AnyConnect 4.0與ISE版本1.3整合的配置示例

簡介

本文檔介紹思科身份服務引擎(ISE) 1.3版中的新功能，透過該功能，您可以配置多個AnyConnect安全移動客戶端模組並自動將其調配到終端。本文檔介紹如何在ISE上配置VPN、網路訪問管理器(NAM)和狀態模組並將其推送到企業使用者。

必要條件

需求

思科建議您瞭解以下主題：

• ISE部署、身份驗證和授權
• 無線區域網路控制器(WLC)的組態
• 基本VPN和802.1x知識
• 使用AnyConnect配置檔案編輯器配置VPN和NAM配置檔案

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Microsoft Windows 7
• Cisco WLC版本7.6及更高版本
• Cisco ISE軟體，版本1.3及更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

拓撲和流程

流程如下：

步驟 1.企業使用者訪問服務集識別符號(SSID)：調配。使用可延伸驗證通訊協定保護的EAP (EAP-PEAP)執行802.1x驗證。在ISE上遇到調配授權規則，並且使用者被重定向到AnyConnect調配（透過客戶端調配門戶）。如果在電腦上未檢測到AnyConnect，則會安裝所有配置的模組（VPN、NAM、安全評估）。與該配置檔案一起推送每個模組的配置。

步驟 2.安裝AnyConnect後，使用者必須重新啟動PC。重新啟動後，AnyConnect將運行，並根據配置的NAM配置檔案(Secure_access)自動使用正確的SSID。使用EAP-PEAP (例如，也可以使用「可延伸驗證通訊協定-傳輸層安全性」(EAP-TLS))。同時，終端安全評估模組檢查工作站是否相容(檢查是否存在c：\test.txt檔案)。

步驟 3.如果站點狀態未知（沒有來自終端安全評估模組的報告），系統仍將其重定向以進行調配，因為在ISE上遇到未知授權規則。一旦站台相容，ISE會傳送授權變更(CoA)到無線區域網路控制器，這會觸發重新驗證。進行第二次身份驗證，並在ISE上點選相容規則，這將為使用者提供對網路的完全訪問許可權。

因此，已為使用者調配了AnyConnect VPN、NAM和狀態模組，這些模組允許對網路進行統一訪問。 類似的功能可在自適應安全裝置(ASA)上用於VPN訪問。目前，ISE可以使用非常精細的方法對任何型別的訪問執行相同的操作。

此功能不限於企業使用者，但最常見的是為該使用者組部署該功能。

設定

WLC

WLC配置了兩個SSID：

• 布建- [WPA + WPA2][Auth(802.1X)]。此SSID用於AnyConnect調配。
  
  
• Secure_access - [WPA + WPA2][身份驗證(802.1X)]。此SSID用於在終端調配了為該SSID配置的NAM模組後進行安全訪問。

ISE

步驟 1.增加WLC

將WLC增加到ISE上的網路裝置。

步驟 2.配置VPN配置檔案

使用AnyConnect Profile Editor for VPN配置VPN配置檔案。

只增加了一個用於VPN訪問的條目。將該XML檔案儲存到VPN.xml。

步驟 3.配置NAM配置檔案

使用AnyConnect Profile Editor for NAM配置NAM配置檔案。

只配置了一個SSID：secure_access。將該XML檔案儲存到NAM.xml。

步驟 4.安裝應用程式

1. 請從Cisco.com手動下載應用程式。
   
   
   • anyconnect-win-4.0.00048-k9.pkg
   • anyconnect-win-compliance-3.6.9492.2.pkg
   
   
   
2. 在ISE上，導航到策略>結果>客戶端調配>資源，然後從本地磁碟增加代理資源。
3. 選擇思科提供的軟體套件，並選擇anyconnect-win-4.0.00048-k9.pkg：
   
   

   

   
   
   
4. 對合規性模組重複步驟4。

步驟 5.安裝VPN/NAM配置檔案

1. 導航到策略>結果>客戶端調配>資源，然後從本地磁碟增加代理資源。
2. 選擇Customer Created Packages（客戶建立的軟體套件）並鍵入AnyConnect Profile。選取先前建立的NAM設定檔（XML檔案）：
   
   

   

   
   
   
3. 對VPN配置檔案重複類似步驟：
   
   

   

步驟 6.配置狀態

NAM和VPN配置檔案必須使用AnyConnect配置檔案編輯器進行外部配置並導入到ISE中。但是，在ISE上已完全配置終端安全評估。

導航到策略>條件>狀態>檔案條件。您可以看到已建立了檔案存在的簡單條件。您必須擁有該檔案，才能符合狀態模組驗證的策略：

此條件用於要求：

此要求用於Microsoft Windows系統的終端安全評估策略：

有關終端安全評估配置的詳細資訊，請參閱思科ISE配置指南上的終端安全評估服務。

一旦安全評估策略就緒，就應增加安全評估代理配置。

1. 導航到策略>結果>客戶端調配>資源，增加網路准入控制(NAC)代理或AnyConnect代理安全評估配置檔案。
   
   
2. 選擇AnyConnect（已使用ISE版本1.3中的新安全評估模組而不是舊的NAC代理）：
   
   

