RADIUS認可によるAnyConnectユーザへのスタティックIPアドレス割り当ての設定

ダウンロード オプション

  • PDF     (2.7 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2025 年 9 月 10 日
Document ID:217435

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、RADIUS属性8 Framed-IP-Addressを介して、特定のCisco AnyConnectセキュアモビリティクライアントユーザのFirepower Threat Defense(FTD)に常に同じIPアドレスを転送するように、Identity Services Engine(ISE)サーバでRADIUS認可を設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • FTD
    • Firepower Management Center(FMC)
    • ISE
    • Cisco AnyConnect セキュア モビリティ クライアント
    • RADIUS プロトコル

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。

    • FMCv - 7.0.0(ビルド94)
    • FTDv - 7.0.0(ビルド94)
    • ISE - 2.7.0.356
    • AnyConnect:4.10.02086
    • Windows 10 Pro

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    ネットワーク図

    TZ_ISE_Authentication_Authorization_AnyConnect

    FMC経由のAAA/RADIUS認証を使用したリモートアクセスVPNの設定

    手順については、次のドキュメントとこのビデオを参照してください。

    FTD CLIでのリモートアクセスVPN(RVPN)の設定は次のとおりです。

    ip local pool AC_Pool 10.0.50.1-10.0.50.100 mask 255.255.255.0

    interface GigabitEthernet0/0
     nameif Outside_Int
     security-level 0
     ip address 192.168.0.100 255.255.255.0

    aaa-server ISE_Server protocol radius
    aaa-server ISE_Server host 172.16.0.8
     key *****
     authentication-port 1812
     accounting-port 1813

    crypto ca trustpoint RAVPN_Self-Signed_Cert
     enrollment self
     fqdn none
     subject-name CN=192.168.0.100
     keypair <Default-RSA-Key>
     crl configure

    ssl trust-point RAVPN_Self-Signed_Cert

    webvpn
     enable Outside_Int
     http-headers
      hsts-server
       enable
       max-age 31536000
       include-sub-domains
       no preload
      hsts-client
       enable
      x-content-type-options
      x-xss-protection
      content-security-policy
     anyconnect image disk0:/csm/anyconnect-win-4.10.02086-webdeploy-k9.pkg 1 regex "Windows"
     anyconnect enable
     tunnel-group-list enable
     cache
      no disable
     error-recovery disable

    group-policy DfltGrpPolicy attributes
     vpn-tunnel-protocol ikev2 ssl-client
     user-authentication-idle-timeout none
     webvpn
      anyconnect keep-installer none
      anyconnect modules value none
      anyconnect ask none default anyconnect
      http-comp none
      activex-relay disable
      file-entry disable
      file-browsing disable
      url-entry disable
      deny-message none

    tunnel-group RA_VPN type remote-access
    tunnel-group RA_VPN general-attributes
     address-pool AC_Pool
     authentication-server-group ISE_Server
    tunnel-group RA_VPN webvpn-attributes
     group-alias RA_VPN enable

    FMCで認可サーバを使用するようにを設定する 

    Devices > Remote Accessの順に移動し、目的のリモートアクセスVPNポリシーを選択します。Advanced > Address Assignment Policyの順に選択し、Use authorization server (Only for RADIUS or Realm)オプションが有効になっていることを確認します。

    Enable Authorisation Server

    ISE(RADIUSサーバ)での認可ポリシーの設定

    ステップ 1:ISEサーバにログインし、Administration > Network Resources > Network Devicesの順に選択します。

    TZ_Static_IP_Address_RADIUS_Authorization_16

    ステップ 2: Network Devicesセクションで、Addをクリックして、ISEがFTDからのRADIUSアクセス要求を処理できるようにします。

    TZ_Static_IP_Address_RADIUS_Authorization_17

    ネットワークデバイスのNameフィールドとIP Addressフィールドを入力してから、RADIUS Authentication Settingsボックスにチェックマークを入れます。Shared Secretは、FMC上でRADIUSサーバオブジェクトが作成されたときに使用された値と同じである必要があります。

    TZ_Static_IP_Address_RADIUS_Authorization_18

    このページの最後にあるボタンを使用して保存します。

    ステップ 3:[Administration] > [Identity Management] > [Identities] の順に移動します。

    TZ_Static_IP_Address_RADIUS_Authorization_19

    ステップ 4:Network Access UsersセクションでAddをクリックし、ISEローカルデータベースにuser1を作成します。

    TZ_Static_IP_Address_RADIUS_Authorization_20

    NameフィールドとLogin Passwordフィールドにユーザ名とパスワードを入力し、Submitをクリックします。

    TZ_Static_IP_Address_RADIUS_Authorization_21

    ステップ 5:前の手順を繰り返して、user2を作成します。

    TZ_Static_IP_Address_RADIUS_Authorization_22

    手順 6:Policy > Policy Setsの順に移動します。

    TZ_Static_IP_Address_RADIUS_Authorization_23

    手順 7:画面の右側にある矢印>をクリックします。

    TZ_Static_IP_Address_RADIUS_Authorization_24

    ステップ 8:Authorization Policyの横の矢印>をクリックして展開します。ここで、+記号をクリックして新しいルールを追加します。

    TZ_Static_IP_Address_RADIUS_Authorization_25

    ルールに名前を付け、「条件」列で+記号を選択します。

    TZ_Static_IP_Address_RADIUS_Authorization_26

    アトリビュートエディタのテキストボックスをクリックし、件名アイコンをクリックします。RADIUS User-Name属性が表示されるまで下にスクロールし、それを選択します。

    TZ_Static_IP_Address_RADIUS_Authorization_27

    演算子として「Equals」を保持し、横のテキストボックスに「user1」と入力します。Useをクリックして、属性を保存します。

    TZ_Static_IP_Address_RADIUS_Authorization_28

    これで、このルールの条件が設定されました。

    ステップ 9: Results/Profiles列で+記号をクリックし、Create a New Authorization Profileを選択します。

    TZ_Static_IP_Address_RADIUS_Authorization_29

    これに名前を付け、アクセスタイプACCESS_ACCEPTのままにします。Advance Attributes Settingsセクションまでスクロールダウンします。

    TZ_Static_IP_Address_RADIUS_Authorization_30

    オレンジ色の矢印をクリックし、Radius > Framed-IP-Address—[8]の順に選択します。

    TZ_Static_IP_Address_RADIUS_Authorization_31

    このユーザに常に静的に割り当てるIPアドレスを入力し、Saveをクリックします。

    TZ_Static_IP_Address_RADIUS_Authorization_32

    ステップ 10:ここで、新しく作成した認可プロファイルを選択します。

    TZ_Static_IP_Address_RADIUS_Authorization_33

    これで、許可ルールがすべて設定されました。[Save] をクリックします。

    TZ_Static_IP_Address_RADIUS_Authorization_34

    確認

    ステップ 1:Cisco AnyConnectセキュアモビリティクライアントがインストールされているクライアントマシンに移動します。FTDヘッドエンド(ここではWindowsマシンを使用)に接続し、user1クレデンシャルを入力します。

    TZ_Static_IP_Address_RADIUS_Authorization_35

    TZ_Static_IP_Address_RADIUS_Authorization_36

    歯車アイコン(左下隅)をクリックして、Statisticsタブに移動します。 Address Informationセクションで、割り当てられているIPアドレスが、実際にこのユーザのISE認可ポリシーで設定されているIPアドレスであることを確認します。

    TZ_Static_IP_Address_RADIUS_Authorization_36_

    TZ_Static_IP_Address_RADIUS_Authorization_37

    FTDのdebug radius allコマンドの出力は次のように表示されます。

    firepower# SVC message: t/s=5/16: The user has requested to disconnect the connection.
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0x9000)
    radius mkreq: 0x13
    alloc_rip 0x0000145d043b6460
    new request 0x13 --> 3 (0x0000145d043b6460)
    got user 'user1'
    got password
    add_req 0x0000145d043b6460 session 0x13 id 3
    RADIUS_REQUEST
    radius.c: rad_mkpkt
    rad_mkpkt: ip:source-ip=192.168.0.101

    RADIUS packet decode (authentication request)


    RADIUS packet decode (response)

    --------------------------------------
    Raw packet data (length = 136).....
    02 03 00 88 0c af 1c 41 4b c4 a6 58 de f3 92 31 | .......AK..X...1
    7d aa 38 1e 01 07 75 73 65 72 31 08 06 0a 00 32 | }.8...user1....2
    65 19 3d 43 41 43 53 3a 63 30 61 38 30 30 36 34 | e.=CACS:c0a80064
    30 30 30 30 61 30 30 30 36 31 34 62 63 30 32 64 | 0000a000614bc02d
    3a 64 72 69 76 65 72 61 70 2d 49 53 45 2d 32 2d | :driverap-ISE-2-
    37 2f 34 31 37 34 39 34 39 37 38 2f 32 31 1a 2a | 7/417494978/21.*
    00 00 00 09 01 24 70 72 6f 66 69 6c 65 2d 6e 61 | .....$profile-na
    6d 65 3d 57 69 6e 64 6f 77 73 31 30 2d 57 6f 72 | me=Windows10-Wor
    6b 73 74 61 74 69 6f 6e | kstation

    Parsed packet data.....
    Radius: Code = 2 (0x02)
    Radius: Identifier = 3 (0x03)
    Radius: Length = 136 (0x0088)
    Radius: Vector: 0CAF1C414BC4A658DEF392317DAA381E
    Radius: Type = 1 (0x01) User-Name
    Radius: Length = 7 (0x07)
    Radius: Value (String) =
    75 73 65 72 31 | user1
    Radius: Type = 8 (0x08) Framed-IP-Address
    Radius: Length = 6 (0x06)
    Radius: Value (IP Address) = 10.0.50.101 (0x0A003265)
    Radius: Type = 25 (0x19) Class
    Radius: Length = 61 (0x3D)
    Radius: Value (String) =
    43 41 43 53 3a 63 30 61 38 30 30 36 34 30 30 30 | CACS:c0a80064000
    30 61 30 30 30 36 31 34 62 63 30 32 64 3a 64 72 | 0a000614bc02d:dr
    69 76 65 72 61 70 2d 49 53 45 2d 32 2d 37 2f 34 | iverap-ISE-2-7/4
    31 37 34 39 34 39 37 38 2f 32 31 | 17494978/21
    Radius: Type = 26 (0x1A) Vendor-Specific
    Radius: Length = 42 (0x2A)
    Radius: Vendor ID = 9 (0x00000009)
    Radius: Type = 1 (0x01) Cisco-AV-pair
    Radius: Length = 36 (0x24)
    Radius: Value (String) =
    70 72 6f 66 69 6c 65 2d 6e 61 6d 65 3d 57 69 6e | profile-name=Win
    64 6f 77 73 31 30 2d 57 6f 72 6b 73 74 61 74 69 | dows10-Workstati
    6f 6e | on
    rad_procpkt: ACCEPT
    Got AV-Pair with value profile-name=Windows10-Workstation
    RADIUS_ACCESS_ACCEPT: normal termination
    RADIUS_DELETE
    remove_req 0x0000145d043b6460 session 0x13 id 3
    free_rip 0x0000145d043b6460
    radius: send queue empty

    FTD のログは次のとおりです。

    firepower#
    <omitted output>
    Sep 22 2021 23:52:40: %FTD-6-725002: Device completed SSL handshake with client Outside_Int:192.168.0.101/60405 to 192.168.0.100/443 for TLSv1.2 session
    Sep 22 2021 23:52:48: %FTD-7-609001: Built local-host Outside_Int:172.16.0.8
    Sep 22 2021 23:52:48: %FTD-6-113004: AAA user authentication Successful : server = 172.16.0.8 : user = user1
    Sep 22 2021 23:52:48: %FTD-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = user1
    Sep 22 2021 23:52:48: %FTD-6-113008: AAA transaction status ACCEPT : user = user1
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.radius["1"]["1"] = user1
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.radius["8"]["1"] = 167785061
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.radius["25"]["1"] = CACS:c0a800640000c000614bc1d0:driverap-ISE-2-7/417494978/23
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.grouppolicy = DfltGrpPolicy
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.ipaddress = 10.0.50.101
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.username = user1
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.username1 = user1
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.username2 =
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.tunnelgroup = RA_VPN
    Sep 22 2021 23:52:48: %FTD-6-734001: DAP: User user1, Addr 192.168.0.101, Connection AnyConnect: The following DAP records were selected for this connection: DfltAccessPolicy
    Sep 22 2021 23:52:48: %FTD-6-113039: Group <DfltGrpPolicy> User <user1> IP <192.168.0.101> AnyConnect parent session started.
    <omitted output>
    Sep 22 2021 23:53:17: %FTD-6-725002: Device completed SSL handshake with client Outside_Int:192.168.0.101/60412 to 192.168.0.100/443 for TLSv1.2 session
    Sep 22 2021 23:53:17: %FTD-7-737035: IPAA: Session=0x0000c000, 'IPv4 address request' message queued
    Sep 22 2021 23:53:17: %FTD-7-737035: IPAA: Session=0x0000c000, 'IPv6 address request' message queued
    Sep 22 2021 23:53:17: %FTD-7-737001: IPAA: Session=0x0000c000, Received message 'IPv4 address request'
    Sep 22 2021 23:53:17: %FTD-6-737010: IPAA: Session=0x0000c000, AAA assigned address 10.0.50.101, succeeded 
    Sep 22 2021 23:53:17: %FTD-7-737001: IPAA: Session=0x0000c000, Received message 'IPv6 address request'
    Sep 22 2021 23:53:17: %FTD-5-737034: IPAA: Session=0x0000c000, IPv6 address: no IPv6 address available from local pools
    Sep 22 2021 23:53:17: %FTD-5-737034: IPAA: Session=0x0000c000, IPv6 address: callback failed during IPv6 request
    Sep 22 2021 23:53:17: %FTD-4-722041: TunnelGroup <RA_VPN> GroupPolicy <DfltGrpPolicy> User <user1> IP <192.168.0.101> No IPv6 address available for SVC connection
    Sep 22 2021 23:53:17: %FTD-7-609001: Built local-host Outside_Int:10.0.50.101
    Sep 22 2021 23:53:17: %FTD-5-722033: Group <DfltGrpPolicy> User <user1> IP <192.168.0.101> First TCP SVC connection established for SVC session.
    Sep 22 2021 23:53:17: %FTD-6-722022: Group <DfltGrpPolicy> User <user1> IP <192.168.0.101> TCP SVC connection established without compression
    Sep 22 2021 23:53:17: %FTD-7-746012: user-identity: Add IP-User mapping 10.0.50.101 - LOCAL\user1 Succeeded - VPN user
    Sep 22 2021 23:53:17: %FTD-6-722055: Group <DfltGrpPolicy> User <user1> IP <192.168.0.101> Client Type: Cisco AnyConnect VPN Agent for Windows 4.10.02086
    Sep 22 2021 23:53:17: %FTD-4-722051: Group  User  IP <192.168.0.101> IPv4 Address <10.0.50.101> IPv6 address <::> assigned to session

    ISEのRADIUSライブログには次のように表示されます。

    TZ_Static_IP_Address_RADIUS_Authorization_40

    TZ_Static_IP_Address_RADIUS_Authorization_41

    TZ_Static_IP_Address_RADIUS_Authorization_42

    ステップ 2:FTDヘッドエンド(ここではWindowsマシンを使用)に接続し、user2クレデンシャルを入力します。

    TZ_Static_IP_Address_RADIUS_Authorization_38

    Address Informationセクションには、割り当てられたIPアドレスが、FMCで設定されたIPv4ローカルプールで実際に使用可能な最初のIPアドレスであることが示されています。

    TZ_Static_IP_Address_RADIUS_Authorization_39

    FTDのdebug radius allコマンドの出力は次のように表示されます。

    firepower# SVC message: t/s=5/16: The user has requested to disconnect the connection.
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xA000)
    radius mkreq: 0x15
    alloc_rip 0x0000145d043b6460
    new request 0x15 --> 4 (0x0000145d043b6460)
    got user 'user2'
    got password
    add_req 0x0000145d043b6460 session 0x15 id 4
    RADIUS_REQUEST
    radius.c: rad_mkpkt
    rad_mkpkt: ip:source-ip=192.168.0.101

    RADIUS packet decode (authentication request)


    RADIUS packet decode (response)

    --------------------------------------
    Raw packet data (length = 130).....
    02 04 00 82 a6 67 35 9e 10 36 93 18 1f 1b 85 37 | .....g5..6.....7
    b6 c3 18 4f 01 07 75 73 65 72 32 19 3d 43 41 43 | ...O..user2.=CAC
    53 3a 63 30 61 38 30 30 36 34 30 30 30 30 62 30 | S:c0a800640000b0
    30 30 36 31 34 62 63 30 61 33 3a 64 72 69 76 65 | 00614bc0a3:drive
    72 61 70 2d 49 53 45 2d 32 2d 37 2f 34 31 37 34 | rap-ISE-2-7/4174
    39 34 39 37 38 2f 32 32 1a 2a 00 00 00 09 01 24 | 94978/22.*.....$
    70 72 6f 66 69 6c 65 2d 6e 61 6d 65 3d 57 69 6e | profile-name=Win
    64 6f 77 73 31 30 2d 57 6f 72 6b 73 74 61 74 69 | dows10-Workstati
    6f 6e | on

    Parsed packet data.....
    Radius: Code = 2 (0x02)
    Radius: Identifier = 4 (0x04)
    Radius: Length = 130 (0x0082)
    Radius: Vector: A667359E103693181F1B8537B6C3184F
    Radius: Type = 1 (0x01) User-Name
    Radius: Length = 7 (0x07)
    Radius: Value (String) =
    75 73 65 72 32 | user2
    Radius: Type = 25 (0x19) Class
    Radius: Length = 61 (0x3D)
    Radius: Value (String) =
    43 41 43 53 3a 63 30 61 38 30 30 36 34 30 30 30 | CACS:c0a80064000
    30 62 30 30 30 36 31 34 62 63 30 61 33 3a 64 72 | 0b000614bc0a3:dr
    69 76 65 72 61 70 2d 49 53 45 2d 32 2d 37 2f 34 | iverap-ISE-2-7/4
    31 37 34 39 34 39 37 38 2f 32 32 | 17494978/22
    Radius: Type = 26 (0x1A) Vendor-Specific
    Radius: Length = 42 (0x2A)
    Radius: Vendor ID = 9 (0x00000009)
    Radius: Type = 1 (0x01) Cisco-AV-pair
    Radius: Length = 36 (0x24)
    Radius: Value (String) =
    70 72 6f 66 69 6c 65 2d 6e 61 6d 65 3d 57 69 6e | profile-name=Win
    64 6f 77 73 31 30 2d 57 6f 72 6b 73 74 61 74 69 | dows10-Workstati
    6f 6e | on
    rad_procpkt: ACCEPT
    Got AV-Pair with value profile-name=Windows10-Workstation
    RADIUS_ACCESS_ACCEPT: normal termination
    RADIUS_DELETE
    remove_req 0x0000145d043b6460 session 0x15 id 4
    free_rip 0x0000145d043b6460
    radius: send queue empty

    FTD のログは次のとおりです。

    <omitted output>
    Sep 22 2021 23:59:26: %FTD-6-725002: Device completed SSL handshake with client Outside_Int:192.168.0.101/60459 to 192.168.0.100/443 for TLSv1.2 session
    Sep 22 2021 23:59:35: %FTD-7-609001: Built local-host Outside_Int:172.16.0.8
    Sep 22 2021 23:59:35: %FTD-6-113004: AAA user authentication Successful : server = 172.16.0.8 : user = user2
    Sep 22 2021 23:59:35: %FTD-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = user2
    Sep 22 2021 23:59:35: %FTD-6-113008: AAA transaction status ACCEPT : user = user2
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.radius["1"]["1"] = user2
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.radius["25"]["1"] = CACS:c0a800640000d000614bc367:driverap-ISE-2-7/417494978/24
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.cisco.grouppolicy = DfltGrpPolicy
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.cisco.username = user2
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.cisco.username1 = user2
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.cisco.username2 =
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.cisco.tunnelgroup = RA_VPN
    Sep 22 2021 23:59:35: %FTD-6-734001: DAP: User user2, Addr 192.168.0.101, Connection AnyConnect: The following DAP records were selected for this connection: DfltAccessPolicy
    Sep 22 2021 23:59:35: %FTD-6-113039: Group <DfltGrpPolicy> User <user2> IP <192.168.0.101> AnyConnect parent session started.
    <omitted output>
    Sep 22 2021 23:59:52: %FTD-6-725002: Device completed SSL handshake with client Outside_Int:192.168.0.101/60470 to 192.168.0.100/443 for TLSv1.2 session
    Sep 22 2021 23:59:52: %FTD-7-737035: IPAA: Session=0x0000d000, 'IPv4 address request' message queued
    Sep 22 2021 23:59:52: %FTD-7-737035: IPAA: Session=0x0000d000, 'IPv6 address request' message queued
    Sep 22 2021 23:59:52: %FTD-7-737001: IPAA: Session=0x0000d000, Received message 'IPv4 address request'
    Sep 22 2021 23:59:52: %FTD-5-737003: IPAA: Session=0x0000d000, DHCP configured, no viable servers found for tunnel-group 'RA_VPN'
    Sep 22 2021 23:59:52: %FTD-7-737400: POOLIP: Pool=AC_Pool, Allocated 10.0.50.1 from pool
    Sep 22 2021 23:59:52: %FTD-7-737200: VPNFIP: Pool=AC_Pool, Allocated 10.0.50.1 from pool
    Sep 22 2021 23:59:52: %FTD-6-737026: IPAA: Session=0x0000d000, Client assigned 10.0.50.1 from local pool AC_Pool
    Sep 22 2021 23:59:52: %FTD-6-737006: IPAA: Session=0x0000d000, Local pool request succeeded for tunnel-group 'RA_VPN'
    Sep 22 2021 23:59:52: %FTD-7-737001: IPAA: Session=0x0000d000, Received message 'IPv6 address request'
    Sep 22 2021 23:59:52: %FTD-5-737034: IPAA: Session=0x0000d000, IPv6 address: no IPv6 address available from local pools
    Sep 22 2021 23:59:52: %FTD-5-737034: IPAA: Session=0x0000d000, IPv6 address: callback failed during IPv6 request
    Sep 22 2021 23:59:52: %FTD-4-722041: TunnelGroup <RA_VPN> GroupPolicy <DfltGrpPolicy> User <user2> IP <192.168.0.101> No IPv6 address available for SVC connection
    Sep 22 2021 23:59:52: %FTD-7-609001: Built local-host Outside_Int:10.0.50.1
    Sep 22 2021 23:59:52: %FTD-5-722033: Group <DfltGrpPolicy> User <user2> IP <192.168.0.101> First TCP SVC connection established for SVC session.
    Sep 22 2021 23:59:52: %FTD-6-722022: Group <DfltGrpPolicy> User <user2> IP <192.168.0.101> TCP SVC connection established without compression
    Sep 22 2021 23:59:52: %FTD-7-746012: user-identity: Add IP-User mapping 10.0.50.1 - LOCAL\user2 Succeeded - VPN user
    Sep 22 2021 23:59:52: %FTD-6-722055: Group <DfltGrpPolicy> User <user2> IP <192.168.0.101> Client Type: Cisco AnyConnect VPN Agent for Windows 4.10.02086
    Sep 22 2021 23:59:52: %FTD-4-722051: Group  User  IP <192.168.0.101> IPv4 Address <10.0.50.1> IPv6 address <::> assigned to session

    ISEのRADIUSライブログには次のように表示されます。

    TZ_Static_IP_Address_RADIUS_Authorization_43

    TZ_Static_IP_Address_RADIUS_Authorization_44

    TZ_Static_IP_Address_RADIUS_Authorization_45

    注:IPアドレスの割り当てには、FTD IPローカルプールとISE 認証ポリシーの両方で、異なるIPアドレス範囲を使用する必要があります。これにより、AnyConnect クライアント間での重複したIPアドレスの競合を回避できます。この設定例では、FTDは10.0.50.1 から10.0.50.100までのIPv4ローカルプールで設定され、ISEサーバは10.0.50.101の静的IPアドレスを割り当てます。

    トラブルシュート

    ここでは、設定のトラブルシューティングに使用できる情報を示します。

    FTD:

    • debug radius all

    ISEで次を実行します。

    • RADIUS ライブ ログ

    更新履歴

    改定 発行日 コメント
    2.0
    10-Sep-2025
    「設定」セクションを更新。
    1.0
    05-Oct-2021
    初版
    TAC Authored

    シスコ エンジニア提供

    • デビッド・リベラ・ペレス
      Cisco TACエンジニア
    • ラクシャジャラン
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています