AnyConnect 4.0与ISE版本1.3集成的配置示例

下载选项

PDF (2.4 MB)
在各种设备上使用 Adobe Reader 查看
ePub (2.0 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.3 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2015 年 1 月 16 日

文档 ID:118714

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍思科身份服务引擎(ISE) 1.3版中的新功能，通过该功能，您可以配置多个AnyConnect安全移动客户端模块，并自动将其调配至终端。本文档介绍如何在ISE上配置VPN、网络访问管理器(NAM)和状态模块并将其推送到企业用户。

先决条件

要求

Cisco 建议您了解以下主题：

ISE部署、身份验证和授权
无线局域网控制器(WLC)的配置
基本VPN和802.1x知识
使用AnyConnect配置文件编辑器配置VPN和NAM配置文件

使用的组件

本文档中的信息基于以下软件和硬件版本：

Microsoft Windows 7
Cisco WLC 7.6版及更高版本
思科ISE软件1.3及以上版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

拓扑和流程

流程如下：

步骤1:企业用户访问服务集标识符(SSID)：调配。使用受可扩展身份验证协议保护的EAP (EAP-PEAP)执行802.1x身份验证。在ISE上遇到调配授权规则，并且用户将被重定向以进行AnyConnect调配（通过客户端调配门户）。如果在计算机上未检测到AnyConnect，则安装所有配置的模块（VPN、NAM、状态）。连同该配置文件，每个模块的配置都会被推送。

第二步：安装AnyConnect后，用户必须重新启动PC。重新启动后，AnyConnect将运行，并根据配置的NAM配置文件(Secure_access)自动使用正确的SSID。使用EAP-PEAP(例如，还可以使用可扩展身份验证协议-传输层安全(EAP-TLS))。同时，终端安全评估模块检查工作站是否合规(检查c：\test.txt文件是否存在)。

第三步：如果站点安全评估状态未知（没有来自安全评估模块的报告），其仍被重定向以进行调配，因为ISE上遇到未知授权规则。一旦站点合规，ISE会向无线局域网控制器发送授权更改(CoA)，从而触发重新身份验证。进行第二次身份验证，然后在ISE上执行兼容规则，这将为用户提供对网络的完全访问权限。

因此，用户已调配了AnyConnect VPN、NAM和状态模块，允许统一访问网络。类似功能可在自适应安全设备(ASA)上用于VPN访问。目前，ISE可以通过非常精细的方法对任何类型的访问执行相同的操作。

此功能不限于企业用户，但可能最常见的是为该用户组部署它。

配置

WLC

WLC配置了两个SSID：

调配- [WPA + WPA2][身份验证(802.1X)]。此SSID用于AnyConnect调配。
Secure_access - [WPA + WPA2][身份验证(802.1X)]。此SSID用于在终端调配了为该SSID配置的NAM模块后进行安全访问。

ISE

步骤1:添加WLC

将WLC添加到ISE上的网络设备。

第二步：配置VPN配置文件

使用AnyConnect Profile Editor for VPN配置VPN配置文件。

只添加了一个用于VPN访问的条目。将该XML文件保存到VPN.xml。

第三步：配置NAM配置文件

使用AnyConnect配置文件编辑器为NAM配置NAM配置文件。

仅配置了一个SSID：secure_access。将该XML文件保存到NAM.xml。

第四步：安装应用程序

从Cisco.com手动下载应用。
- anyconnect-win-4.0.00048-k9.pkg
- anyconnect-win-compliance-3.6.9492.2.pkg
在ISE上，导航到策略>结果>客户端调配>资源，并从本地磁盘添加代理资源。
选择Cisco提供的软件包，并选择anyconnect-win-4.0.00048-k9.pkg：
对合规性模块重复步骤4。

第五步：安装VPN/NAM配置文件

导航到策略>结果>客户端调配>资源，然后从本地磁盘添加代理资源。
选择Customer Created Packages（客户创建的软件包），然后键入AnyConnect Profile。选择之前创建的NAM配置文件（XML文件）：
对VPN配置文件重复类似步骤：

第六步：配置状态

NAM和VPN配置文件必须使用AnyConnect配置文件编辑器进行外部配置并导入到ISE中。但是，安全评估在ISE上已完全配置。

导航到策略>情况>状态>文件条件。您可以看到已创建文件存在的简单条件。您必须拥有该文件，才能符合状态模块验证的策略：

此条件用于要求：

此要求在Microsoft Windows系统的安全评估策略中使用：

有关终端安全评估配置的详细信息，请参阅思科ISE配置指南上的终端安全评估服务。

安全评估策略准备就绪后，即可添加安全评估代理配置。

导航到策略>结果>客户端调配>资源，添加网络准入控制(NAC)代理或AnyConnect代理状态配置文件。
选择AnyConnect（已使用ISE版本1.3中的新终端安全评估模块，而不是旧的NAC代理）：
在Posture Protocol部分，不要忘记添加*以允许代理连接到所有服务器。
如果Server name rules字段留空，ISE不保存设置并报告以下错误：
```
Server name rules: valid value is required
```

步骤 7.配置AnyConnect

在此阶段，所有应用(AnyConnect)和所有模块（VPN、NAM和状态）的配置文件配置都已配置。是时候把它绑在一起了。

导航到策略>结果>客户端调配>资源，添加AnyConnect配置。
配置名称并选择合规性模块和所有所需的AnyConnect模块（VPN、NAM和状态）。
在配置文件选择中，选择之前为每个模块配置的配置文件。
VPN模块是所有其他模块正常工作所必需的。即使未选择安装VPN模块，它也会被推送到客户端并安装。如果不想使用VPN，可以为VPN配置特殊配置文件，以隐藏VPN模块的用户界面。这些行应添加到VPN.xml文件中：
```
 <ClientInitialization>
    
         
         
           true 
         
  </ClientInitialization>
```
当您使用iso软件包(anyconnect-win-3.1.06073-pre-deploy-k9.iso)中的Setup.exe时，也会安装此类配置文件。然后，会随配置一起安装用于VPN的VPNDisable_ServiceProfile.xml配置文件，这会禁用VPN模块的用户界面。

第8步：客户端调配规则

在步骤7中创建的AnyConnect配置应在客户端调配规则中引用：

客户端调配规则决定要将哪个应用程序推送到客户端。此处只需要一条规则，其结果指向步骤7中创建的配置。这样，为客户端调配重定向的所有Microsoft Windows终端都将使用AnyConnect配置以及所有模块和配置文件。

步骤 9授权配置文件

需要创建客户端调配的授权配置文件。使用默认客户端调配门户：

此配置文件强制将用户重定向以调配到默认客户端调配门户。此门户评估客户端调配策略（在步骤8中创建的规则）。授权配置文件是在步骤10中配置的授权规则的结果。

GuestRedirect Access Control List (ACL)是在WLC上定义的ACL的名称。此ACL决定应将哪些流量重定向到ISE。有关详细信息，请参阅使用交换机和身份服务引擎进行集中Web身份验证的配置示例。

还有另一个授权配置文件为不合规用户提供有限网络访问(DACL)（称为LimitedAccess）。

步骤 10授权规则

所有这些规则都合并为四个授权规则：

首先连接到调配SSID，然后重定向至调配到默认客户端调配门户（名为“调配”[Provisioning]的规则）。连接到Secure_access SSID后，如果ISE没有收到来自终端安全评估模块的报告，它仍会重定向以进行调配（规则名为“未知”）。终端完全合规后，将授予完全访问权限（规则名称合规）。如果终端报告为非合规，则其网络访问受限（名为NonCompliant的规则）。

验证

您与调配SSID相关联，尝试访问任何网页，并被重定向到客户端调配门户：

由于未检测到AnyConnect，因此要求您安装它：

下载了一个名为Network Setup Assistant的小型应用程序，负责整个安装过程。请注意，它与1.2版中的Network Setup Assistant不同。

所有模块（VPN、NAM和状态）均已安装和配置。您必须重新启动电脑：

重新启动后，系统将自动执行AnyConnect，并且NAM会尝试与secure_access SSID关联（根据配置的配置文件）。请注意，VPN配置文件已正确安装（适用于VPN的asav2条目）：

在身份验证后，AnyConnect会下载更新并执行验证的终端安全评估规则：

在此阶段，可能仍有有限的访问权限（您在ISE上遇到未知授权规则）。一旦工作站合规，状态模块将报告以下情况：

还可以验证详细信息（满足FileRequirement）：

Message History显示详细步骤：

9:18:38 AM The AnyConnect Downloader is performing update checks...
9:18:38 AM Checking for profile updates...
9:18:38 AM Checking for product updates...
9:18:38 AM Checking for customization updates...
9:18:38 AM Performing any required updates...
9:18:38 AM The AnyConnect Downloader updates have been completed.
9:18:38 AM Update complete.
9:18:38 AM Scanning system ...
9:18:40 AM Checking requirement 1 of 1.
9:18:40 AM Updating network settings ...
9:18:48 AM Compliant.

成功的报告会发送到ISE，从而触发授权更改。第二次身份验证遇到合规性规则，且已授予完全网络访问权限。如果安全评估报告在仍与调配SSID关联时发送，则在ISE上看到以下日志：

状况报告显示：

详细报告显示满足的FileRequirement：

故障排除

目前没有针对此配置的故障排除信息。