تكوين عنوان IP ثابت على شبكة AnyConnect Remote Access VPN باستخدام ISE و AD

تم التحديث:٣ مايو ٢٠٢٣

معرّف المستند:220438

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

معلومات أساسية

التكوين

تهيئة AD

تكوين ISE

تكوين ASA

التحقق من الصحة

للمستخدمين الذين ليس لديهم عناوين IP ثابتة على AD

استكشاف الأخطاء وإصلاحها

المقدمة

يصف هذا وثيقة كيف أن يشكل عنوان ساكن إستاتيكي على cisco AnyConnect Remote Access VPN مع هوية خدمة محرك (ISE) و active Directory (AD).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

تكوين Cisco ISE، الإصدار 3.0
تكوين أجهزة الأمان المعدلة (ASA) من Cisco/الحماية ضد تهديد الطاقة النارية (FTD)
تدفق مصادقة VPN

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

ISE الإصدار 3.0 من Cisco
ASA من Cisco
نظام التشغيل Windows 2016
نظام التشغيل Windows 10
عميل AnyConnect من Cisco

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

عندما يقوم المستخدمون بإجراء مصادقة VPN مع ASA من Cisco باستخدام برنامج عميل AnyConnect VPN، من المفيد في بعض الحالات تعيين عنوان IP الثابت نفسه إلى عميل. هنا، أنت يستطيع شكلت ساكن إستاتيكي عنوان لكل مستعمل حساب في AD واستعملت هذا عنوان عندما المستعمل يربط إلى ال VPN. يمكن تكوين ISE بالسمة msRADIUSFramedIPAddress للاستعلام عن AD لجلب عنوان IP من AD وتعيينه على العميل عند إتصاله.

يصف هذا وثيقة فقط كيف أن يشكل عنوان ساكن إستاتيكي على cisco AnyConnect Remote Access VPN.

التكوين

تهيئة AD

الخطوة 1. حدد حساب إختبار داخل AD. تعديل Properties من حساب الاختبار، حدد Dial-in علامة التبويب كما هو موضح في الصورة.

الخطوة 2. المسطرة Assign Static IP Addressمربع.

الخطوة 3. انقر فوق Static IP Addresses زر.

الخطوة 4. المسطرة Assign a static IPv4 addressوأدخل عنوان.

ملاحظة: يجب عدم إستخدام عنوان IP المعين أو تضمينه في تجمع DHCP.

الخطوة 5. انقر OK لإكمال التكوين.

تكوين ISE

الخطوة 1. قم بإضافة جهاز شبكة على ISE وقم بتكوين RADIUS والمفتاح المشترك. انتقل إلىISE > Administration > Network Devices > Add Network Device.

الخطوة 2. دمج ISE مع AD. انتقل إلى ISE > Administration > External Identity Sources > Active Directory > Join ISE to Domain .

الخطوة 3. إضافة AD Attribute msRADIUSFramedIPAddress. انتقل إلى ISE > Administration > External Identity Sources > Active Directory ثم حدد اسم النقطة المشتركة الذي تم إنشائه. انقر فوق Edit.ثم انقر فوق Attributes علامة تبويب. و، انقر Add > Select Attributes from Directory.

أدخل اسم مستخدم الاختبار الموجود على AD والذي تم تعيين عنوان IP الثابت له وحدد Retrieve Attributes.

تأكد من تحديد المربع msRADIUSFramedIPAddress وانقر فوق OK .

تحرير السمة msRADIUSFramedIPAddress وتغيير Type القيمة من STRING to IPوانقر فوق Save.

الخطوة 4. إنشاء ملف تعريف تخويل. انتقل إلى ISE > Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add.

في Advanced Attributes Settings,إضافة قيمة جديدة ل Radius: Framed-IP-Address ويساوي msRADIUSFramedIPAddressالقيمة المحددة مسبقا تحت سمات AD (في الخطوة 3.).

الخطوة 5. إنشاء Policy Set. انتقل إلى ISE > Policy > Policy Sets. إنشاء مجموعة سياسات و Save. قم بإنشاء نهج مصادقة وحدد مصدر الهوية ك Active Directory (مرتبط بالخطوة 2.).قم بإنشاء نهج تخويل وحدد النتيجة مع إنشاء ملف تعريف التخويل (الذي تم إنشاؤه في الخطوة 4.).

تكوين ASA

قم بتمكين WebVPN على الواجهة الخارجية وتمكين صورة AnyConnect.

webvpn

  enable OUTSIDE

  anyconnect image disk0:/anyconnect-win-4.10.00093-webdeploy-k9.pkg 1

 anyconnect enable

 tunnel-group-list enable

تحديد مجموعة خوادم AAA والخادم:

aaa-server ISE protocol radius

aaa-server ISE (inside) host 10.127.197.230

 key *****

 authentication-port 1812

 accounting-port 1813

 radius-common-pw *****

 authorize-only

 interim-accounting-update periodic 24

 dynamic-authorization

تجمع VPN:

ip local pool VPN_POOL 192.168.1.1-192.168.1.50 mask 255.255.255.0

نهج المجموعة:

group-policy GP-1 internal

group-policy GP-1 attributes

 dns-server value 10.127.197.254

 vpn-tunnel-protocol ssl-client

 address-pools value VPN_POOL

مجموعة الأنفاق:

tunnel-group TG-2 type remote-access

tunnel-group TG-2 general-attributes

 authentication-server-group ISE

 default-group-policy GP-1

tunnel-group TG-2 webvpn-attributes

 group-alias TG-2 enable

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

إذا كان لديك IP ثابت معين على AD:

سجلات ISE المباشرة:

سمات أخرى: هنا، يمكنك رؤية السمة msRADIUSFramedIPAddress بعنوان IP معين لهذا المستخدم على AD.

النتائج: عنوان IP المرسل من ISE إلى ASA.

خرج من ASA:

: show vpn-sessiondb anyconnect

للمستخدمين الذين ليس لديهم عناوين IP ثابتة على AD

إذا لم يكن لدى المستخدمين عنوان IP معين على AD، فسيتم تعيينهم بعنوان IP المعين من VPN_POOL المحلي أو DHCP (في حالة تكوينه). هنا، استعملت بركة محلي يعين على ASA.