使用iPEP ISE和ASA的VPN內聯狀態

下載選項

  • PDF     (643.8 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (377.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (778.8 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2013 年 3 月 19 日
文件 ID:115724

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔提供有關如何使用自適應安全裝置(ASA)和身份服務引擎(ISE)設定內聯狀態的資訊。

必要條件

需求

本文件沒有特定需求。

採用元件

本文檔中的資訊基於ASA版本8.2(4)和ISE版本1.1.0.665。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

背景資訊

ISE提供許多AAA服務(狀態、分析、身份驗證等)。某些網路裝置(NAD)支援Radius授權更改(CoA),允許根據其狀態或分析結果動態更改終端裝置的授權配置檔案。其他NAD(例如ASA)尚不支援此功能。這意味著需要在Inline Posture Enforcement模式(iPEP)下運行的ISE來動態更改終端裝置的網路訪問策略。

基本概念是所有的使用者流量都會透過iPEP,節點也會充當RADIUS代理。

基本流程

  1. VPN使用者登入。

  2. ASA將請求傳送到iPEP節點(ISE)。

  3. iPEP重寫請求(透過增加Cisco AV-PAIR屬性來指示這是iPEP身份驗證),並將請求傳送到ISE策略節點(PDP)。

  4. PDP回覆將轉發給NAD的iPEP。

  5. 如果使用者已透過身份驗證,則NAD必須傳送記帳啟動請求(請參閱CSCtz84826)。這將觸發iPEP上的會話啟動。在這個階段,使用者會被重新導向以取得姿勢。此外,您需要為從WEBVPN門戶建立的隧道啟用臨時記賬更新,因為ISE預期在RADIUS記賬中具有framed-ip-address屬性。但是,當連線到門戶時,由於未建立隧道,客戶端的VPN IP地址未知。這將確保ASA將傳送臨時更新,例如隧道建立時間。

  6. 使用者完成狀態評估,並根據評估結果,PDP將使用iPEP上的CoA更新會話。

此螢幕截圖說明了此過程:

vpn-inpost-asa-01.gif

示例拓撲

vpn-inpost-asa-02.gif

ASA配置

ASA配置是一種簡單的IPSEC遠端VPN: 

!
interface Ethernet0/0
nameif ISE
security-level 50
ip address 192.168.102.253 255.255.255.0 
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 10.48.39.236 255.255.255.0 
!
access-list split extended permit ip 192.168.0.0 255.255.0.0 any 
!
aaa-server ISE protocol radius
interim-accounting-update 

!--- Mandatory if tunnel established from WEBVPN Portal

aaa-server ISE (ISE) host 192.168.102.254  

!--- this is the iPEP IP
 
key cisco
crypto ipsec transform-set TS1 esp-aes esp-sha-hmac 
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map DMAP1 10 set transform-set TS1
crypto dynamic-map DMAP1 10 set reverse-route
crypto map CM1 10 ipsec-isakmp dynamic DMAP1
crypto map CM1 interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
!
ip local pool VPN 192.168.5.1-192.168.5.100
!
group-policy DfltGrpPolicy attributes
dns-server value 192.168.101.3  

!--- The VPN User needs to be able to resolve the CN from the !--- ISE HTTPS Certificate (which is sent in the radius response)

vpn-tunnel-protocol IPSec svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
address-pools value VPN
!
tunnel-group cisco general-attributes
address-pool VPN
authentication-server-group ISE
accounting-server-group ISE 

!--- Does not work without this (see introduction)

!
tunnel-group cisco ipsec-attributes
pre-shared-key cisco
!
route outside 0.0.0.0 0.0.0.0 10.48.39.5 1
route ISE 192.168.0.0 255.255.0.0 192.168.102.254 1 

!--- You need to make sure the traffic to the local subnets !--- are going through the inline ISE

!

ISE 組態

iPEP配置

第一件事是增加ISE作為iPEP節點。您可以在此處找到有關該流程的其他資訊:

http://www.cisco.com/en/US/docs/security/ise/1.1/user_guide/ise_ipep_deploy.html#wp1110248

這基本上就是您必須在各種標籤中設定的內容(本節提供的熒幕快照會說明此內容):

  • 配置不受信任的IP和全局IP設定(在本例中,不受信任的IP是192.168.102.254)。

  • 部署為路由模式。

  • 為ASA放置一個靜態過濾器以允許ASA透過iPEP盒(否則,透過iPEP盒與ISE之間的連線將被丟棄)。

  • 將策略ISE配置為Radius伺服器,將ASA配置為Radius客戶端。

  • 向指向ASA的VPN子網增加路由。

  • 將監控ISE設定為日誌記錄主機(預設情況下埠20514;在這種情況下,策略ISE也在監控)。

重要的憑證組態需求:

在嘗試註冊iPEP節點之前,請確保滿足以下證書擴展金鑰使用要求。如果未在iPEP和管理節點上正確配置證書,註冊過程將完成。但是,您將失去對iPEP節點的管理員訪問許可權。以下詳細資訊是從《ISE 1.1.x iPEP部署指南》中推斷出來的:

管理節點和Inline Posture節點的本地證書中存在某些屬性組合可能會阻止相互身份驗證正常工作。

這些屬性包括:

  • 延伸金鑰使用(EKU) -伺服器驗證

  • 擴展金鑰使用(EKU) -客戶端身份驗證

  • Netscape證書型別- SSL伺服器身份驗證

  • Netscape證書型別- SSL客戶端身份驗證

管理憑證需要下列其中一種組合:

  • 如果Inline Posture證書中停用了兩個EKU屬性,則兩個EKU屬性都應停用;如果Inline Posture證書中啟用了伺服器屬性,則兩個EKU屬性都應啟用。

  • 應停用兩個Netscape Cert Type屬性,或者同時啟用這兩個屬性。

Inline Posture證書需要以下任意組合:

  • 應停用兩個EKU屬性,或者同時啟用兩個EKU屬性,或者僅啟用伺服器屬性。

  • 應停用兩個Netscape Cert Type屬性,或者同時啟用這兩個屬性,或者僅啟用伺服器屬性。

  • 在Administration和Inline Posture節點上使用自簽名本地證書的情況下,必須在Inline Posture節點的信任清單中安裝Administration節點的自簽名證書。此外,如果您的部署中同時具有主要和輔助管理節點,則必須在Inline Posture節點的信任清單中安裝兩個管理節點的自簽名證書。

  • 在管理和內聯狀態節點上使用CA簽名的本地證書時,相互身份驗證應正常工作。在這種情況下,簽名CA的證書在註冊之前安裝在管理節點上,並且此證書被複製到Inline Posture節點。

  • 如果CA頒發的金鑰用於保護管理節點和內聯狀態節點之間的通訊,則在註冊Inline Posture節點之前,您必須將來自管理節點的公鑰(CA證書)增加到內聯狀態節點的CA證書清單中。

基本配置:

vpn-inpost-asa-03.gif

部署模式配置:

vpn-inpost-asa-04.gif

過濾器配置:

vpn-inpost-asa-05.gif

Radius配置:

vpn-inpost-asa-06.gif

靜態路由:

vpn-inpost-asa-07.gif

記錄:

vpn-inpost-asa-08.gif

身份驗證和狀態配置

有三種狀態狀態:

  • 未知:尚未建立狀態

  • 合規:已制定安全評估且系統合規

  • 不符合:已建立狀態,但系統至少未通過一次檢查

現在必須建立用於不同案例的授權配置檔案(將為內聯授權配置檔案:這將增加Cisco AV對中的ipep-authz=true屬性)。

通常,Unknown配置檔案會返回重定向URL(安全評估發現),將使用者流量轉發到ISE並請求安裝NAC代理。如果已安裝NAC代理,這將允許將其HTTP發現請求轉發到ISE。

