使用ISE和AD在AnyConnect遠端訪問VPN上配置靜態IP地址

簡介

本文檔介紹如何在具有身份服務引擎(ISE)和Active Directory(AD)的Cisco AnyConnect遠端訪問VPN上配置靜態IP地址。

必要條件

需求

思科建議您瞭解以下主題：

• 思科ISE版本3.0的配置
• 思科自適應安全裝置(ASA)/Firepower威脅防禦(FTD)的配置
• VPN身份驗證流程

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco ISE版本3.0
• Cisco ASA
• Windows 2016
• Windows 10
• Cisco AnyConnect使用者端

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

當使用者使用帶AnyConnect VPN客戶端軟體的Cisco ASA執行VPN身份驗證時，在某些情況下，為客戶端分配相同的靜態IP地址很有用。在這裡，您可以在AD中配置每個使用者帳戶的靜態IP地址，並在使用者連線到VPN時使用此地址。可以使用屬性配置ISE msRADIUSFramedIPAddress  查詢AD從AD獲取IP地址，並在客戶端連線時將其分配給客戶端。

本文檔僅介紹如何在Cisco AnyConnect遠端訪問VPN上配置靜態IP地址。

設定

AD配置

步驟 1.在AD中選擇測試帳戶。修改 Properties 測試帳戶；選擇 Dial-in 頁籤，如圖所示。

步驟 2.勾選 Assign Static IP Address框。

步驟 3.按一下 Static IP Addresses 按鈕。

步驟 4.勾選 Assign a static IPv4 address並輸入IP地址。

步驟 5.按一下 OK 以完成配置。

ISE 組態

步驟 1.在ISE上新增網路裝置並配置RADIUS和共用金鑰。 導航至ISE > Administration > Network Devices > Add Network Device.

步驟 2.將ISE與AD整合。 導航至 ISE > Administration > External Identity Sources > Active Directory > Join ISE to Domain .

步驟 3. 新增 AD Attribute msRADIUSFramedIPAddress.導航至 ISE > Administration > External Identity Sources > Active Directory 然後選取所建立的「接點」名稱。按一下 Edit.然後，按一下 Attributes 頁籤。然後，按一下 Add > Select Attributes from Directory.

輸入將靜態IP地址分配到的AD上存在的測試使用者的名稱，然後選擇 Retrieve Attributes.

確保您勾選了方框 msRADIUSFramedIPAddress 然後按一下 OK .

編輯屬性 msRADIUSFramedIPAddress 並更改 Type 值自 STRING to IP然後按一下 Save.

步驟 4.建立授權配置檔案。 導航至 ISE > Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add.

在 Advanced Attributes Settings,為新增一個新值 Radius: Framed-IP-Address 等於 msRADIUSFramedIPAddress先前在「AD屬性」(AD Attributes)下選擇的值（步驟3.）。

步驟 5. 建立 Policy Set. 導航至 ISE > Policy > Policy Sets.建立策略集並 Save.建立身份驗證策略並選擇身份源作為Active Directory（在步驟2中加入）。建立授權策略並選擇使用已建立的授權配置檔案（在步驟4中建立）的結果。

ASA配置

在OUTSIDE介面上啟用WebVPN並啟用AnyConnect映像。

webvpn

  enable OUTSIDE

  anyconnect image disk0:/anyconnect-win-4.10.00093-webdeploy-k9.pkg 1

 anyconnect enable

 tunnel-group-list enable

定義AAA伺服器組和伺服器：

aaa-server ISE protocol radius

aaa-server ISE (inside) host 10.127.197.230

 key *****

 authentication-port 1812

 accounting-port 1813

 radius-common-pw *****

 authorize-only

 interim-accounting-update periodic 24

 dynamic-authorization

VPN池：

ip local pool VPN_POOL 192.168.1.1-192.168.1.50 mask 255.255.255.0

組策略：

group-policy GP-1 internal

group-policy GP-1 attributes

 dns-server value 10.127.197.254

 vpn-tunnel-protocol ssl-client

 address-pools value VPN_POOL

隧道組：

tunnel-group TG-2 type remote-access

tunnel-group TG-2 general-attributes

 authentication-server-group ISE

 default-group-policy GP-1

tunnel-group TG-2 webvpn-attributes

 group-alias TG-2 enable

驗證

使用本節內容，確認您的組態是否正常運作。

如果在AD上分配了靜態IP:

ISE 即時記錄:

其他屬性：在此處，您可以看到該屬性  msRADIUSFramedIPAddress  在AD上為此使用者分配了IP地址。

結果：從ISE傳送到ASA的IP地址。

ASA的輸出：

指令: show vpn-sessiondb anyconnect

對於AD上沒有靜態IP地址的使用者

如果使用者沒有在AD上分配IP地址，則為其分配從本地VPN_Pool或DHCP（如果已配置）分配的IP地址。此處使用ASA上定義的本地池。

ISE 即時記錄:

ASA的輸出：

指令:  show vpn-sessiondb anyconnect

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。