2024年6月10日发(作者:)

AnyConnect在FTD的远程访问VPN配置

目录

简介

要求

使用的组件

配置

1. Preresiquites

a) 导入SSL证书

b) 配置RADIUS服务器

c) 创建VPN用户的地址池

d) 创建XML配置文件

e) 上载AnyConnect镜像

2. 远程访问向导

连接

限制

安全考虑

a) 启用uRPF

b) 启用sysopt连接permit-vpn选项

简介

本文为Firepower威胁防御(FTD)版本6.2.2和以上提供配置示例,那允许远程访问VPN使用传输层安全(TLS)和互联网密钥交换版本2 (IKEv2)。作为客户端,将

使用Cisco AnyConnect,多个平台支持。

要求

Cisco 建议您了解以下主题:

q

基本VPN、TLS和IKEv2知识

基本认证、授权和核算(AAA)和RADIUS知识

体验与Firepower管理中心

q

q

使用的组件

本文档中的信息基于以下软件和硬件版本:

q

Cisco FTD 6.2.2

AnyConnect 4.5

q

配置

1. Preresiquites

为了通过远程访问向导在Firepower管理中心,您首先将需要遵从这些步骤:

q

q

q

q

创建用于服务器验证的证书,

配置RADIUS或LDAP服务器用户认证的,

创建VPN用户的地址池,

上载另外平台的AnyConnect镜像。

a) 导入SSL证书

当您配置AnyConnect时,证书是重要的。RSA SSL和IPSec支持仅基于证书。 IPSec,但是它支持椭圆曲线数字签名算法证书(ECDSA)不是可能部署新建的

AnyConnect包或XML配置文件,当ECDSA使用时基于证书。意味着您能使用它IPSec,但是您将必须predeploy AnyConnect包,并且对每个用户的XML配置

文件和在XML配置文件上的所有变化在每个客户端(bug将必须手工反射:CSCtx42595)。证书应该另外有与DNS名和IP地址的避免附属的替代方案名称的分机

在Web浏览器的错误。

有获取在FTD设备的一证书的几个方法,但是安全和容易那个是创建证书签名请求(CSR),签署为公共密钥然后进口证明书发出的它,在CSR。这是如何执行

那:

q

去对象>对象Management> PKI > Cert登记,点击Add Cert登记:

q

选择登记类型并且粘贴Certificate Authority (CA)证书,

即然后请去第二选项卡并且选择自定义FQDN并且填装所有必要的字段, :

q