   

   
   
   
3. 在Posture Protocol部分，不要忘記增加*，以便允許代理連線到所有伺服器。
   
   

   

   
   
   
4. 如果伺服器名稱規則欄位留空，ISE不儲存設定並報告此錯誤：
   
   

   Server name rules: valid value is required

步驟 7.配置AnyConnect

在此階段，所有應用(AnyConnect)和所有模組（VPN、NAM和狀態）的配置檔案配置都已配置。是時候把它綁在一起了。

1. 導航到策略>結果>客戶端調配>資源，然後增加AnyConnect配置。
   
   
2. 配置名稱並選擇合規性模組以及所有所需的AnyConnect模組（VPN、NAM和狀態）。
   
   
3. 在「設定檔選擇」中，選擇之前為每個模組設定的設定檔。
   
   

   

   
   
   
4. VPN模組對於所有其他模組來說都是必須的，才能正常工作。即使未選擇VPN模組進行安裝，它也會被推送到客戶端上並安裝。如果不想使用VPN，則可以為VPN配置一個特殊配置檔案，以隱藏VPN模組的使用者介面。以下各行應增加到VPN.xml檔案：
   
   

    <ClientInitialization>
       
            
            
              true 
            
     </ClientInitialization>

   
   
   
5. 當您使用iso軟體套件(anyconnect-win-3.1.06073-pre-deploy-k9.iso)中的Setup.exe時，也會安裝此類配置檔案。然後，將會隨配置一起安裝VPN的VPNDisable_ServiceProfile.xml配置檔案，從而停用VPN模組的使用者介面。

步驟8.客戶端調配規則

在客戶端調配規則中應引用步驟7中建立的AnyConnect配置：

客戶端調配規則決定要將哪個應用程式推送到客戶端。此處只需要一條規則，其結果指向步驟7中建立的配置。這樣，重定向到客戶端調配的所有Microsoft Windows終端都將使用AnyConnect配置以及所有模組和配置檔案。

步驟 9.授權配置檔案

需要建立客戶端調配的授權配置檔案。使用預設客戶端調配門戶：

此設定檔會強制將使用者重新導向，以布建至預設的使用者端布建入口網站。此門戶評估客戶端調配策略（在步驟8中建立的規則）。授權配置檔案是在步驟10中配置的授權規則的結果。

GuestRedirect Access Control List (ACL)是在WLC上定義的ACL的名稱。此ACL決定應將哪些流量重定向到ISE。有關詳細資訊，請參閱使用交換機和身份服務引擎進行中央Web身份驗證的配置示例。

還有另一個授權配置檔案，為不合規的使用者提供有限網路訪問(DACL)（稱為LimitedAccess）。

步驟 10.授權規則

所有這些都合併為四個授權規則：

首先，您連線到調配SSID，並重定向至調配至預設客戶端調配門戶（名為「調配」的規則）。連線到Secure_access SSID後，如果ISE未收到安全評估模組的報告，它仍會重定向以進行調配（規則名為「未知」）。一旦終端完全相容，就會授予完全訪問許可權（規則名稱相容）。如果終端報告為非合規性，則其網路訪問受限（名為NonCompliant的規則）。

驗證

您與調配SSID關聯，嘗試訪問任何網頁，然後被重定向到客戶端調配門戶：

由於未檢測到AnyConnect，因此系統會要求您安裝它：

下載一個名為Network Setup Assistant的小型應用程式，負責整個安裝過程。請注意，它與1.2版中的Network Setup Assistant不同。

安裝並配置所有模組（VPN、NAM和狀態）。您必須重新啟動電腦：

重新啟動後，將自動執行AnyConnect，並且NAM會嘗試與secure_access SSID關聯（根據配置的配置檔案）。請注意，VPN配置檔案已正確安裝（VPN的asav2條目）：

在身份驗證之後，AnyConnect會下載更新並執行驗證的終端安全評估規則：

在此階段，訪問仍然有限（您在ISE上遇到未知授權規則）。一旦站台合規，狀態模組就會報告此情況：

還可以驗證詳細資訊（滿足FileRequirement）：

Message History顯示詳細的步驟：

9:18:38 AM The AnyConnect Downloader is performing update checks...
9:18:38 AM Checking for profile updates...
9:18:38 AM Checking for product updates...
9:18:38 AM Checking for customization updates...
9:18:38 AM Performing any required updates...
9:18:38 AM The AnyConnect Downloader updates have been completed.
9:18:38 AM Update complete.
9:18:38 AM Scanning system ...
9:18:40 AM Checking requirement 1 of 1.
9:18:40 AM Updating network settings ...
9:18:48 AM Compliant.

成功的報告會傳送到ISE，ISE會觸發授權更改。第二次身份驗證遇到合規性規則，並且已授予完全網路訪問許可權。如果在仍與調配SSID關聯時傳送狀態報告，則在ISE上會顯示以下日誌：

狀況報告顯示：

詳細報告顯示滿足的FileRequirement：

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

• 思科ISE上的終端安全評估服務配置指南
• Cisco ISE 1.3管理員指南
• 技術支援與文件 - Cisco Systems