Een statisch IP-adres configureren op een AnyConnect Remote Access VPN met ISE en AD

Bijgewerkt:3 mei 2023
Document-id:220438

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een statisch IP-adres kunt configureren op Cisco AnyConnect Remote Access VPN met Identity Services Engine (ISE) en Active Directory (AD).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Configuratie van Cisco ISE-versies 3.0
    • Configuratie van Cisco adaptieve security applicatie (ASA)/Firepower Threat Defence (FTD)
    • VPN-verificatiedoorloop

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ISE versie 3.0
    • Cisco ASA
    • Windows 2016
    • Windows 10
    • Cisco AnyConnect-client

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Wanneer gebruikers VPN-verificatie met een Cisco ASA uitvoeren met de AnyConnect VPN-clientsoftware, is het in sommige gevallen nuttig om hetzelfde statische IP-adres aan een client toe te wijzen. Hier kunt u een statisch IP-adres per gebruikersaccount in AD configureren en dit IP-adres gebruiken wanneer de gebruiker verbinding maakt met de VPN. ISE kan worden geconfigureerd met het kenmerk msRADIUSFramedIPAddress  om AD te vragen om het IP-adres uit AD te halen en het aan de client toe te wijzen wanneer zij verbinding maken.

    Dit document beschrijft alleen hoe u een statisch IP-adres kunt configureren op een Cisco AnyConnect Remote Access VPN.

    Configureren

    Advertentieconfiguratie

    Stap 1. Selecteer een testaccount binnen AD. Wijzig de Properties van de testaccount; selecteer de Dial-in tabblad zoals in de afbeelding.

    AD properties

    Stap 2. Vink het vakje aan Assign Static IP Addressdoos.

    Stap 3. Klik op de Static IP Addresses knop.

    Stap 4. Vink het vakje aan Assign a static IPv4 addressVoer een IP-adres in.

    Ipaddress define

    note-icon

    Opmerking: het toegewezen IP-adres mag niet worden gebruikt of opgenomen in de DHCP-pool.

    Stap 5. Klik op de knop  OK om de configuratie te voltooien.

    ISE-configuratie


    Stap 1. Voeg netwerkapparaat toe aan ISE en configureer RADIUS en gedeelde sleutel. Naar navigerenISE > Administration > Network Devices > Add Network Device.

    Stap 2. Integreer ISE met AD. Naar navigeren ISE > Administration > External Identity Sources > Active Directory > Join ISE to Domain .

    External id store

    Stap 3. Toevoegen AD Attribute msRADIUSFramedIPAddress. Naar navigeren ISE > Administration > External Identity Sources > Active Directory en selecteer vervolgens de naam van het verbindingspunt. Klik op Edit.Klik vervolgens op de Attributes tabblad. En klik op Add > Select Attributes from Directory.

    Voer de naam in van de op de advertentie aanwezige testgebruiker waaraan het statische IP-adres is toegewezen en selecteer Retrieve Attributes.

    Zorg ervoor dat u het vakje aanvinkt msRADIUSFramedIPAddress en klik op OK .

    Attributes add

    Het kenmerk bewerken msRADIUSFramedIPAddress en het Type waarde van STRING to IPen klik op Save.

    Attributes

    Stap 4. Een autorisatieprofiel maken. Naar navigeren ISE > Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add.

    In het Advanced Attributes Settings,een nieuwe waarde toevoegen voor Radius: Framed-IP-Address en is gelijk aan msRADIUSFramedIPAddresswaarde die eerder is geselecteerd onder AD-kenmerken (in stap 3.).

    Authz profile

    Stap 5. Aanmaken Policy Set. Naar navigeren ISE > Policy > Policy Sets. Een beleidsset maken en Save. Maak een verificatiebeleid en selecteer de identiteitsbron als actieve map (aangesloten bij stap 2.).Maak een autorisatiebeleid en selecteer het resultaat als het autorisatieprofiel is gemaakt (gemaakt in stap 4.).

    Policy sets

    ASA-configuratie

    Schakel WebVPN in op de buiteninterface en AnyConnect-afbeelding in.

    webvpn

      enable OUTSIDE

      anyconnect image disk0:/anyconnect-win-4.10.00093-webdeploy-k9.pkg 1

     anyconnect enable

     tunnel-group-list enable

    AAA-servergroep en -server definiëren:

    aaa-server ISE protocol radius

    aaa-server ISE (inside) host 10.127.197.230

     key *****

     authentication-port 1812

     accounting-port 1813

     radius-common-pw *****

     authorize-only

     interim-accounting-update periodic 24

     dynamic-authorization

    VPN-pool:

    ip local pool VPN_POOL 192.168.1.1-192.168.1.50 mask 255.255.255.0

    Groepsbeleid:

    group-policy GP-1 internal

    group-policy GP-1 attributes

     dns-server value 10.127.197.254

     vpn-tunnel-protocol ssl-client

     address-pools value VPN_POOL

    Tunnelgroep:

    tunnel-group TG-2 type remote-access

    tunnel-group TG-2 general-attributes

     authentication-server-group ISE

     default-group-policy GP-1

    tunnel-group TG-2 webvpn-attributes

     group-alias TG-2 enable

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    Als u statische IP-adressen hebt toegewezen aan AD:

    Static-1 usrename

    Static-1 ip address


    Live ISE-logbestanden:

    Auth overview

















    Andere kenmerken: hier, kunt u de attributen zien  msRADIUSFramedIPAddress  met een IP-adres dat voor deze gebruiker op AD is toegewezen.

    Other attributes

    Resultaten: IP-adres dat van ISE naar ASA is verzonden.

    Result

    Output van ASA:

    Opdracht: show vpn-sessiondb anyconnect

    Asa1

    Voor gebruikers zonder statische IP-adressen op AD

    Als aan de gebruikers geen IP-adres op de AD is toegewezen, wordt het IP-adres toegewezen via een lokaal VPN_Pool of DHCP (indien geconfigureerd). Hier wordt het lokale, op ASA gedefinieerde zwembad gebruikt.

    Nonstatic-1

    Nonstatic-2

    Live ISE-logbestanden:

    Nonstatic-3

    Nonstatic-4

    Nonstatic-5

    Output van ASA:

    Opdracht:  show vpn-sessiondb anyconnect

    Nonstatic-6

    Problemen oplossen

    Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    03-May-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Suman Suresh
      Cisco TAC Engineer
    • Mayil Raj
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten