本文描述如何在Windows上配置安全客戶端網路分析模組(NAM)。
思科建議您瞭解以下主題:
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
本文檔介紹如何在Windows上配置安全客戶端NAM。使用預部署選項和配置檔案編輯器執行dot1x身份驗證。此外,還提供了如何實現此目標的一些示例。
在網路中,請求方是點對點LAN網段一端的實體,該網段尋求由連線到鏈路另一端的身份驗證器進行身份驗證。
IEEE 802.1X標準使用術語「請求方」來指代硬體或軟體。在實踐中,請求方是安裝在終端使用者電腦上的軟體應用程式。使用者呼叫請求方並提交憑證以將電腦連線到安全網路。如果驗證成功,驗證器通常允許電腦連線到網路。
Network Access Manager是一種客戶端軟體,根據策略提供安全的第2層網路。它檢測並選擇最佳第2層接入網路,並對有線和無線網路的訪問執行裝置身份驗證。網路訪問管理器管理使用者和裝置身份以及安全訪問所需的網路訪問協定。它可以智慧地工作,防止終端使用者進行違反管理員定義的策略的連線。
網路訪問管理器設計為單宿主,一次只允許一個網路連線。此外,有線連線的優先順序高於無線,因此,如果您通過有線連線插入網路,無線介面卡會變為禁用狀態,且沒有IP地址。
瞭解dot1x身份驗證需要三個部分:
在本示例中,以不同方式安裝和配置請求方。稍後,顯示一個包含網路裝置組態和驗證伺服器的案例。
網路圖表
思科軟體下載
1.在產品名稱搜尋欄上,鍵入Secure Client 5。
下載Home > Security > VPN and Endpoint Security Clients > Secure Client(包括AnyConnect)> Secure Client 5 > AnyConnect VPN Client Software。
2.在此組態範例中,使用版本5.1.2.42。
將Secure Client部署到Windows裝置的方法有多種;從SCCM、從身份服務引擎和VPN頭端。但是,在本文中,使用的安裝方法是預部署方法。
3.在此頁面上,搜尋思科安全客戶端頭端部署包(Windows)檔案。
Msi zip檔案
4.下載並解壓後,按一下Setup。
安全客戶端檔案
5.安裝網路訪問管理器和診斷和報告工具模組。
警告:如果使用Cisco Secure Client Wizard,則會自動安裝VPN模組並將其隱藏在GUI中。如果未安裝VPN模組,則NAM無法正常工作。如果使用單個MSI檔案或不同的安裝方法,請確保安裝VPN模組。
安裝選擇器
6.按一下Install Selected。
7.接受《協定》。
EULA視窗
8.安裝NAM後需要重新啟動。
Reboot Requirement視窗
9.安裝後,可從Windows搜尋欄找到並開啟它。
安全客戶端程式1.配置Dot1x首選項需要思科網路訪問管理器配置檔案編輯器。
2.從下載安全客戶端的同一頁面上,找到Profile Editor選項。
3.本示例使用5.1.2.42版中的選項。
配置檔案編輯器
4.下載後,繼續安裝。
5.運行msi檔案。
配置檔案編輯器設定視窗
6.使用Typical設定選項。
配置檔案編輯器安裝程式
安裝視窗7.按一下完成。
配置檔案編輯器安裝結束
8.安裝後,從搜尋欄中打開網路訪問管理器配置檔案編輯器。
搜尋欄上的NAM配置檔案編輯器
9.網路訪問管理器和配置檔案編輯器的安裝已完成。
1.本文中介紹的所有方案都包含下列配置:
NAM配置檔案編輯器客戶端策略
NAM配置檔案編輯器身份驗證策略
「網路組」頁籤
1.定位至網路部分。
2.可以刪除預設的網路配置檔案。
3.按一下Add。
網路設定檔建立
4.命名網路配置檔案。
5.選擇Global作為Group Membership。選擇Wired Network介質。
Network Profile Media Type部分
6.按一下下一步。
7.選擇Authenticating Network,並為「Security Level」部分中的其餘選項使用預設值。
網路配置檔案安全級別
8.按一下下一步繼續執行連線型別部分。
網路配置檔案連線型別
9.選擇「使用者連線」連線型別。
10.按一下下一步以繼續User Auth部分,此部分現在可用。
11.選擇PEAP作為常規EAP方法。
網路設定檔使用者驗證
12.請勿更改EAP-PEAP設定中的預設值。
13.繼續使用「基於憑證源的內部方法」部分。
14.從EAP PEAP存在的多個內部方法中,選擇Authenticate using a Password,然後選擇EAP-MSCHAPv2。
15.按一下下一步繼續轉到證書部分。
附註:在EAP-PEAP Settings中選擇了Validate Server Identity選項,則會顯示Certificate部分。對於EAP PEAP,它使用伺服器證書進行封裝。
16.在證書部分的證書受信任伺服器規則中,使用規則公用名以c.com結尾。此部分配置是指伺服器在EAP PEAP流期間使用的證書。如果您的環境中使用了身份服務引擎(ISE),則可以使用策略伺服器節點EAP證書的公用名。
網路配置檔案證書部分
17.可在證書受信任頒發機構中選擇兩個選項。對於此方案,將使用Trust Any Root Certificate Authority(CA)選項,而不是新增簽署RADIUS EAP證書的特定CA證書。
18.使用此選項,Windows裝置將信任由包含在「管理使用者證書」程式「證書」 — 「當前使用者」>「受信任的根證書頒發機構」>「證書」中的證書簽名的任何EAP證書。
19.按一下下一步。
Network Profile Credentials部分
20.在Credentials部分中,僅更改User Credentials部分。
21.選擇了提示輸入憑證>從不記住選項,在每次驗證中,選擇驗證的使用者必須輸入其憑證。
22.按一下完成。
23.使用File > Save As 選項,將Secure Client Network Access Manager配置檔案另存為configuration.xml。
24.為確保Secure Client Network Access Manage使用剛剛建立的配置檔案,請將下一個目錄中的configuration.xml檔案替換為新檔案:
C:\ProgramData\Cisco\Cisco安全客戶端\網路訪問管理器\系統
附註:檔案必須命名為configuration.xml,否則無法正常工作。
替換檔案節
1.開啟NAM配置檔案編輯器,然後導航至網路部分。
2.按一下Add。
NAM配置檔案編輯器「網路」頁籤
3.在網路配置檔案中輸入名稱。
4.選擇Global作為Group Membership。選擇WiredNetwork Media。
「介質型別」部分
5.按一下下一步。
6.選擇Authenticating Network,不要更改本節中其餘選項的預設值。
安全級別配置檔案編輯器部分
7.按一下下一步繼續執行連線型別部分。
連線型別部分
8.通過選擇第三個選項同時配置使用者和電腦身份驗證。
9.按一下下一步。
機器身份驗證部分
10.在Machine Auth部分,選擇EAP-FAST作為EAP方法。請勿更改EAP FAST設定預設值。
11.對於Inner methods based on Credentials Source部分,選擇Authenticate using a Password,然後選擇EAP-MSCHAPv2作為方法。然後,選擇使用PAC選項。
12.按一下下一步。
13.在證書部分(證書受信任伺服器規則)中,規則是以c.com結尾的公用名。此部分是指伺服器在EAP PEAP流期間使用的證書。如果在您的環境中使用身份服務引擎(ISE),則可以使用策略伺服器節點EAP證書的公用名稱。
Machine Auth Server Certificate Trust部分
14.可在證書受信任頒發機構中選擇兩個選項。在此案例中,不要新增簽署RADIUS EAP證書的特定CA證書,而是使用Trust Any Root Certificate Authority(CA)選項。
15.使用此選項,Windows信任由包含在「管理使用者證書」程式(Current User > Trusted Root Certification Authorities > Certificates)中的證書簽名的任何EAP證書。
16.按一下下一步。
機器身份驗證憑證部分
17.在Machine Credentials部分中選擇Use Machine Credentials。
18.按一下下一步。
User Authentication部分
19.對於User Auth,請選擇EAP-FAST作為EAP方法。
20.請勿更改EAP-FAST設定部分中的預設值。
21.對於「基於憑據的內部方法」源部分,選擇使用密碼進行身份驗證和EAP-MSCHAPv2作為方法。
22.選擇使用PAC。
23.按一下下一步。
24.在證書受信任伺服器規則的證書部分,規則為公用名,以c.com結尾。這些配置適用於伺服器在EAP PEAP流期間使用的證書。如果在您的環境中使用ISE,可以使用策略伺服器節點EAP證書的公用名稱。
使用者身份驗證伺服器證書信任部分
25.可在證書受信任頒發機構中選擇兩個選項。在此案例中,不是新增簽署RADIUS EAP證書的特定CA證書,而是使用Trust Any Root Certificate Authority(CA)選項OS上。
26.按一下下一步。
使用者身份驗證憑據
27.在「身份證明」部分中,僅更改使用者身份證明部分。
28.已選擇提示輸入憑證>永不記憶選項。因此,在每次身份驗證中,使用者身份驗證必須輸入其憑據。
29.按一下完成按鈕。
30.選擇File > Save as,並將Secure Client Network Access ManagerProfile另存為configuration.xml。
31.要建立安全客戶端網路訪問管理器,請使用剛剛建立的配置檔案,並將下一個目錄中的configuration.xml檔案替換為新配置檔案:
C:\ProgramData\Cisco\Cisco安全客戶端\網路訪問管理器\系統
附註:檔案必須命名為configuration.xml,否則無法正常工作。
1.開啟NAM配置檔案編輯器,然後導航至網路部分。
2.按一下Add。
網路建立部分
3.為網路配置檔案命名,在本例中,名稱為EAP協定。
4.選擇Global作為Group Membership。和有線網路介質。
「介質型別」部分
5.按一下下一步。
6.選擇Authenticating Network,不要更改Security Level部分中其餘選項的預設值。
安全級別
7.此案例適用於使用憑證的使用者驗證。因此,使用User Connection選項。
連線型別
8.將EAP-TLS配置為EAP方法,並且不更改「EAP-TLS設定」部分中的默認值。
使用者身份驗證部分
9.對於「證書」部分,建立與AAA EAP-TLS證書匹配的規則。如果您使用的是ISE,請在Administration > System > Certificates部分中查詢此規則。
10.在「Certificate Trusted Authority」部分,選擇「Trust any Root Certificate Authority(CA)」(信任在作業系統上安裝的任意根證書頒發機構(CA))。
使用者身份驗證伺服器證書信任設定
11.按一下下一步。
12,對於使用者憑據部分,不要更改第一部分中的預設值。
User Auth Credentials部分
13.必須配置與使用者在EAP TLS過程中傳送的身份證書匹配的規則。為此,請按一下使用證書匹配規則(最多10個)旁邊的覈取方塊。
14.按一下Add。
證書匹配規則視窗
15.將My Internal or 3rd Party CA.com字串的值替換為使用者證書的CN。
User Auth Certificate Credentials部分
16.按一下完成完成配置。
17.選擇File > Save as,將Secure Client Network Access Manager Profile另存為configuration.xml。
18.要新增安全客戶端網路訪問管理器,請使用剛剛建立的配置檔案,並將下一個目錄中的configuration.xml檔案替換為新配置檔案:
C:\ProgramData\Cisco\Cisco安全客戶端\網路訪問管理器\系統
附註:檔案必須命名為configuration.xml,否則無法正常工作。
1.配置ISR 1100路由器。
2.本節介紹NAD確保dot1x按預期運行必須具備的基本配置。
附註:對於多節點ISE部署,指向啟用了策略伺服器節點角色的任何節點。這可以通過導航到管理>系統>部署頁籤中的ISE來檢查。
aaa new-model
aaa session-id common
!
aaa authentication dot1x default group ISE-CLUSTER
aaa authorization network default group ISE-CLUSTER
aaa accounting system default start-stop group ISE-CLUSTER
aaa accounting dot1x default start-stop group ISE-CLUSTER
!
aaa server radius dynamic-author
client A.B.C.D server-key <Your shared secret>
!
!
radius server ISE-PSN-1
address ipv4 A.B.C.D auth-port 1645 acct-port 1646
timeout 15
key <Your shared secret>
!
!
aaa group server radius ISE-CLUSTER
server name ISE-PSN-1
!
interface GigabitEthernet0/1/0
description "Endpoint that supports dot1x"
switchport access vlan 15
switchport mode access
authentication host-mode multi-auth
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
3.配置身份服務引擎3.2。
4.配置網路裝置。
5.將ISR NAD新增到ISE Administration > Network Resources > Network Devices。
6.按一下Add。
網路裝置部分
7.為正在建立的NAD指定名稱。新增網路裝置IP。
網路裝置建立
8.在同一頁的底部,新增網路裝置配置中使用的相同Shared Secret。
網路裝置Radius設定
8.儲存更改。
9.配置用於對端點進行身份驗證的標識。
10.使用ISE本地身份驗證,本文未解釋外部ISE身份驗證。
11.定位至管理>身份管理>組標籤,然後建立使用者所屬的組。為此示例建立的身份組是iseUsers。
身份組建立
12.按一下Submit。
13.導航到管理>身份管理>身份選項卡。
14.按一下Add。
「網路訪問使用者」部分
15.作為必填欄位的一部分。從使用者的名稱開始。本範例中使用的是使用者名稱iseiscool。
網路訪問使用者建立
16.為使用者分配密碼,在本示例中,使用VainillaISE97。
User Creation Password部分
17.將使用者分配到iseUsers組。
使用者組分配
18.配置策略集。
19.導航到ISE選單>策略>策略集。
20.可以使用預設策略集。但是本範例建立了名為「有線」的網路。
附註:對策略集進行分類和區分有助於進行故障排除,
如果新增或加號圖示「+」不可見,則可以按一下任何策略集的齒輪圖示,然後選擇Insert new row above(在上方插入新行)。
齒輪圖示選項
21.使用的條件是有線8021x,拖動它。然後按一下Use。
驗證原則條件工作室
22.在允許的協定部分中選擇Default Network Access。
策略集常規檢視
23.按一下Save。
1.按一下>圖標。
有線策略集
2.展開Authentication Policy部分。
3.按一下「+」圖示。
身份驗證策略
4.為Authentication Policy指定一個名稱;本示例使用Internal Authentication。
5.按一下此新身份驗證策略條件列上的「+」圖示。
6.使用預配置的條件Wired Dot1x。
7.在使用列中,選擇內部使用者。
身份驗證策略
1. Authorization Policy部分位於頁面底部。展開它並按一下+圖標。
授權策略
2.命名最近建立的授權策略。在此配置示例中,使用內部ISE使用者的名稱。
3.要為此授權策略建立條件,請按一下「條件」列中的「+」圖示。
4.使用組IseUsers。
5.按一下屬性部分。
6.選擇IdentityGroup圖標。
7.從詞典中,選擇隨IdentityGroup屬性提供的InternalUser詞典。
條件建立
8.從下拉選單中選擇Equals運算子。
9.從User Identity Groups下拉選單中選擇IseUsers組。
條件建立
10.按一下Use。
11.新增Result Authorization Profile。
12.使用預配置的配置檔案Permit Access。
附註:進入ISE的有線Dot1x策略集的身份驗證不是使用者身份組ISEUsers的一部分。點選預設授權策略,這將導致DenyAccess。
授權策略
13.按一下Save。
1.配置完成後,安全客戶端會提示輸入憑據,並指定PEAP MSCHAPv2配置檔案的使用。
2.輸入以前建立的身份證明。
安全客戶端NAM
3.如果終端身份驗證正確,NAM將顯示其已連線。
安全客戶端NAM
4.通過按一下資訊圖示並導航到消息歷史記錄部分,系統將顯示已完成的每個步驟的詳細資訊。
安全客戶端消息歷史記錄
安全客戶端消息歷史記錄
5.從ISE導航到操作> Radius LiveLogs以檢視身份驗證的詳細資訊。如下圖所示,顯示了使用的使用者名稱。
可獲取其他詳細資訊,例如:
ISE RADIUS即時日誌
6.在此檢視中,顯示了所有正確的策略,結果是身份驗證成功。這表示配置是正確的。
1.如果新配置檔案是在配置檔案編輯器中建立的,但NAM未使用,請對安全客戶端使用Network Repair選項。
2.通過導航到Windows欄>按一下揚抑符圖示>按一下右鍵安全客戶端圖示>按一下網路修復,可以找到此選項。
網路修復部分
1.啟用NAM擴展日誌
2.開啟NAM,然後按一下齒輪圖示。
NAM介面
3.定位至日誌設定標籤。選中Enable Extended Logging覈取方塊。
4.將Packet Capture File Size 設定為100 MB。
安全客戶端NAM日誌設定
5.啟用擴展日誌記錄後,多次重現該問題,以確保生成日誌並捕獲流量。
6.在Windows中,導航到搜尋欄並鍵入:Cisco Secure Client Diagnostics and Reporting Tool。
DART模組
7.在安裝過程中,您還安裝了此模組。該工具通過收集日誌和相關dot1x會話資訊在故障排除過程中提供幫助。
8.按一下第一個視窗中的Next。
DART模組
9.按一下下一步,這樣日誌捆綁包將儲存在案頭上。
DART模組
10.如有必要,請點選啟用捆綁加密覈取方塊。
DART模組
11. DART日志收集啟動。
DART日誌集合
12.整個過程結束大約需要10分鐘。
DART捆綁包建立結果
13.可以在案頭目錄中找到DART結果檔案。
DART結果檔案
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
02-Jul-2026
|
已更新拼寫、間距、語法、句子結構和CCW警報。 |
1.0 |
29-Apr-2024
|
初始版本 |