安全 : Cisco AnyConnect 安全移动客户端

与ISE版本1.3配置示例的AnyConnect 4.0集成

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述在允许您配置几个AnyConnect安全移动性客户端模块和自动地设置他们到终端的思科身份服务引擎(ISE)版本1.3的新的功能。本文提交如何配置在ISE的VPN、网络访问管理器(NAM)和状态模块和推送他们对集群用户。

贡献用米哈拉Garcarz, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • ISE部署、验证和授权
  • 无线局域网控制器(WLCs)的配置
  • 基本VPN和802.1x知识
  • VPN和NAM配置文件的配置用AnyConnect配置文件编辑器

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Microsoft Windows 7
  • Cisco WLC版本7.6和以上
  • Cisco ISE软件,版本1.3和以上

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

拓扑和流

这是流:

步骤1.集群用户acceses服务集标识(SSID) :设置。执行802.1x验证与扩展验证协议保护的EAP (EAP-PEAP)。供应授权规则在ISE遇到,并且用户为AnyConnect供应重定向(通过客户端设置Protal)。如果AnyConnect在计算机没有检测,所有已配置的模块安装(VPN, NAM,状态)。与该配置文件一起,每个模块的配置推送。

第二步:一旦AnyConnect安装,用户必须重新启动PC。在重新启动, AnyConnect运行,并且后正确SSID根据已配置的NAM配置文件(Secure_access)自动地使用。使用EAP-PEAP (为例,扩展验证可能也使用传输层安全(EAP-TLS))。同时,状态模块检查站点是否是兼容的(检查c:\test.txt文件的存在)。

第三步:如果站点状态状态未知(从状态模块的没有报告),为设置仍然重定向,因为未知Authz规则在ISE遇到。一旦站点是兼容的, ISE派遣授权(CoA)的崔凡吉莱到无线局域网控制器,触发再验证。秒钟验证出现,并且兼容规则在ISE点击,将提供用户对网络的完全权限。

结果,用户配置有AnyConnect VPN、NAM和允许对网络的统一的访问的状态模块。 相似的功能在可适应安全工具(ASA)可以使用VPN访问。目前, ISE能为与一非常粒状方法的任一种访问执行同样。

此功能对集群用户没有被限制,但是可能是最普通为用户的该组部署它。

配置

WLC

WLC配置与两Ssid :

  • 设置- [WPA + WPA2][Auth(802.1X)]。此SSID使用AnyConnect供应。

  • Secure_access - [WPA + WPA2][Auth(802.1X)]。此SSID使用安全访问,在终端配置有为该SSID配置的NAM模块后。

ISE

步骤1.添加WLC

添加WLC到在ISE的网络设备。

步骤2.配置VPN配置文件

配置VPN配置文件用VPN的AnyConnect配置文件编辑器。

仅一个条目为VPN访问被添加了。只是对VPN.xml的XML文件

步骤3.配置NAM配置文件

配置NAM配置文件用NAM的AnyConnect配置文件编辑器。

仅一SSID配置:secure_access。只是对NAM.xml的XML文件

步骤4.安装应用程序

  1. 从Cisco.com手工下载应用程序。

    • anyconnect-win-4.0.00048-k9.pkg
    • anyconnect-win-compliance-3.6.9492.2.pkg


  2. 在ISE,请导航对策略>结果>客户端供应>资源,并且从本地磁盘添加代理程序资源。
  3. 选择思科提供了包并且选择anyconnect-win-4.0.00048-k9.pkg



  4. 重复标准模块的步骤4。

步骤5.安装VPN/NAM配置文件

  1. 导航对策略>结果>客户端供应>资源,并且从本地磁盘添加代理程序资源。
  2. 选择客户创建的包和类型AnyConnect配置文件。选择以前已创建NAM配置文件(XML文件) :



  3. 重复VPN配置文件的相似的步骤:

步骤6.配置状态

NAM和VPN配置文件必须用AnyConnect配置文件编辑器配置外部和导入到ISE。但是状态在ISE充分地配置。

导航到策略>情况>状态>文件Condition.You能看到文件存在的一个单纯条件创建。您必须有该文件为了是兼容的与状态模块验证的策略:

此情况使用需求:

并且需求用于状态策略Microsoft Windows系统:

关于状态配置的更多信息,参考在思科ISE配置指南的状态服务

一旦状态策略准备好,它是时间添加状态代理配置。

  1. 导航对策略>结果>客户端供应>资源并且添加网络准入控制(NAC)代理程序或AnyConnect代理程序状态配置文件。

  2. 选择AnyConnect (从ISE版本1.3的一个新的状态模块使用了而不是旧有NAC代理程序) :



  3. 从状态协议部分,请勿忘记添加*为了允许代理程序连接到所有服务器。



  4. 如果服务器名规则字段被离开空, ISE不保存设置并且报告此错误:

    Server name rules: valid value is required

步骤7.配置AnyConnect

在此阶段,所有申请(AnyConnect)和配置文件配置对所有模块(VPN、NAM和状态)配置。是时间在一起地粘合它。

  1. 导航对策略>结果>客户端供应>资源,并且添加AnyConnect配置。

  2. 配置名称并且选择标准模块和全部必需AnyConnect模块(VPN、NAM和状态)。

  3. 在配置文件选择,请选择为每个模块配置的前配置文件。



  4. VPN模块对于其他模块是必需作用corrrectly。即使VPN模块没有为安装选择,在客户端将推送并且安装。如果不要使用VPN,有配置隐藏VPN模块的用户界面VPN的一特殊配置文件的可能性。应该添加这些线路到VPN.xml文件:

     <ClientInitialization>
    <ServiceDisable>true</ServiceDisable>
    </ClientInitialization>


  5. 这种配置文件也安装,当您使用iso包时(anyconnect-win-3.1.06073-pre-deploy-k9.iso)的Setup.exe。然后, VPN的VPNDisable_ServiceProfile.xml配置文件与配置一起安装,禁用VPN模块的用户界面。

步骤8.客户端供应规则

客户端供应规则应该参考在步骤创建的AnyConnect配置7 :

客户端供应规则决定哪应用程序将推送给客户端。仅一个规则必要此处与对配置的该点在步骤7.创建的结果。这样,为客户端供应重定向的所有Microsoft Windows终端以所有模块和配置文件将使用AnyConnect配置。

步骤9.授权配置文件

客户端的授权配置文件供应需要创建。使用默认客户端设置的门户:

此配置文件迫使用户为设置重定向到默认客户端设置的门户。此门户评估客户端Provisiong策略(在步骤创建的规则8)。授权配置文件是授权规则结果在步骤配置的10。

GuestRedirect访问控制表(ACL)是在WLC定义的ACL的名称。此ACL决定应该重定向哪个流量到ISE。欲知更多信息,与交换机和身份服务引擎配置示例的参考的中央Web验证

也有提供有限的网络访问的另一授权配置文件(DACL)为固执的用户(呼叫LimitedAccess)。

步骤10.授权规则

所有那些被结合到四个授权规则:

首先您连接对供应SSID和为设置重定向对默认客户端设置的门户(规则已命名Provisioning)。一旦连接对Secure_access SSID,为设置仍然重定向,如果从状态模块的报告没有由ISE (规则已命名Unknown)接收。一旦终端是完全适应的,完全权限授权(兼容的规则名称)。如果终端报告如固执,限制了网络访问(规则已命名NonCompliant)。

验证

您与供应SSID产生关联,设法访问所有网页和重定向到客户端设置的门户:

因为AnyConnect没有检测,您询问安装它:

一小应用程序呼叫网络设置助理,负责整个安装过程,下载。注意它跟版本1.2的网络设置助理不同。

所有模块(VPN、NAM和状态)安装并且配置。您必须重新启动您的PC:

在重新启动, AnyConnect自动地被执行,并且后NAM设法与secure_access SSID产生关联(根据已配置的配置文件)。注意VPN配置文件正确地安装(asav2 VPN的条目) :

在验证以后, AnyConnect下载更新并且摆验证进行的规则姿势:

在此阶段,也许仍然有限享用(您遇到在ISE的未知授权规则)。一旦站点是兼容的,那由状态模块报告:

详细信息可以也验证(FileRequirement是满足的) :

消息历史记录显示详细步骤:

9:18:38 AM The AnyConnect Downloader is performing update checks...
9:18:38 AM Checking for profile updates...
9:18:38 AM Checking for product updates...
9:18:38 AM Checking for customization updates...
9:18:38 AM Performing any required updates...
9:18:38 AM The AnyConnect Downloader updates have been completed.
9:18:38 AM Update complete.
9:18:38 AM Scanning system ...
9:18:40 AM Checking requirement 1 of 1.
9:18:40 AM Updating network settings ...
9:18:48 AM Compliant.

成功的报告被发送对ISE,触发授权的崔凡吉莱。第二验证遇到兼容规则,并且全双工网络访问授权。如果状态报告被发送,当仍然关联对设置的SSID,这些日志被看到关于ISE :

状态报告指示:

详细的报告显示是满足的FileRequirement :

故障排除

目前没有针对此配置的故障排除信息。

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118714