Configurar a atribuição de endereço IP estático para usuários do AnyConnect via autorização RADIUS

Opções de download

  • PDF     (2.7 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.4 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de setembro de 2025
ID do documento:217435

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar a autorização RADIUS com um servidor Identity Services Engine (ISE) para que ele sempre encaminhe o mesmo endereço IP para o Firepower Threat Defense (FTD) para um usuário específico do Cisco AnyConnect Secure Mobility Client por meio do RADIUS Attribute 8 Framed-IP-Address.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • FTD
    • Firepower Management Center (FMC)
    • ISE
    • Cisco AnyConnect Secure Mobility Client
    • protocolo RADIUS

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • FMCv - 7.0.0 (build 94)
    • FTDv - 7.0.0 (Compilação 94)
    • ISE - 2.7.0.356
    • AnyConnect - 4.10.02086
    • Windows 10 Pro

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    TZ_ISE_Authentication_Authorization_AnyConnect

    Configurar a VPN de acesso remoto com autenticação AAA/RADIUS via FMC

    Para obter um procedimento passo a passo, consulte este documento e este vídeo:

    A configuração da VPN de Acesso Remoto na CLI FTD é:

    ip local pool AC_Pool 10.0.50.1-10.0.50.100 mask 255.255.255.0

    interface GigabitEthernet0/0
     nameif Outside_Int
     security-level 0
     ip address 192.168.0.100 255.255.255.0

    aaa-server ISE_Server protocol radius
    aaa-server ISE_Server host 172.16.0.8
     key *****
     authentication-port 1812
     accounting-port 1813

    crypto ca trustpoint RAVPN_Self-Signed_Cert
     enrollment self
     fqdn none
     subject-name CN=192.168.0.100
     keypair <Default-RSA-Key>
     crl configure

    ssl trust-point RAVPN_Self-Signed_Cert

    webvpn
     enable Outside_Int
     http-headers
      hsts-server
       enable
       max-age 31536000
       include-sub-domains
       no preload
      hsts-client
       enable
      x-content-type-options
      x-xss-protection
      content-security-policy
     anyconnect image disk0:/csm/anyconnect-win-4.10.02086-webdeploy-k9.pkg 1 regex "Windows"
     anyconnect enable
     tunnel-group-list enable
     cache
      no disable
     error-recovery disable

    group-policy DfltGrpPolicy attributes
     vpn-tunnel-protocol ikev2 ssl-client
     user-authentication-idle-timeout none
     webvpn
      anyconnect keep-installer none
      anyconnect modules value none
      anyconnect ask none default anyconnect
      http-comp none
      activex-relay disable
      file-entry disable
      file-browsing disable
      url-entry disable
      deny-message none

    tunnel-group RA_VPN type remote-access
    tunnel-group RA_VPN general-attributes
     address-pool AC_Pool
     authentication-server-group ISE_Server
    tunnel-group RA_VPN webvpn-attributes
     group-alias RA_VPN enable

    Configurar para Usar Servidor de Autorização no FMC 

    Navegue até Devices > Remote Access e selecione a política de VPN de acesso remoto desejada. Navegue até Advanced > Address Assignment Policy e verifique se a opção Use authorization server (Only for RADIUS or Realm) está habilitada.

    Enable Authorisation Server

    Configurar a política de autorização no ISE (servidor RADIUS)

    Etapa 1. Efetue login no servidor ISE e navegue até Administração > Recursos de rede > Dispositivos de rede.

    TZ_Static_IP_Address_RADIUS_Authorization_16

    Etapa 2. Na seção Network Devices, clique em Add para que o ISE possa processar solicitações de acesso RADIUS do FTD.

    TZ_Static_IP_Address_RADIUS_Authorization_17

    Insira os campos Name e IP Address do dispositivo de rede e marque a caixa RADIUS Authentication Settings. O segredo compartilhado deve ser o mesmo valor usado quando o objeto de servidor RADIUS no FMC foi criado.

    TZ_Static_IP_Address_RADIUS_Authorization_18

    Salve-o com o botão no final desta página.

    Etapa 3. Navegue até Administração > Gerenciamento de identidades > Identidades.

    TZ_Static_IP_Address_RADIUS_Authorization_19

    Etapa 4. Na seção Network Access Users, clique em Add para criar user1 no banco de dados local do ISE.

    TZ_Static_IP_Address_RADIUS_Authorization_20

    Insira o nome de usuário e a senha nos campos Name e Login Password e clique em Submit.

    TZ_Static_IP_Address_RADIUS_Authorization_21

    Etapa 5. Repita as etapas anteriores para criar user2.

    TZ_Static_IP_Address_RADIUS_Authorization_22

    Etapa 6. Navegue até Política > Conjuntos de Políticas.

    TZ_Static_IP_Address_RADIUS_Authorization_23

    Etapa 7. Clique na seta > no lado direito da tela.

    TZ_Static_IP_Address_RADIUS_Authorization_24

    Etapa 8. Clique na seta > ao lado de Authorization Policy para expandi-la. Agora, clique no símbolo + para adicionar uma nova regra.

    TZ_Static_IP_Address_RADIUS_Authorization_25

    Forneça um nome para a regra e selecione o símbolo + na coluna Condições.

    TZ_Static_IP_Address_RADIUS_Authorization_26

    Clique na caixa de texto Editor de atributos e clique no ícone Assunto. Role para baixo até encontrar o atributo RADIUS User-Name e escolhê-lo.

    TZ_Static_IP_Address_RADIUS_Authorization_27

    Mantenha Equals como o operador e insira user1 na caixa de texto ao lado dele. Clique em Usar para salvar o atributo.

    TZ_Static_IP_Address_RADIUS_Authorization_28

    A condição para esta regra agora está definida.

    Etapa 9. Na coluna Results/Profiles, clique no símbolo + e escolha Create a New Authorization Profile.

    TZ_Static_IP_Address_RADIUS_Authorization_29

    Dê a ele um Nome e mantenha ACCESS_ACCEPT como o Tipo de acesso. Role para baixo até a seção Advanced Attributes Settings.

    TZ_Static_IP_Address_RADIUS_Authorization_30

    Clique na seta laranja e escolha Radius > Framed-IP-Address—[8].

    TZ_Static_IP_Address_RADIUS_Authorization_31

    Digite o endereço IP que você deseja atribuir estaticamente sempre a este usuário e clique em Salvar.

    TZ_Static_IP_Address_RADIUS_Authorization_32

    Etapa 10. Agora, escolha o Perfil de Autorização recém-criado.

    TZ_Static_IP_Address_RADIUS_Authorization_33

    A regra de autorização está definida. Click Save.

    TZ_Static_IP_Address_RADIUS_Authorization_34

    Verificar

    Etapa 1. Navegue até a máquina do cliente na qual o cliente do Cisco AnyConnect Secure Mobility está instalado. Conecte-se ao headend do FTD (uma máquina com Windows é usada aqui) e insira as credenciais do usuário1.

    TZ_Static_IP_Address_RADIUS_Authorization_35

    TZ_Static_IP_Address_RADIUS_Authorization_36

    Clique no ícone de engrenagem (canto inferior esquerdo) e navegue até a guia Statistics. Confirme na seção Address Information que o endereço IP atribuído é realmente o configurado na política de autorização do ISE para este usuário.

    TZ_Static_IP_Address_RADIUS_Authorization_36_

    TZ_Static_IP_Address_RADIUS_Authorization_37

    A saída do comando debug radius all no FTD mostra:

    firepower# SVC message: t/s=5/16: The user has requested to disconnect the connection.
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0x9000)
    radius mkreq: 0x13
    alloc_rip 0x0000145d043b6460
    new request 0x13 --> 3 (0x0000145d043b6460)
    got user 'user1'
    got password
    add_req 0x0000145d043b6460 session 0x13 id 3
    RADIUS_REQUEST
    radius.c: rad_mkpkt
    rad_mkpkt: ip:source-ip=192.168.0.101

    RADIUS packet decode (authentication request)


    RADIUS packet decode (response)

    --------------------------------------
    Raw packet data (length = 136).....
    02 03 00 88 0c af 1c 41 4b c4 a6 58 de f3 92 31 | .......AK..X...1
    7d aa 38 1e 01 07 75 73 65 72 31 08 06 0a 00 32 | }.8...user1....2
    65 19 3d 43 41 43 53 3a 63 30 61 38 30 30 36 34 | e.=CACS:c0a80064
    30 30 30 30 61 30 30 30 36 31 34 62 63 30 32 64 | 0000a000614bc02d
    3a 64 72 69 76 65 72 61 70 2d 49 53 45 2d 32 2d | :driverap-ISE-2-
    37 2f 34 31 37 34 39 34 39 37 38 2f 32 31 1a 2a | 7/417494978/21.*
    00 00 00 09 01 24 70 72 6f 66 69 6c 65 2d 6e 61 | .....$profile-na
    6d 65 3d 57 69 6e 64 6f 77 73 31 30 2d 57 6f 72 | me=Windows10-Wor
    6b 73 74 61 74 69 6f 6e | kstation

    Parsed packet data.....
    Radius: Code = 2 (0x02)
    Radius: Identifier = 3 (0x03)
    Radius: Length = 136 (0x0088)
    Radius: Vector: 0CAF1C414BC4A658DEF392317DAA381E
    Radius: Type = 1 (0x01) User-Name
    Radius: Length = 7 (0x07)
    Radius: Value (String) =
    75 73 65 72 31 | user1
    Radius: Type = 8 (0x08) Framed-IP-Address
    Radius: Length = 6 (0x06)
    Radius: Value (IP Address) = 10.0.50.101 (0x0A003265)
    Radius: Type = 25 (0x19) Class
    Radius: Length = 61 (0x3D)
    Radius: Value (String) =
    43 41 43 53 3a 63 30 61 38 30 30 36 34 30 30 30 | CACS:c0a80064000
    30 61 30 30 30 36 31 34 62 63 30 32 64 3a 64 72 | 0a000614bc02d:dr
    69 76 65 72 61 70 2d 49 53 45 2d 32 2d 37 2f 34 | iverap-ISE-2-7/4
    31 37 34 39 34 39 37 38 2f 32 31 | 17494978/21
    Radius: Type = 26 (0x1A) Vendor-Specific
    Radius: Length = 42 (0x2A)
    Radius: Vendor ID = 9 (0x00000009)
    Radius: Type = 1 (0x01) Cisco-AV-pair
    Radius: Length = 36 (0x24)
    Radius: Value (String) =
    70 72 6f 66 69 6c 65 2d 6e 61 6d 65 3d 57 69 6e | profile-name=Win
    64 6f 77 73 31 30 2d 57 6f 72 6b 73 74 61 74 69 | dows10-Workstati
    6f 6e | on
    rad_procpkt: ACCEPT
    Got AV-Pair with value profile-name=Windows10-Workstation
    RADIUS_ACCESS_ACCEPT: normal termination
    RADIUS_DELETE
    remove_req 0x0000145d043b6460 session 0x13 id 3
    free_rip 0x0000145d043b6460
    radius: send queue empty

    Os registros de FTD mostram:

    firepower#
    <omitted output>
    Sep 22 2021 23:52:40: %FTD-6-725002: Device completed SSL handshake with client Outside_Int:192.168.0.101/60405 to 192.168.0.100/443 for TLSv1.2 session
    Sep 22 2021 23:52:48: %FTD-7-609001: Built local-host Outside_Int:172.16.0.8
    Sep 22 2021 23:52:48: %FTD-6-113004: AAA user authentication Successful : server = 172.16.0.8 : user = user1
    Sep 22 2021 23:52:48: %FTD-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = user1
    Sep 22 2021 23:52:48: %FTD-6-113008: AAA transaction status ACCEPT : user = user1
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.radius["1"]["1"] = user1
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.radius["8"]["1"] = 167785061
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.radius["25"]["1"] = CACS:c0a800640000c000614bc1d0:driverap-ISE-2-7/417494978/23
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.grouppolicy = DfltGrpPolicy
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.ipaddress = 10.0.50.101
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.username = user1
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.username1 = user1
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.username2 =
    Sep 22 2021 23:52:48: %FTD-7-734003: DAP: User user1, Addr 192.168.0.101: Session Attribute aaa.cisco.tunnelgroup = RA_VPN
    Sep 22 2021 23:52:48: %FTD-6-734001: DAP: User user1, Addr 192.168.0.101, Connection AnyConnect: The following DAP records were selected for this connection: DfltAccessPolicy
    Sep 22 2021 23:52:48: %FTD-6-113039: Group <DfltGrpPolicy> User <user1> IP <192.168.0.101> AnyConnect parent session started.
    <omitted output>
    Sep 22 2021 23:53:17: %FTD-6-725002: Device completed SSL handshake with client Outside_Int:192.168.0.101/60412 to 192.168.0.100/443 for TLSv1.2 session
    Sep 22 2021 23:53:17: %FTD-7-737035: IPAA: Session=0x0000c000, 'IPv4 address request' message queued
    Sep 22 2021 23:53:17: %FTD-7-737035: IPAA: Session=0x0000c000, 'IPv6 address request' message queued
    Sep 22 2021 23:53:17: %FTD-7-737001: IPAA: Session=0x0000c000, Received message 'IPv4 address request'
    Sep 22 2021 23:53:17: %FTD-6-737010: IPAA: Session=0x0000c000, AAA assigned address 10.0.50.101, succeeded 
    Sep 22 2021 23:53:17: %FTD-7-737001: IPAA: Session=0x0000c000, Received message 'IPv6 address request'
    Sep 22 2021 23:53:17: %FTD-5-737034: IPAA: Session=0x0000c000, IPv6 address: no IPv6 address available from local pools
    Sep 22 2021 23:53:17: %FTD-5-737034: IPAA: Session=0x0000c000, IPv6 address: callback failed during IPv6 request
    Sep 22 2021 23:53:17: %FTD-4-722041: TunnelGroup <RA_VPN> GroupPolicy <DfltGrpPolicy> User <user1> IP <192.168.0.101> No IPv6 address available for SVC connection
    Sep 22 2021 23:53:17: %FTD-7-609001: Built local-host Outside_Int:10.0.50.101
    Sep 22 2021 23:53:17: %FTD-5-722033: Group <DfltGrpPolicy> User <user1> IP <192.168.0.101> First TCP SVC connection established for SVC session.
    Sep 22 2021 23:53:17: %FTD-6-722022: Group <DfltGrpPolicy> User <user1> IP <192.168.0.101> TCP SVC connection established without compression
    Sep 22 2021 23:53:17: %FTD-7-746012: user-identity: Add IP-User mapping 10.0.50.101 - LOCAL\user1 Succeeded - VPN user
    Sep 22 2021 23:53:17: %FTD-6-722055: Group <DfltGrpPolicy> User <user1> IP <192.168.0.101> Client Type: Cisco AnyConnect VPN Agent for Windows 4.10.02086
    Sep 22 2021 23:53:17: %FTD-4-722051: Group  User  IP <192.168.0.101> IPv4 Address <10.0.50.101> IPv6 address <::> assigned to session

    Os registros RADIUS Live no ISE mostram:

    TZ_Static_IP_Address_RADIUS_Authorization_40

    TZ_Static_IP_Address_RADIUS_Authorization_41

    TZ_Static_IP_Address_RADIUS_Authorization_42

    Etapa 2. Conecte-se ao headend do FTD (uma máquina com Windows é usada aqui) e insira as credenciais do usuário2.

    TZ_Static_IP_Address_RADIUS_Authorization_38

    A seção Address Information mostra que o endereço IP atribuído é realmente o primeiro endereço IP disponível no pool local IPv4 configurado via FMC.

    TZ_Static_IP_Address_RADIUS_Authorization_39

    A saída do comando debug radius all no FTD mostra:

    firepower# SVC message: t/s=5/16: The user has requested to disconnect the connection.
    webvpn_svc_np_tear_down: no ACL
    webvpn_svc_np_tear_down: no IPv6 ACL
    np_svc_destroy_session(0xA000)
    radius mkreq: 0x15
    alloc_rip 0x0000145d043b6460
    new request 0x15 --> 4 (0x0000145d043b6460)
    got user 'user2'
    got password
    add_req 0x0000145d043b6460 session 0x15 id 4
    RADIUS_REQUEST
    radius.c: rad_mkpkt
    rad_mkpkt: ip:source-ip=192.168.0.101

    RADIUS packet decode (authentication request)


    RADIUS packet decode (response)

    --------------------------------------
    Raw packet data (length = 130).....
    02 04 00 82 a6 67 35 9e 10 36 93 18 1f 1b 85 37 | .....g5..6.....7
    b6 c3 18 4f 01 07 75 73 65 72 32 19 3d 43 41 43 | ...O..user2.=CAC
    53 3a 63 30 61 38 30 30 36 34 30 30 30 30 62 30 | S:c0a800640000b0
    30 30 36 31 34 62 63 30 61 33 3a 64 72 69 76 65 | 00614bc0a3:drive
    72 61 70 2d 49 53 45 2d 32 2d 37 2f 34 31 37 34 | rap-ISE-2-7/4174
    39 34 39 37 38 2f 32 32 1a 2a 00 00 00 09 01 24 | 94978/22.*.....$
    70 72 6f 66 69 6c 65 2d 6e 61 6d 65 3d 57 69 6e | profile-name=Win
    64 6f 77 73 31 30 2d 57 6f 72 6b 73 74 61 74 69 | dows10-Workstati
    6f 6e | on

    Parsed packet data.....
    Radius: Code = 2 (0x02)
    Radius: Identifier = 4 (0x04)
    Radius: Length = 130 (0x0082)
    Radius: Vector: A667359E103693181F1B8537B6C3184F
    Radius: Type = 1 (0x01) User-Name
    Radius: Length = 7 (0x07)
    Radius: Value (String) =
    75 73 65 72 32 | user2
    Radius: Type = 25 (0x19) Class
    Radius: Length = 61 (0x3D)
    Radius: Value (String) =
    43 41 43 53 3a 63 30 61 38 30 30 36 34 30 30 30 | CACS:c0a80064000
    30 62 30 30 30 36 31 34 62 63 30 61 33 3a 64 72 | 0b000614bc0a3:dr
    69 76 65 72 61 70 2d 49 53 45 2d 32 2d 37 2f 34 | iverap-ISE-2-7/4
    31 37 34 39 34 39 37 38 2f 32 32 | 17494978/22
    Radius: Type = 26 (0x1A) Vendor-Specific
    Radius: Length = 42 (0x2A)
    Radius: Vendor ID = 9 (0x00000009)
    Radius: Type = 1 (0x01) Cisco-AV-pair
    Radius: Length = 36 (0x24)
    Radius: Value (String) =
    70 72 6f 66 69 6c 65 2d 6e 61 6d 65 3d 57 69 6e | profile-name=Win
    64 6f 77 73 31 30 2d 57 6f 72 6b 73 74 61 74 69 | dows10-Workstati
    6f 6e | on
    rad_procpkt: ACCEPT
    Got AV-Pair with value profile-name=Windows10-Workstation
    RADIUS_ACCESS_ACCEPT: normal termination
    RADIUS_DELETE
    remove_req 0x0000145d043b6460 session 0x15 id 4
    free_rip 0x0000145d043b6460
    radius: send queue empty

    Os registros de FTD mostram:

    <omitted output>
    Sep 22 2021 23:59:26: %FTD-6-725002: Device completed SSL handshake with client Outside_Int:192.168.0.101/60459 to 192.168.0.100/443 for TLSv1.2 session
    Sep 22 2021 23:59:35: %FTD-7-609001: Built local-host Outside_Int:172.16.0.8
    Sep 22 2021 23:59:35: %FTD-6-113004: AAA user authentication Successful : server = 172.16.0.8 : user = user2
    Sep 22 2021 23:59:35: %FTD-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = user2
    Sep 22 2021 23:59:35: %FTD-6-113008: AAA transaction status ACCEPT : user = user2
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.radius["1"]["1"] = user2
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.radius["25"]["1"] = CACS:c0a800640000d000614bc367:driverap-ISE-2-7/417494978/24
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.cisco.grouppolicy = DfltGrpPolicy
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.cisco.username = user2
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.cisco.username1 = user2
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.cisco.username2 =
    Sep 22 2021 23:59:35: %FTD-7-734003: DAP: User user2, Addr 192.168.0.101: Session Attribute aaa.cisco.tunnelgroup = RA_VPN
    Sep 22 2021 23:59:35: %FTD-6-734001: DAP: User user2, Addr 192.168.0.101, Connection AnyConnect: The following DAP records were selected for this connection: DfltAccessPolicy
    Sep 22 2021 23:59:35: %FTD-6-113039: Group <DfltGrpPolicy> User <user2> IP <192.168.0.101> AnyConnect parent session started.
    <omitted output>
    Sep 22 2021 23:59:52: %FTD-6-725002: Device completed SSL handshake with client Outside_Int:192.168.0.101/60470 to 192.168.0.100/443 for TLSv1.2 session
    Sep 22 2021 23:59:52: %FTD-7-737035: IPAA: Session=0x0000d000, 'IPv4 address request' message queued
    Sep 22 2021 23:59:52: %FTD-7-737035: IPAA: Session=0x0000d000, 'IPv6 address request' message queued
    Sep 22 2021 23:59:52: %FTD-7-737001: IPAA: Session=0x0000d000, Received message 'IPv4 address request'
    Sep 22 2021 23:59:52: %FTD-5-737003: IPAA: Session=0x0000d000, DHCP configured, no viable servers found for tunnel-group 'RA_VPN'
    Sep 22 2021 23:59:52: %FTD-7-737400: POOLIP: Pool=AC_Pool, Allocated 10.0.50.1 from pool
    Sep 22 2021 23:59:52: %FTD-7-737200: VPNFIP: Pool=AC_Pool, Allocated 10.0.50.1 from pool
    Sep 22 2021 23:59:52: %FTD-6-737026: IPAA: Session=0x0000d000, Client assigned 10.0.50.1 from local pool AC_Pool
    Sep 22 2021 23:59:52: %FTD-6-737006: IPAA: Session=0x0000d000, Local pool request succeeded for tunnel-group 'RA_VPN'
    Sep 22 2021 23:59:52: %FTD-7-737001: IPAA: Session=0x0000d000, Received message 'IPv6 address request'
    Sep 22 2021 23:59:52: %FTD-5-737034: IPAA: Session=0x0000d000, IPv6 address: no IPv6 address available from local pools
    Sep 22 2021 23:59:52: %FTD-5-737034: IPAA: Session=0x0000d000, IPv6 address: callback failed during IPv6 request
    Sep 22 2021 23:59:52: %FTD-4-722041: TunnelGroup <RA_VPN> GroupPolicy <DfltGrpPolicy> User <user2> IP <192.168.0.101> No IPv6 address available for SVC connection
    Sep 22 2021 23:59:52: %FTD-7-609001: Built local-host Outside_Int:10.0.50.1
    Sep 22 2021 23:59:52: %FTD-5-722033: Group <DfltGrpPolicy> User <user2> IP <192.168.0.101> First TCP SVC connection established for SVC session.
    Sep 22 2021 23:59:52: %FTD-6-722022: Group <DfltGrpPolicy> User <user2> IP <192.168.0.101> TCP SVC connection established without compression
    Sep 22 2021 23:59:52: %FTD-7-746012: user-identity: Add IP-User mapping 10.0.50.1 - LOCAL\user2 Succeeded - VPN user
    Sep 22 2021 23:59:52: %FTD-6-722055: Group <DfltGrpPolicy> User <user2> IP <192.168.0.101> Client Type: Cisco AnyConnect VPN Agent for Windows 4.10.02086
    Sep 22 2021 23:59:52: %FTD-4-722051: Group  User  IP <192.168.0.101> IPv4 Address <10.0.50.1> IPv6 address <::> assigned to session

    Os registros RADIUS Live no ISE mostram:

    TZ_Static_IP_Address_RADIUS_Authorization_43

    TZ_Static_IP_Address_RADIUS_Authorization_44

    TZ_Static_IP_Address_RADIUS_Authorization_45

    Note: Você deve usar intervalos de endereço IP diferentes para atribuição de endereço IP no pool local IP do FTD e nas políticas de autorização do ISE a fim de evitar conflitos de endereço IP duplicado entre seus Clientes do AnyConnect. Neste exemplo de configuração, o FTD foi configurado com um pool local IPv4 de 10.0.50.1 a 10.0.50.100 e o servidor ISE atribui endereço IP estático de 10.0.50.101.

    Troubleshooting

    Esta seção fornece as informações que você pode usar para solucionar problemas da sua configuração.

    No FTD:

    • debug radius all

    No ISE:

    • Logs ao vivo RADIUS

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    10-Sep-2025
    Seção Configurar atualizada.
    1.0
    05-Oct-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • David Rivera Perez
      Engenheiro do Cisco TAC
    • Raksha Jalan
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos