ASA DAP implementeren om MAC-adres voor AnyConnect te identificeren

Downloadopties

  • PDF     (845.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (711.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (971.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:5 februari 2024
Document-id:221627

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u Dynamic Access Policies (DAP) via ASDM configureert om het Mac-adres van het apparaat te controleren dat wordt gebruikt voor de AnyConnect-verbinding.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:
    Configuratie van Cisco Anyconnect en Hostscan

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
    ASAv 9.18 (4)
    ASDM 7,20 (1)
    AnyConnect 4.10.07073
    Hostscan 4.10.07073
    Windows 10

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    HostScan is een softwaremodule die de AnyConnect Secure Mobility Client de mogelijkheid biedt om beveiligingsbeleid op het netwerk af te dwingen. Tijdens het proces van Hostscan worden verschillende details over het clientapparaat verzameld en gerapporteerd aan de Adaptive Security Appliance (ASA). Deze details omvatten het besturingssysteem van het apparaat, antivirussoftware, firewallsoftware, MAC-adres en meer. Met de functie Dynamic Access Policies (DAP) kunnen netwerkbeheerders beveiligingsbeleid per gebruiker configureren. Het kenmerk endpoint.device.MAC in DAP kan worden gebruikt om het MAC-adres van het clientapparaat te vergelijken met of te controleren op vooraf gedefinieerde beleidsregels.

    Configureren

    Netwerkdiagram

    Deze afbeelding toont de topologie die wordt gebruikt voor het voorbeeld van dit document.

    DiagramDiagram

    Configuratie in ASA

    Dit is de minimale configuratie in ASA CLI.

    tunnel-group dap_test_tg type remote-access
tunnel-group dap_test_tg general-attributes
default-group-policy dap_test_gp
tunnel-group dap_test_tg webvpn-attributes
group-alias dap_test enable

group-policy dap_test_gp internal
group-policy dap_test_gp attributes
vpn-tunnel-protocol ssl-client
address-pools value ac_pool
webvpn
anyconnect keep-installer installed
always-on-vpn profile-setting

ip local pool ac_pool 172.16.1.11-172.16.1.20 mask 255.255.255.0

webvpn
 enable outside
 hostscan image disk0:/hostscan_4.10.07073-k9.pkg
 hostscan enable
 anyconnect image disk0:/anyconnect-win-4.10.07073-webdeploy-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable

    Configuratie in ASDM

    In dit gedeelte wordt beschreven hoe u DAP-records in ASDM configureert. Stel in dit voorbeeld 3 DAP-records in die het kenmerk endpoint.device.MAC als voorwaarde gebruiken.

    ·01_dap_test: endpoint.device.MAC=0050.5698.e608
    ·02_dap_test: endpoint.device.MAC=0050.5698.e605 = MAC van Anyconnect-eindpunt
    ·03_dap_test: endpoint.device.MAC=0050.5698.e609

    1. Configureer de eerste DAP met de naam 01_dap_test.

    Navigeer naar Configuratie > Externe toegang VPN > Netwerktoegang (client) > Dynamisch toegangsbeleid. Klik op Toevoegen en stel de naam van het beleid, AAA-kenmerk, eindpuntkenmerken, Actie, Gebruikersbericht in, zoals weergegeven in de afbeelding:

    Configure First DAPEerste DAP configureren

    Configureer Groepsbeleid voor AAA-kenmerk.

    Configure Group Policy For DAP RecordGroepsbeleid voor DAP-record configureren

    Configureer het MAC-adres voor Endpoint Attribuut. 

    Configure MAC Condition For DAPMAC-voorwaarde configureren voor DAP

    2. Tweede DAP configureren met de naam 02_dap_test

    Configure Second DAPTweede DAP configureren

    3. Configureer de derde DAP met de naam 03_dap_test.

    Configure Third DAPDerde DAP configureren

    4. Gebruik  more flash:/dap.xml  de opdracht om de instelling van DAP-records in dap.xml te bevestigen.

    Details van de DAP-records die op ASDM zijn ingesteld, worden in de ASA-flash opgeslagen als dap.xml. Nadat deze instellingen zijn voltooid, worden drie DAP-records gegenereerd in dap.xml. U kunt de details van elke DAP-record bevestigen in dap.xml.

    note-icon

    Opmerking: De volgorde waarin DAP wordt weergegeven, is de weergavevolgorde in dap.xml. De standaard DAP (DeltAccessPolicy) is het laatst gevonden.

    ciscoasa# more flash:/dap.xml
    


01_dap_test                             <--- 1st DAP name


and




match-all


aaa.cisco.grouppolicy
dap_test_gp                             <--- 1st DAP group policy
EQ
caseless




match-any



match-all


endpoint.device.MAC["0050.5698.e608"]     <--- 1st DAP MAC Address condition
true
caseless
EQ







02_dap_test                              <--- 2nd DAP name


and




match-any


aaa.cisco.grouppolicy
dap_test_gp                             <--- 2nd DAP group policy
EQ
caseless




match-any



match-all


endpoint.device.MAC["0050.5698.e605"]      <--- 2nd DAP MAC Address condition
true
caseless
EQ







03_dap_test                             <--- 3rd DAP name


and




match-any


aaa.cisco.grouppolicy
dap_test_gp                              <--- 3rd DAP group policy
EQ
caseless




match-any



match-all


endpoint.device.MAC["0050.5698.e609"]      <--- 3rd DAP MAC Address condition
true
caseless
EQ

    Verifiëren

    Scenario 1. Slechts één DAP is gekoppeld

    1. Zorg ervoor dat de MAC van het eindpunt 0050.5698.e605 is, wat overeenkomt met de MAC-voorwaarde in 02_dap_test.

    2. Voer op het eindpunt AnyConnect-verbinding uit en voer een gebruikersnaam en wachtwoord in.

    Input username and passwordVoer gebruikersnaam en wachtwoord in

    3. Bevestig dat 02_dap_test overeenkomt in de gebruikersinterface van Anyconnect.

    Confirm User Message In UIGebruikersbericht in gebruikersinterface bevestigen

    4. Bevestig in de ASA-syslog dat 02_dap_test overeenkomt.

    note-icon

    Opmerking: Zorg ervoor dat debug dap trace is ingeschakeld in ASA.

    Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"

    Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 11:46:11: %ASA-4-711001: Selected DAPs: ,02_dap_test
Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Dec 30 2023 11:46:11: %ASA-4-711001: dap_process_selected_daps: selected 1 records

Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 11:46:11: %ASA-4-711001: DAP_close: 17

    Scenario 2. Standaard DAP is gekoppeld

    1. Wijzig de waarde van endpoint.device.MAC in 02_dap_test in 0050.5698.e607 die niet overeenkomt met MAC van endpoint.

    2. Voer op het eindpunt AnyConnect-verbinding uit en voer een gebruikersnaam en wachtwoord in.

    3. Bevestig dat de AnyConnect-verbinding is geweigerd.

    Confirm User Message In UIGebruikersbericht in gebruikersinterface bevestigen

    4. Bevestig in de ASA-syslog dat DelftAccessPolicy is gekoppeld. 

    note-icon

    Opmerking: Standaard is de actie van DelftAccessPolicy Beëindigen.

    Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"

    Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: Selected DAPs:
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Dec 30 2023 12:13:39: %ASA-4-711001: dap_process_selected_daps: selected 0 records
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: Selected DAPs: DfltAccessPolicy
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: DAP_close: 1B

    Scenario 3. Meerdere DAP's (Actie: Doorgaan) zijn gekoppeld 

    1. Wijzig de actie en het kenmerk in elke DAP.

     ·01_dap_test:
         dapSelection (MAC-adres) = endpoint.device.MAC[0050.5698.e605] = MAC van Anyconnect-eindpunt
         Actie = Doorgaan
    ·02_dap_test:
         dapSelection (hostnaam) = endpoint.device.hostname[DESKTOP-VCKHRG1] = hostnaam van Anyconnect Endpoint
         Actie = Doorgaan
    ·Verwijder 03_dap_test DAP-record

    2. Voer op het eindpunt AnyConnect-verbinding uit en voer een gebruikersnaam en wachtwoord in.

    3. Bevestig in de gebruikersinterface van Anyconnect dat alle twee de DAP's overeenkomen

    note-icon

    Opmerking: als een verbinding overeenkomt met meerdere DAP's, worden de gebruikersberichten van meerdere DAP's geïntegreerd en samen weergegeven in Anyconnect UI.

       Confirm User Message In UIGebruikersbericht in gebruikersinterface bevestigen


    4. Bevestig in de ASA-syslog dat alle 2 DAP's overeenkomen.

    Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
    Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1"

Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: Selected DAPs: ,01_dap_test,02_dap_test
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: dap_process_selected_daps: selected 2 records

Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: DAP_close: 4

    Scenario 4. Meerdere DAP's (Action :Terminate) zijn gekoppeld

    1. Wijzig de actie van 01_dap_test.

     ·01_dap_test:
         dapSelection (MAC-adres) = endpoint.device.MAC[0050.5698.e605] = MAC van Anyconnect-eindpunt
         Actie = beëindigen
    ·02_dap_test:
         dapSelection (hostnaam) = endpoint.device.hostname[DESKTOP-VCKHRG1] = hostnaam van Anyconnect Endpoint
         Actie = Doorgaan

    2. Voer op het eindpunt AnyConnect-verbinding uit en voer een gebruikersnaam en wachtwoord in.

    3. Bevestig in de gebruikersinterface van Anyconnect dat alleen 01_dap_test is gekoppeld.

    note-icon

    Opmerking: een verbinding die wordt gekoppeld aan de DAP-record die is ingesteld om de actie te beëindigen. Latere records worden niet meer geëvenaard na de beëindigingsactie.

    Confirm User Message In UIGebruikersbericht in gebruikersinterface bevestigen

    4. Bevestig in de ASA-syslog dat alleen 01_dap_test is gematcht. 

    Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
    Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1"

Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:55:37: %ASA-4-711001: Selected DAPs: ,01_dap_test
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: dap_process_selected_daps: selected 1 records

Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:55:37: %ASA-4-711001: DAP_close: 6

    Algemene probleemoplossing

    Deze foutopsporingslogboeken helpen u om het detailgedrag van DAP in ASA te bevestigen.

    debug dap trace
    debug dap trace errors

    Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1"

Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: Selected DAPs: ,01_dap_test,02_dap_test
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: dap_process_selected_daps: selected 2 records

Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: DAP_close: 4

    Gerelateerde informatie

    https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html#toc-hId-981572249

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    06-Feb-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Jian Zhang
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten