購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
6005
閲覧回数
30
いいね!
0
コメント

FTD: AnyConnect利用時の機能制限について (バージョン 7.0未満利用時)

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2018-04-16 10:48 AM ‎2022-01-19 02:48 PM 更新

 

FTDでAnyConnect利用時の機能制限について

FirePOWER Threat Defense (FTD) ソフトウェアは、主にL3/L4制御機能を提供する従来のASAソフトウェアと、主にL7の高度制御機能を提供するFirepowerソフトウェアを統合した新ソフトウェアです。 従来のASAソフトウェアで利用できていたAnyConnect接続の終端は、FTDソフトウェアでも可能です。

しかし、FTDのバージョン 6.4以下の場合 AnyConnect利用は簡易サポートとなり、複数の高度機能はサポートしてません。そのため、FTDでAnyConnectの導入を行う場合、外部認証サーバの用意などが別途必要です。
 

未サポート機能 (FTD バージョン 6.4時)  ※FMCで管理時

  • Secure Mobility, Network Access Management, and all other AnyConnect modules and their profiles beyond the core VPN capabilities and the VPN client profile.

  • Posture variants such as Hostscan and Endpoint Posture Assessment, and any Dynamic Access Policies based on the client posture.

  • AnyConnect Customization and Localization support. The FTD device does not configure or deploy the files necessary to configure AnyConnect for these capabilities.

  • Custom Attributes for the AnyConnect Client are not supported on the FTD. Hence all features that make use of Custom Attributes are not supported, such as Deferred Upgrade on desktop clients and Per-App VPN on mobile clients.

  • Local authentication; VPN users cannot be configured on the FTD secure gateway.

  • Local CA, the secure gateway cannot act as a Certificate Authority.

  • Single Sign-on using SAML 2.0.

  • TACACS, Kerberos (KCD Authentication and RSA SDI).

  • LDAP Authorization (LDAP Attribute Map).

  • Browser Proxy.

  • VPN load balancing.

  

利用バージョンによりサポート機能は多少変化することがあり、詳しくは設定ガイドから確認することができます。例えば以下リンクの「Unsupported Features of AnyConnect」で、Firepower System バージョン 6.4(※FMCでFTD管理時)の場合のリモートアクセスの非サポート機能を確認することができます。

https://www.cisco.com/c/en/us/td/docs/security/firepower/640/configuration/guide/fpmc-config-guide-v64/firepower_threat_defense_remote_access_vpns.html#reference_xby_dml_wy


上記機能を使いたい場合、もしくは AnyConnectのフル機能を使いたい場合は、AnyConnect接続終端にASAソフトウェアを利用してください。ASA5500-Xや FPR2100/4100シリーズは、FTDもしくはASAソフトウェアが動作可能であり、あとから変更(リイメージ)も可能です。(※なお、ASAとFTDは必要なライセンスが異なるため、リイメージにより利用ソフトウェアを変更する場合は販社様や弊社営業などにご相談ください。)

なお、FTDでサポートされる リモートアクセスVPN機能は、今後 増加していく予定です。例えば、FTD バージョン 6.6では、ローカル管理 (FDM) を利用時は、ローカルユーザ認証にも対応しております。

また、2021年春にリリースの FTD バージョン 7.0からは、FMC管理のFTDの場合は、主要なリモートアクセスVPN機能はASAとほぼ同等となっております。例えば、FMC管理のバージョン 7.0から、VPNロードバランシングや FMCでのローカル認証、DAP、Multi-certificate authentication、AnyConnect custom attributes に対応しております。

  

よくある質問

FTDで AnyConnect利用時にダイナミックスプリットトンネルはサポートされますか

FMC管理のFTDバージョン 6.7以下の場合、FlexConfig を利用することで、以下手順を利用し Dynamic Split Tunnelingの利用は可能ですが、FlexConfigを用いた設定チューニングは正式サポート対象外となるのでご注意ください。

https://www.cisco.com/c/en/us/td/docs/security/firepower/config_examples/advanced-anyconnect-ftd-fmc/advanced-anyconnect-vpn-ftd-fmc.html#Cisco_Generic_Topic.dita_f4684d5b-4851-4c57-8d83-5166ad810e46

 

FMC管理のFTDバージョン 7.0以降の場合、Devices > Remote Access > Advanced > Group Policies から 任意Group Policy を作成、もしくは 編集し、「AnyConnect」タブ内の Custom Atributes から設定可能です。例えば以下は、cisco.com宛のアクセスの除外設定例です。

DynamicSplitTunneling-v2.JPG

 

参考情報

AnyConnect Remote Access VPN configuration on FTD
https://www.cisco.com/c/en/us/support/docs/network-management/remote-access/212424-anyconnect-remote-access-vpn-configurati.html#anc13

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents