Konfigurieren einer statischen IP-Adresse auf einem AnyConnect Remote Access-VPN mit ISE und AD

Einleitung

In diesem Dokument wird beschrieben, wie Sie eine statische IP-Adresse auf dem Cisco AnyConnect Remote Access VPN mit der Identity Services Engine (ISE) und Active Directory (AD) konfigurieren.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Konfiguration der Cisco ISE Version 3.0
• Konfiguration der Cisco Adaptive Security Appliance (ASA)/Firepower Threat Defense (FTD)
• VPN-Authentifizierungsablauf

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco ISE Version 3.0
• Cisco ASA
• Windows 2016
• Windows 10
• Cisco AnyConnect-Client

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Wenn Benutzer eine VPN-Authentifizierung mit einer Cisco ASA mit der AnyConnect VPN Client-Software durchführen, ist es in einigen Fällen sinnvoll, einem Client dieselbe statische IP-Adresse zuzuweisen. Hier können Sie eine statische IP-Adresse pro Benutzerkonto in AD konfigurieren und diese IP-Adresse verwenden, wenn der Benutzer eine Verbindung mit dem VPN herstellt. ISE kann mit dem Attribut konfiguriert werden msRADIUSFramedIPAddress  um AD abzufragen, um die IP-Adresse von AD abzurufen und dem Client zuzuweisen, wenn eine Verbindung hergestellt wird.

In diesem Dokument wird nur die Konfiguration einer statischen IP-Adresse für ein Cisco AnyConnect Remote Access-VPN beschrieben.

Konfigurieren

AD-Konfiguration

Schritt 1: Wählen Sie ein Testkonto in AD aus. Ändern Sie Properties des Testkontos; wählen Sie die Dial-in angezeigt, wie im Bild dargestellt.

Schritt 2: Aktivieren Sie die Assign Static IP AddressBox.

Schritt 3: Klicken Sie auf Static IP Addresses -Taste.

Schritt 4: Aktivieren Sie die Assign a static IPv4 addressein, und geben Sie eine IP-Adresse ein.

Schritt 5: Klicken Sie auf  OK um die Konfiguration abzuschließen.

ISE-Konfiguration

Schritt 1: Netzwerkgerät zur ISE hinzufügen und RADIUS und gemeinsamen Schlüssel konfigurieren. Navigieren Sie zuISE > Administration > Network Devices > Add Network Device.

Schritt 2: Integration von ISE und AD Navigieren Sie zu ISE > Administration > External Identity Sources > Active Directory > Join ISE to Domain .

Schritt 3: Hinzufügen AD Attribute msRADIUSFramedIPAddress. Navigieren Sie zu ISE > Administration > External Identity Sources > Active Directory und wählen Sie dann den erstellten Gelenkpunkt-Namen. Klicken Sie Edit.Klicken Sie anschließend auf Attributes aus. und klicke auf Add > Select Attributes from Directory.

Geben Sie den Namen des Testbenutzers in AD ein, dem die statische IP-Adresse zugewiesen ist, und wählen Sie Retrieve Attributes.

Stellen Sie sicher, dass Sie das Kontrollkästchen aktivieren. msRADIUSFramedIPAddress und klicke auf OK .

Attribut bearbeiten msRADIUSFramedIPAddress und die Type Wert aus STRING to IPund klicke auf Save.

Schritt 4: Erstellen Sie ein Autorisierungsprofil. Navigieren Sie zu ISE > Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add.

Im Advanced Attributes Settings,einen neuen Wert hinzufügen für Radius: Framed-IP-Address und ist gleich dem msRADIUSFramedIPAddressWert, der zuvor unter AD-Attribute ausgewählt wurde (in Schritt 3.).

Schritt 5: Erstellen Policy Set. Navigieren Sie zu ISE > Policy > Policy Sets. Richtliniensatz erstellen und Save. Erstellen Sie eine Authentifizierungsrichtlinie, und wählen Sie die Identitätsquelle als Active Directory aus (wird in Schritt 2 hinzugefügt).Erstellen Sie eine Autorisierungsrichtlinie, und wählen Sie das Ergebnis mit dem erstellten (in Schritt 4 erstellten) Autorisierungsprofil aus.

ASA-Konfiguration

Aktivieren Sie WebVPN auf der OUTSIDE-Schnittstelle, und aktivieren Sie das AnyConnect-Image.

webvpn

  enable OUTSIDE

  anyconnect image disk0:/anyconnect-win-4.10.00093-webdeploy-k9.pkg 1

 anyconnect enable

 tunnel-group-list enable

AAA-Servergruppe und Server definieren:

aaa-server ISE protocol radius

aaa-server ISE (inside) host 10.127.197.230

 key *****

 authentication-port 1812

 accounting-port 1813

 radius-common-pw *****

 authorize-only

 interim-accounting-update periodic 24

 dynamic-authorization

VPN-Pool:

ip local pool VPN_POOL 192.168.1.1-192.168.1.50 mask 255.255.255.0

Gruppenrichtlinie:

group-policy GP-1 internal

group-policy GP-1 attributes

 dns-server value 10.127.197.254

 vpn-tunnel-protocol ssl-client

 address-pools value VPN_POOL

Tunnelgruppe:

tunnel-group TG-2 type remote-access

tunnel-group TG-2 general-attributes

 authentication-server-group ISE

 default-group-policy GP-1

tunnel-group TG-2 webvpn-attributes

 group-alias TG-2 enable

Überprüfung

Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Wenn AD eine statische IP zugewiesen wurde:

ISE-Live-Protokolle:

Andere Attribute: Hier sehen Sie das Attribut  msRADIUSFramedIPAddress  mit einer IP-Adresse, die diesem Benutzer in AD zugewiesen wurde.

Ergebnis: IP-Adresse wird von ISE an ASA gesendet.

Ausgabe von ASA:

Command: show vpn-sessiondb anyconnect

Für Benutzer ohne statische IP-Adressen in AD

Wenn den Benutzern in AD keine IP-Adresse zugewiesen wurde, wird ihnen die IP-Adresse aus dem lokalen VPN_Pool oder DHCP (falls konfiguriert) zugewiesen. Hier wird der auf der ASA definierte lokale Pool verwendet.

ISE-Live-Protokolle:

Ausgabe von ASA:

Command:  show vpn-sessiondb anyconnect

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.