配置ISE 2.1和AnyConnect 4.3状态USB检查

下载选项

  • PDF     (2.0 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.8 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (2.2 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2016 年 6 月 7 日
文档 ID:200508

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

Introduction

本文描述如何配置思科身份服务引擎(ISE)提供全部存取给网络,只有当USB大容量存储器设备是断开的时。

Prerequisites

Requirements

Cisco 建议您了解以下主题:

  • 可适应的安全工具(ASA) CLI配置和安全套接字层SSL VPN配置基础知识
  • 远程访问VPN配置基础知识在ASA的
  • ISE和状态服务基础知识

Components Used

与AnyConnect安全移动性客户端4.3支持USB大容量存储器检查和修正一起的思科身份服务引擎(ISE)版本2.1。本文档中的信息基于以下软件版本:

  • Cisco ASA软件版本9.2(4)及以后
  • 与Cisco AnyConnect安全移动客户端版本4.3和以上的微软视窗版本7
  • Cisco ISE,版本2.1及以后

Configure

Network Diagram

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-00.png

流下列:

  • 用户没有被联络到VPN,接通专用的USB大容量存储器设备,并且内容为用户是可用的
  • AnyConnect客户端起动的VPN会话通过ISE验证。终端的状态状况不知道,规则“Posture_Unknown”被击中结果,并且会话将重定向对ISE
  • USB检查引入一个新的组登记AC ISE状态,他们不断地监控终端,只要在同一ISE被控制的网络依然是。可用唯一的逻辑修正的动作是阻拦他们的盘符确定的USB设备
  • 在ASA的VPN会话是更新的,重定向ACL是被去除,并且全部存取授予

展示了VPN会话为例。状态功能为访问的其他类型也良好工作。

ASA

ASA为远程SSL VPN访问被配置使用ISE作为AAA服务器。需要配置与重定向ACL一起的Radius CoA :

aaa-server ISE21 protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE21 (outside) host 10.48.23.88
 key cisco



tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE21
 accounting-server-group ISE21
 default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
 group-alias RA enable



webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.3.00520-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
 dns-server value 10.62.145.72
 vpn-tunnel-protocol ssl-client



access-list ACL_WEBAUTH_REDIRECT extended deny udp any any eq domain 
access-list ACL_WEBAUTH_REDIRECT extended deny ip any host 10.48.23.88 
access-list ACL_WEBAUTH_REDIRECT extended deny icmp any any 
access-list ACL_WEBAUTH_REDIRECT extended permit tcp any any

欲了解更详细的信息请参见:

与ISE版本1.3配置示例的AnyConnect 4.0集成

ISE

步骤1. Configure network设备

Administration >网络资源>网络Devices > Add ASA。

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-01.png

步骤2.配置状态情况和策略

确定状态情况更新:管理>System >设置>状态>更新>更新当前选项

ISE 2.1附有一个预先配置的USB情况,检查USB大容量存储器设备是否被连接。

策略>Policy元素>调节>状态> USB情况验证现有的情况:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-02.png

策略>Policy元素>发生>状态>需求,验证使用该情况的预先配置的需求。

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-03.png

策略>状态,请添加所有Windows的一个条件能使用该需求:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-04.png

策略>Policy元素>发生>状态>修正动作> USB补救验证预先配置的修正动作阻拦USB存储设备:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-05.png

步骤3.配置客户端设置资源和策略

策略>Policy元素>客户端设置>资源从Cisco.com请下载标准模块并且手工加载AnyConnect 4.3程序包:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-06.png

使用Add> NAC代理程序或AnyConnect状态配置文件请创建一个AnyConnect状态配置文件(名字:Anyconnect_Posture_Profile)与默认设置。

使用Add> AnyConnect配置请添加一种AnyConnect配置(名字:AnyConnect配置) :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-07.png

策略>客户端设置请创建一个新的策略(Windows_Posture) Windows的能使用AnyConnect配置:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-08.png

步骤4.配置授权规则

策略>Policy元素>发生>授权添加授权配置文件(名字:Posture_Redirect)该重定向对默认客户端设置的门户:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-09.png

注意:ACL_WEBAUTH_REDIRECT ACL在ASA被定义。

策略>授权请创建重定向的一个授权规则。兼容设备的一个授权规则在ISE预先配置:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-10.png

如果终端是兼容的,全部存取提供。如果状态是未知或固执的,客户端设置的重定向返回。

Verify

在VPN会话建立前

USB设备接通的和其内容为用户是可用的。

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-11.png

VPN会话建立

作为Posture_Redirect授权配置文件一部分,在认证时, ISE将返回重定向访问列表和重定向URL

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-12.png

一旦VPN会话建立,从客户端的ASA数据流根据重定向访问列表将重新定向:

BSNS-ASA5515-11# sh vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username     : cisco                  Index        : 29
Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES128  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 14696                  Bytes Rx     : 18408
Pkts Tx      : 20                     Pkts Rx      : 132
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : GP-SSL                 Tunnel Group : RA
Login Time   : 15:57:39 CET Fri Mar 11 2016
Duration     : 0h:07m:22s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0a3042ca0001d00056e2dce3
Security Grp : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 29.1
  Public IP    : 10.229.16.34
  Encryption   : none                   Hashing      : none                   
  TCP Src Port : 61956                  TCP Dst Port : 443                    
  Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : win
  Client OS Ver: 6.1.7601 Service Pack 1
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 774                    
  Pkts Tx      : 5                      Pkts Rx      : 1                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
SSL-Tunnel:
  Tunnel ID    : 29.2
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: TLSv1.0                TCP Src Port : 61957                  
  TCP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : Windows                
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 1245                   
  Pkts Tx      : 5                      Pkts Rx      : 5                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
DTLS-Tunnel:
  Tunnel ID    : 29.3
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: DTLSv1.0               UDP Src Port : 55708                  
  UDP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 26 Minutes             
  Client OS    : Windows                
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 1294                   Bytes Rx     : 16389                  
  Pkts Tx      : 10                     Pkts Rx      : 126                    
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
ISE Posture:
  Redirect URL : https://ISE21-1ek.example.com:8443/portal/gateway?sessionId=0a3042ca0001d00056e2dce3&portal=2b1ba210-e...
  Redirect ACL : ACL_WEBAUTH_REDIRECT

客户端设置

在该阶段,终端Web浏览器数据流重定向对客户端设置的ISE :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-13.png

若需要,与状态和标准模块一起的AnyConnect是更新的。

状态检查和CoA

状态模块被执行,发现ISE (也许要求有enroll.cisco.com的DNS A记录能成功),下载并且检查状态情况,新的OPSWAT v4块USB设备动作。被配置的消息为用户将显示:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-14.png

一旦消息被确认, USB设备为用户不再是可用的:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-15.png

ASA取消重定向ACL提供全部存取。AnyConnect报告标准:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-16.png

并且关于ISE的详细资料报表能确认必需的情况通过。

由情况的状态评估:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-17.png

由终端的状态评估:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-18.png

终端报告详细资料:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-19.png

Troubleshoot

ISE能提供细节在失败条件,动作应该相应地采取。

参考

TAC Authored

由思科工程师提供

  • Eugene Korneychuk
    Cisco TAC工程师

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品