Implementación ISE ANTEL Primera Etapa

Preparado por Logicalis para

ANTEL
Página 2
© Logicalis 2012
Índice
1. Introducción.........................................................................3
2. Dispositivos...........................................................................4
3. Instalación ISE-01 e ISE-02..................................................5
4. Configuración de certificados...............................................6
5. Consola de administración....................................................8
6. Configuración de Administración y Sistemas.....................10
7. Documentación configuraciones.........................................13
8. Integración con AD.............................................................15
9. Dispositivos.........................................................................17
10. Profiling..............................................................................18
11. Dispositivos.........................................................................20
12. Posture.................................................................................26
13. Usuario de monitoreo..........................................................35
14. Reset Password CLI............................................................38
15. Cliente AnyConnect............................................................40
16. Cisco NAC Agent................................................................42

Página 3
© Logicalis 2012
Section 1. Introducción
El presente documento describe la implementación de ISE (Identity Service
Engine) en la red de ANTEL

La implementación se encuentra montada en dos servidores virtuales (ISE-

01 e ISE-02); con los roles de Administration, Policy Server y Monitoring
implementados en los mismos. Los tipos de roles o personas que existen
son:

Administration Permita hacer todas las operaciones

administrativas en el Cisco ISE. También llamado
“Policy Administration Node (PAN)”
Policy Server Provee acceso a la red, postura, guest Access, y
servicio de profiling. También llamado “Policy
Service Node (PSN)”
Monitoring Permite al Cisco ISE trabajar como colector de
logs y guardar mensajes de log de las personas
de Administration y Policy Server.
También llamado “Monitoring Node (MNT)”
Inline Posture Un nodo especial que se posiciona atrás de
dispositivos de acceso (ejemplo, WLC, VPN
concentrator)para proveer role de servicio de
inline posture.
También llamado “Inline Posture Node (IPN)”

La implementación actual soporta hasta 2000 Endpoint.

Section 2. Dispositivos
A continuación se describen los dispositivos utilizados para la
implementación del servicio ISE.

Hostname IP Dispositivo
ISE-01.in.iantel.com.uy 10.34.140.1 Cisco ISE V.1.1.1
ISE-02.in.iantel.com.uy 10.34.140.2 Cisco ISE V.1.1.1
Switch-Test 10.33.3.85 Switch CISCO 2960
Section 3. Instalación ISE-01 e ISE-02
Luego de creadas las VMs, según los requerimientos del documento Cisco Identity
Services Engine Hardware Installation Guide, Release 1.1; se procede a poner el
DVD con la versión 1.1.1 y se procede a la instalación (llevo 30 minutos
aproximadamente). Al principio, se presenta un menú con 4 opciones, tal como
muestra la siguiente figura.

Se elije la opción 1 para proceder con la instalación.

Una vez realizada la instalación se procede con el setup inicial

Este es el menú inicial que se despliega para instalar el ISE-02

Section 4. Configuración de certificados
Se instala el certificado de la Unidad Certificadora tanto en el ISE-01 como
en el ISE-02.

Administration> System> Certificates> Certificate Store> Import

Luego se debe hacer un Request Certificate:

Administration> System> Certificates> Local Certificates > Generate

Certificate Signing Request

Luego se va a : Administration> System> Certificates> Certificate Signing

Requests y se salva el archive PEM para generar el certificado.

Luego de que la CA genera el certificado, el mismo se instala en el ISE.

Administration> System> Certificates> Local Certificate> Bind CA Signed

Certificate
Section 5. Consola de administración
Luego de que se procedió con la instalación, nos loguemos a los equipos
utilizando https o ssh. Ambos equipos quedan como StandAlone. Para
proceder a la configuración Active-Standby, se procede a:

1) Configurar el ISE-01 como primario ( Administration > System >

Deployment. Se selecciona el nodo, y se da click en la opción Edit.
Se selecciona la opción Make Primary)

2) Se debe importar el certificado del ISE-02 en el ISE-01

 3) Luego se va a: Administration > System > Deployment , y se elije la
opción Register > Register an ISE node

El password es el de Web

Siguiendo las recomendaciones de CISCO, se definio en el nodo ISE-02 el

role de Monitoreo como Primario.
Section 6. Configuración de Administración y
Sistemas.
Licensing:

Se instalan las licencias que compro Antel, base para 2850 dispositivos y
2500 para Advance. Se va a:

Administration > System > Licensing

Patches:

Para esta versión se instalaron los Patchs: ise-patchbundle-1.1.1.268-1-

60802.i386.tar.gz e ise-patchbundle-1.1.1.268-2-62894.i386.gz. Para ello
se va a Administration > System > Maintenance > Patch Managament >
Install.
De allí se elije el Patch a instalar.

Esto hace que este Patch se instale automáticamente en el ISE-02.

Por consola, con el comando show version se puede verificar que el patch
esta instalado.

ISE-01/admin# show version

Cisco Application Deployment Engine OS Release: 2.0

ADE-OS Build Version: 2.0.4.018
ADE-OS System Architecture: i386

Copyright (c) 2005-2011 by Cisco Systems, Inc.

All rights reserved.
Hostname: isetest

Version information of installed applications

---------------------------------------------

Cisco Identity Services Engine

---------------------------------------------
Version : 1.1.1.268
Build Date : Mon Jun 25 05:49:23 2012
Install Date : Thu Aug 2 15:45:57 2012

Cisco Identity Services Engine Patch

---------------------------------------------
Version :1
Install Date : Mon Aug 06 15:43:44 2012

Cisco Identity Services Engine Patch

---------------------------------------------
Version :2
Install Date : Tue Sep 18 13:26:24 2012

ISE-01/admin#

Luego se verifico que estos patchs estaba también instalado en el otro nodo.

ISE-02/admin# show version

Cisco Application Deployment Engine OS Release: 2.0

ADE-OS Build Version: 2.0.4.018
ADE-OS System Architecture: i386

Copyright (c) 2005-2011 by Cisco Systems, Inc.

All rights reserved.
Hostname: isetest

Version information of installed applications

---------------------------------------------

Cisco Identity Services Engine

---------------------------------------------
Version : 1.1.1.268
Build Date : Mon Jun 25 05:49:23 2012
Install Date : Thu Aug 2 15:45:57 2012

Cisco Identity Services Engine Patch

---------------------------------------------
Version :1
Install Date : Mon Aug 06 15:43:44 2012

Cisco Identity Services Engine Patch

---------------------------------------------
Version :2
Install Date : Tue Sep 18 13:26:24 2012
ISE-02/admin#

Failover Layer 3:
Esta definido el nodo ISE-01 con todos los roles, el nodo ISE-02 se puede
promover como primario.

Por recomendación de CISCO, se deja el nodo primario con la siguiente

configuración:

El monitoreo queda en el nodo secundario.

Reset Password CLI

ISE-01/admin# application reset-passwd ise admin

Enter new password:
Confirm new password:
El password por Web es Antel2012.
El password por CLI es Antel2012
Section 7. Documentación configuraciones
A continuación se detalla la configuración implementada en los switches de
acceso. En la misma nos adecuamos a la configuración actual de los
equipos de ANTEL.

Configuración actual
!
aaa new-model
!
aaa authentication login primario group radius local
aaa authentication login console local
!
radius-server host 10.34.140.152 auth-port 1812 acct-port 1813
radius-server host 10.34.140.250 auth-port 1812 acct-port 1813
radius-server key 7 050809023442470A18061E1D050917647974786A
!
snmp-server community redespc RO
snmp-server host 10.34.140.145 redespc
snmp-server host 10.34.17.120 redespc
!
line con 0
exec-timeout 480 0
privilege level 15
password 7 1415130807032B2629273D
login authentication console
line vty 0 4
exec-timeout 480 0
authorization exec telnet
login authentication primario
transport input ssh
line vty 5 15
exec-timeout 480 0
login authentication primario
transport input ssh
!

Nota: una vez que se tenga la IP de las nuevas VMs que van a cumplir el
role de Policy Server, conviene agregarlos en la configuración
La nueva configuración es la siguiente:

Nueva Configuración - Configuración AAA

!
radius-server host 10.34.140.1 auth-port 1812 acct-port 1813 key nac123
radius-server host 10.34.140.2 auth-port 1812 acct-port 1813 key nac123
!
aaa group server radius AUTH_LOGIN
server 10.34.140.152
server 10.34.140.250
!
aaa group server radius AUTH_ISE
server 10.34.140.1
server 10.34.140.2
!
aaa authentication dot1x default group AUTH_ISE
aaa authorization network default group AUTH_ISE
aaa accounting dot1x default start-stop group AUTH_ISE
!
aaa authentication login primario group AUTH_LOGIN local
!
aaa server radius dynamic-author
client 10.34.140.1 server-key nac123
client 10.34.140.2 server-key nac123
!
Radius settings
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server dead-criteria time 2 tries 2
radius-server timeout 2
radius-server deadtime 1
Soporte HTTP Autenticación Web
ip http server
ip http secure-server
Enable 802.1x
dot1x system-auth-control
Interfaces
switchport access vlan 902
switchport mode access
switchport block unicast
ip arp inspection limit rate 60
authentication event fail action next-method
authentication event server dead action authorize vlan 902
authentication host-mode multi-auth
authentication open
authentication order mab dot1x
authentication priority dot1x mab
authentication port-control auto
authentication timer inactivity 28800
authentication violation restrict
mab
snmp trap mac-notification change added
dot1x pae authenticator
dot1x timeout tx-period 20
spanning-tree portfast
spanning-tree bpduguard enable
ip dhcp snooping limit rate 60
Politicas de aplicación y ACL
radius-server vsa send accounting
radius-server vsa send authentication
ip dhcp snooping
ip device tracking
!
ip access-list extended ACL-POSTURE-REDIRECT
deny udp any any eq domain
deny ip any 10.34.34.0 0.0.0.255
permit tcp any any eq www
permit tcp any any eq 443
permit tcp any host 10.34.140.157 eq 80
permit tcp any host 10.34.140.157 eq 1745
permit tcp any host 10.34.140.181 eq 80
permit tcp any host 10.34.140.181 eq 1745
!
Configuración SNMP
!
snmp-server community ciscoro RO
snmp-server enable traps snmp linkdown linkup
snmp-server enable traps mac-notification change move
snmp-server host 10.34.140.1 version 2c ciscoro
snmp-server host 10.34.140.2 version 2c ciscoro
!

El ACL-POSTURE-REDIRECT trabaja en conjunto con el Authorization

profile, el negado de esta lista es el tráfico que no se va a redirigir al ISE. Es
necesario redirigir tráfico para permitir que se baje el cliente remoto.

Configuración Radius

Atributo Valor
Nombre SW-2960-LAB
IP Adress 10.33.3.85
Network Device Group:Device Type Default

Authentication Settings:Shared Secret nac123

Section 8. Integración con AD
Para integrar el equipo con el AD, se procede a ir a:

Administration > Identity Management > External Identity Source

, y seleccionar Active Directory.

Se entra el nombre del dominio: net.in.iantel.com.uy

Luego se hace click en la opción Save Configuration.

Luego se elije la opción Join y se pide usuario y contraseña del dominio (no
es necesario que sea administrador. Con las credenciales de un usuario que
pueda integrar una Workstation al dominio ya alcanza). Luego se da el click
en Ok.

Si todo está correcto se despliega el siguiente menú.

Luego se verifica la correcta integración verificando la siguiente pantalla.
Section 9. Dispositivos
Ir a: Administration>Network Resources>Network Devices; allí se da click a
la opción Add
Section 10. Profiling
Se habilito el profiling en el ISE. Para ello se va a:

Administration > System > Deployment

Se habilitaron los métodos:

DHCP, HTTP, RADIUS, DNS, SNMPQUERY, SNMPTRAP

Luego voy a Administration > Network Resources > Network Devices, y

se configuran las propiedades SNMP para el switch de prueba.
Luego voy a:

Administration>System>Setting>Posture>Profiling

En el switch de Acceso se agrega la siguiente configuración:

Configuración SNMP
snmp-server community ciscoro RO
snmp-server community ciscorw RW
snmp-server enable traps snmp linkdown linkup
snmp-server enable traps mac-notification change move
snmp-server host 10.34.140.1 version 2c ciscoro
snmp-server host 10.34.140.2 version 2c ciscoro
Section 11. Dispositivos
Para crear una nueva regla de authorization, voy a:

Policy > Authorization

Creare una regla para habilitar el acceso de las impresoras:

Authorization

Downloadable ACL´s:

Policy>Results>Authorization>Downloadable ACL

Attribute Value
Name AD_LOGIN_ACCESS
Description Acceso a servidores del dominio
DACL Content permit ip any host 10.34.16.3
permit ip any host 10.34.16.4
permit ip any host 10.34.16.5
permit ip any host 10.34.16.6
permit ip any host 10.34.19.253
permit ip any host 10.34.19.254
permit tcp any host 10.34.140.1 eq 8905
permit tcp any host 10.34.140.1 eq 8909
permit udp any host 10.34.140.1 eq 8905
permit udp any host 10.34.140.1 eq 8909
permit tcp any host 10.34.140.2 eq 8905
permit tcp any host 10.34.140.2 eq 8909
permit udp any host 10.34.140.2 eq 8905
permit udp any host 10.34.140.2 eq 8909
permit udp any any
Attribute Value
Name POSTURE_REMEDIATION
Description Posture Remediation
DACL Content permit ip any host 10.34.16.3
permit ip any host 10.34.16.4
permit ip any host 10.34.16.5
permit ip any host 10.34.16.6
permit ip any host 10.34.19.253
permit ip any host 10.34.19.254
permit ip any host 10.34.22.22
permit ip any network 10.34.34.0 255.255.255.0
permit ip any host 10.34.35.150
permit ip any host 10.34.35.1
permit tcp any host 10.34.140.1 eq 8905
permit udp any host 10.34.140.1 eq 8905
permit tcp any host 10.34.140.1 eq 8909
permit udp any host 10.34.140.1 eq 8909
permit tcp any host 10.34.140.2 eq 8905
permit udp any host 10.34.140.2 eq 8905
permit tcp any host 10.34.140.2 eq 8909
permit udp any host 10.34.140.2 eq 8909
permit udp any any

Attribute Value
Name PERMIT_NO_COMPLIANT
Description Acceso de usuarios no compliant. Permite
Navegacion, AV, Correo Web, Correo Outlook y
acceso servidores Dominio
DACL Content permit ip any host 10.34.16.3
permit ip any host 10.34.16.4
permit ip any host 10.34.16.5
permit ip any host 10.34.16.6
permit ip any host 10.34.19.253
permit ip any host 10.34.19.254
permit ip any host 10.34.22.22
permit ip any host 10.34.35.150
permit ip any host 10.34.35.1
permit tcp any host 10.34.140.157 eq 80
permit tcp any host 10.34.140.157 eq 1745
permit tcp any host 10.34.140.181 eq 80
permit tcp any host 10.34.140.181 eq 1745
permit tcp any host 10.34.140.1 eq 8905
permit udp any host 10.34.140.1 eq 8905
permit tcp any host 10.34.140.1 eq 8909
permit udp any host 10.34.140.1 eq 8909
permit tcp any host 10.34.140.2 eq 8905
permit udp any host 10.34.140.2 eq 8905
permit tcp any host 10.34.140.2 eq 8909
 permit udp any host 10.34.140.2 eq 8909
permit udp any any

Attribute Value
Name PERMIT_ALL_TRAFFIC
Description Allow all Traffic
DACL Content permit ip any any

Por ejemplo, el menú que se despliega para la creación del Access List
AD_LOGIN_ACCESS es el siguiente:

Authorization Profiles:

Policy>Results>Authorization>Authorization Profiles

Attribute Value
Name Domain-Computer
Description ACCESS_ACCEPT
DACL Content AD_LOGIN_ACCESS
Attribute Value
Name Domain_User
Description ACCESS_ACCEPT
DACL Content PERMIT_ALL_TRAFFIC

Attribute Value
Name Domain_User_Unknown
Description ACCESS_ACCEPT
DACL Content PERMIT_ALL_TRAFFIC

Identity Source Sequence & Group ANTEL y Guest

Secuencia de identidad para el proceso de Autenticación

Administration>Identity Managament>Identity Sources Sequences List>ANTEL

Administration>Identity Managament>Identity Sources Sequences List>Guest_Portal_Sequence
Network Access Users:

Administration>Identity Managament>Identities>Users

Usuarios definidos localmente para el acceso a la red con Perfil de “Guest”

El password es: Nac123.

Section 12. Posture
Client Provisioning

Resources Client Provisioning:

Policy>Results>Client Provisioning>Resources

Aqui existen dos opciones:

Allow Network Access: Al usuario se le permite registrar su dispositivo en la

red sin necesidad de instalar o levantar los suplicantes de CISCO.

Apply Defined Authorization Policy: User debe ingresar a la red usando las
politicas standars de autenticación y autorización.

Habilito que el cliente se cierre automáticamente:

Resources Client Provisioning:

Policy>Results>Client Provisioning>Resources

`
Agent Profile “ProfileWindows_ANTEL”:

Policy>Results>Client Provisioning>Resources>Add>ISE Posture Agent Profile

Si hay creado un profile, este tiene preferencia sobre
Administration>System>Settings>Posture>General Settings

Policy Client Provisioning:

Referencias

NAC Agent: postura de agente persistente para los clients Windows

Mac OS X Agent: postura de agente persistente para los clientes Mac

Web Agent: Agente de postura temporal solo para Pc Windows.

Compliance Module: Modulo OPSWAT que provee updates para AV/AS

para los agentes NAC. No se aplica al Web Agent

Profiles: Archivos de configuración para el NAC Agent y el Mac OS X Agent.

Hace el update de los archivos XML instalados en el Pc de los clientes. No se
aplica al Web Agent.

Policy>Client Provisioning
Rule Identity Operating Conditions Results Is
Name Group Systems Upgrade
Mandatory
Red Any Windows AD1:ExternalGroups WebAgent
Antel All EQUALS 4.9.0.23+ []
net.in.iantel.com.uy/Users/Domain ProfileWindows
Users + Compliance
3.5.2221.2
No Guest Windows - WebAgent [x]
Antel All 4.9.0.23

Dado que los usuarios no son administradores, los mismos no pueden bajar
el NAC Agent. Por lo tanto, si un usuario no tiene el cliente al mismo se le
bajará el aplicativo Web.

Debo crear un Nuevo Authorization Profile para Autenticaciones 802.1x/

Agente NAC llamado Posture_Remediation

Policy>Results>Authorization>Authorization Profiles

Attribute Value
Name Posture_Remediation
Access Type ACCESS_ACCEPT
DACL Name POSTURE_REMEDIATION
Web Posture Discovery
Authentication ACL : ACL-POSTURE-REDIRECT
(url=https://ip:port/guestportal/Gateway?sessionId=SessionIdValue&action=cpp)

Debo crear un Nuevo Authorization Profile para Autenticaciones

Web/Usuarios con Agente Web llamado CWA_Posture_Remediation

Attribute Value
Name CWA_Posture_Remediation
Access Type ACCESS_ACCEPT
DACL Name POSTURE_REMEDIATION
Web Centralized
Authentication ACL : ACL-POSTURE-REDIRECT Redirect : Default
(url=https://ip:port/guestportal/gateway?sessionId=SessionIdValue&action=cwa)
Posture

Para el Piloto se definieron 3 condiciones de postura (AV y Registro Windows),

los cuales fueron definidos por ANTEL y se presentan a continuación.

Policy Posture Conditions:

Policy>Condition>Posture>AV Compound

Postura aplicada para usuarios y equipos de ANTEL en la que se requiere tener

instalado y con una definición de AV de 60 días antes del archivo de datos
actual.

Policy>Condition>Posture>Registry

Postura aplicada para equipos de Antel en la que se requiere tener una llave de registro
dentro de windows con el fin de validar que equipo sea parte del dominio.
Policy>Condition>Posture>AV Compound
Postura aplicada para usuarios y equipos no pertenecientes a Antel en la que se requiere
tener instalado cualquier antivirus.

Policy Posture Requeriments:

Policy>Results>Requeriments

Policy Policy:

Luego de definir las condiciones y requerimientos se crearon las políticas de postura.

Policy>Posture

Rule Name Identity Operatin Other Requeriment

Group g Condition
s Systems s
Equipo ANTEL Any Windows Equipo-ANTEL
All
Any Windows
All
Externos_Gues Guest Windows (Optional) Any_AV_Installation_Win
t All

Guest

Guest Managament Portal Setting:

Administration>Web Managament>Settings>Guest>Multi-Portal Configurations>

DefaultGuestPortal
Section 13. Usuario de monitoreo

Administration>System>Admin Access>Authorization>Permissions>Menu Access

Por ejemplo, el grupo “Helpdesk Admin Menu Access” tiene los siguientes
privilegios:

Se crea el usuario “helpdesk” con password “Help4321” bajo este grupo.

Para ello:

Administration>System>Admin Access>Administrators>Admin Users

Si se desean autenticar los usuarios con el AD

Administration>System>Admin Access>Authentication> Authentication Method

Luego, en un determinado grupo le digo que autenticación usar.

  En nuestro caso a Super Admin se le asigno autenticación interna y
externa y el grupo del AD:
net.in.iantel.com.uy/Aplicaciones/apl_Nacadmin

 Al grupo Helpdesk Admin se le asigno solo autenticación externa y el

grupo del AD:
net.in.iantel.com.uy/Aplicaciones/apl_Nacsoporte.

1) Condiciones:

Antivirus instalado y firma al día.

Section 14. Reset Password CLI

ISE-01/admin# application reset-passwd ise admin

Enter new password:
Confirm new password:

El password por Web es Antel2012.

El password por CLI es Antel2012
Section 15. Cliente AnyConnect
En las pruebas en Antel, se verifico que con el cliente Nativo de Windows
XP, si la máquina se ponía en estado Standby, cuando levantaba no se
volvía a autenticar por 802.1x.
Por lo tanto se decidió el uso del programa Cisco AnyConnect Network
Access Manager (NAM) en la red de Antel para la autenticación 802.1x

Para la instalación del cliente AnyConnect, luego de dar click en el instalador

se presenta la siguiente pantalla. Se debe instalar solo el Network Access
Manager.

Luego de ello, existe un programa que permite crear un perfil determinado. A

nosotros nos interesa que: El cliente 802.1x se autentique con las
credenciales del Usuario que se conecta.

Si se hace una instalación standard en Windows 7, el archivo se

configuración se localiza bajo la carpeta:

C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network

Access Manager\system

En los Pc Windows XP de ANTEL customizados, el archivo de

configuración se encuentra en:
 D:\Documents and Settings\All Users\Datos del programa\Cisco\Cisco
AnyConnect Secure Mobility Client\Network Access Manager\system

El archivo que contiene la configuración es el archivo configuration.xml.

Para customizar la configuración del cliente, se debe cambiar el archivo

configuration.xml.

Luego del cambio se debe reiniciar el Pc.

Instalación silenciosa

Se debe de cargar en una carpeta cualquiera los paquetes de instalación

MSI anyconnect-win-3.0.08057-pre-deploy-k9.msi , anyconnect-nam-win-
3.0.08057-k9.msi y uno directorio Profiles/nam que tiene el archivo de
configuración “configuration.xml”, con la configuración del cliente
AnyConnect NAM customizada para Antel.

La instalación se debe hacer en el siguiente orden:

 Anyconnect core client module; el cual se instala ejecutando el

archivo “anyconnect-win-3.0.08057-pre-deploy-k9.msi”

Para ello se ejecuta la siguiente línea de comando:

msiexec /package anyconnect-win-3.0.08057-pre-deploy-k9.msi /norestart

/passive PRE_DEPLOY_DISABLE_VPN=1 /lvx* anyconnect-win-3.0.08057-
pre-deploy-k9-install-datetimestamp.log

 Anyconnect nam module, el cual instala el cliente AnyConnect

Network Access Manager

msiexec /package anyconnect-nam-win-3.0.08057-k9.msi /norestart /passive

/lvx* anyconnect-nam-3.0.08057-pre-deploy-k9-install-datetimestamp.log

Con este procedimiento queda instalado el cliente con el perfil customizado

para Antel. Luego de esto hay que reiniciar el equipo en donde se instaló el
cliente.
Section 16. Cisco NAC Agent
El Cisco NAC Agent es el programa de Cisco que verifica si un determinado
equipo cumple o no ciertos requerimientos para ser “compliant” en la red.

Para su instalación se debe ser Administrador.

Para instalarlo, se procede de la siguiente manera:

En una carpeta cualquiera se carga el paquete de instalación MSI

(nacagentsetup-win.msi) y el archivo de configuración XML
NACAgentCFG.xml.

Como el archivo de configuración XML existe en el mismo directorio que el

paquete de instalación MSI, el proceso de instalación automáticamente
coloca el archivo de configuración del agente XML en el directorio de la
aplicación NAC Agent de manera tal que el Agente pueda apuntar a la
correcta locación la primera vez que el mismo levanta.

Luego de la instalación el archivo de configuración se encuentra en:

Windows 7 C:/Program Files/Cisco/Cisco NAC Agent

En los Pc customizados en la instalación de ANTEL de Windows XP, el

archivo de configuración se encuentra en:

Windows XP C:/Archivos de programa/Cisco/Cisco NAC Agent

Instalación silenciosa

En una carpeta cualquiera se carga el paquete de instalación MSI

(nacagentsetup-win.msi) y el archivo de configuración XML
NACAgentCFG.xml.

Supongamos que se cargaron los paquetes en c:\AnyConnect_Install

Para hacer una instalación silenciosa ejecutar la siguiente línea de

comandos:

C:\AnyConnect_Install>msiexec.exe /i NACAgentSetup-win.msi /qn /l*v

c:\temp\agent-install.log

Nota la secuencia /qn instala el cliente NAC en forma completamente

silenciosa. La línea /l*v loguea la sesión de instalación en modo verbose, en
caso de haber algún problema.