キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.3

 AMATopBanner2021.4.23.JPG

 2021Apr.TopBanner.JPG

 

FDM によるAnyConnect の設定

374
閲覧回数
20
いいね!
0
コメント

 

はじめに

本稿では FDM( Firepower Device Manager ) による Cisco AnyConnect の設定例をご案内致します。

FMC( Firepower Management Center )による AnyConnect の設定については参考文献※1 をご参照下さい。

Cisco FTD (Firepower Threat Defense) は FMCにより設定/管理できますが、On Box FDMより設定/管理することも可能です。FMC により管理されている FTD を FDM により管理するように変更したい場合は FTD の CLI から以下のコマンドを実行してください。

> configure manager local
> show managers
  Managed locally.

  

一、ネットワークトポロジーと使用機器

(A) 本稿では以下のようなネットワークトポロジーを使用しています。

FTDInside 192.168.55.0/24Outside 192.168.56.0/24 となり、ISE DNS サーバは内部に配置されています。

NW-Topo.png

(B) 本稿では以下のデバイスを使用しています:

FTD:   FPR2110, 6.4

認証サーバ: ISE 2.1

AnyConnect 4.6, Windows 10

  

二、シナリオ

ユーザは PC から AnyConnect により FTD Outside インタフェースに接続し、FTD Cisco ISE によりユーザを認証することとします。またユーザ認証は証明書は使用せず ID/Password のみとします。

  

三、設定手順

(1) Smart License の有効化

FTD では初期状態で評価ライセンスを有効にできますが、AnyConnect を使用するためには Smart License を有効にする必要があります。 Smart License が有効になっていない場合は参考文献 ※2 を参考にして有効にしてください。

 

SmartLic.png

 

 

(2) インタフェースの設定

Device > Interface を開き、編集したいインタフェースの編集画面を開いて Interface Name IP Address を設定します。

本稿では Inside Interface 192.168.55.64/24Outside Interface 192.168.56.64/24 を設定します。

 

Interface.png

 

(3) Address Pool と Network Object の設定

Objects > Networks > Add Network よりから新規 Objectを追加します(若しくは既存の Object Edit)

本稿では AC-POOL1 及びAC-Inside-NW-1355 いう2つの Network Object を設定します。それぞれAnyConnect に割り当てする IP アドレス と AnyConnect FTD に接続してからアクセスを許可する Inside 側のネットワークを設定します。

 

AC-POOL1.png

 

AC-Inside-NW-1355.png

(4) DNS Group の設定

Objects > DNS Groups から DNS Group を追加します。DNS Group は後ほど AnyConnect の設定時に使用されます。

DNS-AD1.png

(5) Radius サーバの追加

(A) Objects > Identity Sources から RADIUS Server を追加します。

(B) Objects > Identity Sources から RADIUS Server Group を追加し、(A) で設定した Radius サーバをこの Group に追加します。

 

ISE2-1-1.png

  

ISE-Group1.png

(6) ISE の設定

(A)  ISE > Administration > Network Devices > Add より FTD を追加します。

IP Address FTD IP Shared Secret FTD での設定に合わせます。

(B)  ISE > Administration > Identities > Users> Add よりユーザを追加します。

このユーザは AnyConnect で接続する際に使用されます。

ISE-NAD.png

(7) Connection Profile の追加

(A)   Device > Remote Access VPN > View Configuration > Connection Profiles により新しい Connection Profiles を追加します。

AC-Prof1-profile.png

AC-Prof1-Pool.png

(B) Next をクリックし、Group Policy の設定画面に遷移します。

本稿ではデフォルトの DfltGrpPolicy とし、 DNS には (4) で設定した DNS-AD1 を選択します。

他のオプションはデフォルトのままにして Next をクリックします。

(C)  Inside Networks に先ほど設定した AC-Inside-NW-1355 を選択し、Packages から使用する AnyConnect のパッケージをアップロードします。

AnyConnect のパッケージは必要に応じて CCO からダウンロードしてください。

( https://software.cisco.com/download/home/286281283/type/282364313/release/ )

 

AC-Prof1-image.png

(D)  Next をクリックすると最終的な確認画面に遷移します。

AC-Prof1-finish.png

間違いがないかを確認して FINISH ボタンをクリックします。

(8) Deployment をクリックし、設定を FTD に反映させます。

  AC-Deployment.png

 

四、確認

(1) PC から AnyConnect を開き、FTD の Outside Interface に接続します。

AC-Connect1.png

(2) ISE で設定したユーザ/パスワードを入力して、AnyConnect が接続できることを確認します。

AC-Connect2.png

  

五、参考文献

※1 FTD の AnyConnect リモートアクセス VPN 設定

https://www.cisco.com/c/ja_jp/support/docs/network-management/remote-access/212424-anyconnect-remote-access-vpn-configurati.html

※2 FMC: Smart License 有効化方法と トラブルシューティング

https://community.cisco.com/t5/-/-/ta-p/3296811

※3 Cisco Firepower Threat Defense コンフィギュレーション ガイド

https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_010010.html