Cisco Cisco Identity Services Engine 1.2 操作指南
ISE 1.2 补丁 5/ASA 和 CoA 集成指南
9
使用
CLI 针对 CoA 配置 ASA
本节介绍可配置
CoA 的 ASA 的命令行界面。
步骤
1:创建 AAA 服务器组。
o ASA> en
Password: *********
ASA# conf t
ASA(config)# aaa-server ISE protocol radius ASA(config-aaa-
server-group)# interim-accounting-update ASA(config-aaa-
server-group)# dynamic-authorization ASA(config-aaa-server-
group)# aaa-server ISE host 192.168.4.10 ASA(config-aaa-
server-host)# timeout 21 ASA(config-aaa-server-host)# key
**********
ASA(config-aaa-server-host)#
exit ASA(config)#
步骤
2:创建“未知或非合规”状态所需的访问列表。修复客户端所需的任何方面都需要创建访问列表。在此使用案
例中,我们将流量限制到
DNS、ISE、AV 服务器和 Microsoft Patch Management 的 AD。计算机通过安全评估后,
此
ACL 将在 CoA 生效后被另一 DACL 所替代。在本文档中,我们将此 ACL 称为 redirect,并将在稍后配置 ISE
时调用此
ACL。
o
ASA(config)# access-list redirect remark exclude ISE server
ASA(config)# access-list redirect extended deny ip any4 host 192.168.4.10 (hostname/IP of ISE server)
ASA(config)# access-list redirect remark exclude DNS server
ASA(config)# access-list redirect extended deny ip any4 host 192.168.4.5 (hostname/IP of DNS server)
ASA(config)# access-list redirect remark redirect all other traffic
ASA(config)# access-list redirect permit ip any4 any4
步骤
3:创建隧道组并应用 VPN IP 地址池和 AAA 服务器组。
o ASA(config)# tunnel-group “CoA” type remote-access
ASA(config)# tunnel-group “CoA” general-attributes
ASA(config-tunnel-general)# address-pool add in your “IP pool address” ASA(config-tunnel-
general)# authentication-server-group add in your “ISE server group name” ASA(config-
tunnel-general)# accounting-server-group add in your “ISE server group name” ASA(config-
tunnel-general)# default-group-policy add in your “Group Policy” ASA(config-tunnel-
general)#exit
ASA(config)# tunnel-group “COA” webvpn-attributes
ASA(config-tunnel-webvpn)# group-alias “COA”
enabled ASA(config-tunnel-webvpn)# exit
ASA(config)# exit
ASA# write
memory