Ejemplo de Configuración de la Postura VPN de ASA Versión 9.2.1 con ISE

Introducción

Este documento describe cómo configurar la versión 9.2.1 del Cisco Adaptive Security Appliance (ASA) para posicionar a los usuarios de VPN frente a Cisco Identity Services Engine (ISE) sin necesidad de un nodo de estado en línea (IPN).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Conocimiento básico de la configuración de la CLI de ASA y de la configuración de VPN de capa de conexión segura (SSL)
• Conocimiento básico de la configuración de VPN de acceso remoto en ASA
• Conocimiento básico de ISE y servicios de estado

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software:

• Versiones 9.2.1 y posteriores del software Cisco ASA
• Microsoft Windows versión 7 con Cisco AnyConnect Secure Mobility Client versión 3.1
• Cisco ISE versión 1.2 con parche 5 o posterior

Antecedentes

La versión 9.2.1 de Cisco ASA admite el cambio de autorización (CoA) RADIUS (RFC 5176). Esto permite que los usuarios de VPN se posicionen frente a Cisco ISE sin necesidad de una IPN. Después de iniciar sesión un usuario de VPN, el ASA redirige el tráfico web al ISE, donde se proporciona al usuario un agente o agente web de Network Admission Control (NAC). El agente realiza comprobaciones específicas en la máquina del usuario para determinar su cumplimiento con un conjunto configurado de reglas de estado, como las reglas de sistema operativo (OS), parches, antivirus, servicio, aplicación o registro.

Los resultados de la validación de estado se envían luego al ISE. Si la máquina se considera una queja, el ISE puede enviar una CoA RADIUS al ASA con el nuevo conjunto de políticas de autorización. Después de una validación de estado correcta y CoA, se permite al usuario acceder a los recursos internos.

Configurar

Diagrama de red y flujo de tráfico

Este es el flujo de tráfico, como se ilustra en el diagrama de red:

1. El usuario remoto utiliza Cisco Anyconnect para el acceso VPN al ASA.
   
   
2. El ASA envía una solicitud de acceso RADIUS para ese usuario al ISE.
   
   
3. Esa solicitud llega a la política denominada postura de ASA92 en ISE. Como resultado, se devuelve el perfil de autorización de postura ASA92. ISE envía un RADIUS Access-Accept con dos pares Cisco Attribute-Value:
   
   
   • url-redirect-acl=redirect: este es el nombre de la Lista de control de acceso (ACL) que se define localmente en el ASA, que decide el tráfico que se debe redirigir.
     
     
   • url-redirect=https://ise2.test-cisco.com:8443/guestportal/gateway?sessionId=xx&action=cpp: es la URL a la que se debe redirigir el usuario remoto.

   Consejo: Los servidores del sistema de nombres de dominio (DNS) asignados a los clientes VPN deben poder resolver el nombre de dominio completo (FQDN) que se devuelve en la URL de redirección. Si los filtros VPN se configuran para restringir el acceso en el nivel de grupo de túnel, asegúrese de que el conjunto de clientes pueda acceder al servidor ISE en el puerto configurado (TCP 8443 en este ejemplo).

4. El ASA envía un paquete de inicio de solicitud de contabilización RADIUS y recibe una respuesta. Esto es necesario para enviar todos los detalles con respecto a la sesión a ISE. Estos detalles incluyen session_id, dirección IP externa del cliente VPN y la dirección IP del ASA. ISE utiliza session_id para identificar esa sesión. El ASA también envía información periódica de la cuenta intermedia, donde el atributo más importante es la dirección IP con trama con la IP que el ASA asigna al cliente (10.10.10 en este ejemplo).
   
   
5. Cuando el tráfico del usuario de VPN coincide con la ACL definida localmente (redirección), se redirige a https://ise2.test-cisco.com:8443. Según la configuración, ISE aprovisiona el agente NAC o el agente web.
   
   
6. Después de instalar el agente en el equipo cliente, realiza automáticamente comprobaciones específicas. En este ejemplo, busca el archivo c:\test.txt. También envía un informe de estado al ISE, que puede incluir varios intercambios con el uso del protocolo SWISS y los puertos TCP/UDP 8905 para acceder al ISE.
   
   
7. Cuando el ISE recibe el informe de estado del agente, vuelve a procesar las reglas de autorización. Esta vez, se conoce el resultado de la postura y se aplica otra regla. Envía un paquete RADIUS CoA:
   
   
   • Si el usuario cumple con la normativa, se envía un nombre de ACL descargable (DACL) que permite el acceso completo (compatible con la regla AuthZ ASA92).
     
     
   • Si el usuario no cumple con la normativa, se envía un nombre de DACL que permite el acceso limitado (la regla de autenticación de ASA92 no cumple con la norma).

   Nota: La RADIUS CoA siempre se confirma; es decir, ASA envía una respuesta al ISE para confirmar.

8. El ASA elimina el redireccionamiento. Si no tiene las DACL almacenadas en caché, debe enviar una solicitud de acceso para descargarlas del ISE. El DACL específico se adjunta a la sesión VPN.
   
   
9. La próxima vez que el usuario de VPN intente acceder a la página web, puede acceder a todos los recursos permitidos por la DACL instalada en el ASA.
   Si el usuario no cumple con la normativa, solo se concede acceso limitado.
   

   Nota: Este modelo de flujo difiere de la mayoría de los escenarios que utilizan RADIUS CoA. Para las autenticaciones 802.1x por cable/inalámbricas, RADIUS CoA no incluye ningún atributo. Sólo activa la segunda autenticación en la que se asocian todos los atributos, como DACL. Para el estado de ASA VPN, no hay una segunda autenticación. Todos los atributos se devuelven en la RADIUS CoA. La sesión VPN está activa y no es posible cambiar la mayoría de los parámetros del usuario VPN.

Configuraciones

Utilice esta sección para configurar el ASA y el ISE.

ASA

Esta es la configuración básica de ASA para el acceso a Cisco AnyConnect:

ip local pool POOL 10.10.10.10-10.10.10.100 mask 255.255.255.0

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address xxxx 255.255.255.0 
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.111.10 255.255.255.0 

aaa-server ISE protocol radius
aaa-server ISE (inside) host 10.48.66.74
 key cisco

webvpn
 enable outside
 anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 
group-policy GP-SSL internal
group-policy GP-SSL attributes
 vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless

tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE
 default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
 group-alias RA enable

Para la integración de ASA con el estado de ISE, asegúrese de:

• Configure el servidor de autenticación, autorización y contabilidad (AAA) para la autorización dinámica para aceptar CoA.
  
  
• Configure la contabilización como un grupo de túnel para enviar los detalles de la sesión VPN hacia el ISE.
  
  
• Configure la contabilidad provisional que enviará la dirección IP asignada al usuario y actualizará periódicamente el estado de la sesión en ISE.
  
  
• Configure la ACL de redirección, que decide si se permite el tráfico DNS e ISE. El resto del tráfico HTTP se redirige al ISE para su estado.

Este es el ejemplo de configuración:

access-list redirect extended deny udp any any eq domain 
access-list redirect extended deny ip any host 10.48.66.74 
access-list redirect extended deny icmp any any 
access-list redirect extended permit tcp any any eq www 

aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE (inside) host 10.48.66.74
 key cisco

tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy GP-SSL

ISE

Complete estos pasos para configurar el ISE:

1. Vaya a Administration > Network Resources > Network Devices y agregue el ASA como dispositivo de red:
   
   
   
   
2. Navegue hasta Policy > Results > Authorization > Downloadable ACL y configure la DACL de modo que permita el acceso completo. La configuración ACL predeterminada permite todo el tráfico IP en el ISE:
   
   
   
   
3. Configure una ACL similar que proporcione acceso limitado (para usuarios que no cumplen las normas).
   
   
4. Vaya a Policy > Results > Authorization > Authorization Profiles y configure el perfil de autorización denominado ASA92-sture, que redirige a los usuarios para su estado. Marque la casilla de verificación Web Redirection, seleccione Client Provisioning en la lista desplegable y asegúrese de que redirect aparezca en el campo ACL (esa ACL se define localmente en el ASA):
   
   
   
   
5. Configure el perfil de autorización denominado compatible con ASA92, que sólo debe devolver la DACL denominada PERMIT_ALL_TRAFFIC que proporciona acceso completo a los usuarios que cumplen con la normativa:
   
   
   
   
6. Configure un perfil de autorización similar denominado ASA92 no compatible, que debería devolver el DACL con acceso limitado (para usuarios que no cumplen con la normativa).
   
   
7. Navegue hasta Política > Autorización y configure las Reglas de Autorización:
   
   
   • Cree una regla que permita el acceso completo si los resultados del estado son conformes. El resultado es la política de autorización compatible con ASA92.
     
     
   • Cree una regla que permita el acceso limitado si los resultados del estado no cumplen con la normativa. El resultado es la política de autorización que no cumple con ASA92.
     
     
   • Asegúrese de que si no se supera ninguna de las dos reglas anteriores, la regla predeterminada devuelve la postura de ASA92, que fuerza una redirección en el ASA.
   
   
   
   
8. Las reglas de autenticación predeterminadas comprueban el nombre de usuario en el almacén de identidades interno. Si se debe cambiar esto (por ejemplo, si está protegido en Active Directory (AD)), navegue hasta Policy > Authentication y realice el cambio:
   
   
   
   
9. Navegue hasta Policy > Client Provisioning y configure las reglas de aprovisionamiento. Estas son las reglas que deciden el tipo de agente que se debe aprovisionar. En este ejemplo, sólo existe una regla simple y el ISE selecciona el agente NAC para todos los sistemas de Microsoft Windows:
   
   
   
   Cuando los agentes no están en ISE, es posible descargarlos:
   
   
   
   
10. Si es necesario, puede navegar hasta Administration > System > Settings > Proxy y configurar el proxy para ISE (para acceder a Internet).
    
    
11. Configure las reglas de estado, que verifican la configuración del cliente. Puede configurar reglas que verifiquen:
    
    
    • archivos: existencia, versión, fecha
      
      
    • registro: clave, valor, existencia
      
      
    • aplicación: nombre del proceso, ejecución, no ejecución
      
      
    • service - service name, running, not running
      
      
    • antivirus: se admiten más de 100 proveedores, versión, cuando se actualizan las definiciones
      
      
    • antispyware: se admiten más de 100 proveedores, versión, cuando se actualizan las definiciones
      
      
    • estado compuesto: mezcla de todos
      
      
    • condiciones de diccionario personalizadas: uso de la mayoría de los diccionarios de ISE
    
    
12. En este ejemplo, sólo se realiza una verificación de existencia de un archivo simple. Si el archivo c:\test.txt está presente en el equipo cliente, es compatible y permite el acceso completo. Navegue hasta Política > Condiciones > Condiciones del archivo y configure la condición del archivo:
    
    
    
    
13. Navegue hasta Política > Resultados > Estado > Requisitos y cree un requisito. Este requisito debe cumplirse cuando se cumpla la condición anterior. Si no es así, se ejecuta la acción de remediación. Puede haber muchos tipos de acciones de remediación disponibles, pero en este ejemplo se utiliza la más simple: se muestra un mensaje específico.
    
    
    

    Nota: En un escenario normal, se puede utilizar la acción de remediación de archivos (ISE proporciona el archivo descargable).

14. Navegue hasta Política > Estado y utilice el requisito que creó en el paso anterior (denominado file_required) en las reglas de estado. La única regla de estado requiere que todos los sistemas de Microsoft Windows cumplan el requisito file_required. Si se cumple este requisito, la estación cumple; si no se cumple, la estación no cumple con la normativa.
    
    

Reevaluación periódica

De forma predeterminada, el estado es un evento único. Sin embargo, a veces es necesario verificar periódicamente el cumplimiento de las normas por parte de los usuarios y ajustar el acceso a los recursos en función de los resultados. Esta información se envía a través del protocolo SWISS (NAC Agent) o se codifica dentro de la aplicación (Web Agent).

Complete estos pasos para verificar el cumplimiento por parte del usuario:

1. Navegue hasta Administración > Configuración > Estado > Reevaluaciones y habilite la reevaluación globalmente (por configuración de grupo de identidad):
   
   
   
   
2. Cree una condición de estado que coincida con todas las reevaluaciones:
   
   
   
   
3. Cree una condición similar que coincida sólo con las evaluaciones iniciales:
   
   

Ambas condiciones se pueden utilizar en las reglas de postura. La primera regla coincide sólo con las evaluaciones iniciales y la segunda coincide con todas las evaluaciones posteriores:

Verificación

Para confirmar que su configuración funciona correctamente, asegúrese de que estos pasos se completan como se describe a continuación:

1. El usuario VPN se conecta al ASA.
   
   
2. El ASA envía una solicitud RADIUS y recibe una respuesta con los atributos url-redirect y url-redirect-acl:
   
   
   
   
3. Los registros de ISE indican que la autorización coincide con el perfil de estado (la primera entrada de registro):
   
   
   
   
4. ASA agrega una redirección a la sesión VPN:
   

   aaa_url_redirect: Added url redirect:https://ise2.test-cisco.com:8443/
    guestportal/gateway?sessionId=c0a8700a0000900052b840e6&action=cpp
    acl:redirect for 10.10.10.10

5. El estado de la sesión VPN en el ASA muestra que el estado es obligatorio y redirige el tráfico HTTP:
   

   ASA# show vpn-sessiondb detail anyconnect 
   
   Session Type: AnyConnect Detailed
   
   Username     : cisco                  Index        : 9
   Assigned IP  : 10.10.10.10            Public IP    : 10.147.24.61
   Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
   License      : AnyConnect Essentials
   Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
   Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
   Bytes Tx     : 16077                  Bytes Rx     : 19497
   Pkts Tx      : 43                     Pkts Rx      : 225
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : GP-SSL                 Tunnel Group : RA
   Login Time   : 14:55:50 CET Mon Dec 23 2013
   Duration     : 0h:01m:34s
   Inactivity   : 0h:00m:00s
   VLAN Mapping : N/A                    VLAN         : none
   Audt Sess ID : c0a8700a0000900052b840e6
   Security Grp : 0
   
   AnyConnect-Parent Tunnels: 1
   SSL-Tunnel Tunnels: 1
   DTLS-Tunnel Tunnels: 1
   
   AnyConnect-Parent:
     Tunnel ID    : 9.1
     Public IP    : 10.147.24.61
     Encryption   : none                   Hashing      : none                   
     TCP Src Port : 50025                  TCP Dst Port : 443                    
     Auth Mode    : userPassword           
     Idle Time Out: 30 Minutes             Idle TO Left : 28 Minutes             
     Client OS    : win                    
     Client Type  : AnyConnect
     Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
     Bytes Tx     : 5204                   Bytes Rx     : 779                    
     Pkts Tx      : 4                      Pkts Rx      : 1                      
     Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
     
   SSL-Tunnel:
     Tunnel ID    : 9.2
     Assigned IP  : 10.10.10.10           Public IP    : 10.147.24.61
     Encryption   : RC4                    Hashing      : SHA1                   
     Encapsulation: TLSv1.0                TCP Src Port : 50044                  
     TCP Dst Port : 443                    Auth Mode    : userPassword           
     Idle Time Out: 30 Minutes             Idle TO Left : 28 Minutes             
     Client OS    : Windows                
     Client Type  : SSL VPN Client
     Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
     Bytes Tx     : 5204                   Bytes Rx     : 172                    
     Pkts Tx      : 4                      Pkts Rx      : 2                      
     Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
     
   DTLS-Tunnel:
     Tunnel ID    : 9.3
     Assigned IP  : 10.10.10.10            Public IP    : 10.147.24.61
     Encryption   : AES128                 Hashing      : SHA1                   
     Encapsulation: DTLSv1.0               UDP Src Port : 63296                  
     UDP Dst Port : 443                    Auth Mode    : userPassword           
     Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
     Client OS    : Windows                
     Client Type  : DTLS VPN Client
     Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
     Bytes Tx     : 5669                   Bytes Rx     : 18546                  
     Pkts Tx      : 35                     Pkts Rx      : 222                    
     Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
     
   ISE Posture:
     Redirect URL : https://ise2.test-cisco.com:8443/guestportal/gateway?
      sessionId=c0a8700a0000900052b840e6&action=cpp
     Redirect ACL : redirect

6. El cliente que inicia el tráfico HTTP que coincide con la ACL de redirección se redirige al ISE:
   

   aaa_url_redirect: Created proxy for 10.10.10.10
   aaa_url_redirect: Sending url redirect:https://ise2.test-cisco.com:8443/
    guestportal/gateway?sessionId=c0a8700a0000900052b840e6&action=cpp
    for 10.10.10.10

7. El cliente se redirige al ISE para su estado:
   
   
   
   
8. El agente NAC está instalado. Después de instalar el NAC Agent, descarga las reglas de estado a través del protocolo SWISS y realiza verificaciones para determinar el cumplimiento. A continuación, el informe de estado se envía al ISE.
   
   
   
   
9. El ISE recibe el informe de estado, reevalúa las reglas de autorización y (si es necesario) cambia el estado de autorización y envía una CoA. Esto se puede verificar en el ise-psc.log:
   

   cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a8700a0000900052b840e6
    :::- Decrypting report
   cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
    :::- User cisco belongs to groups NAC Group:NAC:IdentityGroups:User Identity
    Groups:Employee,NAC Group:NAC:IdentityGroups:An
   cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
    :::- Posture report token for endpoint mac 08-00-27-CD-E8-A2 is Healthy
   cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
    :::- Posture state is compliant for endpoint with mac 08-00-27-CD-E8-A2
   cisco.cpm.posture.runtime.PostureCoA -:cisco:c0a8700a0000900052b840e6
    :::- Posture CoA is triggered for endpoint [null] with session
    [c0a8700a0000900052b840e6]

10. El ISE envía un CoA RADIUS que incluye el session_id y el nombre DACL que permite el acceso completo:
    
    
    
    Esto se refleja en los registros de ISE:
    
    
    • La primera entrada del registro es para la autenticación inicial que devuelve el perfil de estado (con redirección).
      
      
    • La segunda entrada de registro se completa después de recibir el informe SWISS compatible.
      
      
    • La tercera entrada de registro se rellena cuando se envía la CoA, junto con la confirmación (descrita como Autorización Dinámica Correcta).
      
      
    • La entrada final del registro se crea cuando el ASA descarga el DACL.
    
    
    
    
11. Los errores en el ASA muestran que se recibe la CoA y que se elimina la redirección. El ASA descarga las DACL si es necesario:
    

    ASA# Received RAD_COA_REQUEST
    
    RADIUS packet decode (CoA-Request)
    
    Radius: Value (String) = 
    41 43 53 3a 43 69 73 63 6f 53 65 63 75 72 65 2d    |  ACS:CiscoSecure-
    44 65 66 69 6e 65 64 2d 41 43 4c 3d 23 41 43 53    |  Defined-ACL=#ACS
    41 43 4c 23 2d 49 50 2d 50 45 52 4d 49 54 5f 41    |  ACL#-IP-PERMIT_A
    4c 4c 5f 54 52 41 46 46 49 43 2d 35 31 65 66 37    |  LL_TRAFFIC-51ef7
    64 62 31                                           |  db1
    
    Got AV-Pair with value audit-session-id=c0a8700a0000900052b840e6
    Got AV-Pair with value ACS:CiscoSecure-Defined-ACL=
     #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1
    
    aaa_url_redirect: Deleted url redirect for 10.10.10.10

12. Después de la sesión VPN, Cisco tiene aplicado el DACL (acceso completo) para el usuario:
    

    ASA# show vpn-sessiondb detail anyconnect 
    
    Session Type: AnyConnect Detailed
    
    Username     : cisco                  Index        : 9
    Assigned IP  : 10.10.10.10            Public IP    : 10.147.24.61
    Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License      : AnyConnect Essentials
    Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
    Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
    Bytes Tx     : 94042                  Bytes Rx     : 37079
    Pkts Tx      : 169                    Pkts Rx      : 382
    Pkts Tx Drop : 0                      Pkts Rx Drop : 0
    Group Policy : GP-SSL                 Tunnel Group : RA
    Login Time   : 14:55:50 CET Mon Dec 23 2013
    Duration     : 0h:05m:30s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : c0a8700a0000900052b840e6
    Security Grp : 0
    
    AnyConnect-Parent Tunnels: 1
    SSL-Tunnel Tunnels: 1
    DTLS-Tunnel Tunnels: 1
    
    AnyConnect-Parent:
      Tunnel ID    : 9.1
      Public IP    : 10.147.24.61
      Encryption   : none                   Hashing      : none                   
      TCP Src Port : 50025                  TCP Dst Port : 443                    
      Auth Mode    : userPassword           
      Idle Time Out: 30 Minutes             Idle TO Left : 24 Minutes             
      Client OS    : win                    
      Client Type  : AnyConnect
      Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
      Bytes Tx     : 5204                   Bytes Rx     : 779                    
      Pkts Tx      : 4                      Pkts Rx      : 1                      
      Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
      
    SSL-Tunnel:
      Tunnel ID    : 9.2
      Assigned IP  : 10.10.10.10            Public IP    : 10.147.24.61
      Encryption   : RC4                    Hashing      : SHA1                   
      Encapsulation: TLSv1.0                TCP Src Port : 50044                  
      TCP Dst Port : 443                    Auth Mode    : userPassword           
      Idle Time Out: 30 Minutes             Idle TO Left : 24 Minutes             
      Client OS    : Windows                
      Client Type  : SSL VPN Client
      Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
      Bytes Tx     : 5204                   Bytes Rx     : 172                    
      Pkts Tx      : 4                      Pkts Rx      : 2                      
      Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
      Filter Name  : #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1
      
    DTLS-Tunnel:
      Tunnel ID    : 9.3
      Assigned IP  : 10.10.10.10            Public IP    : 10.147.24.61
      Encryption   : AES128                 Hashing      : SHA1                   
      Encapsulation: DTLSv1.0               UDP Src Port : 63296                  
      UDP Dst Port : 443                    Auth Mode    : userPassword           
      Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
      Client OS    : Windows                
      Client Type  : DTLS VPN Client
      Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
      Bytes Tx     : 83634                  Bytes Rx     : 36128                  
      Pkts Tx      : 161                    Pkts Rx      : 379                    
      Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
      Filter Name  : #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1

Nota: El ASA siempre elimina las reglas de redirección, incluso cuando el CoA no tiene ninguna DACL conectada.

Troubleshoot

En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.

Depuraciones en ISE

Navegue hasta Administración > Registro > Configuración de registro de depuración para habilitar las depuraciones. Cisco recomienda habilitar depuraciones temporales para:

• SWISS
• Reenvío ininterrumpido (NSF)
• Sesión NSF
• Aprovisionamiento
• Condición

 Ingrese este comando en la CLI para ver las depuraciones:

ise2/admin# show logging application ise-psc.log tail count 100

Navegue hasta Operaciones > Informes > Informes de ISE > Terminales y usuarios > Evaluación de detalles de estado para ver los informes de estado:

En la página Evaluación de estado más detalles, se muestra un nombre de directiva con un nombre de requisito, junto con los resultados:

Depuraciones en ASA

Puede habilitar estos debugs en el ASA:

• debug aaa url-redirect
• debug aaa authorization
• debug radius dynamic-authorization
• debug radius decode
• debug radius user cisco

Depuraciones para el agente

Para el agente NAC, es posible recopilar las depuraciones con el Cisco Log Packager, que se inicia desde la GUI o con la CLI: CCAAgentLogPackager.app.

Consejo: Puede decodificar los resultados con la herramienta Technical Assistance Center (TAC).

Para recuperar los registros del agente Web, navegue a estas ubicaciones:

• C: > Documento y configuración > <user> > Local Settings > Temp > webagent.log (decodificado con la herramienta TAC)
• C: > Documento y configuración > <user> > Configuración local > Temperatura > webagentsetup.log

Nota: Si los registros no están en estas ubicaciones, verifique la variable TEMP Environment.

Falla de estado del agente NAC

Si el estado falla, se presenta al usuario la razón:

A continuación, se permiten al usuario acciones de remediación si se configuran:

  

Información Relacionada

• Configuración de un servidor externo para la autorización de usuario de dispositivo de seguridad
• Guía de configuración CLI VPN Cisco Serie ASA, 9.1
• Guía de usuario de Cisco Identity Services Engine, versión 1.2
• Soporte Técnico y Documentación - Cisco Systems