Ejemplo de Configuración de Integración de AnyConnect 4.0 con ISE Versión 1.3

Opciones de descarga

  • PDF     (2.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:16 de enero de 2015
ID del documento:118714

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe la nueva funcionalidad de Cisco Identity Services Engine (ISE) versión 1.3 que permite configurar varios módulos de AnyConnect Secure Mobility Client y aprovisionarlos automáticamente en el terminal. Este documento presenta cómo configurar los módulos VPN, Network Access Manager (NAM) y Posture en ISE y enviárselos al usuario corporativo.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Implementaciones, autenticación y autorización de ISE
  • Configuración de controladores de LAN inalámbrica (WLC)
  • Conocimiento básico de VPN y 802.1x
  • Configuración de perfiles VPN y NAM con editores de perfiles de AnyConnect

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Microsoft Windows 7
  • Cisco WLC versión 7.6 y posterior
  • Software Cisco ISE, versiones 1.3 y posteriores

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Topología y flujo

118714-configure-ise-00-00.jpeg

Este es el flujo:

Paso 1. El usuario corporativo accede al identificador del conjunto de servicios (SSID): aprovisionamiento. Realiza la autenticación 802.1x con EAP protegido por protocolo de autenticación extensible (EAP-PEAP). La regla de autorización Provisioning se encuentra en ISE y el usuario es redirigido para AnyConnect Provisioning (a través de Client Provisioning Portal). Si no se detecta AnyConnect en el equipo, se instalan todos los módulos configurados (VPN, NAM y estado). Junto con ese perfil, se envía la configuración para cada módulo.

Paso 2. Una vez instalado AnyConnect, el usuario debe reiniciar el PC. Después del reinicio, se ejecuta AnyConnect y se utiliza automáticamente el SSID correcto según el perfil NAM configurado (Secure_access). EAP-PEAP se utiliza (por ejemplo, EAP-TLS (protocolo de autenticación extensible-seguridad de la capa de transporte) también se podría utilizar). Al mismo tiempo, el módulo Posture comprueba si la estación es compatible (comprueba la existencia del archivo c:\test.txt).

Paso 3. Si el estado de la estación es desconocido (no hay informe del módulo de estado), se sigue redirigiendo para el aprovisionamiento, porque la regla de autenticación Unknown se encuentra en ISE. Una vez que la estación cumple los requisitos, ISE envía un cambio de autorización (CoA) al controlador de LAN inalámbrica, que activa la reautenticación. Se produce una segunda autenticación y se aplica la regla de conformidad en ISE, que proporcionará al usuario acceso completo a la red.

Como resultado, el usuario ha recibido AnyConnect VPN, NAM y módulos de estado que permiten un acceso unificado a la red. Se puede utilizar una funcionalidad similar en el dispositivo de seguridad adaptable (ASA) para el acceso VPN. Actualmente, ISE puede hacer lo mismo con cualquier tipo de acceso con un enfoque muy granular.

Esta funcionalidad no se limita a los usuarios corporativos, pero posiblemente sea más común implementarla para ese grupo de usuarios.

Configurar

WLC

El WLC se configura con dos SSID:

  • Aprovisionamiento: [WPA + WPA2][Auth(802.1X)]. Este SSID se utiliza para el aprovisionamiento de AnyConnect.

  • Secure_access - [WPA + WPA2][Auth(802.1X)]. Este SSID se utiliza para el acceso seguro después de aprovisionar el terminal con el módulo NAM configurado para ese SSID.

ISE

Paso 1. Agregue el WLC

Agregue el WLC a los dispositivos de red en ISE.

Paso 2. Configuración del perfil de VPN

Configure el perfil VPN con el Editor de perfiles de AnyConnect para VPN.

118714-configure-ise-00-01.png

Solo se ha agregado una entrada para el acceso VPN. Guarde ese archivo XML en VPN.xml.

Paso 3. Configuración del perfil de NAM

Configure el perfil NAM con el Editor de perfiles de AnyConnect para NAM.

118714-configure-ise-00-02.png

Solo se ha configurado un SSID: secure_access. Guarde el archivo XML en NAM.xml.

Paso 4. Instalación de la aplicación

  1. Descargue la aplicación manualmente desde Cisco.com.

    • anyconnect-win-4.0.00048-k9.pkg
    • anyconnect-win-compliance-3.6.9492.2.pkg


  2. En ISE, navegue hasta Policy > Results > Client Provisioning > Resources y agregue recursos de agente desde el disco local.
  3. Elija Cisco Provided Packages y seleccione anyconnect-win-4.0.00048-k9.pkg:

    118714-configure-ise-00-03.png



  4. Repita el paso 4 para el módulo de conformidad.

Paso 5. Instalación del perfil VPN/NAM

  1. Navegue hasta Policy > Results > Client Provisioning > Resources, y agregue los recursos de agente desde el disco local.
  2. Elija Customer Created Packages y escriba AnyConnect Profile. Seleccione el perfil NAM creado anteriormente (archivo XML):

    118714-configure-ise-00-04.png



  3. Repita pasos similares para el perfil VPN:

    118714-configure-ise-00-05.png

Paso 6. Configuración de la postura

Los perfiles NAM y VPN deben configurarse externamente con el editor de perfiles de AnyConnect e importarse a ISE. Sin embargo, la condición está completamente configurada en ISE.

Vaya a Policy > Conditions > Posture > File Condition.Puede ver que se ha creado una condición simple para la existencia del archivo. Debe tener ese archivo para cumplir con la política verificada por el módulo de postura:

118714-configure-ise-00-06.png

Esta condición se utiliza para un requisito:

118714-configure-ise-00-07.png

Y el requisito se utiliza en la directiva de estado para los sistemas Microsoft Windows:

118714-configure-ise-00-08.png

Para obtener más información sobre la configuración de estado, consulte Servicios de estado en la Guía de configuración de Cisco ISE.

Una vez que la política de postura esté lista, es el momento de agregar la configuración del agente de postura.

  1. Vaya a Policy > Results > Client Provisioning > Resources y agregue Network Admission Control (NAC) Agent o AnyConnect Agent Posture Profile.

  2. Seleccione AnyConnect (se ha utilizado un nuevo módulo de estado de la versión 1.3 de ISE en lugar del antiguo NAC Agent):

    118714-configure-ise-00-09.png



  3. Desde la sección Protocolo de postura, no olvide agregar * para permitir que el agente se conecte a todos los servidores.

    118714-configure-ise-00-10.png



  4. Si el campo Reglas de nombre de servidor se deja vacío, ISE no guarda la configuración e informa de este error:

    Server name rules: valid value is required

Paso 7. Configuración de AnyConnect

En esta etapa, se han configurado todas las aplicaciones (AnyConnect) y la configuración del perfil para todos los módulos (VPN, NAM y Posture). Es hora de unirlo todo.

  1. Vaya a Policy > Results > Client Provisioning > Resources, y agregue la configuración de AnyConnect.

  2. Configure el nombre y seleccione el módulo de conformidad y todos los módulos de AnyConnect necesarios (VPN, NAM y estado).

  3. En Selección de perfil, elija el perfil configurado anteriormente para cada módulo.

    118714-configure-ise-00-11.png



  4. El módulo VPN es obligatorio para que todos los demás módulos funcionen correctamente. Incluso si el módulo VPN no se selecciona para la instalación, se insertará e instalará en el cliente. Si no desea utilizar VPN, existe la posibilidad de configurar un perfil especial para VPN que oculte la interfaz de usuario para el módulo VPN. Estas líneas deben agregarse al archivo VPN.xml:

     <ClientInitialization>
        
         
         
           true 
         
      </ClientInitialization>


  5. Este tipo de perfil también se instala cuando se utiliza Setup.exe desde el paquete iso (anyconnect-win-3.1.06073-pre-deploy-k9.iso). Luego, el perfil VPNDisable_ServiceProfile.xml para VPN se instala junto con la configuración, lo que inhabilita la interfaz de usuario para el módulo VPN.

Paso 8. Reglas de aprovisionamiento de clientes

En las reglas de aprovisionamiento de clientes se debe hacer referencia a la configuración de AnyConnect creada en el paso 7:

118714-configure-ise-00-12.png

Las reglas de aprovisionamiento de clientes deciden qué aplicación se enviará al cliente. Aquí solo se necesita una regla con el resultado que apunta a la configuración creada en el paso 7. De esta forma, todos los terminales de Microsoft Windows que se redirijan para el aprovisionamiento de clientes utilizarán la configuración de AnyConnect con todos los módulos y perfiles.

Paso 9. Perfiles de autorización

Es necesario crear el perfil de autorización para el aprovisionamiento de clientes. Se utiliza el portal de aprovisionamiento de clientes predeterminado:

118714-configure-ise-00-13.png

Este perfil obliga a los usuarios a ser redirigidos para el aprovisionamiento al portal de aprovisionamiento de clientes predeterminado. Este portal evalúa la directiva de aprovisionamiento de clientes (reglas creadas en el paso 8). Los perfiles de autorización son el resultado de las reglas de autorización configuradas en el paso 10.

La lista de control de acceso (ACL) GuestRedirect es el nombre de la ACL definida en el WLC. Esta ACL decide qué tráfico se debe redirigir a ISE. Para obtener más información, consulte Ejemplo de Configuración de Autenticación Web Central con un Switch e Identity Services Engine.

También existe otro perfil de autorización que proporciona acceso limitado a la red (DACL) a los usuarios que no cumplen las normas (denominado acceso limitado).

Paso 10. Reglas de autorización

Todos ellos se combinan en cuatro reglas de autorización:

118714-configure-ise-00-14.png

En primer lugar, se conecta al SSID de aprovisionamiento y se redirige para el aprovisionamiento a un portal de aprovisionamiento de clientes predeterminado (regla denominada aprovisionamiento). Una vez que se conecta al SSID Secure_access, éste sigue redirigiendo para el aprovisionamiento si ISE no recibe ningún informe del módulo de estado (regla denominada Unknown). Una vez que el terminal es totalmente compatible, se concede el acceso completo (cumplimiento de nombre de regla). Si se informa de que el terminal no es conforme, tiene acceso limitado a la red (regla denominada No conforme).

Verificación

Se asocia con el SSID de aprovisionamiento, intenta acceder a cualquier página web y se le redirige al portal de aprovisionamiento de clientes:

118714-configure-ise-00-15.png

Dado que no se ha detectado AnyConnect, se le solicita que lo instale:

118714-configure-ise-00-16.png

Se descarga una pequeña aplicación llamada Network Setup Assistant, que se encarga de todo el proceso de instalación. Observe que es diferente de Network Setup Assistant en la versión 1.2.

118714-configure-ise-00-17.png

Se instalan y configuran todos los módulos (VPN, NAM y estado). Debe reiniciar el PC:

118714-configure-ise-00-18.png

Después del reinicio, AnyConnect se ejecuta automáticamente y el NAM intenta asociarse con el SSID secure_access (según el perfil configurado). Observe que el perfil VPN está correctamente instalado (entrada asav2 para VPN):

118714-configure-ise-00-19.png

Después de la autenticación, AnyConnect descarga las actualizaciones y también las reglas de estado para las que se realiza la verificación:

118714-configure-ise-00-20.png

En esta etapa, es posible que el acceso siga siendo limitado (encontrará la regla de autorización desconocida en ISE). Una vez que la estación cumple con los requisitos, el módulo Postura informa lo siguiente:

118714-configure-ise-00-21.png

Los detalles también se pueden verificar (se cumple el requisito de archivo):

118714-configure-ise-00-22.png

El Historial de mensajes muestra los pasos detallados:

9:18:38 AM The AnyConnect Downloader is performing update checks...
9:18:38 AM Checking for profile updates...
9:18:38 AM Checking for product updates...
9:18:38 AM Checking for customization updates...
9:18:38 AM Performing any required updates...
9:18:38 AM The AnyConnect Downloader updates have been completed.
9:18:38 AM Update complete.
9:18:38 AM Scanning system ...
9:18:40 AM Checking requirement 1 of 1.
9:18:40 AM Updating network settings ...
9:18:48 AM Compliant.

El informe de éxito se envía a ISE, que activa el cambio de autorización. La segunda autenticación encuentra la regla de conformidad y se concede acceso completo a la red. Si el informe de estado se envía mientras sigue asociado al SSID de aprovisionamiento, estos registros se verán en ISE:

118714-configure-ise-00-23.png

El informe de estado indica:

118714-configure-ise-00-24.png

Los informes detallados muestran el requisito FileRequirement que se satisface:

118714-configure-ise-00-25.png

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
16-Jan-2015
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Michal Garcarz
    Ingeniero del TAC de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos