Configurar um endereço IP estático em uma VPN de acesso remoto do AnyConnect com ISE e AD

Atualizado:3 de maio de 2023
ID do documento:220438

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar um endereço IP estático no Cisco AnyConnect Remote Access VPN com Identity Services Engine (ISE) e Ative Diretory (AD).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Configuração do Cisco ISE versões 3.0
    • Configuração do Cisco Adaptive Security Appliance (ASA)/Firepower Threat Defense (FTD)
    • Fluxo de autenticação de VPN

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco ISE versão 3.0
    • Cisco ASA
    • Windows 2016
    • Windows 10
    • Cisco AnyConnect Client

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Quando os usuários executam autenticação de VPN com um Cisco ASA com o software AnyConnect VPN Client, em alguns casos é útil atribuir o mesmo endereço IP estático a um cliente. Aqui, você pode configurar um endereço IP estático por conta de usuário no AD e usar esse endereço IP sempre que o usuário se conectar à VPN. O ISE pode ser configurado com o atributo msRADIUSFramedIPAddress  consultar o AD para buscar o endereço IP do AD e atribuí-lo ao cliente sempre que se conectarem.

    Este documento descreve apenas como configurar um endereço IP estático em uma VPN de acesso remoto do Cisco AnyConnect.

    Configurar

    Configuração do AD

    Etapa 1. Selecione uma conta de teste no AD. Modifique o Properties da conta de teste; selecione a Dial-in conforme mostrado na imagem.

    AD properties

    Etapa 2. Marque a caixa Assign Static IP Addresscaixa de diálogo.

    Etapa 3. Clique no botão Static IP Addresses botão.

    Etapa 4. Marque a caixa Assign a static IPv4 addresse insira um endereço IP.

    Ipaddress define

    note-icon

    Observação: o endereço IP atribuído não deve ser utilizado ou incluído no pool DHCP.

    Etapa 5. Clique em OK para concluir a configuração.

    Configuração do ISE


    Etapa 1. Adicione um dispositivo de rede no ISE e configure o RADIUS e a chave compartilhada. Navegue atéISE > Administration > Network Devices > Add Network Device.

    Etapa 2. Integre o ISE com o AD. Navegue até ISE > Administration > External Identity Sources > Active Directory > Join ISE to Domain .

    External id store

    Etapa 3. adi AD Attribute msRADIUSFramedIPAddress. Navegue até ISE > Administration > External Identity Sources > Active Directory e selecione o nome do ponto conjunto criado. Clique em Edit.Em seguida, clique no botão Attributes guia. E, clique em Add > Select Attributes from Directory.

    Insira o nome do usuário de teste presente no AD ao qual o endereço IP estático está atribuído e selecione Retrieve Attributes.

    Certifique-se de marcar a caixa msRADIUSFramedIPAddress e clique em OK .

    Attributes add

    Editar o atributo msRADIUSFramedIPAddress e altere o Type valor de STRING to IPe clique em Save.

    Attributes

    Etapa 4. Crie um perfil de autorização. Navegue até ISE > Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add.

    No Advanced Attributes Settings,adicionar um novo valor para Radius: Framed-IP-Address e é igual à msRADIUSFramedIPAddressselecionado anteriormente em Atributos do AD (na Etapa 3.).

    Authz profile

    Etapa 5. Criar Policy Set. Navegue até ISE > Policy > Policy Sets. Criar um conjunto de políticas e Save. Crie uma Política de Autenticação e selecione a origem de identidade como Ative Diretory (unido na Etapa 2). Crie uma Política de Autorização e selecione o resultado com o Perfil de Autorização criado (criado na Etapa 4).

    Policy sets

    Configuração do ASA

    Ative a WebVPN na interface EXTERNA e ative a imagem do AnyConnect.

    webvpn

      enable OUTSIDE

      anyconnect image disk0:/anyconnect-win-4.10.00093-webdeploy-k9.pkg 1

     anyconnect enable

     tunnel-group-list enable

    Defina o grupo e o servidor do servidor AAA:

    aaa-server ISE protocol radius

    aaa-server ISE (inside) host 10.127.197.230

     key *****

     authentication-port 1812

     accounting-port 1813

     radius-common-pw *****

     authorize-only

     interim-accounting-update periodic 24

     dynamic-authorization

    Pool de VPN:

    ip local pool VPN_POOL 192.168.1.1-192.168.1.50 mask 255.255.255.0

    Política de grupo:

    group-policy GP-1 internal

    group-policy GP-1 attributes

     dns-server value 10.127.197.254

     vpn-tunnel-protocol ssl-client

     address-pools value VPN_POOL

    Grupo de Túneis:

    tunnel-group TG-2 type remote-access

    tunnel-group TG-2 general-attributes

     authentication-server-group ISE

     default-group-policy GP-1

    tunnel-group TG-2 webvpn-attributes

     group-alias TG-2 enable

    Verificar

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    Se você tiver um IP estático atribuído no AD:

    Static-1 usrename

    Static-1 ip address


    Registros ativos do ISE:

    Auth overview

















    Outros Atributos: Aqui, você pode ver o atributo  msRADIUSFramedIPAddress  com um endereço IP atribuído a este usuário no AD.

    Other attributes

    Resultados: Endereço IP enviado do ISE para o ASA.

    Result

    Saída do ASA:

    Comando: show vpn-sessiondb anyconnect

    Asa1

    Para usuários sem endereços IP estáticos no AD

    Se os usuários não tiverem um endereço IP atribuído no AD, eles serão atribuídos com o endereço IP atribuído do VPN_Pool local ou DHCP (se configurado). Aqui, o pool local definido no ASA é usado.

    Nonstatic-1

    Nonstatic-2

    Registros ativos do ISE:

    Nonstatic-3

    Nonstatic-4

    Nonstatic-5

    Saída do ASA:

    Comando:  show vpn-sessiondb anyconnect

    Nonstatic-6

    Troubleshooting

    Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    03-May-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Suman Suresh
      Cisco TAC Engineer
    • Mayil Raj
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos