簡介
本文檔介紹如何通過ASDM配置動態訪問策略(DAP),以檢查用於AnyConnect連線的裝置的Mac地址。
必要條件
需求
思科建議您瞭解以下主題:
配置Cisco Anyconnect和Hostscan
採用元件
本文中的資訊係根據以下軟體和硬體版本:
ASAv 9.18(4)
ASDM 7.20(1)
Anyconnect 4.10.07073
Hostscan 4.10.07073
Windows 10
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
HostScan是一個軟體模組,可為AnyConnect安全移動客戶端提供在網路上實施安全策略的能力。在Hostscan過程中,將收集有關客戶端裝置的各種詳細資訊並報告給自適應安全裝置(ASA)。這些詳細資訊包括裝置作業系統、防病毒軟體、防火牆軟體、MAC地址等。動態訪問策略(DAP)功能允許網路管理員針對每個使用者配置安全策略,DAP中的endpoint.device.MAC屬性可用於根據預定義策略匹配或檢查客戶端裝置的MAC地址。
設定
網路圖表
此圖顯示用於本文檔示例的拓撲。
圖表
ASA中的配置
這是ASA CLI中的最小配置。
tunnel-group dap_test_tg type remote-access
tunnel-group dap_test_tg general-attributes
default-group-policy dap_test_gp
tunnel-group dap_test_tg webvpn-attributes
group-alias dap_test enable
group-policy dap_test_gp internal
group-policy dap_test_gp attributes
vpn-tunnel-protocol ssl-client
address-pools value ac_pool
webvpn
anyconnect keep-installer installed
always-on-vpn profile-setting
ip local pool ac_pool 172.16.1.11-172.16.1.20 mask 255.255.255.0
webvpn
enable outside
hostscan image disk0:/hostscan_4.10.07073-k9.pkg
hostscan enable
anyconnect image disk0:/anyconnect-win-4.10.07073-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
ASDM中的配置
本節介紹如何在ASDM中配置DAP記錄。在本示例中,設定使用endpoint.device.MAC屬性作為條件的3個DAP記錄。
·01_dap_test:endpoint.device.MAC=0050.5698.e608
·02_dap_test:endpoint.device.MAC=0050.5698.e605 = Anyconnect端點的MAC
·03_dap_test:endpoint.device.MAC=0050.5698.e609
1.配置第一個名為01_dap_test的DAP。
導覽至Configuration > Remote Access VPN > Network(Client)Access > Dynamic Access Policies。點選Add ,並設定Policy Name、AAA Attribute、endpoint attributes、Action、User Message,如下圖所示:
配置第一個DAP
為AAA屬性配置組策略。
為DAP記錄配置組策略
配置終端屬性的MAC地址。
配置DAP的MAC條件
2.配置名為02_dap_test的第二個DAP。
配置第二個DAP
3.配置名為03_dap_test的第三個DAP。
配置第三個DAP
4.使用 more flash:/dap.xml
命令確認dap.xml中DAP記錄的設定。
在ASDM上設定的DAP記錄的詳細資訊儲存在ASA快閃記憶體中,即dap.xml。完成這些設定後,將以dap.xml生成三個DAP記錄。您可以在dap.xml中確認每個DAP記錄的詳細資訊。
註:DAP匹配的順序是dap.xml中的顯示順序。 預設DAP(DfltAccessPolicy)是最後匹配的。
ciscoasa# more flash:/dap.xml
01_dap_test
<--- 1st DAP name
and
match-all
aaa.cisco.grouppolicy
dap_test_gp
<--- 1st DAP group policy
EQ
caseless
match-any
match-all
endpoint.device.MAC["0050.5698.e608"]
<--- 1st DAP MAC Address condition
true
caseless
EQ
02_dap_test
<--- 2nd DAP name
and
match-any
aaa.cisco.grouppolicy
dap_test_gp
<--- 2nd DAP group policy
EQ
caseless
match-any
match-all
endpoint.device.MAC["0050.5698.e605"]
<--- 2nd DAP MAC Address condition
true
caseless
EQ
03_dap_test
<--- 3rd DAP name
and
match-any
aaa.cisco.grouppolicy
dap_test_gp
<--- 3rd DAP group policy
EQ
caseless
match-any
match-all
endpoint.device.MAC["0050.5698.e609"]
<--- 3rd DAP MAC Address condition
true
caseless
EQ
驗證
案例1.僅匹配一個DAP
1.確保端點的MAC為0050.5698.e605,它與02_dap_test中的MAC條件匹配。
2.在終端上,運行Anyconnect連線並輸入使用者名稱和密碼。
輸入使用者名稱和密碼
3.在Anyconnect UI中,確認已匹配02_dap_test。
在UI中確認使用者消息
4.在ASA系統日誌中,確認已匹配02_dap_test。
Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 11:46:11: %ASA-4-711001: Selected DAPs: ,02_dap_test Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Dec 30 2023 11:46:11: %ASA-4-711001: dap_process_selected_daps: selected 1 records Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 11:46:11: %ASA-4-711001: DAP_close: 17
案例2.預設DAP已匹配
1. 將02_dap_test中的endpoint.device.MAC值更改為050.5698.e607,該值與終結點的MAC不匹配。
2.在終端上,運行Anyconnect連線並輸入使用者名稱和密碼。
3. 確認Anyconnect連線已被拒絕。
在UI中確認使用者消息
4.在ASA系統日志中,確認DfltAccessPolicy匹配。
註:預設情況下,DfltAccessPolicy的操作為Terminate。
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: Selected DAPs:
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Dec 30 2023 12:13:39: %ASA-4-711001: dap_process_selected_daps: selected 0 records
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: Selected DAPs: DfltAccessPolicy
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: DAP_close: 1B
案例3.匹配多個DAP(操作:繼續)
1.更改每個DAP中的操作和屬性。
·01_dap_test:
dapSelection(MAC Address)= endpoint.device.MAC[0050.5698.e605] = Anyconnect端點的MAC
Action =繼續
·02_dap_test:
dapSelection(主機名)= endpoint.device.hostname[DESKTOP-VCKHRG1] = Anyconnect終端的主機名
Action =繼續
·刪除03_dap_test DAP記錄
2.在終端上,運行Anyconnect連線,並輸入使用者名稱和密碼。
3.在Anyconnect UI中,確認所有2個DAP都匹配
注意:如果某個連線匹配多個DAP,則多個DAP的使用者消息將整合在一起並顯示在Anyconnect UI中。
在UI中確認使用者消息
4.在ASA系統日誌中,確認所有2個DAP都匹配。
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1"
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: Selected DAPs: ,01_dap_test,02_dap_test
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: dap_process_selected_daps: selected 2 records
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: DAP_close: 4
案例4.多個DAP(操作:終止) 已匹配
1.更改01_dap_test的操作。
·01_dap_test:
dapSelection(MAC Address)= endpoint.device.MAC[0050.5698.e605] = Anyconnect端點的MAC
操作=終止
·02_dap_test:
dapSelection(主機名)= endpoint.device.hostname[DESKTOP-VCKHRG1] = Anyconnect終端的主機名
Action =繼續
2.在終端上,運行Anyconnect連線,並輸入使用者名稱和密碼。
3.在Anyconnect UI中,確認僅匹配01_dap_test。
註:一個連線與已設定為終止操作的DAP記錄匹配。終止操作後不再匹配後續記錄。
在UI中確認使用者消息
4.在ASA系統日志中,確認僅匹配01_dap_test。
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1"
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:55:37: %ASA-4-711001: Selected DAPs: ,01_dap_test
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: dap_process_selected_daps: selected 1 records
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:55:37: %ASA-4-711001: DAP_close: 6
一般疑難排解
這些調試日誌可幫助您確認ASA中DAP的詳細行為。
debug dap trace
debug dap trace errors
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1"
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: Selected DAPs: ,01_dap_test,02_dap_test
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: dap_process_selected_daps: selected 2 records
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: DAP_close: 4
相關資訊
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html#toc-hId-981572249