使用ISE在Windows上配置安全客戶端NAM配置檔案

下載選項

PDF (3.4 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (3.5 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (2.4 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2025 年 5 月 30 日

文件 ID:222236

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本檔案介紹如何透過身分識別服務引擎(ISE)部署Cisco Secure Client Network Access Manager(NAM)設定檔。

必要條件

需求

思科建議您瞭解以下主題：

身分識別服務引擎 (ISE)
AnyConnect NAM和配置檔案編輯器
狀態策略
適用於802.1x服務的Cisco Catalyst配置

採用元件

本文中的資訊係根據以下軟體和硬體版本：

Cisco ISE 3.3版及更高版本
Windows 10，帶Cisco安全移動客戶端5.1.4.74及更高版本
Cisco Catalyst 9200交換機，帶Cisco IOS® XE 17.6.5及更高版本
Active Directory 2016

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

EAP-FAST身份驗證分為兩個階段。在第一階段，EAP-FAST使用TLS握手來提供使用型別長度值(TLV)對象的金鑰交換並進行身份驗證，以建立受保護的隧道。這些TLV對象用於在客戶端和伺服器之間傳送身份驗證相關資料。隧道建立後，第二階段從客戶端和ISE節點開始進行進一步的對話以建立所需的身份驗證和授權策略。

NAM配置配置檔案設定為使用EAP-FAST作為身份驗證方法，並且可用於管理定義的網路。
此外，可以在NAM配置配置檔案中配置電腦和使用者連線型別。
使用帶狀態檢查的NAM，企業Windows裝置可獲得全面的企業訪問許可權。
個人Windows裝置使用相同的NAM配置獲得對受限網路的訪問許可權。

本文檔提供使用網路部署通過身份服務引擎(ISE)終端安全評估門戶部署思科安全客戶端網路訪問管理器(NAM)配置檔案的說明以及終端安全評估合規性檢查。

組態

網路圖表

Network Diagram

資料流

當PC連線到網路時，ISE提供授權策略重定向到終端安全評估門戶。
PC上的http流量重定向到ISE客戶端調配頁面，在該頁面中從ISE下載NSA應用。
然後，NSA在PC上安裝安全客戶端代理模組。
代理安裝完成後，代理將下載在ISE上配置的終端安全評估配置檔案和NAM配置檔案。
安裝NAM模組會觸發PC上的重新啟動。
重啟後，NAM模組根據NAM配置檔案執行EAP-FAST身份驗證。
然後觸發終端安全評估掃描，並根據ISE終端安全評估策略檢查合規性。

配置交換機

為接入交換機配置dot1x身份驗證和重定向。

aaa new-model

aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
aaa server radius dynamic-author
客戶端10.127.197.53伺服器金鑰Qwerty123
auth-type any

aaa session-id common
ip radius source-interface Vlan1000
radius-server attribute 6 on-for-login-auth
radius伺服器屬性8 include-in-access-req
radius-server attribute 25 access-request include
radius-server attribute 31 mac format ietf upper-case
radius伺服器RAD1
address ipv4 <ISE server IP> auth-port 1812 acct-port 1813
key <secret-key>

dot1x system-auth-control

為要重定向到ISE客戶端調配門戶的使用者配置重定向ACL。

ip access-list extended redirect-acl
10 deny udp any any eq domain
20 deny tcp any any eq domain
30 deny udp any eq bootpc any eq bootps
40 deny ip any host <ISE server IP>
50 permit tcp any any eq www
60 permit tcp any any eq 443

在交換機上啟用裝置跟蹤和http重定向。

device-tracking policy <device tracking policy name>
跟蹤啟用
interface <interface name>
device-tracking attach-policy <device tracking policy name>

ip http server
ip http secure-server

下載安全客戶端軟體包

從software.cisco.com手動下載配置檔案編輯器、安全客戶端視窗和合規性模組webdeploy檔案

在產品名稱搜尋欄上，鍵入Secure Client 5。

「下載首頁」(Downloads Home)>「安全」(Security)>「端點安全」(Endpoint Security)>「安全客戶端（包括AnyConnect）」(Secure Client 5)>「AnyConnect VPN客戶端軟體」(AnyConnect VPN Client Software)

cisco-secure-client-win-5.1.x-webdeploy-k9.pkg
cisco-secure-client-win-4.3.x-isecompliance-webdeploy-k9.pkg
tools-cisco-secure-client-win-5.1.x-profileeditor-k9.msi

ISE 組態

步驟1.在ISE上傳包

要在ISE上上傳安全客戶端和合規性模組webdeploy包，請導航到Workcenter > Posture > Client Provisioning > Resources > Add > Agent Resources from Local Disk。

Upload the Package on ISE

步驟2.通過配置檔案編輯器工具建立NAM配置檔案

有關如何配置NAM配置檔案的資訊，請參閱本指南使用Windows和ISE 3.2為Dot1x配置安全客戶端NAM

步驟3.上傳ISE上的NAM配置檔案

要將ISE上的NAM配置檔案Configuration.xml作為代理配置檔案，請導航到Client Provisioning > Resources > Agent Resources From Local Disk。

步驟4.建立狀態配置檔案

Create a Posture Profile

Posture Profile Created

在Posture Protocol部分，不要忘記新增*以允許代理連線到所有伺服器。

步驟5.建立代理配置

Create Agent Configuration

選擇上傳的安全客戶端和合規性模塊包，在Module選擇下，選擇ISE Posture、NAM和DART模組。

Upload Secure Client and Compliance Module Package

在Profile select下，選擇Posture和NAM Profile，然後按一下Submit。

Choose Posture and NAM Profile

步驟6.客戶端調配策略

為Windows作業系統建立客戶端調配策略，並選擇上一步中建立的代理配置。

Client Provisioning Policy

步驟7.狀態策略

有關如何建立終端安全評估策略和條件的資訊，請參閱本指南ISE終端安全評估規範部署指南。

步驟8.新增網路裝置

要新增交換機IP地址和radius共用金鑰，請導航到管理>網路資源。

Add Network Device

Shared Secret

步驟9.授權配置檔案

要建立狀態重定向配置檔案，請導航到Policy > Policy Elements > Results。

Authorization Profile

在Common Tasks下，選擇Client Provisioning Portal with Redirect ACL。

Select Client Provisioning Portal with Redirect ACL

步驟10.允許的協定

導航到Policy > Policy elements > Results > Authentication > Allowed Protocols，選擇EAP Chaining設定。

Allowed Protocols

Allow EAP-FAST and Enable EAP Chaining

步驟11. Active Directory

驗證ISE與Active Directory域加入並且域組被選擇（如果需要授權條件）。

管理>身份管理>外部身份源> Active Directory

Active Directory

步驟12.政策設定

在ISE上建立策略集以驗證dot1x請求。導航到Policy > Policy sets。

Policy Sets

選擇Active directory作為身份驗證策略的身份源。

Select Active Directory

根據狀態未知、不合規和合規配置不同的授權規則。

在此使用情形中。

初始訪問：重定向至ISE客戶端調配門戶以安裝安全客戶端代理和NAM配置檔案。
未知訪問：訪問客戶端調配門戶，進行基於重定向的狀態發現。
合規訪問：完全網路訪問。
不符合：拒絕訪問。

Authorization Rules

驗證

步驟1.從ISE下載並安裝安全客戶端狀態/NAM模組

選擇通過dot1x進行身份驗證的端點，按Initial Access Authorization rule。導覽至操作> Radius >即時日誌。

Download and Install Secure Client Posture/NAM Module from ISE

在Switch上，指定重定向URL和ACL以應用於端點。

Switch#show authentication session interface te1/0/24詳細資訊
Interface:1000千兆乙太網1/0/24
IIF-ID:0x19262768
MAC 地址:x4x6.xxxx.xxxx
IPv6地址：未知
IPv4地址：<client-IP>
使用者名稱：host/DESKTOP-xxxxxx.xxx
狀態:已獲授權的
域：資料
Oper主機模式：單主機
Oper control dir:兩者
會話超時：不適用
通用會話ID:16D5C50A0000002CF067366B
Acct會話ID:0x0000001f
控制代碼：0x7a000017
當前策略：POLICY_Te1/0/24

本地策略：
服務模板：DEFAULT_LINKSEC_POLICY_SHOULD_SECURE（優先順序150）
安全策略：應安全
安全狀態：鏈路不安全

伺服器策略：
URL重新導向ACL:redirect-acl
URL重定向：https://ise33.xxxx:8443/portal/gateway?sessionId=16D5C50A0000002CF067366A&portal=ee39fd08-7180-4995-8aa2-9fb282645a8f&action=cpp&token=518f857900a37f9afc6d2da8b6fe3bc2
ACS ACL:xACSACLx-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3

方法狀態清單：
方法狀態
dot1x驗證成功

Switch#sh device-tracking database interface te1/0/24

網路層地址鏈路層地址介面VLAN屬性保留狀態剩餘時間
ARP X.X.X.X b496.91f9.568b Te1/0/24 1000 005 4mn可達性39秒嘗試0

在終端上，驗證重定向到ISE終端安全評估的流量，然後按一下Start在終端上下載網路設定助手。

Device Security Check

Download and Install Agent

按一下Run安裝NSA應用程式。

Run Device Security Check

現在，NSA從ISE呼叫安全客戶端代理下載並安裝狀態、NAM模組和NAM配置檔案configuration.xml。

Secure Client Download in Progress

安裝NAM後觸發重新啟動提示。按一下「Yes」。

Updates Completed, Restart Computer

步驟2. EAP-FAST

PC重新啟動且使用者登入後，NAM將通過EAP-FAST對使用者和電腦進行身份驗證。

如果終端身份驗證正確，NAM顯示其已連線，並且終端安全評估模組觸發終端安全評估掃描。

Authentication in Progress

在ISE即時日誌中，終端現在觸碰未知訪問規則。

Endpoint is Hitting Unknown Access Rule

現在，身份驗證協定基於NAM配置檔案配置為EAP-FAST，EAP-Chaining結果為Success。

Result is Success

步驟3.狀態掃描

安全客戶端狀態模組觸發狀態掃描，並根據ISE狀態策略標籤為投訴。

Posture Scan

CoA在終端安全評估掃描後觸發，此時終端會觸及Complaint Access Policy。

CoA Triggered after the Posture Scan

疑難排解

步驟1. NAM配置檔案

安裝NAM模組後，驗證PC上此路徑中是否存在NAM配置檔案configuration.xml。

C:\ProgramData\Cisco\Cisco安全客戶端\網路訪問管理器\系統

步驟2. NAM擴展日誌記錄

從工作列中按一下Secure Client圖示，然後選擇settings圖示。

NAM Extended Logging

導航到Network > Log Settings頁籤。選中Enable Extended Logging覈取方塊。
將資料包捕獲檔案大小設定為100 MB。

重現問題後，按一下Diagnostics在端點上建立DART捆綁包。

Click Diagnostics to Create the DART Bundle on the Endpoint

Message History部分顯示NAM執行的每個步驟的詳細資訊。

步驟3.在交換機上進行調試

在交換機上啟用這些調試，以排除dot1x和重定向流的故障。

debug ip http all

debug ip http transactions

debug ip http url

set platform software trace smd switch active R0 aaa debug
set platform software trace smd switch active R0 dot1x-all debug
set platform software trace smd switch active R0 radius debug
set platform software trace smd switch active R0 auth-mgr-all debug
set platform software trace smd switch active R0 eap-all debug
set platform software trace smd switch active R0 epm-all debug

set platform software trace smd switch active R0 epm-redirect debug

set platform software trace smd switch active R0 webauth-aaa debug

set platform software trace smd switch active R0 webauth-https調試

檢視日誌

show logging

show logging process smd internal

步驟4. ISE調試

收集具有以下屬性的ISE支持捆綁包，以在調試級別設定：

狀態
門戶
布建
運行時AAA
nsf
nsf-session
瑞士
client-webapp

修訂	發佈日期	意見
2.0	30-May-2025	已更新標題、替代文字、樣式要求和格式。
1.0	29-Jul-2024	初始版本