在AnyConnect远程访问VPN上使用ISE和AD配置静态IP地址 |
您所在的位置:网站首页 › Ip分配工具 › 在AnyConnect远程访问VPN上使用ISE和AD配置静态IP地址 |
简介
本文档介绍如何在具有身份服务引擎(ISE)和Active Directory(AD)的Cisco AnyConnect远程访问VPN上配置静态IP地址。 先决条件 要求Cisco 建议您了解以下主题: 思科ISE版本3.0的配置 思科自适应安全设备(ASA)/Firepower威胁防御(FTD)的配置 VPN身份验证流程 使用的组件本文档中的信息基于以下软件和硬件版本: 思科ISE版本3.0 Cisco ASA Windows 2016 Windows 10 Cisco AnyConnect客户端本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。 背景信息当用户使用带AnyConnect VPN客户端软件的Cisco ASA执行VPN身份验证时,在某些情况下,将相同的静态IP地址分配给客户端很有用。在这里,您可以在AD中配置每个用户帐户的静态IP地址,并在用户连接到VPN时使用此IP地址。可以使用属性配置ISE msRADIUSFramedIPAddress 查询AD从AD获取IP地址,并在客户端连接时将其分配给客户端。 本文档仅介绍如何在Cisco AnyConnect远程访问VPN上配置静态IP地址。 配置 AD配置步骤1:在AD中选择测试帐户。修改 Properties 选择测试帐户;选择 Dial-in 选项卡,如图所示。 第二步:勾选 Assign Static IP Address包装盒. 第三步:单击 Static IP Addresses 按钮。 第四步:勾选 Assign a static IPv4 address并输入IP地址。 注意:所分配的IP地址不得在DHCP地址池中使用或包含在其中。 第五步:点击 OK 完成配置。 ISE 配置步骤1:在ISE上添加网络设备并配置RADIUS和共享密钥。 导航至ISE > Administration > Network Devices > Add Network Device. 第二步:将ISE与AD集成。 导航至 ISE > Administration > External Identity Sources > Active Directory > Join ISE to Domain . 第三步: Add(添加) AD Attribute msRADIUSFramedIPAddress.导航至 ISE > Administration > External Identity Sources > Active Directory 然后选取所创建的“接点”名称。点击 Edit.然后,单击 Attributes 选项卡。然后,单击 Add > Select Attributes from Directory. 输入静态IP地址分配到的AD上存在的测试用户的名称,然后选择 Retrieve Attributes. 确保您勾选了方框 msRADIUSFramedIPAddress 并点击 OK . 编辑属性 msRADIUSFramedIPAddress 并更改 Type 值来自 STRING to IP并点击 Save. 第四步:创建授权配置文件。 导航至 ISE > Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add. 如果 Advanced Attributes Settings,为以下项添加新值 Radius: Framed-IP-Address 等于 msRADIUSFramedIPAddress先前在“AD属性”(AD Attributes)下选择的值(步骤3.)。 第五步: 创建 Policy Set. 导航至 ISE > Policy > Policy Sets.创建策略集并 Save.创建身份验证策略并选择身份源作为Active Directory(在第2步中加入)。创建授权策略并选择已创建授权配置文件(在第4步中创建)的结果。 ASA 配置在OUTSIDE接口上启用WebVPN并启用AnyConnect映像。 webvpnenable OUTSIDE anyconnect image disk0:/anyconnect-win-4.10.00093-webdeploy-k9.pkg 1 anyconnect enable tunnel-group-list enable 定义AAA服务器组和服务器: aaa-server ISE protocol radiusaaa-server ISE (inside) host 10.127.197.230 key ***** authentication-port 1812 accounting-port 1813 radius-common-pw ***** authorize-only interim-accounting-update periodic 24 dynamic-authorization VPN池: ip local pool VPN_POOL 192.168.1.1-192.168.1.50 mask 255.255.255.0组策略: group-policy GP-1 internalgroup-policy GP-1 attributes dns-server value 10.127.197.254 vpn-tunnel-protocol ssl-client address-pools value VPN_POOL 隧道组: tunnel-group TG-2 type remote-accesstunnel-group TG-2 general-attributes authentication-server-group ISE default-group-policy GP-1 tunnel-group TG-2 webvpn-attributes group-alias TG-2 enable 验证使用本部分可确认配置能否正常运行。 如果在AD上分配了静态IP: ISE 实时日志: 其他属性:在这里,您可以看到属性 msRADIUSFramedIPAddress 在AD上为此用户分配了IP地址。 结果:从ISE发送到ASA的IP地址。 ASA的输出: 命令: show vpn-sessiondb anyconnect 对于AD上没有静态IP地址的用户如果用户没有在AD上分配IP地址,则为其分配从本地VPN_Pool或DHCP(如果已配置)分配的IP地址。此处使用ASA上定义的本地池。 ISE 实时日志: ASA的输出: 命令: show vpn-sessiondb anyconnect 故障排除目前没有针对此配置的故障排除信息。 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |