- A+
在很多企业中,需要实现不同的人员有不同的VPN访问权限,之前有种方法是在ASA上定义不同的VPN tunnel Group,用户在连接anyconnect客户端时下拉选择不同的组来实现不同的VPN访问。
下面这个案例中使用的是ASA和ISE结合,以简化客户端的访问。不用下拉选择不同的组来实现不同的用户有不同的VPN权限,
ASA配置部分
1.分别定义企业员工和供应商连接VPN后能访问的内部资源
access-list EmployeeAccess remark "access for employee"
access-list EmployeeAccesss extended permit tcp 172.16.254.0 255.255.255.128 host 172.16.1.x //企业员工可以访问172.16.1.X的服务器
access-list SupplierAccess remark "access for supplier"
access-list SupplierAccess extended permit tcp 172.16.254.128 255.255.255.128 host 172.16.2.x //供应商可访问172.16.2.X的服务器
2.分别定义企业员工和供应商连接VPN后的地址池
ip local pool vpn_pool1 172.16.254.1-172.16.254.127mask 255.255.255.128
ip local pool vpn_pool2 172.16.254.128-172.16.254.254mask 255.255.255.128
3.在ASA上配置 针对企业员工 EmployeeAccessGRP和供应商SupplierAccessGRP 的二个group-policy(注册这二个GROUP的名字,后面会在ISE时面调用
group-policy EmployeeAccessGRP internal
group-policy EmployeeAccessGRP attributes
dns-server value 172.16.8.16 172.16.8.17
vpn-simultaneous-logins 1
vpn-idle-timeout 30
vpn-session-timeout 720
vpn-filter value EmployeeAccess
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
default-domain value abc.com
address-pools value vpn_pool1
webvpn
port-forward disable
anyconnect ssl compression deflate
anyconnect profiles value anyconnectprofile type user
anyconnect ask enable default anyconnect timeout 30
group-policy SupplierAccessGRP internal
group-policy SupplierAccessGRP attributes
dns-server value 172.16.8.16 172.16.8.17
vpn-simultaneous-logins 1
vpn-idle-timeout 30
vpn-session-timeout 720
vpn-filter value SupplierAccess
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
default-domain value abc.com
address-pools value vpn_pool2
webvpn
port-forward disable
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect ssl compression deflate
anyconnect dtls compression lzs
anyconnect profiles value anyconnectprofile type user
4.在ASA配置RADIUS服务器(ISE的IP地址)
aaa-server ISE_Radius protocol radius
aaa-server ISE_Radius (management) host 172.16.16.136
key *****
aaa-server ISE_Radius (management) host 172.16.16.136
key *****
5 webvpn // 启用ASA的WebVPN
enable outside tls-only
anyconnect image disk0:/anyconnect-win-4.1.01065-k9.pkg 1
anyconnect profiles anyconnectprofile disk0:/anyconnectprofile.xml
anyconnect enable
cache
tunnel-group DefaultWEBVPNGroup general-attributes //调用上面定义的RADIUS认证服务器
authentication-server-group CSC_Radius
6.ISE配置部分
1. 添加ASA到ISE为RADIUS客户端
Administration---Network Resourece ---Network device ,然后add,填写ASA的MGT IP和RADIUS的share key

2.添加 Authorization profile
Policy --- Policy Elements --- Result --- Authorization --- Authorization profile --- add

分别添加名为 EmployeeAccess 和 SupplierAccess 的 Authorization profile

在 Common task 的 ASA VPN 后面填入在 ASA 上定义的 group policy : EmployeeAccessGRP和 SupplierAccessGRP (这个名字一定要和 ASA 上的一样)


4.添加认证的授权策略 Policy Sets
Policy --- Policy Elements --- Add ,添加名字为 VPNAccess 的认证策略
此例中,我选的条件为:protocol=radius 和 device type=Firewall

5.添加授权策略
在添加此策略之前,需要先将ISE 加入企业内部的域
Administration --- External Identity Sources --- Active Directory --- add

加入域后,点AD1 ,然后在 AD group 从 AD 的安全组中添加企业员工和供应商 VPN 帐号所在的安全组

然后添加授权策略:

- 我的微信
- 欢迎大家,与我交流,非诚勿扰谢谢
-
- 奕知伴解 微信公众号
- 扫一扫关注,从此不迷路。
-