05-21-2024 01:55 AM
Buenas tardes Comunidad.
En la emprasa donde trabajo , se trabaja para un cliente muy grande el cual se requiere actualizar mas de 10k equipos finales ()end-points) de AnyConnect 4.10 hacia Secure Client 5.X, yo se que al cargar la imagen en mi ASA manda automaticamente la actualizacion una ves que haya echo la comprobacion , pero el tema es que el cliente solicita que se hagan por ejemplo mil en un dia y otros mil en otro dia y asi paulatinamente, aqui mi pregunta es ... Como hago que eso pase y pueda yo controlarlo desde el ASA ya que no cuento con un AD o un ISE que gestione para esta tarea, ahora bien los mas de 10mil Usuarios se conectan a diferentes Tunel-groups (o perfiles) podria hacer que los usuarios que se conecten al Tunel-group XXXX solo se actualicen, y se vayan actualizando paulatinamente conforme hagan esa conexion ??. espero me hayan entendido.
Les repito no cuento con alguna herramienta como un AD o una Tienda de Software que me ayude a hacer esa actualizacion controladamente mas que el propio ASA.
Saludos
05-21-2024 02:19 AM - edited 05-21-2024 02:22 AM
Buenas tardes,
Para abordar la actualización controlada de AnyConnect a Secure Client desde el ASA sin herramientas adicionales como AD o ISE, puedes aprovechar la configuración basada en grupos de túneles (Tunnel-Groups) en tu ASA para gestionar las actualizaciones de forma gradual. Aquí te dejo un plan que podrías seguir:
Crear Grupos de Túneles Específicos para la Actualización:
Divide tus usuarios en grupos de actualización más pequeños, asignándolos a diferentes Tunnel-Groups. Por ejemplo, podrías tener grupos como update-group1, update-group2, etc.
Configura estos grupos de túneles para que la actualización se aplique solo a ellos.
Configuración de ASA para la Actualización Basada en Tunnel-Groups:
Primero, sube la nueva imagen de Secure Client al ASA.
Luego, configura las políticas de actualización en los Tunnel-Groups específicos. Aquí tienes un ejemplo básico de cómo podrías hacerlo:
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# anyconnect image disk0:/secure-client-5.x.pkg 1
ciscoasa(config-webvpn)# exit
ciscoasa(config)# tunnel-group update-group1 general-attributes
ciscoasa(config-tunnel-general)# address-pool update-group1-pool
ciscoasa(config-tunnel-general)# default-group-policy update-group1-policy
ciscoasa(config-tunnel-general)# exit
ciscoasa(config)# group-policy update-group1-policy internal
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-policy)# anyconnect profiles value secure-client-profile
ciscoasa(config-group-policy)# anyconnect image disk0:/secure-client-5.x.pkg
ciscoasa(config-group-policy)# exit
ciscoasa(config)# exit
Planificación y Ejecución de la Actualización:
-Programa la actualización de los usuarios en bloques. Informa a los usuarios de cada grupo cuándo se realizará la actualización y asegúrate de que se conecten en los días asignados.-
-Por ejemplo, podrías hacer que update-group1
se actualice el primer día, update-group2
el segundo día, y así sucesivamente.
Monitoreo y Ajustes:
-Monitorea el progreso de la actualización desde el ASA. Puedes verificar los logs y el estado de las conexiones para asegurarte de que la actualización se está llevando a cabo correctamente.
-Ajusta los grupos y el número de usuarios por grupo según sea necesario para garantizar una actualización fluida sin sobrecargar la red o el ASA.
Este enfoque te permite controlar el proceso de actualización de manera escalonada y específica a través de grupos de túneles en el ASA, sin necesidad de herramientas adicionales. Asegúrate de probar esta configuración con un pequeño grupo piloto antes de implementarla en toda la organización para verificar que todo funcione correctamente.
Saludos.
https://community.cisco.com/t5/vpn/updating-anyconnect-client-on-remote-users/td-p/4077960
Discover and save your favorite ideas. Come back to expert answers, step-by-step guides, recent topics, and more.
New here? Get started with these tips. How to use Community New member guide