Configuratie-voorbeeld van AnyConnect 4.0 met ISE-versie 1.3

Inleiding

Dit document beschrijft nieuwe functionaliteit in Cisco Identity Services Engine (ISE) versie 1.3 waarmee u meerdere AnyConnect Secure Mobility Client-modules kunt configureren en automatisch naar het eindpunt kunt provisioneren. Dit document geeft aan hoe u VPN, Network Access Manager (NAM) en Posture-modules op ISE kunt configureren en naar de zakelijke gebruiker kunt doorsturen.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• ISE-implementaties, verificatie en autorisatie
• Configuratie van draadloze LAN-controllers (WLC’s)
• Basis VPN- en 802.1x-kennis
• Configuratie van VPN- en NAM-profielen met AnyConnect-profieleditor

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Microsoft Windows 7
• Cisco WLC versie 7.6 en hoger
• Cisco ISE-software, versies 1.3 en hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Topologie en gegevensstroom

Hier is de flow:

Stap 1. Corporate user access Service Set Identifier (SSID): Levering. Voert 802.1x-verificatie uit met EAP-PEAP (Extensible Verification Protocol-Protected EAP). De Provisioning-autorisatieregel wordt aangetroffen op ISE en de gebruiker wordt doorgestuurd naar AnyConnect Provisioning (via het Client Provisioning Protocol). Als AnyConnect niet op de machine wordt gedetecteerd, worden alle geconfigureerde modules geïnstalleerd (VPN, NAM, Posture). Samen met dat profiel, wordt de configuratie voor elke module gedrukt.

Stap 2. Wanneer AnyConnect is geïnstalleerd, moet de gebruiker de pc opnieuw opstarten. Na de herstart wordt AnyConnect uitgevoerd en wordt de juiste SSID automatisch gebruikt volgens het geconfigureerde NAM-profiel (Secure_access). EAP-PEAP wordt gebruikt (zo kan bijvoorbeeld ook EAP-TLS (Extensible Verification Protocol-Transport Layer Security) worden gebruikt). Tegelijkertijd controleert de Posture module of het station voldoet aan de eisen (controleert of c:\test.txt bestand).

Stap 3. Als de stationshoutstatus onbekend is (geen rapport van Posture module), wordt het nog steeds omgeleid voor levering, omdat de Onbekende Auteur regel op ISE wordt aangetroffen. Zodra het station compatibel is, verstuurt ISE een wijziging van autorisatie (CoA) naar de draadloze LAN-controller, waardoor opnieuw verificatie wordt gestart. Een tweede verificatie vindt plaats en de conforme regel wordt geraakt op ISE, dat de gebruiker volledige toegang tot het netwerk biedt.

Hierdoor is de gebruiker voorzien van AnyConnect VPN-, NAM- en Posture-modules die eenvormige toegang tot het netwerk mogelijk maken. Gelijksoortige functionaliteit kan op de Adaptieve Security Applicatie (ASA) voor VPN-toegang worden gebruikt. Momenteel kan ISE hetzelfde doen voor elk type toegang met een zeer granulaire aanpak.

Deze functionaliteit is niet beperkt tot zakelijke gebruikers, maar het is mogelijk het meest gebruikelijk om het voor die groep gebruikers te implementeren.

Configureren

WLC

WLC wordt geconfigureerd met twee SSID’s:

• Provisioning - [WAP + WAP2][Automatisch (802.1X)]. Deze SSID wordt gebruikt voor AnyConnect-provisioning.
  
  
• Secure_access - [WPA + WPA2][Autorisatie (802.1X)]. Dit SSID wordt gebruikt voor beveiligde toegang nadat het eindpunt is voorzien van de NAM-module die voor die SSID is geconfigureerd.

ISE

Stap 1. Voeg de WLC toe

Voeg de WLC toe aan de Network Devices op ISE.

Stap 2. Het VPN-profiel configureren

Configureer het VPN-profiel met de AnyConnect Profile Editor voor VPN.

Er is slechts één vermelding toegevoegd voor VPN-toegang. Sla dat XML-bestand op in VPN.xml.

Stap 3. Het NAM-profiel configureren

Configureer het NAM-profiel met de AnyConnect Profile Editor voor NAM.

Er is slechts één SSID geconfigureerd: secure_access. Sla dat XML-bestand op in NAM.xml.

Stap 4. Installeer de toepassing

1. Download de applicatie handmatig van Cisco.com.
   
   
   • AnyConnect-win-4,0,00048-k9,pkg
   • anyconnect-win-compliance-3.6.9492.2.pkg
   
   
   
2. Op ISE navigeer je naar Policy > Results > Client Provisioning > Resources, en voeg Agent resources toe vanaf Local Disk.
3. Kies door Cisco meegeleverde pakketten en selecteer de AnyConnect-win-4.0.00048-k9.pkg:
   
   

   

   
   
   
4. Herhaal stap 4 voor de compliance module.

Stap 5. Het VPN/NAM-profiel installeren

1. Navigeren naar Beleid > Resultaten > Clientprovisioning > Bronnen, en resources voor agents toevoegen vanaf lokale schijf.
2. Kies door de klant gemaakte pakketten en type AnyConnect-profiel. Selecteer het eerder gemaakte NAM-profiel (XML-bestand):
   
   

   

   
   
   
3. Herhaal vergelijkbare stappen voor het VPN-profiel:
   
   

   

Stap 6. De houding configureren

NAM- en VPN-profielen moeten extern worden geconfigureerd met de AnyConnect-profieleditor en worden geïmporteerd in ISE. Maar de houding is volledig geconfigureerd op ISE.

Ga naar Beleid > Voorwaarden > Houding > File Condition.U kunt zien dat er een eenvoudige voorwaarde voor het bestaan van bestanden is gemaakt. Je moet dat bestand hebben om te voldoen aan het beleid geverifieerd door de Posture module:

Deze voorwaarde wordt gebruikt voor een eis:

En de vereiste wordt gebruikt in het Posture beleid voor Microsoft Windows systemen:

Raadpleeg voor meer informatie over de configuratie van de houding de Posture Services in de Cisco ISE-configuratiegids.

Zodra het Posture beleid klaar is, is het tijd om de Posture agent configuratie toe te voegen.

1. Navigeer naar Beleid > Resultaten > Clientprovisioning > Resources en voeg NAC-agent (Network Admission Control) of AnyConnect Agent-poortprofiel toe.
   
   
2. Selecteer AnyConnect (er is een nieuwe postermodule van ISE versie 1.3 gebruikt in plaats van de oude NAC-agent):
   
   

   

   
   
   
3. Vergeet niet om vanuit het gedeelte Posture Protocol * toe te voegen om de Agent in staat te stellen verbinding te maken met alle servers.
   
   

   

   
   
   
4. Als het veld Servernaamregels leeg is gelaten, slaat ISE geen instellingen op en rapporteert deze fout:
   
   

   Server name rules: valid value is required

Stap 7. AnyConnect configureren

In deze fase zijn alle toepassingen (AnyConnect) en de profielconfiguratie voor alle modules (VPN, NAM en Posture) geconfigureerd. Het is tijd om het te verenigen.

1. Navigeer naar Beleid > Resultaten > Clientprovisioning > Bronnen en voeg AnyConnect Configuration toe.
   
   
2. Configureer de naam en selecteer de compliancemodule en alle vereiste AnyConnect-modules (VPN, NAM en houding).
   
   
3. Kies in Profielselectie het profiel dat eerder voor elke module is geconfigureerd.
   
   

   

   
   
   
4. De VPN-module is verplicht voor alle andere modules om correct te functioneren. Zelfs als de VPN module niet is geselecteerd voor installatie, wordt deze op de client gedrukt en geïnstalleerd. Als u geen VPN wilt gebruiken, is er een mogelijkheid om een speciaal profiel voor VPN te configureren dat de gebruikersinterface voor de VPN module verbergt. Deze regels moeten worden toegevoegd aan het VPN.xml-bestand:
   
   

    <ClientInitialization>
       
            
            
              true 
            
     </ClientInitialization>

   
   
   
5. Dit type profiel is ook geïnstalleerd wanneer u Setup.exe gebruikt vanuit het iso-pakket (anyconnect-win-3.1.06073-pre-implementation-k9.iso). Vervolgens wordt het VPNDisable_ServiceProfile.xml-profiel voor VPN geïnstalleerd samen met de configuratie, waardoor de gebruikersinterface voor de VPN-module wordt uitgeschakeld.

Stap 8. Regels voor clientprovisioning

De AnyConnect-configuratie die in Stap 7 is gemaakt, moet worden vermeld in de regels voor clientprovisioning:

Clientprovisioningregels bepalen welke toepassing naar de client wordt geduwd. Er is hier slechts één regel nodig met het resultaat dat wijst naar de configuratie die in Stap 7 is gemaakt. Op deze manier gebruiken alle Microsoft Windows-endpoints die worden omgeleid voor clientprovisioning de AnyConnect-configuratie met alle modules en profielen.

Stap 9. Autorisatieprofielen

Het autorisatieprofiel voor client provisioning moet worden gemaakt. Het standaard-client provisioningportal wordt gebruikt:

Dit profiel dwingt de gebruikers om voor provisioning te worden doorgestuurd naar de standaard Client Provisioning Portal. Deze portal evalueert het beleid voor clientprovisioning (regels die in stap 8 zijn gemaakt). Autorisatieprofielen zijn de resultaten van de autorisatieregels die in stap 10 zijn geconfigureerd.

GuestRedirect Access Control List (ACL) is de naam van de ACL die in de WLC is gedefinieerd. Deze ACL bepaalt welk verkeer moet worden omgeleid naar ISE. Raadpleeg voor meer informatie de Central Web Verification met een configuratievoorbeeld van de Switch- en Identity Services Engine.

Er is ook een ander autorisatieprofiel dat de beperkte netwerktoegang (DACL) biedt voor niet-conforme gebruikers (genoemd Limited Access).

Stap 10. Vergunningsregels

Deze zijn allemaal gecombineerd in vier vergunningsregels:

Eerst maakt u verbinding met de Provisioning SSID en wordt u doorgestuurd naar een standaard Client Provisioning Portal (regel genaamd Provisioning). Zodra u verbinding maakt met de Secure_access SSID, wordt het nog steeds omgeleid voor provisioning als er geen rapport van de Posture module wordt ontvangen door ISE (regel genaamd Onbekend). Zodra het eindpunt volledig conform is, wordt de volledige toegang verleend (regelnaam conform). Als het eindpunt wordt gemeld als niet-conform, heeft het beperkte netwerktoegang (regel genaamd NonCompliant).

Verifiëren

U associeert met de Provisioning SSID, probeert toegang te krijgen tot elke webpagina en wordt doorgestuurd naar de Client Provisioning Portal:

Aangezien AnyConnect niet wordt gedetecteerd, wordt u gevraagd dit te installeren:

Een kleine toepassing genaamd Network Setup Assistant, die verantwoordelijk is voor het gehele installatieproces, wordt gedownload. Opmerking: dit is anders dan de Network Setup Assistant in versie 1.2.

Alle modules (VPN, NAM en Posture) worden geïnstalleerd en geconfigureerd. U moet uw pc opnieuw opstarten:

Na de herstart wordt AnyConnect automatisch uitgevoerd en probeert NAM een koppeling te maken met Secure_Access SSID (volgens het ingestelde profiel). Bericht dat het VPN-profiel correct is geïnstalleerd (als Av2-vermelding voor VPN):

Na verificatie, AnyConnect downloadupdates en ook Posture regels waarvoor verificatie wordt uitgevoerd:

In dit stadium kan er nog steeds sprake zijn van beperkte toegang (u stuit op de onbekende autorisatieregel op ISE). Zodra het station voldoet, dat wordt gerapporteerd door de Posture module:

De details kunnen ook worden geverifieerd (de FileRequirement is voldaan):

De geschiedenis van het bericht toont gedetailleerde stappen:

9:18:38 AM The AnyConnect Downloader is performing update checks...
9:18:38 AM Checking for profile updates...
9:18:38 AM Checking for product updates...
9:18:38 AM Checking for customization updates...
9:18:38 AM Performing any required updates...
9:18:38 AM The AnyConnect Downloader updates have been completed.
9:18:38 AM Update complete.
9:18:38 AM Scanning system ...
9:18:40 AM Checking requirement 1 of 1.
9:18:40 AM Updating network settings ...
9:18:48 AM Compliant.

Het succesvolle rapport wordt naar ISE verzonden, wat de wijziging van de autorisatie veroorzaakt. De tweede verificatie komt de conforme regel tegen en volledige netwerktoegang wordt verleend. Als het Posture-rapport wordt verzonden terwijl het nog gekoppeld is aan de Provisioning SSID, worden deze logs op ISE weergegeven:

Het Posture-rapport geeft aan:

Gedetailleerde rapporten tonen de FileRequirement die wordt voldaan:

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Gerelateerde informatie

• Opdrachtservices op de Cisco ISE-configuratiehandleiding
• Beheerdershandleiding voor Cisco ISE 1.3
• Technische ondersteuning en documentatie – Cisco Systems