在AnyConnect远程访问VPN上使用ISE和AD配置静态IP地址

简介

本文档介绍如何在具有身份服务引擎(ISE)和Active Directory(AD)的Cisco AnyConnect远程访问VPN上配置静态IP地址。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科ISE版本3.0的配置
• 思科自适应安全设备(ASA)/Firepower威胁防御(FTD)的配置
• VPN身份验证流程

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科ISE版本3.0
• Cisco ASA
• Windows 2016
• Windows 10
• Cisco AnyConnect客户端

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

当用户使用带AnyConnect VPN客户端软件的Cisco ASA执行VPN身份验证时，在某些情况下，将相同的静态IP地址分配给客户端很有用。在这里，您可以在AD中配置每个用户帐户的静态IP地址，并在用户连接到VPN时使用此IP地址。可以使用属性配置ISE msRADIUSFramedIPAddress  查询AD从AD获取IP地址，并在客户端连接时将其分配给客户端。

本文档仅介绍如何在Cisco AnyConnect远程访问VPN上配置静态IP地址。

配置

AD配置

步骤1:在AD中选择测试帐户。修改 Properties 选择测试帐户；选择 Dial-in 选项卡，如图所示。

第二步：勾选 Assign Static IP Address包装盒.

第三步：单击 Static IP Addresses 按钮。

第四步：勾选 Assign a static IPv4 address并输入IP地址。

第五步：点击 OK 完成配置。

ISE 配置

步骤1:在ISE上添加网络设备并配置RADIUS和共享密钥。 导航至ISE > Administration > Network Devices > Add Network Device.

第二步：将ISE与AD集成。 导航至 ISE > Administration > External Identity Sources > Active Directory > Join ISE to Domain .

第三步： Add（添加） AD Attribute msRADIUSFramedIPAddress.导航至 ISE > Administration > External Identity Sources > Active Directory 然后选取所创建的“接点”名称。点击 Edit.然后，单击 Attributes 选项卡。然后，单击 Add > Select Attributes from Directory.

输入静态IP地址分配到的AD上存在的测试用户的名称，然后选择 Retrieve Attributes.

确保您勾选了方框 msRADIUSFramedIPAddress 并点击 OK .

编辑属性 msRADIUSFramedIPAddress 并更改 Type 值来自 STRING to IP并点击 Save.

第四步：创建授权配置文件。 导航至 ISE > Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add.

如果 Advanced Attributes Settings,为以下项添加新值 Radius: Framed-IP-Address 等于 msRADIUSFramedIPAddress先前在“AD属性”(AD Attributes)下选择的值（步骤3.）。

第五步： 创建 Policy Set. 导航至 ISE > Policy > Policy Sets.创建策略集并 Save.创建身份验证策略并选择身份源作为Active Directory（在第2步中加入）。创建授权策略并选择已创建授权配置文件（在第4步中创建）的结果。

ASA 配置

在OUTSIDE接口上启用WebVPN并启用AnyConnect映像。

webvpn

  enable OUTSIDE

  anyconnect image disk0:/anyconnect-win-4.10.00093-webdeploy-k9.pkg 1

 anyconnect enable

 tunnel-group-list enable

定义AAA服务器组和服务器：

aaa-server ISE protocol radius

aaa-server ISE (inside) host 10.127.197.230

 key *****

 authentication-port 1812

 accounting-port 1813

 radius-common-pw *****

 authorize-only

 interim-accounting-update periodic 24

 dynamic-authorization

VPN池：

ip local pool VPN_POOL 192.168.1.1-192.168.1.50 mask 255.255.255.0

组策略：

group-policy GP-1 internal

group-policy GP-1 attributes

 dns-server value 10.127.197.254

 vpn-tunnel-protocol ssl-client

 address-pools value VPN_POOL

隧道组：

tunnel-group TG-2 type remote-access

tunnel-group TG-2 general-attributes

 authentication-server-group ISE

 default-group-policy GP-1

tunnel-group TG-2 webvpn-attributes

 group-alias TG-2 enable

验证

使用本部分可确认配置能否正常运行。

如果在AD上分配了静态IP:

ISE 实时日志:

其他属性：在这里，您可以看到属性  msRADIUSFramedIPAddress  在AD上为此用户分配了IP地址。

结果：从ISE发送到ASA的IP地址。

ASA的输出：

命令: show vpn-sessiondb anyconnect

对于AD上没有静态IP地址的用户

如果用户没有在AD上分配IP地址，则为其分配从本地VPN_Pool或DHCP（如果已配置）分配的IP地址。此处使用ASA上定义的本地池。

ISE 实时日志:

ASA的输出：

命令:  show vpn-sessiondb anyconnect

故障排除

目前没有针对此配置的故障排除信息。