在此配置檔案中,至少使用允許HTTP流量到達ISE和DNS的ACL。

「相容」和「不相容」設定檔通常會傳回可下載ACL,以根據使用者設定檔授與網路存取權。不相容的設定檔可讓使用者存取Web伺服器,例如下載防毒軟體,或授與有限的網路存取權。

在此範例中,會建立「不明」和「相容」設定檔,並檢查是否有notepad.exe為需求。

狀態配置檔案配置

首先,建立可下載ACL (dACL)和設定檔:

注意:這不是必要的dACL名稱與設定檔名稱相符。

  • 相容

    • ACL:ipep-unknown

    • 授權配置檔案:ipep-unknown

  • 不符合

    • ACL:ipep不合規

    • 授權配置檔案:IPEP不相容

未知的dACL:

vpn-inpost-asa-09.gif

不明的設定檔:

vpn-inpost-asa-10.gif

相容的dACL:

vpn-inpost-asa-11.gif

相容設定檔:

vpn-inpost-asa-12.gif

授權配置

建立配置檔案後,您需要匹配來自iPEP的RADIUS請求,並向其應用正確的配置檔案。iPEP ISE使用將在授權規則中使用的特殊裝置型別定義:

NADs:

vpn-inpost-asa-13.gif

Authorization:

vpn-inpost-asa-14.gif

注意:如果電腦上未安裝代理,則可以定義客戶端調配規則。

結果

vpn-inpost-asa-15.gif

系統會提示您安裝代理程式(在本範例中,已設定使用者端啟動設定):

vpn-inpost-asa-16.gif

此階段的一些輸出: 

ciscoasa# show vpn-sessiondb remote 
 
Session Type: IPsec
Username     : cisco                  Index        : 26
Assigned IP  : 192.168.5.2            Public IP    : 10.48.39.134
Protocol     : IKE IPsec
License      : IPsec
Encryption   : AES128                 Hashing      : SHA1
Bytes Tx     : 143862                 Bytes Rx     : 30628
Group Policy : DfltGrpPolicy          Tunnel Group : cisco
Login Time   : 13:43:55 UTC Mon May 14 2012
Duration     : 0h:09m:37s
Inactivity   : 0h:00m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

在iPEP上: 

w-ise-ipep-1/admin# show pep table session 

Current Sessions (IP, MAC(if available), Profile ID, VLAN (if any)):
192.168.5.2 00:00:00:00:00:00 2 0 
w-ise-ipep-1/admin# show pep table accesslist normal 
#ACSACL#-IP-ipep-unknown-4fb10ac2:
deny tcp any host 192.168.101.1 eq 80
deny tcp any host 192.168.101.1 eq 443
permit ip any host 192.168.101.1
permit udp any any eq 53

下載並安裝代理程式後:

代理應自動檢測ISE並執行狀況評估(假設您已經定義了狀況規則,這是另一個主題)。在本例中,姿勢是成功的,並且顯示以下內容:

vpn-inpost-asa-17.gif

vpn-inpost-asa-18.gif

注意:上面的螢幕截圖中有兩個身份驗證。但是,由於iPEP框會快取ACL,因此不會每次都下載它。

在iPEP上: 

w-ise-ipep-1/admin# show pep table session 
 
Current Sessions (IP, MAC(if available), Profile ID, VLAN (if any)):
192.168.5.2 00:00:00:00:00:00 3 0 
w-ise-ipep-1/admin# show pep table accesslist normal 
#ACSACL#-IP-PERMIT_ALL_TRAFFIC-4f57e406:
permit ip any any
 
#ACSACL#-IP-ipep-unknown-4fb10ac2:
deny tcp any host 192.168.101.1 eq 80
deny tcp any host 192.168.101.1 eq 443
permit ip any host 192.168.101.1
permit udp any any eq 53
w-ise-ipep-1/admin#

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
19-Dec-2012
初始版本
TAC Authored

由思科工程師貢獻

  • Bastien Migette
    Cisco TAC Engineer.

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品