Este documento describe cómo configurar Secure Client Network Analysis Module (NAM) en Windows.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Este documento describe cómo configurar Secure Client NAM en Windows. Se utilizan la opción de implementación previa y el Editor de perfiles para realizar la autenticación dot1x. Asimismo, se proporcionan algunos ejemplos de cómo se logra.
En la red, un suplicante es una entidad en un extremo de un segmento LAN punto a punto, que busca ser autenticado por un autenticador conectado al otro extremo de ese link.
El estándar IEEE 802.1X utiliza el término suplicante para referirse al hardware o al software. En la práctica, un solicitante es una aplicación de software instalada en el equipo de un usuario final. El usuario invoca al solicitante y envía las credenciales para conectar el equipo a una red segura. Si la autenticación se realiza correctamente, el autenticador normalmente permite que el equipo se conecte a la red.
Network Access Manager es un software cliente que proporciona una red segura de capa 2 de acuerdo con sus políticas. Detecta y selecciona la red de acceso de capa 2 óptima y realiza la autenticación de dispositivos para acceder a redes por cable e inalámbricas. El Administrador de acceso de red administra la identidad del usuario y del dispositivo, así como los protocolos de acceso a la red necesarios para un acceso seguro. Funciona de forma inteligente para evitar que los usuarios finales realicen conexiones que infrinjan las políticas definidas por el administrador.
El administrador de acceso de red está diseñado como de enlace único, lo que permite una sola conexión de red a la vez. Además, las conexiones con cables tienen mayor prioridad que las inalámbricas, por lo que si está conectado a la red con una conexión con cables, el adaptador inalámbrico se desactiva sin dirección IP.
Es crucial entender que para las autenticaciones dot1x se requieren 3 partes:
En este ejemplo, el suplicante se instala y configura de diferentes maneras. Más adelante, se muestra un escenario con la configuración del dispositivo de red y el servidor de autenticación.
Diagrama de la red
Descarga de software de Cisco
1. En la barra de búsqueda del nombre del producto, escriba Secure Client 5.
Inicio > Seguridad > VPN and Endpoint Security Clients > Secure Client (incluido AnyConnect) > Secure Client 5 > AnyConnect VPN Client Software.
2. En este ejemplo de configuración, se utiliza la versión 5.1.2.42.
Hay varias formas de implementar Secure Client en dispositivos Windows; desde SCCM, Identity Service Engine y desde la cabecera VPN. Sin embargo, en este artículo, el método de instalación utilizado es el método previo a la implementación.
3. En esta página, busque el archivo Cisco Secure Client Headend Deployment Package (Windows).
archivo zip Msi
4. Una vez descargado y extraído, haga clic en Setup.
Archivos de Secure Client
5. Instale el Administrador de acceso a la red y los módulos de la Herramienta de diagnóstico e informes.
Advertencia: Si utiliza el Asistente de Cisco Secure Client, el módulo VPN se instala automáticamente y se oculta en la GUI. El NAM no funciona si el módulo VPN no está instalado. Si utiliza archivos MSI individuales o un método de instalación diferente, asegúrese de instalar el módulo VPN.
Selector de instalación
6. Haga clic en Instalar seleccionados.
7. Acepte el CLUF.
Ventana EULA
8. Es necesario reiniciar después de instalar NAM.
Ventana de requisitos de reinicio
9. Una vez instalado, se puede encontrar y abrir desde la barra de búsqueda de Windows.
Programa Secure Client1. Se necesita el editor de perfiles del administrador de acceso de red de Cisco para configurar las preferencias Dot1x.
2. Desde la misma página donde se descarga Secure Client, se encuentra la opción Profile Editor.
3. En este ejemplo se utiliza la opción con la versión 5.1.2.42.
Editor de perfiles
4. Una vez descargado, continúe con la instalación.
5. Ejecute el archivo msi.
Ventana de configuración del Editor de perfiles
6. Utilice la opción de configuración Típica.
Configuración del Editor de perfiles
Ventana de instalación7. Haga clic en Finalizar.
Fin de la configuración del Editor de perfiles
8. Una vez instalado, abra el Editor de perfiles del Administrador de acceso de red desde la barra de búsqueda.
Editor de perfiles para NAM en la barra de búsqueda
9. La instalación del Administrador de acceso a la red y del Editor de perfiles ha finalizado.
1. Todos los escenarios presentados en este artículo contienen configuraciones para:
Directiva de cliente del Editor de perfiles NAM
Política de autenticación del Editor de perfiles NAM
Ficha Grupos de red
1. Acceda a la sección Redes.
2. El perfil de red predeterminado se puede eliminar.
3. Haga clic en Agregar.
Creación de perfiles de red
4. Asigne un nombre al perfil de red.
5. Seleccione Global para Pertenencia a Grupo. Seleccione Wired Network media.
Sección Tipo de medio del perfil de red
6. Haga clic en Next.
7. Seleccione Authenticating Network y utilice el valor por defecto para el resto de las opciones de la sección Security Level.
Nivel de seguridad del perfil de red
8. Haga clic en Siguiente para continuar con la sección Tipo de Conexión.
Tipo de conexión del perfil de red
9. Seleccione el tipo de conexión Conexión de Usuario.
10. Haga clic en Next para continuar con la sección User Auth, que ahora está disponible.
11. Seleccione PEAP como el método EAP general.
Autenticación de usuario de perfil de red
12. No cambie los valores predeterminados en EAP-PEAP Settings.
13. Continúe con la sección Métodos Internos Basados en Origen de Credenciales.
14. De los múltiples métodos internos que existen para EAP-PEAP, seleccione Authenticate using a Password y seleccione EAP-MSCHAPv2.
15. Haga clic en Siguiente para continuar con la sección Certificado.
Nota: La sección Certificate se muestra cuando se selecciona la opción Validate Server Identity en EAP-PEAP Settings. Para EAP-PEAP, realiza la encapsulación utilizando el certificado del servidor.
16. En la sección Certificados, se utiliza la regla Reglas de servidor de confianza de certificados, el Nombre común termina con c.com. Esta sección de la configuración hace referencia al certificado que utiliza el servidor durante el flujo EAP PEAP. Si se utiliza Identity Service Engine (ISE) en su entorno, puede utilizar el nombre común del certificado EAP de nodo de servidor de políticas.
Sección Certificado de Perfil de Red
17. Se pueden seleccionar dos opciones en Certificate Trusted Authority. Para este escenario, en lugar de agregar un certificado de CA específico que firmó el certificado EAP RADIUS, se utiliza la opción Trust Any Root Certificate Authority (CA) Installed on the OS.
18. Con esta opción, el dispositivo Windows confía en cualquier certificado EAP firmado por un certificado incluido en el programa Administrar certificados de usuario Certificados: Usuario actual > Entidades de certificación raíz de confianza > Certificados.
19. Haga clic en Next.
Sección Credenciales de Perfil de Red
20. En la sección Credenciales, sólo se cambia la sección Credenciales de Usuario.
21. La opción Solicitar credenciales > Nunca recordar está seleccionada, en cada autenticación, el usuario que selecciona la autenticación debe introducir sus credenciales.
22. Haga clic en Finalizado.
23. Guarde el perfil de Secure Client Network Access Manager, como configuration.xml con la opción File > Save As.
24. Para asegurarse de que Secure Client Network Access Manager utiliza el perfil que acaba de crear, sustituya el archivo configuration.xml del siguiente directorio por el nuevo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Nota: El archivo debe tener el nombre configuration.xml; de lo contrario, no funcionará.
Sección Reemplazar archivo
1. Abra NAM Profile Editor y navegue hasta la sección Networks.
2. Haga clic en Agregar.
Ficha Red del editor de perfiles NAM
3. Introduzca un nombre en el perfil de red.
4. Seleccione Global para Pertenencia a Grupo. Seleccione WiredNetwork Media.
Sección Tipo de medio
5. Haga clic en Next.
6. Seleccione Autenticación de Red y no cambie los valores por defecto para el resto de las opciones de esta sección.
Sección Editor de perfiles de nivel de seguridad
7. Haga clic en Siguiente para continuar con la sección Tipo de Conexión.
Sección Tipo de conexión
8. Configure la autenticación del usuario y la máquina simultáneamente seleccionando la tercera opción.
9. Haga clic en Next.
Sección de autenticación automática
10. En la sección Machine Auth, seleccione EAP-FAST como el método EAP. No cambie los valores predeterminados de Configuración de EAP FAST.
11. En la sección Métodos internos basados en el origen de credenciales, seleccione Autenticar mediante una contraseña y EAP-MSCHAPv2 como método. A continuación, seleccione la opción Use PACs.
12. Haga clic en Next.
13. En la sección Certificados, las Reglas de servidor de confianza de certificados, la regla es el nombre común termina con c.com. Esta sección hace referencia al certificado que utiliza el servidor durante el flujo PEAP EAP. Si se utiliza Identity Service Engine (ISE) en su entorno, se puede utilizar el nombre común del certificado EAP del nodo del servidor de políticas.
Sección Confianza del Certificado del Servidor de Autenticación de Máquina
14. Se pueden seleccionar dos opciones en Certificate Trusted Authority. En esta situación, en lugar de agregar un certificado de CA específico que firmó el certificado EAP RADIUS, utilice la opción Confiar en cualquier autoridad de certificación raíz (CA) instalada en el sistema operativo.
15. Con esta opción, Windows confía en cualquier certificado EAP firmado por un certificado incluido en el programa Administrar certificados de usuario (Usuario actual > Entidades de certificación raíz de confianza > Certificados).
16. Haga clic en Next.
Sección de credenciales de autenticación de máquina
17. Seleccione Usar Credenciales de Máquina en la sección Credenciales de Máquina.
18. Haga clic en Next.
Sección Autenticación de usuario
19. Para User Auth, seleccione EAP-FAST como el método EAP.
20. No cambie los valores predeterminados en la sección de configuración EAP-FAST.
21. En la sección Método interno basado en el origen de credenciales, seleccione Autenticar mediante una contraseña y EAP-MSCHAPv2 como método.
22. Seleccione Usar PAC.
23. Haga clic en Next.
24. En la sección Certificados, las Reglas de servidor de confianza de certificados, la regla es Nombre común termina con c.com. Estas configuraciones son para el certificado que utiliza el servidor durante el flujo EAP PEAP. Si se utiliza ISE en su entorno, se puede utilizar el nombre común del certificado EAP del nodo del servidor de políticas.
Sección de Confianza del Certificado del Servidor de Autenticación de Usuario
25. Se pueden seleccionar dos opciones en Certificate Trusted Authority. En este escenario, en lugar de agregar un certificado de CA específico que firmó el certificado EAP RADIUS, se utiliza la opción Confiar en cualquier autoridad de certificación raíz (CA) instalada en el sistema operativo.
26. Haga clic en Next.
Credenciales de autenticación de usuario
27. En la sección Credenciales, sólo se cambia la sección Credenciales de Usuario.
28. La opción Solicitar credenciales > Nunca recordar está seleccionada. Por lo tanto, en cada autenticación, el usuario que autentica debe ingresar sus credenciales.
29. Haga clic en el botón Finalizado.
30. Seleccione File > Save as y guarde el Secure Client Network Access ManagerProfile como configuration.xml.
31. Para crear el Secure Client Network Access Manager, utilice el perfil que acaba de crear y reemplace el archivo configuration.xml en el siguiente directorio por el nuevo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Nota: El archivo debe tener el nombre configuration.xml; de lo contrario, no funcionará.
1. Abra el Editor de perfiles NAM y navegue hasta la sección Redes.
2. Haga clic en Agregar.
Sección Creación de Red
3. Dé un nombre al perfil de red; en este caso, el nombre es el protocolo EAP.
4. Seleccione Global para Pertenencia a Grupo. y medios de red por cable.
Sección Tipo de medio
5. Haga clic en Next.
6. Seleccione Autenticación de Red y no cambie los valores por defecto para el resto de las opciones de la sección Nivel de Seguridad.
Nivel de seguridad
7. Este escenario es para la autenticación de usuario mediante un certificado. Por esta razón, se utiliza la opción User Connection.
Tipo de conexión
8. Configure EAP-TLS como el método EAP y no cambie los valores predeterminados en la sección Configuración de EAP-TLS.
Sección de autenticación de usuario
9. Para la sección Certificados, cree una regla que coincida con el certificado EAP-TLS AAA. Si utiliza ISE, busque esta regla en la sección Administration > System > Certificates.
10. En la sección Certificate Trusted Authority, seleccione Trust any Root Certificate Authority (CA) instalado en el sistema operativo.
Configuración de confianza del certificado del servidor de autenticación de usuario
11. Haga clic en Next.
12, Para la sección Credenciales de usuario, no cambie los valores predeterminados en la primera sección.
Sección Credenciales de Autenticación de Usuario
13. Es importante configurar una regla que coincida con el certificado de identidad que el usuario envía durante el proceso EAP-TLS. Para ello, haga clic en la casilla de verificación junto a Usar regla de coincidencia de certificados (máximo 10).
14. Haga clic en Agregar.
Ventana Regla de coincidencia de certificados
15. Reemplace el valor de la cadena My Internal OR 3rd Party CA.com por el CN del certificado de usuario.
Sección Credenciales de Certificado de Autenticación de Usuario
16. Haga clic en Finalizado para finalizar la configuración.
17. Seleccione File > Save as para guardar el perfil del Secure Client Network Access Manager como configuration.xml.
18. Para agregar Secure Client Network Access Manager, utilice el perfil que acaba de crear y reemplace el archivo configuration.xml en el siguiente directorio por el nuevo:
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system
Nota: El archivo debe tener el nombre configuration.xml; de lo contrario, no funcionará.
1. Configure el router ISR 1100.
2. Esta sección cubre la configuración básica que NAD debe tener para garantizar las funciones dot1x según lo esperado.
Nota: En el caso de implementaciones ISE de varios nodos, señale cualquier nodo que tenga la persona del nodo del servidor de políticas habilitada. Para comprobarlo, vaya a ISE en la pestaña Administration > System > Deployment.
aaa new-model
aaa session-id common
!
aaa authentication dot1x default group ISE-CLUSTER
aaa authorization network default group ISE-CLUSTER
aaa accounting system default start-stop group ISE-CLUSTER
aaa accounting dot1x default start-stop group ISE-CLUSTER
!
aaa server radius dynamic-author
client A.B.C.D server-key <Your shared secret>
!
!
radius server ISE-PSN-1
address ipv4 A.B.C.D auth-port 1645 acct-port 1646
timeout 15
key <Your shared secret>
!
!
aaa group server radius ISE-CLUSTER
server name ISE-PSN-1
!
interface GigabitEthernet0/1/0
description "Endpoint that supports dot1x"
switchport access vlan 15
switchport mode access
authentication host-mode multi-auth
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
3. Configure Identity Service Engine 3.2.
4. Configure el dispositivo de red.
5. Agregue el ISR NAD a ISE Administration > Network Resources > Network Devices.
6. Haga clic en Agregar.
Sección Dispositivo de red
7. Asigne un nombre al NAD que está creando. Agregue la IP del dispositivo de red.
Creación de dispositivos de red
8. En la parte inferior de la misma página, agregue la misma clave secreta compartida utilizada en la configuración del dispositivo de red.
Configuración de RADIUS del dispositivo de red
8. Guarde los cambios.
9. Configure la identidad utilizada para autenticar el terminal.
10. Se utiliza la autenticación local de ISE y la autenticación externa de ISE no se explica en este artículo.
11. Acceda a la pestaña Administration > Identity Management > Groups y cree el grupo del que forma parte el usuario. El grupo de identidad creado para este ejemplo es iseUsers.
Creación de grupos de identidad
12. Haga clic en Enviar.
13. Acceda a la pestaña Administration > Identity Management > Identity.
14. Haga clic en Agregar.
Sección Usuarios de Acceso a Red
15. Como parte de los campos obligatorios. comience por el nombre del usuario. En este ejemplo se utiliza el nombre de usuario iseiscool.
Creación de usuario de acceso a red
16. Asigne una contraseña al usuario, en este ejemplo, se utiliza VainillaISE97.
Sección Contraseña de Creación de Usuario
17. Asigne el usuario al grupo iseUsers.
Asignación de grupo de usuarios
18. Configure el conjunto de políticas.
19. Navegue hasta Menú ISE > Política > Conjuntos de políticas.
20. Se puede utilizar el conjunto de políticas por defecto. Sin embargo, se crea una llamada Wired para este ejemplo.
Nota: La clasificación y diferenciación de los conjuntos de políticas ayuda a la hora de solucionar problemas
Si el icono "+" de agregar o más no está visible, se puede hacer clic en el icono de engranaje de cualquier conjunto de directivas y, a continuación, seleccionar Insertar nueva fila encima.
Opciones de iconos de engranajes
21. La condición utilizada es Wired 8021x, arrástrelo. a continuación, haga clic en Usar.
Authentication Policy Condition Studio
22. Seleccione Default Network Access en la sección Allowed Protocols.
Vista general de conjuntos de políticas
23. Haga clic en Guardar.
1. Haga clic en el icono >.
Conjunto de políticas por cable
2. Expanda la sección Política de Autenticación.
3. Haga clic en el icono "+".
Política de autenticación
4. Asigne un nombre a la política de autenticación; en este ejemplo se utiliza Internal Authentication.
5. Haga clic en el icono "+" en la columna de condiciones para esta nueva política de autenticación.
6. Se utiliza la condición preconfigurada Wired Dot1x.
7. En la columna Utilizar, seleccione Usuarios Internos.
Política de autenticación
1. La sección Directiva de autorización se encuentra en la parte inferior de la página. Expanda el icono y haga clic en el icono +.
Política de autorización
2. Asigne un nombre a la política de autorización creada recientemente. En este ejemplo de configuración, se utiliza el nombre Usuarios internos de ISE.
3. Para crear una condición para esta política de autorización, haga clic en el icono "+" de la columna Condiciones.
4. Se utiliza el grupo IseUsers.
5. Haga clic en la sección Atributo.
6. Seleccione el icono Grupo de Identidad.
7. En el diccionario, seleccione el diccionario InternalUser que viene con el atributo IdentityGroup.
Creación de condiciones
8. En el menú desplegable, seleccione el operador Equals.
9. En el menú desplegable User Identity Groups, seleccione el grupo IseUsers.
Creación de condiciones
10. Haga clic en Usar.
11. Agregue el perfil de autorización de resultados.
12. Se utiliza el perfil preconfigurado Permit Access.
Nota: Las autenticaciones que llegan a ISE y que llegan al conjunto de políticas Wired Dot1x no forman parte de los usuarios ISE del grupo de identidad de usuarios. Pulse la política de autorización predeterminada, que da como resultado DenyAccess.
Política de autorización
13. Haga clic en Guardar.
1. Una vez finalizada la configuración, Secure Client solicita las credenciales y especifica el uso del perfil PEAP MSCHAPv2.
2. Se introducen las credenciales creadas anteriormente.
NAM de cliente seguro
3. Si el terminal se autentica correctamente, NAM muestra que está conectado.
NAM de cliente seguro
4. Al pulsar en el icono de información y acceder a la sección Historial de Mensajes, se muestran los detalles de cada paso NAM finalizado.
Historial de mensajes de Secure Client
Historial de mensajes de Secure Client
5. Desde ISE, navegue hasta Operaciones > Radius LiveLogs para ver los detalles de la autenticación. Como se ve en la siguiente imagen, se muestra el nombre de usuario que se utilizó.
Hay detalles adicionales disponibles como:
Registros en directo de ISE RADIUS
6. En esta vista, se muestran todas las políticas correctas y el resultado es un estado de autenticación correcto. Esto concluye que la configuración es correcta.
1. Si el nuevo perfil fue creado en el Editor de perfiles no es utilizado por NAM, utilice la opción Reparación de red para Secure Client.
2. Puede encontrar esta opción navegando a la barra de Windows > haciendo clic en el icono circumflex > Haga clic derecho en el icono Secure Client > haga clic en Reparación de red.
Sección de reparación de red
1. Activar registro extendido NAM
2. Abra NAM y haga clic en el icono de engranaje.
Interfaz NAM
3. Acceda a la pestaña Configuración de Log. Marque la casilla de verificación Enable Extended Logging.
4. Establezca el Tamaño del Archivo de Captura de Paquetes en 100 MB.
Configuración de registro de NAM de cliente seguro
5. Una vez habilitado el registro extendido, reproduzca el problema varias veces para asegurarse de que se generan los registros y se captura el tráfico.
6. Desde Windows, navegue hasta la barra de búsqueda y escriba: Cisco Secure Client Diagnostics and Reporting Tool.
Módulo DART
7. Durante el proceso de instalación, también ha instalado este módulo. Es una herramienta que ayuda durante los procesos de solución de problemas mediante la recopilación de registros e información de sesión dot1x relevante.
8. Haga clic en Siguiente en la primera ventana.
Módulo DART
9. Haga clic en Next, esto permite que el paquete de registro se guarde en el escritorio.
Módulo DART
10. Si es necesario, haga clic en la casilla de verificación Enable Bundle Encryption.
Módulo DART
11. Se inicia la recopilación de registros de DART.
Recopilación de registros DART
12. Puede tardar unos 10 minutos hasta que el proceso termine.
Resultado de creación del paquete DART
13. El archivo de resultados DART se puede encontrar en el directorio de escritorio.
Archivo de resultados DART
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
2.0 |
02-Jul-2026
|
Ortografía, espaciado, gramática, estructura de oraciones y alertas de CCW actualizados. |
1.0 |
29-Apr-2024
|
Versión inicial |