配置具有Duo SSO的RA-VPNaaS的安全訪問和具有ISE的狀況評估

簡介

本文檔介紹如何為使用身份服務引擎(ISE)的遠端訪問VPN使用者配置安全評估以及使用Duo的安全訪問。

必要條件

• 在Secure Access上配置使用者調配
• 使用認證代理或第三方IDP配置Duo SSO
• 思科ISE透過隧道連線到安全訪問

需求

思科建議您瞭解以下主題：

• 身分辨識服務引擎
• 安全存取
• 思科安全使用者端
• 雙因素身份驗證指南- Duo Security
• ISE終端安全評估
• 驗證、授權和記帳

採用元件

本文檔中的資訊基於： 

• 身分辨識服務引擎(ISE)版本3.3修補程式1
• 安全存取
• 思科安全客戶端- Anyconnect VPN版本5.1.2.42

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

將Duo SAML與思科身份服務引擎(ISE)整合可增強身份驗證過程，為思科安全訪問解決方案增加一層安全保護。Duo SAML提供單一登入(SSO)功能，可簡化使用者登入程式，同時確保高安全性標準。

一旦透過Duo SAML進行身份驗證，授權過程由Cisco ISE處理。這允許根據使用者身份和裝置狀態做出動態訪問控制決策。ISE可以實施詳細策略，規定使用者可以訪問哪些資源、何時訪問以及從哪些裝置訪問哪些資源。

網路圖表

設定

Duo配置

要配置RA-VPN應用，請繼續執行以下步驟： 

導航至Duo管理面板

• 導覽至 Applications > Protect an Application
• 搜尋 Generic SAML Service Provider
• 按一下  Protect

您必須在螢幕上顯示應用程式；請記住VPN配置的應用程式名稱。

在本例中為 Generic SAML Service Provider.

安全訪問配置

在IP池上配置Radius組

要使用Radius配置VPN配置檔案，請繼續執行以下步驟： 

導航到安全訪問控制台。

• 按一下 Connect > Enduser Connectivity > Virtual Private Network
• 在「您的池配置」(Manage IP Pools)下，按一下Manage

• 選擇IP Pool Region 並配置 Radius Server

• 按一下要編輯的鉛筆

• 現在，在IP Pool section configuration Radius Group (Optional)
• 按一下 Add RADIUS Group

• 在「一般」下，設定下列選項： 

• Group Name：在Secure Access中配置ISE整合的名稱
  • AAA method
    
    • Authentication：標籤Authentication 的覈取方塊，並選擇埠，預設值為1812
      • 如果身份驗證需要Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)，請選中覈取方塊
    • Authorization：標籤Authorization覈取方塊並選擇埠，預設情況下為1812
      • 標籤Authorization mode Only Change of Authorization (CoA) mode 覈取方塊，然後允許來自ISE的狀態和更改
    • Accounting：選中Authorization覈取方塊，並選擇預設埠為1813
      • 選擇Single or Simultaneous (在單模式中，記帳資料僅傳送到一台伺服器。在同步模式中，將資料記賬到群組中的所有伺服器)
      • 選中 Accounting update 覈取方塊，以啟用定期生成RADIUS interim-accounting-update消息。

• 之後，您需要在 RADIUS Servers部分配置用於透過AAA進行身份驗證的RADIUS Servers (ISE)：
• 按一下 + Add

• 然後，配置以下選項：

• Server Name：配置名稱以標識您的ISE伺服器。
• IP Address：配置可透過安全訪問訪問的思科ISE裝置的IP
• Secret Key：配置您的RADIUS金鑰
• Password：配置您的Radius密碼

• 點選Save 並在Assign Server選項下分配您的RADIUS伺服器，然後選擇您的ISE伺服器：

• 再次Save 按一下以儲存完成的所有配置

現在您已經在IP池下配置了ISE伺服器，您需要在您的 VPN Profiles下配置它。

配置VPN配置檔案以使用ISE

要配置VPN配置檔案，請導航到安全訪問控制台。

• 按一下 Connect > Enduser Connectivity > Virtual Private Network
• VPN Profiles 按一下滑鼠右鍵 + Add
• 然後設定下一個選項：

一般設定

• VPN Profile name：配置配置檔名稱的名稱
• Default Domain：配置您的域。
• DNS Server：選擇您配置的域名伺服器(DNS)伺服器
• Protocol：配置您需要在VPN下允許的協定
• Connect Time posture：選擇姿勢或將其設定為「無」

• 之後，按一下 Next

驗證、授權和記帳

驗證

• Authentication
  
  • Protocols:選擇 SAML
• 按一下 Download Service Provider XML file
• 替換步驟Duo Configuration中配置的應用程式中的資訊

• 配置好該資訊後，請將Duo的名稱更改為與您正在進行的整合相關的名稱

• 在DuoSave 上按一下您的應用程式。
• 點選Save後，必須點選SAML Metadata 該按鈕下載 Download XML

• 上傳SAML Metadata 選項下的Secure Access3. Upload IdP security metadata XML file 並按一下 Next

繼續進行授權。

Authorization

• Authorization
  • Enable Radius Authorization：選中該覈取方塊以啟用RADIUS授權
  • 為所有區域選擇一個組：選中該覈取方塊，為所有遠端訪問-虛擬專用網路(RA-VPN)池使用一個特定RADIUS伺服器，或為每個池單獨定義該伺服器
• 按一下 Next

配置完所有Authorization 部件後，請繼續執行 Accounting。

計量

• Accounting
  • Map Authorization groups to regions：選擇地區並選擇 Radius Groups
• 按一下 Next

After you have done configured the Authentication, Authorization and Accounting 請繼續Traffic Steering。

流量引導

在流量引導下，您需要透過安全訪問配置通訊型別。

• 如果您選擇 Connect to Secure Access，您的所有Internet流量都將透過 Secure Access

如果要為Internet域或IP增加排除項，請按一下+ Add 按鈕，然後按一下Next。

• 如果您決定 Bypass Secure Access，則所有網際網路流量都將透過您的網際網路提供商，而不是透過Secure Access（無網際網路保護）

在此步驟中，選擇希望透過VPN訪問的所有專用網路資源。要執行此操作，請按一下 + Add，然後按一下Next 何時增加所有資源。

思科安全客戶端配置

在此步驟中，您可以將所有內容均保留為預設值並按一下 Save，但如果要自定義配置的詳細資訊，請檢視Cisco Secure Client管理員指南。

ISE配置

配置網路裝置清單

要配置透過思科ISE的身份驗證，您需要配置可以向思科ISE進行查詢的允許裝置：

• 導覽至 Administration > Network Devices
• 按一下 + Add 

• Name：使用名稱標識安全訪問
• IP  Address：配置步驟的Management Interface，IP池區域
• Device Profile：選擇思科
  • Radius Authentication Settings
    
    • Shared Secret：配置在步驟中配置的相同共用金鑰，即金鑰
    • CoA Port：將其設為預設值；1700也用於安全訪問

完成後，按一下Save要驗證整合是否正常工作，請繼續建立本地使用者進行整合驗證。

配置組

要配置用於本地使用者的組，請繼續執行以下步驟：

• 按一下 Administration > Groups
• 按一下 User Identity Groups
• 按一下 + Add
• 為組建立Name一個並按一下 Submit

配置本地使用者

設定本機使用者以驗證您的整合：

• 導覽至 Administration > Identities
• 按一下 Add +

• Username：在Secure Access中使用已知UPN調配配置使用者名稱；這基於步驟前提條件
• Status：活動
• Password Lifetime：您可以根據您的With Expiration 或Never Expires配置它
• Login Password：為使用者建立密碼
• User Groups：選擇在步驟配置組上建立的組

之後，您可以進Save 行組態設定，並繼續步驟 Configure Policy Set。

配置策略集

在策略集下，配置ISE在身份驗證和授權期間執行的操作。此場景演示了配置簡單策略以提供使用者訪問許可權的使用案例。首先，ISE驗證RADIUS身份驗證的源並檢查ISE使用者資料庫中是否存在用於提供訪問許可權的身份

