请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 543|回复: 17

[原创】ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限

[复制链接]
发表于 2018-12-26 11:23:34 | 显示全部楼层 |阅读模式
本帖最后由 luodaheng 于 2018-12-26 14:21 编辑

在很多企业中,需要实现不同的人员有不同的VPN访问权限,之前有种方法是在ASA上定义不同的VPN tunnel Group,用户在连接anyconnect客户端时下拉选择不同的组来实现不同的VPN访问。
下面这个案例中使用的是ASA和ISE结合,以简化客户端的访问。不用下拉选择不同的组来实现不同的用户有不同的VPN权限,

ASA配置部分
1.分别定义企业员工和供应商连接VPN后能访问的内部资源
access-list EmployeeAccess remark "access for employee"
access-list EmployeeAccesss extended permit tcp 172.16.254.0 255.255.255.128 host 172.16.1.x    //企业员工可以访问172.16.1.X的服务器

access-list SupplierAccess remark "access for supplier"
access-list SupplierAccess extended permit tcp 172.16.254.128 255.255.255.128 host 172.16.2.x  //供应商可访问172.16.2.X的服务器

2.分别定义企业员工和供应商连接VPN后的地址池
ip local pool vpn_pool1 172.16.254.1-172.16.254.127mask 255.255.255.128
ip local pool vpn_pool2 172.16.254.128-172.16.254.254mask 255.255.255.128

3.在ASA上配置 针对企业员工 EmployeeAccessGRP和供应商SupplierAccessGRP  的二个group-policy(注册这二个GROUP的名字,后面会在ISE时面调用
group-policy EmployeeAccessGRP internal
group-policy EmployeeAccessGRP attributes
dns-server value 172.16.8.16  172.16.8.17
vpn-simultaneous-logins 1
vpn-idle-timeout 30
vpn-session-timeout 720
vpn-filter value EmployeeAccess
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
default-domain value abc.com
address-pools value vpn_pool1
webvpn
port-forward disable
anyconnect ssl compression deflate
anyconnect profiles value anyconnectprofile type user
anyconnect ask enable default anyconnect timeout 30

group-policy SupplierAccessGRP internal
group-policy SupplierAccessGRP attributes
dns-server value 172.16.8.16  172.16.8.17
vpn-simultaneous-logins 1
vpn-idle-timeout 30
vpn-session-timeout 720
vpn-filter value SupplierAccess
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
default-domain value abc.com
address-pools value vpn_pool2
webvpn
port-forward disable
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect ssl compression deflate
anyconnect dtls compression lzs
anyconnect profiles value anyconnectprofile type user


4.在ASA配置RADIUS服务器(ISE的IP地址)
aaa-server CSC_Radius protocol radius
aaa-server CSC_Radius (management) host 172.16.16.136
key *****
aaa-server CSC_Radius (management) host 172.16.16.136
key *****


5 webvpn   // 启用ASA的WebVPN
enable outside tls-only
anyconnect image disk0:/anyconnect-win-4.1.01065-k9.pkg 1
anyconnect profiles anyconnectprofile disk0:/anyconnectprofile.xml
anyconnect enable
cache

tunnel-group DefaultWEBVPNGroup general-attributes  //调用上面定义的RADIUS认证服务器
authentication-server-group CSC_Radius


6.ISE配置部分
ISE部分因截图较多,上载为附件




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2018-12-26 11:34:06 | 显示全部楼层
感谢楼主分享~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-12-26 11:34:44 | 显示全部楼层
感谢版主的推荐
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-12-26 14:04:47 | 显示全部楼层
客户端有没有下拉列表,取决于ASA的配置:
  1. webvpn
  2.   enable inside
  3.   anyconnect image disk0:/anyconnect-win-4.4.03034-webdeploy-k9.pkg 1
  4.   anyconnect image disk0:/anyconnect-macos-4.4.04030-webdeploy-k9.pkg 2
  5.   anyconnect image disk0:/anyconnect-linux64-4.4.04030-webdeploy-k9.pkg 3
  6.   anyconnect enable
  7.   tunnel-group-list enable
复制代码



开启tunnel-group-list enable,客户端就可以自己选择。

不开启的话,就会按照用户属性中的security-group(也就是AD中的OU)来匹配对应的group-policy。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-12-26 14:22:57 | 显示全部楼层
感谢版主推荐分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-12-26 14:34:03 | 显示全部楼层
maguanghua2013 发表于 2018-12-26 14:04
客户端有没有下拉列表,取决于ASA的配置:

启用tunnel-group-list 后,需要多个tunnel-group,然后客户端连接时手工选择不同的Group alias
目前我们的做法是在ISE上根据不同的AD安全组(在用户申请VPN时,将用户加入不同的AD安全组)来调用vpn-filter 中引用的ACL来实现不同的访问权限、
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-12-26 14:58:45 | 显示全部楼层
luodaheng 发表于 2018-12-26 14:34
启用tunnel-group-list 后,需要多个tunnel-group,然后客户端连接时手工选择不同的Group alias
目前我 ...

在实际环境中,我们VPN网关后面还有NGFW,NGFW也和AD集成,同时NGFW会读取VPN用户在ISE上认证的日志以提取里面的用户名和IP映射信息。然后在NGFW做基于用户和应用的访问控制
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-12-27 10:24:01 | 显示全部楼层
谢谢分享,学习了。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-12-27 17:37:57 | 显示全部楼层
参考参考,
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-12-27 18:02:23 | 显示全部楼层
LZ,咨询下,我之前配置过SSL VPN,一开始我也是配置了
tunnel-group  ***  webvpn-attributes
  group-alias ***** enable
用于显示组列表供用户选择,但我测试下来发现,不管我选哪个组,最终的属性还是根据用户名走的,后来我就索性把这条命令删了,就只有用户名和密码,反正不同同户名我配置里都配置了不同的group-policy,不知这是否合理?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-1-17 17:56 , Processed in 0.115765 second(s), 55 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表