Advanced Malware Protection (AMP): Dieses Modul ist eine Cloud-basierte Lösung der nächsten Generation, die verschiedene Bedrohungen erkennt, verhindert und darauf reagiert.

    • ISE-Status: Die Cisco Identity Services Engine (ISE) bietet eine Identitäts- und Zugriffskontrollrichtlinie der nächsten Generation. Dieses Modul ermöglicht die Identifizierung des Betriebssystems (BS), des AntiVirus, des AntiSpyware usw., die derzeit auf einem Host installiert sind. Diese Informationen werden dann zusammen mit einer Richtlinie verwendet, um zu bestimmen, ob der Host eine Verbindung zum Netzwerk herstellen kann.

    • Network Visibility-Modul: Das Netzwerktransparenzmodul überwacht die Nutzung von Endgeräte-Anwendungen, um potenzielle Verhaltensanomalien zu erkennen und fundiertere Entscheidungen bezüglich des Netzwerkdesigns zu treffen.

    • Umbrella: Cisco Umbrella Roaming ist ein über die Cloud bereitgestellter Sicherheitsservice, der Geräte schützt, die sich außerhalb des Unternehmensnetzwerks befinden.

    • Web-Sicherheit: Die von Cisco Talos unterstützte Cisco Web Security Appliance (WSA) schützt das Endgerät, indem sie riskante Websites automatisch blockiert und unbekannte Websites testet.

    • Network Access Manager: Network Access Manager stellt ein sicheres Layer-2-Netzwerk gemäß den Richtlinien bereit. Es erkennt und wählt das optimale Layer-2-Zugangsnetzwerk aus und führt eine Geräteauthentifizierung für den Zugriff auf kabelgebundene und Wireless-Netzwerke durch.

    • Feedback: Dieses Modul erfasst die Informationen und sendet sie regelmäßig an den Server. Sie unterstützt das Produktteam dabei, die Qualität, Zuverlässigkeit, Leistung und Benutzerfreundlichkeit von AnyConnect zu verbessern. 

    In FirePOWER 6.7 wird die Unterstützung für die FMC UI und die FTD Device REST API hinzugefügt, um die nahtlose Bereitstellung aller genannten AnyConnect-Module zu ermöglichen. 

    In dieser Tabelle sind die Profilerweiterungen und die zugeordneten Modultypen, die für die erfolgreiche Bereitstellung der Endpunktfunktionalität erforderlich sind.

    Profilerweiterungen Modultyp
    .fsp FEEDBACK
    .asp oder .xml AMP_ENABLER
    .sip oder .xml
    		ISE-POSTEN
    .nvmsp oder .xml
    		NETZWERK_TRANSPARENZ
    .nsp oder .xml
    		NETWORK_ACCESS_MANAGER
    .json oder .xml
    		UMBRELLA
    .wsp oder .xml
    		WEB_SECURITY

    Hinweis: DART- und SBL-Module benötigen kein Profil.

    Hinweis: Für die Verwendung dieser Funktion ist keine zusätzliche Lizenzierung erforderlich.

    Konfiguration

    Konfiguration auf FirePOWER Management Center (FMC) 

    Schritt 1:  Navigieren Sie zu Gerät> VPN > Remote Access und klicken Sie für die RA VPN-Konfiguration auf Bearbeiten.

    Schritt 2:  Navigieren Sie zu Erweitert> Gruppenrichtlinien und klicken Sie auf Bearbeiten für die betreffende Gruppenrichtlinie, wie in diesem Bild gezeigt.

    Schritt 3:  Navigieren Sie zu AnyConnect > Client Modules, und klicken Sie auf +, um die Module hinzuzufügen, wie in diesem Bild gezeigt.

    Zur Demonstration werden die Module AMP, DART und SBL bereitgestellt.

    Schritt 4:  Wählen Sie das DART-Modul aus und klicken Sie auf Hinzufügen, wie in diesem Bild gezeigt.

    Schritt 5:  Klicken Sie auf +, um ein weiteres Modul hinzuzufügen, und wählen Sie Start Before Login module aus, wie in diesem Bild gezeigt.

    Hinweis: In diesem Schritt können Sie das SBL-Modul herunterladen. SBL muss auch in jedem Connect-Clientprofil aktiviert werden, das hochgeladen wird, wenn Sie unter Gruppenrichtlinie zu AnyConnect> Profile navigieren.

    Schritt 6:  Klicken Sie auf +, um ein weiteres Modul hinzuzufügen, und wählen Sie AMP Enabler aus.  Klicken Sie auf + , um ein Clientprofil hinzuzufügen, wie in diesem Bild gezeigt.


    Geben Sie den Namen des Profils an, und laden Sie das AMP-Profil hoch. Klicken Sie auf Speichern, wie in diesem Bild gezeigt.

    Wählen Sie das Profil aus, das im vorherigen Schritt erstellt wurde, und klicken Sie auf das Kontrollkästchen Enable Module download (Moduldownload aktivieren), wie in diesem Bild gezeigt.

    Schritt 7:  Klicken Sie auf Speichern, sobald alle gewünschten Module hinzugefügt wurden.

    Schritt 8:  Navigieren Sie zu Deploy > Deployment und stellen Sie die Konfiguration im FTD bereit.

    Konfiguration im FirePOWER Device Manager (FDM)

    Schritt 1: Starten Sie den API-Explorer des FTD in einem Browserfenster.

    Navigieren Sie zu tohttps://<FTD Management IP>/api-explorer

    Diese enthält die gesamte API-Liste, die im FTD verfügbar ist. Sie wird basierend auf der Hauptfunktion durch mehrere GET/POST/PUT/DELETE-Anfragen aufgeteilt, die vom FDM unterstützt werden.

    RaVpnGroupPolicy wird als API verwendet.

    Schritt 2: Fügen Sie eine Postman-Auflistung für AnyConnect-Module hinzu. Geben Sie einen Namen für die Auflistung ein. Klicken Sie auf Erstellen.

    Schritt 3: Neue Anforderung hinzufügen Auth um eine Login-POST-Anfrage bei der FTD zu erstellen, um das Token zur Autorisierung von POST/GET/PUT-Anfragen zu erhalten. Klicken Sie auf Speichern.

    Der Haupttext der POST-Anfrage muss folgende Angaben enthalten:

    Typ raw - JSON (Antrag/Json)
    Grant_Type Kennwort
    Benutzername Admin-Benutzername, um sich bei FTD anzumelden
    Kennwort Das Kennwort für das Administratorkonto

    POST-Anfrage: https://<FTD Management IP>/api/fdm/latest/fdm/token

    Der Text der Antwort enthält das Zugriffstoken, das verwendet wird, um PUT-/GET-/POST-Anfragen an bzw. von der FTD zu senden.

    Schritt 4:  Erstellen Sie eine Gruppenrichtlinienanfrage, um Details zu den vorhandenen Gruppenrichtlinien hinzuzufügen. Klicken Sie auf Speichern, wie in diesem Bild gezeigt.

    Die Registerkarte Authorization (Autorisierung) muss diese Informationen für alle nachfolgenden GET-/POST-Anforderungen enthalten:

    Typ Träger-Token
    Token Das Zugriffstoken, das durch Ausführen der Auth POST-Anforderung empfangen wurde.

    GET-ANFRAGE: https://<FTD Management IP>/api/fdm/latest/object/ravpngrouppolicies

    Der Haupttext der Antwort zeigt alle auf dem Gerät konfigurierten Gruppenrichtlinien. Die ID der Gruppenrichtlinie wird zum Aktualisieren der spezifischen Gruppenrichtlinie verwendet.

    Zur Demonstration werden die Module AMP, DART und SBL bereitgestellt.

    Schritt 5: Erstellen Sie eine Anforderung zum Hochladen eines Profils. Dieser Schritt ist nur für Module erforderlich, die ein Profil erfordern. Laden Sie den Abschnitt "Profil in filetoUpload" hoch. Klicken Sie auf Speichern.

    POST-ANFRAGE: https://<FTD Management IP>/api/fdm/latest/action/uploaddiskfile

    Der Text der Anforderung muss die im Haupttext hinzugefügte Profildatei im Formdatenformat enthalten. Das Profil muss mit dem AnyConnect Profile Editor für Windows erstellt werden.

    Der Schlüsseltyp sollte FileForfiletoUpload sein.

    Der Text der Antwort gibt eine ID/Dateiname an, die verwendet wird, um auf das Profil mit dem betreffenden Modul zu verweisen.

    Schritt 6: Erstellen Sie eine Anfrage zur Aktualisierung des AnyConnect-ProfilsDieser Schritt ist nur für Module erforderlich, die ein Profil erfordern. Klicken Sie auf Speichern, wie in diesem Bild gezeigt.

    POST-ANFRAGE: https://<FDM IP>/api/fdm/latest/object/anyconnectclientprofile

    Der Text der Anfrage enthält folgende Informationen:

    Name Logischer Name, den Sie die Datei aufrufen möchten
    diskFileName Muss dem fileName entsprechen, der in der Upload Profile POST-Antwort empfangen wird.
    AnyConnectModuleType Übereinstimmung mit dem entsprechenden Modul in der Module Type Table
    Typ anyconnectClientProfil

    Der Text der Antwort zeigt das Profil an, das auf das Gerät übertragen werden kann. Name, Version, ID und Typ, die als Antwort empfangen werden, werden im nächsten Schritt verwendet, um das Profil an Gruppenrichtlinie zu binden.

    Schritt 6: Erstellen Sie eine PUT-Anforderung, um Clientprofil und -modul der vorhandenen Gruppenrichtlinie hinzuzufügen. Klicken Sie auf Speichern, wie in diesem Bild gezeigt.

    PUT-ANFRAGE: https://<FDM IP>/api/fdm/latest/object/ravpngrouppolicies/{objId}

    ObjId ist die in Schritt 4 erhaltene ID. Kopieren Sie den Inhalt der in Schritt 4 erhaltenen Gruppenrichtlinie in den Text der Anfrage und fügen Sie Folgendes hinzu:

    Clientprofil 

    Name, Version, ID und Typ des im vorherigen Schritt erhaltenen Profils.

    Client-Module

    Der Name des Moduls, das aktiviert werden muss, sollte genau der in der Modultabelle angegebenen entsprechen.

    Der Haupttext der Antwort zeigt das Profil und das Modul an, das erfolgreich an Gruppenrichtlinien gebunden ist.

    Hinweis: Dieser Schritt ermöglicht das Herunterladen des SBL-Moduls. SBL muss auch in jedem Connect-Clientprofil aktiviert werden, das hochgeladen werden kann, wenn Sie zu Devices > Remote Access VPN>Group Policies> Edit Group Policy > General > AnyConnect Client Profile navigieren.

    Schritt 7: Bereitstellung der Konfiguration auf dem Gerät über FDM Ausstehende Änderungen zeigen an, dass Clientprofil und -module gepeilt werden müssen.

    Konfiguration nach erfolgreicher Bereitstellung in die FTD-CLI übertragen:

    !--- RA VPN Configuration ---!

    webvpn
     enable outside 
     anyconnect image disk0:/anyconnpkgs/anyconnect-win-4.9.00086-webdeploy-k9.pkg 2
     anyconnect profiles AMP.asp disk0:/anyconncprofs/AMP.asp
     anyconnect profiles defaultClientProfile disk0:/anyconncprofs/defaultClientProfile.xml
     anyconnect enable
     tunnel-group-list enable

    !--- Group Policy Configuration ---!

    group-policy RA-VPN internal
    group-policy RA-VPN attributes
     webvpn
      anyconnect modules value ampenabler,dart,vpngina
      anyconnect profiles value AMP.asp type ampenabler

    Überprüfen

    Stellen Sie eine erfolgreiche Verbindung zur FTD her.

    Navigieren Sie zu Einstellungen > VPN> Nachrichtenverlauf, um die Details der heruntergeladenen Module anzuzeigen.

    Fehlerbehebung

    Ermitteln Sie DART zur Fehlerbehebung bei Problemen mit der Installation von Clientmodulen.

    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Rohan Biswas
      Cisco TAC-Techniker
    • Tazy Khan
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren