تكامل AnyConnect 4.0 مع ISE، الإصدار 1.3 مثال التكوين
المحتويات
المقدمة
يصف هذا المستند الوظيفة الجديدة في الإصدار 1.3 من محرك خدمات الهوية من Cisco (ISE) التي تسمح لك بتكوين العديد من وحدات AnyConnect Secure Mobility Client وتزويدها تلقائيا إلى نقطة النهاية. يقدم هذا المستند كيفية تكوين شبكة VPN ومدير الوصول إلى الشبكة (NAM) ووحدات الوضع على ISE ودفعها إلى المستخدم المسؤول.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- عمليات نشر ISE والمصادقة والتخويل
- تكوين وحدات التحكم في الشبكة المحلية (LAN) اللاسلكية (WLCs)
- الشبكة الخاصة الظاهرية (VPN) الأساسية والمعرفة الخاصة بشبكة 802.1x
- تكوين ملفات تعريف VPN و NAM مع محرري ملفات تعريف AnyConnect
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- نظام التشغيل Microsoft Windows 7
- Cisco WLC، الإصدار 7.6 والإصدارات الأحدث
- برنامج Cisco ISE، الإصدارات 1.3 والإصدارات الأحدث
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الطوبولوجيا والتدفق
هنا هو التدفق:
الخطوة 1. معرف مجموعة خدمة وصول المستخدم إلى الشركة (SSID): الإمداد. يجري مصادقة 802.1x مع EAP المحمي ببروتوكول المصادقة المتوسع (EAP-PEAP). تمت مواجهة قاعدة تخويل التوفير على ISE وتمت إعادة توجيه المستخدم لإمداد AnyConnect (عبر بروتوكول إمداد العميل). إذا لم يتم اكتشاف AnyConnect على الجهاز، يتم تثبيت جميع الوحدات النمطية التي تم تكوينها (VPN، NAM، Posture). وبالإضافة إلى ملف التعريف هذا، يتم دفع تكوين كل وحدة نمطية.
الخطوة 2. بمجرد تثبيت AnyConnect، يجب على المستخدم إعادة تمهيد الكمبيوتر. بعد إعادة التشغيل، يتم تشغيل AnyConnect ويتم إستخدام SSID الصحيح تلقائيا وفقا لتوصيف NAM الذي تم تكوينه (Secure_ACCESS). يتم إستخدام EAP-PEAP (على سبيل المثال، يمكن إستخدام بروتوكول المصادقة المتوسع-تأمين طبقة النقل (EAP-TLS) أيضا). في نفس الوقت، تتحقق الوحدة النمطية للوضع مما إذا كانت المحطة متوافقة (تحقق من وجود ملف c:\test.txt).
الخطوة 3. إذا كانت حالة وضعية المحطة غير معروفة (لا يوجد تقرير من وحدة Posture النمطية)، فإنها لا تزال تتم إعادة توجيهها للتوفير، نظرا لمصادفة قاعدة Authz على ISE. بمجرد أن تكون المحطة متوافقة، يرسل ISE تغيير التفويض (CoA) إلى وحدة التحكم في الشبكة المحلية اللاسلكية، والذي يؤدي إلى تشغيل إعادة المصادقة. تحدث مصادقة ثانية، ويتم الوصول إلى قاعدة التوافق على ISE، والتي ستزود المستخدم بالوصول الكامل إلى الشبكة.
ونتيجة لذلك، تم تزويد المستخدم بوحدات AnyConnect VPN و NAM و Posture النمطية التي تسمح بالوصول الموحد إلى الشبكة. يمكن إستخدام وظائف مماثلة على جهاز الأمان القابل للتكيف (ASA) للوصول إلى شبكة VPN. وفي الوقت الحالي، يمكن أن يقوم مركز الأنظمة الإلكترونية بالشيء نفسه بالنسبة لأي نوع من أنواع الوصول ذي نهج دقيق للغاية.
ولا تقتصر هذه الوظيفة على مستخدمي الشركات، ولكن من المرجح أن يكون نشرها لهذه المجموعة من المستخدمين أكثر شيوعا.
التكوين
WLC
تم تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام إثنين من SSID:
- الإمداد - [WPA + WPA2][المصادقة (802.1X)]. يستخدم SSID هذا لتوفير AnyConnect.
- Secure_access - [WPA + WPA2][المصادقة (802.1X)]. يتم إستخدام SSID هذا للوصول الآمن بعد توفير نقطة النهاية مع وحدة NAM التي تم تكوينها ل SSID.
محرك خدمات كشف الهوية (ISE)
الخطوة 1. إضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)
إضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى أجهزة الشبكة على ISE.
الخطوة 2. تكوين ملف تعريف VPN
قم بتكوين ملف تعريف VPN باستخدام محرر ملف تعريف AnyConnect لشبكة VPN.
تمت إضافة إدخال واحد فقط للوصول إلى شبكة VPN. احفظ ملف XML هذا إلى VPN.xml.
الخطوة 3. تكوين ملف تعريف NAM
قم بتكوين ملف تعريف NAM باستخدام محرر ملف تعريف AnyConnect ل NAM.
لم يتم تكوين سوى معرف SSID واحد: secure_access. احفظ ملف XML هذا في NAM.xml.
الخطوة 4. تثبيت التطبيق
- قم بتنزيل التطبيق يدويا من Cisco.com.
- AnyConnect-win-4.0.00048-k9.pkg
- AnyConnect-win-compliance-3.6.9492.2.pkg
- على ISE، انتقل إلى السياسة > النتائج > إمداد العميل > الموارد، وقم بإضافة موارد الوكيل من القرص المحلي.
- أختر الحزم المقدمة من Cisco وحدد AnyConnect-win-4.0.0048-k9.pkg:
- كرر الخطوة 4 لوحدة التوافق النمطية.
الخطوة 5. تثبيت ملف تعريف VPN/NAM
- انتقل إلى السياسة > النتائج > إمداد العميل > الموارد، وقم بإضافة موارد الوكيل من القرص المحلي.
- أختر الحزم التي أنشأها العميل واكتب توصيف AnyConnect. حدد ملف تعريف NAM الذي تم إنشاؤه مسبقا (ملف XML):
- كرر خطوات مماثلة لتوصيف VPN:
الخطوة 6. تكوين الوضع
يجب تكوين توصيفات NAM و VPN خارجيا باستخدام محرر ملف تعريف AnyConnect واستيرادها إلى ISE. ولكن الوضعية مكونة بالكامل على ISE.
انتقل إلى سياسة > شروط > وضعية > حالة الملف.يمكنك أن ترى أنه تم إنشاء شرط بسيط لوجود الملف. يجب أن يكون لديك هذا الملف لكي تكون متوافقة مع السياسة التي تم التحقق منها بواسطة وحدة الوضع النمطية:
يتم إستخدام هذا الشرط لمتطلب:
ويتم إستخدام هذا المتطلب في نهج الوضع لأنظمة Microsoft Windows:
أحلت ل كثير معلومة حول Posture تشكيل، Posture Services في ال cisco ISE تشكيل مرشد.
بمجرد أن يكون نهج Posture (الوضع) جاهزا، حان الوقت لإضافة تكوين عامل Posture (الوضع).
- انتقل إلى السياسة > النتائج > إمداد العميل > الموارد وإضافة عميل التحكم في الدخول إلى الشبكة (NAC) أو ملف تعريف وضعية وكيل AnyConnect.
- Select AnyConnect (تم إستخدام وحدة نمطية جديدة من ISE الإصدار 1.3 بدلا من وكيل NAC القديم):
- من قسم بروتوكول الوضع، لا تنس إضافة * للسماح للوكيل بالاتصال بجميع الخوادم.
- إذا ترك حقل قواعد اسم الخادم فارغا، فإن ISE لا يحفظ الإعدادات ويبلغ عن هذا الخطأ:
Server name rules: valid value is required
الخطوة 7. تكوين AnyConnect
في هذه المرحلة، تم تكوين جميع التطبيقات (AnyConnect) وتكوين ملف التعريف لجميع الوحدات النمطية (VPN، NAM، و Posture). وقد حان الوقت لربط هذه العلاقات ببعضها البعض.
- انتقل إلى السياسة > النتائج > إمداد العميل > الموارد، وأضف تكوين AnyConnect.
- قم بتكوين الاسم وحدد وحدة التوافق وجميع وحدات AnyConnect النمطية المطلوبة (VPN، NAM، و Posture).
- في تحديد التوصيف، أختر التوصيف الذي تم تكوينه سابقا لكل وحدة نمطية.
- تعد الوحدة النمطية للشبكة الخاصة الظاهرية (VPN) إلزامية لجميع الوحدات النمطية الأخرى للعمل بشكل صحيح. حتى في حالة عدم تحديد وحدة VPN للتثبيت، سيتم دفعها وتثبيتها على العميل. إن لا يريد أنت أن يستعمل VPN، هناك إمكانية أن يشكل توصيف خاص ل VPN أن يخفي المستعمل قارن ل ال VPN وحدة نمطية. يجب إضافة هذه السطور إلى ملف VPN.xml:
<ClientInitialization>
true
</ClientInitialization> - ويتم تثبيت هذا النوع من ملفات التعريف أيضا عند إستخدام Setup.exe من حزمة ISO (anyConnect-win-3.1.06073-pre-deploy-k9.iso). بعد ذلك، يتم تثبيت ملف تعريف VPNDisable_ServiceProfile.xml ل VPN مع التكوين، الذي يعجز واجهة المستخدم لوحدة VPN.
الخطوة 8. قواعد إمداد العميل
يجب الإشارة إلى تكوين AnyConnect الذي تم إنشاؤه في الخطوة 7 في قواعد إمداد العميل:
تحدد قواعد إمداد العميل التطبيق الذي سيتم دفعه إلى العميل. يلزم وجود قاعدة واحدة فقط هنا مع النتيجة التي تشير إلى التكوين الذي تم إنشاؤه في الخطوة 7. بهذه الطريقة، ستستخدم جميع نقاط نهاية Microsoft Windows التي يتم إعادة توجيهها إلى "إمداد العميل" تكوين AnyConnect مع جميع الوحدات النمطية وتوصيفات الخدمة.
الخطوة 9. ملفات تعريف التخويل
يلزم إنشاء ملف تعريف التخويل لتوفير العميل. يتم إستخدام مدخل توفير العميل الافتراضي:
يفرض ملف التعريف هذا إعادة توجيه المستخدمين للتوفير إلى مدخل إمداد العميل الافتراضي. يقيم هذا المدخل سياسة تزويد العميل (القواعد التي تم إنشاؤها في الخطوة 8). يقصد بملفات تعريف التخويل نتائج قواعد التخويل التي تم تكوينها في الخطوة 10.
قائمة التحكم في الوصول GuestRedirect (ACL) هي اسم قائمة التحكم في الوصول (ACL) المعرفة على عنصر التحكم في الوصول (WLC). تحدد قائمة التحكم في الوصول هذه حركة المرور التي يجب إعادة توجيهها إلى ISE. لمزيد من المعلومات، ارجع إلى مصادقة الويب المركزية باستخدام محول ومثال تكوين محرك خدمات الهوية.
هناك أيضا ملف تعريف تخويل آخر يوفر الوصول المحدود للشبكة (DACL) للمستخدمين غير المتوافقين (يسمى LimitedAccess).
الخطوة 10. قواعد التخويل
يتم دمج جميع هذه العناصر في أربع قواعد للتخويل:
قم أولا بالاتصال ب SSID للتوفير، ثم تمت إعادة توجيهك للتوفير إلى مدخل إمداد عميل افتراضي (الإمداد المسمى بالقاعدة). بمجرد الاتصال ب SSID secure_access، فإنه لا يزال يقوم بإعادة التوجيه للتوفير في حالة عدم تلقي أي تقرير من وحدة Posture بواسطة ISE (القاعدة المسماة غير معروفة). بمجرد أن تكون نقطة النهاية متوافقة تماما، يتم منح حق الوصول الكامل (متوافق مع اسم القاعدة). إذا تم الإبلاغ عن نقطة النهاية بأنها غير متوافقة، فإنها تحتوي على وصول محدود للشبكة (القاعدة المسماة غير متوافقة).
التحقق من الصحة
أنت تقترن ب SSID للتوفير، وتحاول الوصول إلى أي صفحة ويب، ويتم إعادة توجيهك إلى مدخل تزويد العميل:
بما أن AnyConnect لم يتم اكتشافه، يطلب منك تثبيته:
يتم تنزيل تطبيق صغير يسمى مساعد إعداد الشبكة، وهو المسؤول عن عملية التثبيت بأكملها. لاحظ أنه مختلف عن مساعد إعداد الشبكة في الإصدار 1.2.
تم تثبيت جميع الوحدات النمطية (VPN، NAM، و Posture) وتكوينها. يجب إعادة تشغيل الكمبيوتر:
بعد إعادة التشغيل، يتم تنفيذ AnyConnect تلقائيا وتحاول NAM الاقتران ب secure_access SSID (وفقا لملف التعريف الذي تم تكوينه). لاحظ أنه تم تثبيت ملف تعريف VPN بشكل صحيح (إدخال ASAV2 لشبكة VPN):
بعد المصادقة، يقوم AnyConnect بتنزيلات التحديثات وأيضا قواعد الوضع التي يتم إجراء التحقق منها:
في هذه المرحلة، قد يظل الوصول محدودا (تواجه قاعدة التخويل غير المعروف على ISE). بمجرد أن تكون المحطة متوافقة، يتم الإبلاغ عن ذلك بواسطة الوحدة النمطية للوضع:
يمكن أيضا التحقق من التفاصيل (تم استيفاء FileRequirements):
يظهر "محفوظات الرسائل" الخطوات التفصيلية:
9:18:38 AM The AnyConnect Downloader is performing update checks...
9:18:38 AM Checking for profile updates...
9:18:38 AM Checking for product updates...
9:18:38 AM Checking for customization updates...
9:18:38 AM Performing any required updates...
9:18:38 AM The AnyConnect Downloader updates have been completed.
9:18:38 AM Update complete.
9:18:38 AM Scanning system ...
9:18:40 AM Checking requirement 1 of 1.
9:18:40 AM Updating network settings ...
9:18:48 AM Compliant.
يتم إرسال التقرير الناجح إلى ISE، مما يؤدي إلى تغيير التفويض. تواجه المصادقة الثانية قاعدة التوافق ويتم منح حق الوصول الكامل إلى الشبكة. إذا تم إرسال تقرير Posture مع الاستمرار في الاقتران ب SSID للتوفير، تظهر هذه السجلات على ISE:
يشير تقرير الوضع إلى:
تظهر التقارير التفصيلية FileRequirements الذي تم الوفاء به:
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
16-Jan-2015 |
الإصدار الأولي |
التعليقات