購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1024
閲覧回数
20
いいね!
0
コメント

FDM によるAnyConnect の設定

Guangri Jin
Cisco Employee
Cisco Employee

‎2020-04-21 10:02 AM - 最終編集日: ‎2020-04-21 10:16 AM 、編集者: Cisco Employee

 

はじめに

本稿では FDM( Firepower Device Manager ) による Cisco AnyConnect の設定例をご案内致します。

FMC( Firepower Management Center )による AnyConnect の設定については参考文献※1 をご参照下さい。

Cisco FTD (Firepower Threat Defense) は FMCにより設定/管理できますが、On Box FDMより設定/管理することも可能です。FMC により管理されている FTD を FDM により管理するように変更したい場合は FTD の CLI から以下のコマンドを実行してください。

> configure manager local
> show managers
  Managed locally.

  

一、ネットワークトポロジーと使用機器

(A) 本稿では以下のようなネットワークトポロジーを使用しています。

FTDInside 192.168.55.0/24Outside 192.168.56.0/24 となり、ISE DNS サーバは内部に配置されています。

NW-Topo.png

(B) 本稿では以下のデバイスを使用しています:

FTD:   FPR2110, 6.4

認証サーバ: ISE 2.1

AnyConnect 4.6, Windows 10

  

二、シナリオ

ユーザは PC から AnyConnect により FTD Outside インタフェースに接続し、FTD Cisco ISE によりユーザを認証することとします。またユーザ認証は証明書は使用せず ID/Password のみとします。

  

三、設定手順

(1) Smart License の有効化

FTD では初期状態で評価ライセンスを有効にできますが、AnyConnect を使用するためには Smart License を有効にする必要があります。 Smart License が有効になっていない場合は参考文献 ※2 を参考にして有効にしてください。

 

SmartLic.png

 

 

(2) インタフェースの設定

Device > Interface を開き、編集したいインタフェースの編集画面を開いて Interface Name IP Address を設定します。

本稿では Inside Interface 192.168.55.64/24Outside Interface 192.168.56.64/24 を設定します。

 

Interface.png

 

(3) Address Pool と Network Object の設定

Objects > Networks > Add Network よりから新規 Objectを追加します(若しくは既存の Object Edit)

本稿では AC-POOL1 及びAC-Inside-NW-1355 いう2つの Network Object を設定します。それぞれAnyConnect に割り当てする IP アドレス と AnyConnect FTD に接続してからアクセスを許可する Inside 側のネットワークを設定します。

 

AC-POOL1.png

 

AC-Inside-NW-1355.png

(4) DNS Group の設定

Objects > DNS Groups から DNS Group を追加します。DNS Group は後ほど AnyConnect の設定時に使用されます。

DNS-AD1.png

(5) Radius サーバの追加

(A) Objects > Identity Sources から RADIUS Server を追加します。

(B) Objects > Identity Sources から RADIUS Server Group を追加し、(A) で設定した Radius サーバをこの Group に追加します。

 

ISE2-1-1.png

  

ISE-Group1.png

(6) ISE の設定

(A)  ISE > Administration > Network Devices > Add より FTD を追加します。

IP Address FTD IP Shared Secret FTD での設定に合わせます。

(B)  ISE > Administration > Identities > Users> Add よりユーザを追加します。

このユーザは AnyConnect で接続する際に使用されます。

ISE-NAD.png

(7) Connection Profile の追加

(A)   Device > Remote Access VPN > View Configuration > Connection Profiles により新しい Connection Profiles を追加します。

AC-Prof1-profile.png

AC-Prof1-Pool.png

(B) Next をクリックし、Group Policy の設定画面に遷移します。

本稿ではデフォルトの DfltGrpPolicy とし、 DNS には (4) で設定した DNS-AD1 を選択します。

他のオプションはデフォルトのままにして Next をクリックします。

(C)  Inside Networks に先ほど設定した AC-Inside-NW-1355 を選択し、Packages から使用する AnyConnect のパッケージをアップロードします。

AnyConnect のパッケージは必要に応じて CCO からダウンロードしてください。

( https://software.cisco.com/download/home/286281283/type/282364313/release/ )

 

AC-Prof1-image.png

(D)  Next をクリックすると最終的な確認画面に遷移します。

AC-Prof1-finish.png

間違いがないかを確認して FINISH ボタンをクリックします。

(8) Deployment をクリックし、設定を FTD に反映させます。

  AC-Deployment.png

 

四、確認

(1) PC から AnyConnect を開き、FTD の Outside Interface に接続します。

AC-Connect1.png

(2) ISE で設定したユーザ/パスワードを入力して、AnyConnect が接続できることを確認します。

AC-Connect2.png

  

五、参考文献

※1 FTD の AnyConnect リモートアクセス VPN 設定

https://www.cisco.com/c/ja_jp/support/docs/network-management/remote-access/212424-anyconnect-remote-access-vpn-configurati.html

※2 FMC: Smart License 有効化方法と トラブルシューティング

https://community.cisco.com/t5/-/-/ta-p/3296811

※3 Cisco Firepower Threat Defense コンフィギュレーション ガイド

https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_010010.html

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents