Configuración de una dirección IP estática en una VPN de acceso remoto AnyConnect con ISE y AD

Actualizado:3 de mayo de 2023
ID del documento:220438

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar una dirección IP estática en la VPN de acceso remoto Cisco AnyConnect con Identity Services Engine (ISE) y Active Directory (AD).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Configuración de Cisco ISE versión 3.0
    • Configuración de Cisco Adaptive Security Appliance (ASA)/Firepower Threat Defense (FTD)
    • Flujo de autenticación VPN

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco ISE versión 3.0
    • Cisco ASA
    • Windows 2016
    • Windows 10
    • Cliente Cisco AnyConnect

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Cuando los usuarios realizan la autenticación VPN con un Cisco ASA con el software AnyConnect VPN Client, en algunos casos es útil asignar la misma dirección IP estática a un cliente. Aquí, puede configurar una dirección IP estática por cuenta de usuario en AD y usar esta dirección IP siempre que el usuario se conecte a la VPN. ISE se puede configurar con el atributo msRADIUSFramedIPAddress  para consultar a AD para obtener la dirección IP de AD y asignarla al cliente cada vez que se conectan.

    Este documento sólo describe cómo configurar una dirección IP estática en una VPN de acceso remoto de Cisco AnyConnect.

    Configurar

    Configuración de AD

    Paso 1. Seleccione una cuenta de prueba en AD. Modifique el Properties de la cuenta de prueba; seleccione el Dial-in como se muestra en la imagen.

    AD properties

    Paso 2. Marque la casilla Assign Static IP Addresscaja.

    Paso 3. Haga clic en el Static IP Addresses botón.

    Paso 4. Marque la casilla Assign a static IPv4 addresse introduzca una dirección IP.

    Ipaddress define

    note-icon

    Nota: La dirección IP asignada no se debe utilizar ni incluir en el conjunto DHCP.

    Paso 5. Haga clic en OK para completar la configuración.

    Configuración de ISE


    Paso 1. Agregue el dispositivo de red en ISE y configure RADIUS y la clave compartida. Desplácese hastaISE > Administration > Network Devices > Add Network Device.

    Paso 2. Integre ISE con AD. Desplácese hasta ISE > Administration > External Identity Sources > Active Directory > Join ISE to Domain .

    External id store

    Paso 3. Agregar AD Attribute msRADIUSFramedIPAddress. Desplácese hasta ISE > Administration > External Identity Sources > Active Directory y, a continuación, seleccione el nombre del punto de unión creado. Haga clic en Edit.A continuación, haga clic en Attributes ficha. Y haga clic en Add > Select Attributes from Directory.

    Introduzca el nombre del usuario de prueba presente en AD al que se asigna la dirección IP estática y seleccione Retrieve Attributes.

    Asegúrese de marcar la casilla msRADIUSFramedIPAddress y haga clic en OK .

    Attributes add

    Editar el atributo msRADIUSFramedIPAddress y cambiar el Type valor de STRING to IPy haga clic en Save.

    Attributes

    Paso 4. Cree un perfil de autorización. Desplácese hasta ISE > Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add.

    En el Advanced Attributes Settings,agregar un nuevo valor para Radius: Framed-IP-Address y es igual a msRADIUSFramedIPAddressvalor seleccionado anteriormente en Atributos AD (en el paso 3).

    Authz profile

    Paso 5. Crear Policy Set. Desplácese hasta ISE > Policy > Policy Sets. Crear un conjunto de políticas y Save. Cree una política de autenticación y seleccione el origen de identidad como Active Directory (unido en el paso 2.0).Cree una política de autorización y seleccione el resultado con el perfil de autorización creado (creado en el paso 4.0).

    Policy sets

    Configuración de ASA

    Active WebVPN en la interfaz OUTSIDE y active la imagen de AnyConnect.

    webvpn

      enable OUTSIDE

      anyconnect image disk0:/anyconnect-win-4.10.00093-webdeploy-k9.pkg 1

     anyconnect enable

     tunnel-group-list enable

    Definir AAA Server Group y Server:

    aaa-server ISE protocol radius

    aaa-server ISE (inside) host 10.127.197.230

     key *****

     authentication-port 1812

     accounting-port 1813

     radius-common-pw *****

     authorize-only

     interim-accounting-update periodic 24

     dynamic-authorization

    Grupo VPN:

    ip local pool VPN_POOL 192.168.1.1-192.168.1.50 mask 255.255.255.0

    Directiva de grupo:

    group-policy GP-1 internal

    group-policy GP-1 attributes

     dns-server value 10.127.197.254

     vpn-tunnel-protocol ssl-client

     address-pools value VPN_POOL

    Grupo de túnel:

    tunnel-group TG-2 type remote-access

    tunnel-group TG-2 general-attributes

     authentication-server-group ISE

     default-group-policy GP-1

    tunnel-group TG-2 webvpn-attributes

     group-alias TG-2 enable

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    Si tiene IP estática asignada en AD:

    Static-1 usrename

    Static-1 ip address


    registros en vivo de ISE:

    Auth overview

















    Otros atributos: aquí puede ver el atributo  msRADIUSFramedIPAddress  con una dirección IP asignada para este usuario en AD.

    Other attributes

    Resultados: dirección IP enviada desde ISE a ASA.

    Result

    Salida de ASA:

    Comando: show vpn-sessiondb anyconnect

    Asa1

    Para usuarios sin direcciones IP estáticas en AD

    Si los usuarios no tienen una dirección IP asignada en AD, se les asigna con la dirección IP asignada desde VPN_Pool local o DHCP (si se ha configurado). Aquí se utiliza el conjunto local definido en ASA.

    Nonstatic-1

    Nonstatic-2

    registros en vivo de ISE:

    Nonstatic-3

    Nonstatic-4

    Nonstatic-5

    Salida de ASA:

    Comando:  show vpn-sessiondb anyconnect

    Nonstatic-6

    Troubleshoot

    Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    03-May-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Suman Suresh
      Cisco TAC Engineer
    • Mayil Raj
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos