部署ASA DAP以识别AnyConnect的MAC地址

下载选项

PDF (1.0 MB)
在各种设备上使用 Adobe Reader 查看
ePub (706.6 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (962.9 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2024 年 2 月 5 日

文档 ID:221627

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何通过ASDM配置动态访问策略(DAP)，以检查用于AnyConnect连接的设备的Mac地址。

先决条件

要求

Cisco 建议您了解以下主题：
Cisco Anyconnect和Hostscan的配置

使用的组件

本文档中的信息基于以下软件和硬件版本：
ASAv 9.18 (4)
ASDM 7.20 (1)
Anyconnect 4.10.07073
Hostscan 4.10.07073
Windows 10

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

HostScan是一个软件模块，可让AnyConnect安全移动客户端在网络上实施安全策略。在Hostscan过程中，将收集有关客户端设备的各种详细信息并向自适应安全设备(ASA)进行报告。这些详细信息包括设备操作系统、防病毒软件、防火墙软件、MAC地址等。动态访问策略(DAP)功能允许网络管理员基于每个用户配置安全策略，DAP中的endpoint.device.MAC属性可用于根据预定义策略匹配或检查客户端设备的MAC地址。

配置

网络图

下图显示本文档示例中使用的拓扑。

图解

ASA中的配置

这是ASA CLI中的最低配置。

tunnel-group dap_test_tg type remote-access
tunnel-group dap_test_tg general-attributes
default-group-policy dap_test_gp
tunnel-group dap_test_tg webvpn-attributes
group-alias dap_test enable

group-policy dap_test_gp internal
group-policy dap_test_gp attributes
vpn-tunnel-protocol ssl-client
address-pools value ac_pool
webvpn
anyconnect keep-installer installed
always-on-vpn profile-setting

ip local pool ac_pool 172.16.1.11-172.16.1.20 mask 255.255.255.0

webvpn
 enable outside
 hostscan image disk0:/hostscan_4.10.07073-k9.pkg
 hostscan enable
 anyconnect image disk0:/anyconnect-win-4.10.07073-webdeploy-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable

ASDM中的配置

本节介绍如何在ASDM中配置DAP记录。在本示例中，设置3个使用endpoint.device.MAC属性作为条件的DAP记录。

·01_dap_test：endpoint.device.MAC=0050.5698.e608
·02_dap_test：endpoint.device.MAC=0050.5698.e605 = Anyconnect终端的MAC
·03_dap_test：endpoint.device.MAC=0050.5698.e609

1. 配置名为01_dap_test的第一个DAP。

导航到配置 > 远程接入VPN > 网络（客户端）接入 > 动态接入策略。点击Add，然后设置Policy Name、AAA Attribute、endpoint attributes、Action、User Message，如图所示：

配置第一个DAP

配置AAA属性的组策略。

配置DAP记录的组策略

为终端属性配置MAC地址。

配置DAP的MAC条件

2. 配置第二个名为02_dap_test的DAP。

配置第二个DAP

3. 配置名为03_dap_test的第三个DAP。

配置第三个DAP

4. 使用 more flash:/dap.xml 命令确认dap.xml中DAP记录的设置。

在ASDM上设置的DAP记录的详细信息以dap.xml形式保存在ASA闪存中。完成这些设置后，将以dap.xml形式生成三个DAP记录。您可以在dap.xml中确认每个DAP记录的详细信息。

 
     
     注意：DAP的匹配顺序是dap.xml中的显示顺序。 最后匹配默认DAP (DfltAccessPolicy)。

ciscoasa# more flash:/dap.xml
<dapRecordList> <dapRecord> <dapName> <value>01_dap_test</value> <--- 1st DAP name </dapName> <dapViewsRelation> <value>and</value> </dapViewsRelation> <dapBasicView> <dapSelection> <dapPolicy> <value>match-all</value> </dapPolicy> <attr> <name>aaa.cisco.grouppolicy</name> <value>dap_test_gp</value> <--- 1st DAP group policy <operation>EQ</operation> <type>caseless</type> </attr> </dapSelection> <dapSelection> <dapPolicy> <value>match-any</value> </dapPolicy> <dapSubSelection> <dapPolicy> <value>match-all</value> </dapPolicy> <attr> <name>endpoint.device.MAC["0050.5698.e608"]</name> <--- 1st DAP MAC Address condition <value>true</value> <type>caseless</type> <operation>EQ</operation> </attr> </dapSubSelection> </dapSelection> </dapBasicView> </dapRecord> <dapRecord> <dapName> <value>02_dap_test</value> <--- 2nd DAP name </dapName> <dapViewsRelation> <value>and</value> </dapViewsRelation> <dapBasicView> <dapSelection> <dapPolicy> <value>match-any</value> </dapPolicy> <attr> <name>aaa.cisco.grouppolicy</name> <value>dap_test_gp</value> <--- 2nd DAP group policy <operation>EQ</operation> <type>caseless</type> </attr> </dapSelection> <dapSelection> <dapPolicy> <value>match-any</value> </dapPolicy> <dapSubSelection> <dapPolicy> <value>match-all</value> </dapPolicy> <attr> <name>endpoint.device.MAC["0050.5698.e605"]</name> <--- 2nd DAP MAC Address condition <value>true</value> <type>caseless</type> <operation>EQ</operation> </attr> </dapSubSelection> </dapSelection> </dapBasicView> </dapRecord> <dapRecord> <dapName> <value>03_dap_test</value> <--- 3rd DAP name </dapName> <dapViewsRelation> <value>and</value> </dapViewsRelation> <dapBasicView> <dapSelection> <dapPolicy> <value>match-any</value> </dapPolicy> <attr> <name>aaa.cisco.grouppolicy</name> <value>dap_test_gp</value> <--- 3rd DAP group policy <operation>EQ</operation> <type>caseless</type> </attr> </dapSelection> <dapSelection> <dapPolicy> <value>match-any</value> </dapPolicy> <dapSubSelection> <dapPolicy> <value>match-all</value> </dapPolicy> <attr> <name>endpoint.device.MAC["0050.5698.e609"]</name> <--- 3rd DAP MAC Address condition <value>true</value> <type>caseless</type> <operation>EQ</operation> </attr> </dapSubSelection> </dapSelection> </dapBasicView> </dapRecord> </dapRecordList>

`验证`

`场景1.仅匹配一个DAP`

1. 确保终端的MAC地址为0050.5698.e605，这与02_dap_test中的MAC条件匹配。

2.在终端上，运行Anyconnect连接并输入用户名和密码。

输入用户名和密码

3.在Anyconnect UI中，确认02_dap_test匹配。

在UI中确认用户消息

4.在ASA syslog中，确认02_dap_test匹配。

 
     
     注意：确保在ASA中启用debug dap trace。

Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"

Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 11:46:11: %ASA-4-711001: Selected DAPs: ,02_dap_test Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Dec 30 2023 11:46:11: %ASA-4-711001: dap_process_selected_daps: selected 1 records Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 11:46:11: %ASA-4-711001: DAP_close: 17

`场景2.默认DAP匹配`

 1.将02_dap_test中的endpoint.device.MAC值更改为不匹配终端的MAC的0050.5698.e607。
 2.在终端上，运行Anyconnect连接并输入用户名和密码。
 3. 确认Anyconnect连接被拒绝。
 在UI中确认用户消息
 4. 在ASA syslog中，确认DfltAccessPolicy匹配。  
     
       
      
      注意：默认情况下，DfltAccessPolicy的操作为Terminate。 
      
    
 Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"

Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: Selected DAPs:
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Dec 30 2023 12:13:39: %ASA-4-711001: dap_process_selected_daps: selected 0 records
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: Selected DAPs: DfltAccessPolicy
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: DAP_close: 1B

 场景3.匹配多个DAP（操作：继续） 
 1. 更改每个DAP中的操作和属性。
  ·01_dap_test：
     dapSelection（MAC地址）= endpoint.device.MAC[0050.5698.e605] = Anyconnect终端的MAC
     操作=继续
·02_dap_test：
     dapSelection（主机名）= endpoint.device.hostname[DESKTOP-VCKHRG1] = Anyconnect终端的主机名
     操作=继续
· 删除03_dap_test DAP记录
 2. 在终端上，运行Anyconnect连接并输入用户名和密码。
 3. 在Anyconnect UI中，确认所有2个DAP都匹配 
     
       
      
      注意：如果连接匹配多个DAP，则多个DAP的用户消息将集成并一起显示在Anyconnect UI中。 
      
    
    在UI中确认用户消息
 
4. 在ASA syslog中，确认所有2个DAP均匹配。
 Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1"

Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: Selected DAPs: ,01_dap_test,02_dap_test
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: dap_process_selected_daps: selected 2 records

Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: DAP_close: 4
 
 场景4.多个DAP (Action ： Terminate)匹配
 1. 更改01_dap_test的操作。
  ·01_dap_test：
     dapSelection（MAC地址）= endpoint.device.MAC[0050.5698.e605] = Anyconnect终端的MAC
     操作=终止
·02_dap_test：
     dapSelection（主机名）= endpoint.device.hostname[DESKTOP-VCKHRG1] = Anyconnect终端的主机名
     操作=继续
 2. 在终端上，运行Anyconnect连接并输入用户名和密码。

3. 在Anyconnect UI中，确认仅匹配01_dap_test。

 
     
     注意：连接与已设置为终止操作的DAP记录匹配。终止操作后不再匹配后续记录。

在UI中确认用户消息

4. 在ASA syslog中，确认仅匹配01_dap_test。

Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1" Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:55:37: %ASA-4-711001: Selected DAPs: ,01_dap_test Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: dap_process_selected_daps: selected 1 records Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:55:37: %ASA-4-711001: DAP_close: 6

`一般故障排除`

这些调试日志可帮助您确认ASA中DAP的详细行为。

debug dap trace debug dap trace errors

Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true" Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1" Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: Selected DAPs: ,01_dap_test,02_dap_test Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: dap_process_selected_daps: selected 2 records Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: DAP_close: 4

修订历史记录

版本	发布日期	备注
1.0	06-Feb-2024	初始版本

由思科工程师提供

张健
技术咨询工程师

此文档是否有帮助?

反馈

联系我们

提交支持案例
(需要思科服务合同)