在CSM上配置具有Radius身份驗證的AnyConnect

簡介

本檔案介紹如何在思科安全管理員(CSM)上設定使用Radius驗證的AnyConnect。

必要條件

需求

思科建議您瞭解以下主題：

• CSM 4.23
• AnyConnect配置
• SSL協定

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• CSM 4.23
• ASA 5515
• AnyConnect 4.10.6090

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

組態

網路圖表

網路圖表

步驟 1.配置SSLVPN訪問

導航至 Policies > SSL VPN > Access:

CSM SSL配置

設定存取介面後，請確保按一下Save:

儲存按鈕

步驟 2.配置身份驗證伺服器

導航至 Policy Object Manager > All Object Types > AAA Servers > Add新增按鈕.

配置伺服器的IP、源介面、協定和金鑰：

AAA伺服器配置

現在新增AAA伺服器， AAA Server Groups > Add  新增按鈕.

AAA伺服器群組組態

步驟 3.配置連線配置檔案

導航至 Policies > Connection Profiles > Add新增按鈕.

在此，您必須配置 IPv4 Global Address Pool (AnyConnect pool)中，Group Policy中， AAA,和 Group Alias/URL:

連線配置檔案配置

要選擇AAA伺服器，請按一下AAA頁籤並選擇第2步中建立的伺服器：

連線配置檔案AAA配置

要在連線配置檔案中配置組別名/組URL、DNS或WINS伺服器，請按一下SSL 頁籤：

連線配置檔案SSL配置

步驟 4.部署

點選部署圖示部署按鈕.

驗證

本節提供的資訊可用於驗證您的組態。

通過CSM:

導航至Health and Performance Monitor > Tools > Device Selector > Select the ASA > Next > Select Remote Access Users.

HPM監視器

註:VPN使用者根據HPM刷新計時器顯示。

通過CLI:

ASA#show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username : cisco                        Index : 23719
Assigned IP : 192.168.10.1              Public IP : 209.165.201.25
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 15856                        Bytes Rx : 3545
Group Policy : Basic_Policy             Tunnel Group : CSM_ISE_SVC
Login Time : 02:29:42 UTC Tue Jul 25 2023
Duration : 0h:01m:16s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A                      VLAN : none
Audt Sess ID : 0e26864905ca700064bf3396
Security Grp : none

疑難排解

為了檢查LDAP身份驗證或anyconnect建立期間可能出現的故障，您可以在CLI上執行以下命令：

debug radius all
debug webvpn anyconnect 255