要配置該策略，請導航到您的Cisco ISE控制台： 

• 按一下 Policy > Policy Sets
• 點選+ 以增加新策略集

在這種情況下，請建立一個新的策略集，而不是使用預設策略集。然後，根據該策略集配置身份驗證和授權。配置的策略允許訪問在配置網路裝置清單步驟中定義的網路裝置，以驗證這些身份驗證來自CSA Network Device List，然後以Conditions的身份進入策略。最後是允許的協定，如Default Network Access。

要建立與策略集匹配的condition 策略，請按照以下說明進行操作：

• 按一下 +
• 在 Condition Studio下，可用的資訊包括： 

1. 若要建立條件，請按一下 Click to add an attribute
2. 按一下Network Device 按鈕 
3. 在後面的選項下，按一下Network Access -Network Device Name 選項
4. 在Equals選項下，在步驟Configure Network Devices List下寫入Network Device 的名稱
5. 按一下 Save

此策略僅批准源CSA的請求以繼續策略集 CSA-ISE下的Authentication 和Authorization 設定，並且還會根據允許協定 Default Network Access 的來驗證允許的協定。

定義的策略的結果必須是： 

• 要驗證Default Network Access Protocols 允許的情況，請繼續下面的說明： 
  • 按一下Policy > Results
  • 按一下 Allowed Protocols
  • 按一下 Default Network Access

• 然後，您會看到在上允許的所有協定 Default Network Access

配置策略集授權

要在 Policy Set下建立策Authorization 略，請執行以下步驟：

• 按一下 >

• 之後，您會看到顯示Authorization 的策略： 

此策略與配置策略集步驟中定義的策略相同。

授權策略

可以透過多種方式配置授權策略。在這種情況下，僅授權在配置組步驟中定義的組中的使用者。請參閱以下示例配置您的授權策略：

• 按一下 Authorization Policy
• 點選+ 以定義授權策略，如下所示： 

• 在下一步中，更改Rule Name，和Conditions Profiles
• 設定Name 配置名稱以輕鬆辨識授權策略時 
• 要配置 Condition，請點選 +
• 在 Condition Studio下，您可以找到以下資訊： 

1. 若要建立條件，請按一下 Click to add an attribute
2. 按一下Identity Group 按鈕 
3. 在後面的選項下，按一下Internal User - IdentityGroup option
4. 在Equals 選項下，使用下拉選單查詢步驟配置組中的Group 批准進行身份驗證
5. 按一下 Save
6. 按一下 Use

之後，您需要定義 Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

1. 在 Authorization Policy下，按一下 Profiles
2. 搜尋允許
3. 選取 PermitAccess
4. 按一下 Save

之後，您便定義了策 Authorization 略。驗證使用者是否連線沒有問題，以及您是否能夠看到安全訪問和ISE上的日誌。

要連線到VPN，您可以使用在Secure Access上建立的配置檔案，並透過Secure Client與ISE配置檔案進行連線。

• 當身份驗證獲得批准時，如何在Secure Access中顯示日誌？ 
  • 導航到安全訪問控制台
  • 按一下 Monitor > Remote Access Log

• 當身份驗證獲得批准時，日誌如何在ISE中顯示？
  • 導航至 Cisco ISE Dashboard
  • 按一下 Operations > Live Logs

身份驗證獲得批准後，日誌如何在Duo中顯示？

• 導航至Duo控制台
• 按一下 Reports > Authentication Log

配置Radius本地或Active Directory使用者

配置ISE終端安全評估

在此場景中，建立配置以驗證終端合規性，然後授予或拒絕對內部資源的訪問許可權。

要配置它，請繼續執行以下步驟：

配置狀態條件

• 導航到您的ISE控制台
• 按一下 Work Center > Policy Elements > Conditions
• 按一下 Anti-Malware

• 在Anti-Malware Conditions下，按一下 + Add

• 您可以配置Anti-Malware Condition以檢測系統上的防病毒安裝；如果需要，您也可以選擇作業系統版本。

• Name：使用名稱辨識防惡意軟體情況
• Operating System：選擇要置於該條件下的運行系統
• Vendor：選擇供應商或ANY
• Check Type：您可以驗證是否已安裝代理或該選項的定義版本。

• 對於 Products for Selected Vendor，您可以在裝置上配置要驗證的反惡意軟體的相關資訊。

1. 選中要評估條件的覈取方塊
2. 配置要驗證的最低版本
3. 點選Save以繼續執行下一步

完成配置後，您可以繼續執行 Configure Posture Requirements步驟。

配置狀態要求

• 導航到您的ISE控制台
• 按一下 Work Center > Policy Elements > Requeriments
• 按一Edit 下任一要求，然後按一下 Insert new Requirement

• 在新要求下，配置以下引數：

• Name：配置名稱以辨識反惡意軟體要求
• Operating System：選擇您在條件步驟「作業系統」中選擇的作業系統  
• Compliance Module：您需要確保選擇與條件步驟防惡意軟體條件下相同的合規性模組
• Posture Type：選擇代理
• Conditions：選擇在步驟配置終端安全評估條件下建立的一個或多個條件
• Remediations Actions：選擇Message Text Only 此示例，或者如果您有其他補救操作，則使用該示例
• 按一下 Save

設定好之後，您可以繼續步驟， Configure Posture Policy

配置狀態策略

• 導航到您的ISE控制台
• 按一下 Work Center > Posture Policy
• 按一Edit 下任一原則，然後按一下 Insert new Policy

• 在新策略下，配置以下引數：

• Status：選中覈取方塊no enable the policy
• Rule Name：配置名稱以辨識配置的策略
• Identity Groups：選擇要評估的標識
• Operating Systems：根據之前配置的條件和要求選擇作業系統
• Compliance Module：根據之前配置的條件和要求選擇合規性模組
• Posture Type：選擇代理
• Requeriments：選擇在步驟配置終端安全評估要求上配置的要求
• 按一下 Save

設定使用者端啟動設定

要向使用者提供ISE模組，請配置客戶端調配為電腦提供ISE終端安全評估模組。這樣，在安裝代理後，您就可以驗證電腦的狀態。要繼續此過程，請按照以下步驟操作：

導航到您的ISE控制台。

• 按一下 Work Center > Client Provisioning
• 選擇 Resources

在客戶端調配下，您需要配置以下三項：

要配置的資源	說明
1. Agent Resources	安全使用者端Web布建套件。
2. Compliance Module	Cisco ISE合規性模組
3. Agent Profile	控制設定配置檔案。
3. Agent Configuration	使用代理配置檔案和代理資源，透過設定調配門戶來定義要調配的模組。

Step 1 下載並上傳代理資源

• 要增加新的代理資源，請導航到Cisco下載門戶並下載Web部署包；Web部署檔案必須是.pkg格式。

• 點選+ Add > Agent resources from local disk 並上傳包

Step 2下載合規性模組 

• 按一下 + Add > Agent resources from Cisco Site

• 選中所需每個合規性模組的覈取方塊，然後按一下 Save

Step 3配置代理配置檔案

• 按一下 + Add > Agent Posture Profile

• 為建Name 立 Posture Profile

• 在「伺服器名稱規則」下，放置一個* 並在之後按一下Save 

Step 4 配置代理配置

• 按一下 + Add > Agent Configuration

• 之後，配置以下引數： 

• Select Agent Package ：選擇上傳到步驟1下載和上傳代理資源的包
• Configuration Name：選擇一個名稱以辨識 Agent Configuration
• Compliance Module：選擇在步驟2下載合規性模組上下載的合規性模組
• Cisco Secure Client Module Selection
  
  • ISE Posture：選中覈取方塊
• Profile Selection
  
  • ISE Posture：在第3步配置代理配置檔案中選擇配置的ISE配置檔案
• 按一下 Save

配置客戶端調配策略

要啟用調配在上一步配置的ISE終端安全評估和模組，您需要配置策略以進行調配。

• 導航到您的ISE控制台
• 按一下 Work Center > Client Provisioning

• Rule Name：根據裝置型別和身份組選擇配置策略名稱，以輕鬆辨識每個策略
• Identity Groups：選擇要在策略上評估的標識
• Operating Systems：根據在步驟「選取代理程式套件」中選取的代理程式套件選擇作業系統
• Other Condition：根Network Access 據步驟中配置的方法的Authentication MethodEQUALS選擇增加RADIUS組，或者您可以保留為空
• Result：在步驟4配置代理配置中選擇已配置的代理配置 
  • Native Supplicant Configuration：選擇Config Wizard Wizard Profile
• 如果策略未列示為已啟用核取方塊，請將策略標示為已啟用。

建立授權配置檔案

授權配置檔案根據身份驗證透過後的使用者狀態限制對資源的訪問。必須驗證授權，以根據狀態確定使用者可訪問哪些資源。

授權配置檔案	說明
相容	使用者相容-已安裝代理-狀態已驗證
未知的相容	使用者未知合規性-重定向以安裝代理-狀態待驗證待處理
拒絕存取	使用者不相容-拒絕訪問

要配置DACL，請導航到ISE控制台：

• 按一下 Work Centers > Policy Elements > Downloadable ACLs
• 按一下 +Add
• 建立 Compliant DACL

• Name：增加一個名稱，該名稱引用與DACL相容的
• IP version:選擇 IPv4
• DACL Content：建立可下載訪問控制清單(DACL)，用於訪問網路的所有資源

permit ip any any

按一下Save 並建立未知符合性DACL

• 按一下 Work Centers > Policy Elements > Downloadable ACLs
• 按一下 +Add
• 建立 Unknown Compliant DACL

• Name：增加一個名稱，用於引用DACL相容（未知）
• IP version:選擇 IPv4
• DACL Content: 建立一個DACL，允許透過埠8443對網路、DHCP、DNS、HTTP和調配門戶進行有限訪問

permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443

注意：在此場景中，IP地址192.168.10.206對應於Cisco Identity Services Engine (ISE)伺服器，埠8443指定用於調配門戶。這意味著允許透過埠8443到IP地址192.168.10.206的TCP流量，從而便於訪問調配門戶。

此時，您擁有建立授權配置檔案所需的DACL。

要配置授權配置檔案，請導航到ISE控制台：

• 按一下 Work Centers > Policy Elements > Authorization Profiles
• 按一下 +Add
• 建立 Compliant Authorization Profile

• Name：建立引用合規授權配置檔案的名稱
• Access Type:選擇 ACCESS_ACCEPT

• Common Tasks
  • DACL NAME：選擇在相容DACL步驟中配置的DACL

點選Save 並建立 Unknown Authorization Profile

• 按一下 Work Centers > Policy Elements > Authorization Profiles
• 按一下 +Add
• 建立 Uknown Compliant Authorization Profile

• Name：建立引用未知合規授權配置檔案的名稱
• Access Type:選擇 ACCESS_ACCEPT

• Common Tasks
  • DACL NAME：選擇在未知的相容DACL步驟中配置的DACL
  • Web Redirection (CWA,MDM,NSP,CPP)
    • 選擇 Client Provisioning (Posture)
    • ACL：必須是 redirect
    • Value：選擇預設調配門戶，或者如果定義了其他門戶，請選擇該門戶

注意：對於所有部署，在Secure Access上重定向ACL的名稱為 redirect。

定義完所有這些值後，您都必須在Attributes Details下有類似的東西。

點選Save 結束配置並繼續下一步。

配置狀態策略集

您建立的這三個策略基於您配置的授權配置檔案；對於 DenyAccess，您不需要建立另一個策略。

策略集-授權	授權配置檔案
相容	授權配置檔案-相容
未知的相容	授權配置檔案-未知相容
不符合	拒絕存取

導航到您的ISE控制台

• 按一下 Work Center > Policy Sets
• 點選> 以訪問已建立的策略

• 按一下 Authorization Policy

• 按下一個順序建立接下來的三個策略：

• 點選+ 以定義策CSA-Compliance 略： 

• 在下一步中，更改Rule Name，和Conditions Profiles
• 將名稱Name 設定為 CSA-Compliance
• 要配置 Condition，請點選 +
• 在 Condition Studio下，您可以找到以下資訊： 

1. 若要建立條件，請搜尋 compliant
2. 您必須已顯示 Compliant_Devices
3. 拖放在 Editor
4. 在Editor下，按一下 New
5. 按一下Identity Group 圖示
6. 選擇 Internal User Identity Group
7. 在 Equals下，選擇User Identity Group 要匹配的
8. 按一下 Use

• 因此，您會看到下一個影像

• 在Profile 點選下拉按鈕下並選擇步驟中配置的投訴授權配置檔案合規授權配置檔案

現在，您已經配置了 Compliance Policy Set。

• 點選+ 以定義策CSA-Unknown-Compliance 略： 

• 在下一步中，更改Rule Name，和Conditions Profiles
• 將名稱Name 設定為 CSA-Unknown-Compliance
• 要配置 Condition，請點選 +
• 在 Condition Studio下，您可以找到以下資訊： 

1. 若要建立條件，請搜尋 compliance
2. 您必須已顯示 Compliant_Unknown_Devices
3. 拖放在 Editor
4. 在Editor下，按一下 New
5. 按一下Identity Group 圖示
6. 選擇 Internal User Identity Group
7. 在 Equals下，選擇User Identity Group 要匹配的
8. 按一下 Use

• 因此，您會看到下一個影像

• 在Profile 點選下拉按鈕下並選擇步驟中配置的投訴授權配置檔案Unknown Compliant Authorization Profile

現在，您已經配置了 Unknown Compliance Policy Set。

• 點選+ 以定義策CSA- Non-Compliant 略： 

• 在下一步中，更改Rule Name，和Conditions Profiles
• 將名稱Name 設定為 CSA-Non-Compliance
• 要配置 Condition，請點選 +
• 在 Condition Studio下，您可以找到以下資訊： 

1. 若要建立條件，請搜尋 non
2. 您必須已顯示 Non_Compliant_Devices
3. 拖放在 Editor
4. 在Editor下，按一下 New
5. 按一下Identity Group 圖示
6. 選擇 Internal User Identity Group
7. 在 Equals下，選擇User Identity Group 要匹配的
8. 按一下 Use

• 因此，您會看到下一個影像

• 在Profile 點選下拉按鈕下並選擇投訴授權配置檔案 DenyAccess

一旦您結束三個配置檔案的配置，您就可以開始測試與終端安全評估整合。

驗證

狀態驗證

電腦上的連線

透過安全客戶端連線到安全訪問上提供的FQDN RA-VPN域。

注意：此步驟中無需安裝ISE模組。

1. 使用安全客戶端連線。

2. 提供憑證以透過Duo進行身份驗證。

3. 此時，您連線到VPN，很可能您被重定向到ISE；否則，您可以嘗試導航到http:1.1.1.1。

注意：此時您處於授權-策略集CSA-Unknown-Compliance下，因為您未在電腦上安裝ISE終端安全評估代理，並且您將重定向到ISE調配門戶以安裝代理。

4. 按一下「開始」以繼續代理程式啟動設定。

5. 按一下+ This is my first time here。

6. 按一下 Click here to download and install agent

7. 安裝代理 

8. 安裝代理後，ISE終端安全評估開始驗證電腦的當前狀態。如果不符合策略要求，將顯示一個彈出窗口，指導您遵循合規性要求。

注意：如果Cancel您或剩餘時間結束，您將會自動變為不符合，受授權策略集CSA-Non-Compliance制約，並立即斷開VPN連線。

9. 安裝Secure Endpoint Agent並再次連線到VPN。

10. 在代理驗證電腦是否合規後，您的狀態將變為投訴，並允許訪問網路上的所有資源。

注意：在符合策略後，您將屬於授權策略集CSA-Compliance，並且您可以立即訪問所有網路資源。

如何驗證ISE中的日誌

要驗證使用者的身份驗證結果，您有兩個遵循和不遵守的示例。要在ISE中檢視它，請遵循以下說明：

• 導航到您的ISE控制台
• 按一下 Operations > Live Logs

下一個tho場景演示了成功的符合性和不符合性事件如何顯示在 Live Logs下：

合規性

不合規性

安全訪問和ISE整合的第一步

在下一個示例中，思科ISE位於網路192.168.10.0/24下，需要透過隧道可達的網路配置需要增加到隧道配置下。

Step 1：驗證您的隧道配置：

要對此進行驗證，請導航到安全訪問控制台。

• 按一下 Connect > Network Connections
• 點選Network Tunnel Groups >您的隧道

• 在彙總下，驗證隧道是否已配置您的Cisco ISE所在的地址空間：

Step 2：允許防火牆上的流量。

要允許安全訪問使用您的ISE裝置進行RADIUS身份驗證，您需要配置從安全訪問到您的網路的規則以及所需的RADIUS埠：

規則	來源	目的地	目的地連線埠
使用ISE保護訪問 管理池	ISE_Server	管理IP池(RA-VPN)	COA UDP 1700（預設埠）
ISE的安全訪問管理IP池	管理IP池	ISE_Server	驗證，授權 UDP 1812（預設埠） 計量 UDP 1813（預設埠）
ISE的安全訪問終端IP池	終端IP池	ISE_Server	調配門戶 TCP 8443（預設埠）
DNS伺服器的安全訪問端點IP池	終端IP池	DNS伺服器	DNS UDP與TCP 53

注意：如果要瞭解更多與ISE相關的埠，請檢視使用手冊-埠參考。

注意：如果已將ISE配置為透過某個名稱（如ise.ciscosspt.es）發現，則需要DNS規則

管理池和終端IP池

要驗證您的管理和終端IP池，請導航到安全訪問控制台：

• 按一下 Connect > End User Connectivity
• 按一下 Virtual Private Network
• 底下 Manage IP Pools
• 按一下 Manage

第3步：驗證您的ISE是否在專用資源下配置

要允許透過VPN連線的使用者導航到ISE Provisioning Portal，您需要確保將裝置配置為提供訪問的私有資源，該資源用於允許透過VPN自動調配ISE Posture Module。

要驗證是否正確配置了ISE，請導航到安全訪問控制台：

• 按一下 Resources > Private Resources
• 點選ISE資源

如果需要，您可以將規則限制到調配門戶埠(8443)。

注意：請確保已標籤VPN連線的覈取方塊。

第4步：在訪問策略下允許ISE訪問

要允許透過VPN連線的使用者導航到ISE Provisioning Portal，您需要確保已配置Access Policy 以允許根據該規則配置的使用者訪問在Step3中配置的專用資源。

要驗證是否正確配置了ISE，請導航到安全訪問控制台：

• 按一下 Secure > Access Policy
• 點選配置為允許訪問VPN使用者的ISE的規則

疑難排解

如何下載ISE終端安全評估調試日誌

要下載ISE日誌以驗證與終端安全評估相關的問題，請繼續執行以下步驟： 

• 導航到您的ISE控制台
• 按一下 Operations > Troubleshoot > Debug Wizard

• 按一下 Debug Profile Configuration

• 標示核取方塊 Posture > Debug Nodes 

• 選中要啟用調試模式以解決問題的ISE節點的覈取方塊

• 按一下 Save

注意：在此之後，您必須開始再現問題； the debug logs can affect the performance of your device。

在重現問題後，請繼續執行以下步驟：

• 按一下 Operations > Download Logs
• 選擇要從中獲取日誌的節點

• 在 Support Bundle「下方」中，選擇下列選項：

• Include debug logs
• 底下 Support Bundle Encryption
  • Shared Key Encryption
    • 填滿Encryption key 和 Re-Enter Encryption key
• 按一下 Create Support Bundle
• 按一下 Download

警告：停用在步驟Debug Profile Configuration上啟用的偵錯模式

如何驗證安全訪問遠端訪問日誌

導航到您的安全訪問控制台：

• 按一下 Monitor > Remote Access Logs

在安全客戶端上生成DART捆綁包

要在您的電腦上生成DART捆綁包，請驗證以下文章： 

Cisco Secure Client Diagnostic and Reporting Tool (DART)

註：收集了故障排除部分中指明的日誌後，請透過TAC 建立案例，以繼續分析資訊。

相關資訊

• 思科技術支援與下載
• Secure Access文檔和使用手冊
• Cisco Secure Client軟體下載
• 思科身份服務引擎管理員指南3.3版