Upgrade Anyconnect -> Secure Client 10k endpoints

DiegoJonathanVillegas6818 · ‎05-21-2024

Buenas tardes Comunidad.

En la emprasa donde trabajo , se trabaja para un cliente muy grande el cual se requiere actualizar mas de 10k equipos finales ()end-points) de AnyConnect 4.10 hacia Secure Client 5.X, yo se que al cargar la imagen en mi ASA manda automaticamente la actualizacion una ves que haya echo la comprobacion , pero el tema es que el cliente solicita que se hagan por ejemplo mil en un dia y otros mil en otro dia y asi paulatinamente, aqui mi pregunta es ... Como hago que eso pase y pueda yo controlarlo desde el ASA ya que no cuento con un AD o un ISE que gestione para esta tarea, ahora bien los mas de 10mil Usuarios se conectan a diferentes Tunel-groups (o perfiles) podria hacer que los usuarios que se conecten al Tunel-group XXXX solo se actualicen, y se vayan actualizando paulatinamente conforme hagan esa conexion ??. espero me hayan entendido.

Les repito no cuento con alguna herramienta como un AD o una Tienda de Software que me ayude a hacer esa actualizacion controladamente mas que el propio ASA.

Saludos

Sheraz.Salim · ‎05-21-2024

Buenas tardes,

Para abordar la actualización controlada de AnyConnect a Secure Client desde el ASA sin herramientas adicionales como AD o ISE, puedes aprovechar la configuración basada en grupos de túneles (Tunnel-Groups) en tu ASA para gestionar las actualizaciones de forma gradual. Aquí te dejo un plan que podrías seguir:

Crear Grupos de Túneles Específicos para la Actualización:
Divide tus usuarios en grupos de actualización más pequeños, asignándolos a diferentes Tunnel-Groups. Por ejemplo, podrías tener grupos como update-group1, update-group2, etc.
Configura estos grupos de túneles para que la actualización se aplique solo a ellos.

Configuración de ASA para la Actualización Basada en Tunnel-Groups:
Primero, sube la nueva imagen de Secure Client al ASA.
Luego, configura las políticas de actualización en los Tunnel-Groups específicos. Aquí tienes un ejemplo básico de cómo podrías hacerlo:

ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# anyconnect image disk0:/secure-client-5.x.pkg 1
ciscoasa(config-webvpn)# exit

ciscoasa(config)# tunnel-group update-group1 general-attributes
ciscoasa(config-tunnel-general)# address-pool update-group1-pool
ciscoasa(config-tunnel-general)# default-group-policy update-group1-policy
ciscoasa(config-tunnel-general)# exit

ciscoasa(config)# group-policy update-group1-policy internal
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-policy)# anyconnect profiles value secure-client-profile
ciscoasa(config-group-policy)# anyconnect image disk0:/secure-client-5.x.pkg
ciscoasa(config-group-policy)# exit
ciscoasa(config)# exit

Planificación y Ejecución de la Actualización:

-Programa la actualización de los usuarios en bloques. Informa a los usuarios de cada grupo cuándo se realizará la actualización y asegúrate de que se conecten en los días asignados.-

-Por ejemplo, podrías hacer que update-group1 se actualice el primer día, update-group2 el segundo día, y así sucesivamente.

Monitoreo y Ajustes:

-Monitorea el progreso de la actualización desde el ASA. Puedes verificar los logs y el estado de las conexiones para asegurarte de que la actualización se está llevando a cabo correctamente.

-Ajusta los grupos y el número de usuarios por grupo según sea necesario para garantizar una actualización fluida sin sobrecargar la red o el ASA.

Este enfoque te permite controlar el proceso de actualización de manera escalonada y específica a través de grupos de túneles en el ASA, sin necesidad de herramientas adicionales. Asegúrate de probar esta configuración con un pequeño grupo piloto antes de implementarla en toda la organización para verificar que todo funcione correctamente.

Saludos.

https://community.cisco.com/t5/vpn/updating-anyconnect-client-on-remote-users/td-p/4077960

please do not forget to rate.