取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

[原创】ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限

7832
查看次数
28
有帮助
23
评论
本帖最后由 luodaheng 于 2018-12-26 14:21 编辑
在很多企业中,需要实现不同的人员有不同的VPN访问权限,之前有种方法是在ASA上定义不同的VPN tunnel Group,用户在连接anyconnect客户端时下拉选择不同的组来实现不同的VPN访问。
下面这个案例中使用的是ASA和ISE结合,以简化客户端的访问。不用下拉选择不同的组来实现不同的用户有不同的VPN权限,
ASA配置部分
1.分别定义企业员工和供应商连接VPN后能访问的内部资源
access-list EmployeeAccess remark "access for employee"
access-list EmployeeAccesss extended permit tcp 172.16.254.0 255.255.255.128 host 172.16.1.x //企业员工可以访问172.16.1.X的服务器
access-list SupplierAccess remark "access for supplier"
access-list SupplierAccess extended permit tcp 172.16.254.128 255.255.255.128 host 172.16.2.x //供应商可访问172.16.2.X的服务器
2.分别定义企业员工和供应商连接VPN后的地址池
ip local pool vpn_pool1 172.16.254.1-172.16.254.127mask 255.255.255.128
ip local pool vpn_pool2 172.16.254.128-172.16.254.254mask 255.255.255.128
3.在ASA上配置 针对企业员工 EmployeeAccessGRP和供应商SupplierAccessGRP 的二个group-policy(注册这二个GROUP的名字,后面会在ISE时面调用
group-policy EmployeeAccessGRP internal
group-policy EmployeeAccessGRP attributes
dns-server value 172.16.8.16 172.16.8.17
vpn-simultaneous-logins 1
vpn-idle-timeout 30
vpn-session-timeout 720
vpn-filter value EmployeeAccess
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
default-domain value abc.com
address-pools value vpn_pool1
webvpn
port-forward disable
anyconnect ssl compression deflate
anyconnect profiles value anyconnectprofile type user
anyconnect ask enable default anyconnect timeout 30

group-policy SupplierAccessGRP internal
group-policy SupplierAccessGRP attributes
dns-server value 172.16.8.16 172.16.8.17
vpn-simultaneous-logins 1
vpn-idle-timeout 30
vpn-session-timeout 720
vpn-filter value SupplierAccess
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
default-domain value abc.com
address-pools value vpn_pool2
webvpn
port-forward disable
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect ssl compression deflate
anyconnect dtls compression lzs
anyconnect profiles value anyconnectprofile type user

4.在ASA配置RADIUS服务器(ISE的IP地址)
aaa-server CSC_Radius protocol radius
aaa-server CSC_Radius (management) host 172.16.16.136
key *****
aaa-server CSC_Radius (management) host 172.16.16.136
key *****
5 webvpn // 启用ASA的WebVPN
enable outside tls-only
anyconnect image disk0:/anyconnect-win-4.1.01065-k9.pkg 1
anyconnect profiles anyconnectprofile disk0:/anyconnectprofile.xml
anyconnect enable
cache
tunnel-group DefaultWEBVPNGroup general-attributes //调用上面定义的RADIUS认证服务器
authentication-server-group CSC_Radius
6.ISE配置部分
ISE部分因截图较多,上载为附件
评论
rossnrachel
Beginner
Anyconnect拨入后使用同一个地址池;
ISE上针对AD的各个组做"Downloadable ACLs"用于权限设置(不同的供应商权限不一样,位于不同的AD组内);
在"Authorization Profiles"设置不同的授权Profiles;
在"Policy Sets"中配置"Authorization Policy"即可.
这样配置应该比较灵活!
xuxiaoxunlxl
Beginner
正好要做这个,感谢。:lol
xiaocqu
Beginner
谢谢楼主分享
noji
Cisco Employee
xiaocqu 发表于 2019-6-13 08:50
谢谢楼主分享

Hi 如果您有ISE相关问题的话,我们今天也在微信公众号上举办一场ISE在线答疑,您可以用微信扫描二维码关注公众号,报名登记信息,即可提问我们的TAC专家咯!
xuxiaoxunlxl
Beginner
anyconnect profiles anyconnectprofile disk0:/anyconnectprofile.xml 请问这个是做了什么?
2095316477
Beginner
多谢分享,之前是弄过 ACS 的,现在 ACS 升级到 ISE,还正需要这方面的资料
:)
luodaheng1
Beginner
xuxiaoxunlxl 发表于 2019-6-16 21:28
anyconnect profiles anyconnectprofile disk0:/anyconnectprofile.xml 请问这个是做了什么?

用于自定义ANYCONNECT CLIENT配置和策略的
z328443036
Beginner
这个文档真的超级有用