本章包括以下主题:
关于思科安全设备的NAC架构概述
思科安全产品NAC的配置步骤
测试,监控和思科安全设备故障排除NAC
类似于在第六章“在Cisco VPN 3000系列集中器上配置NAC”中讨论的Cisco VPN 3000系列集中器,思科安全设备提供了一个完整的站点对站点以及远程访问VPN隧道的解决方案。思科安全设备包括思科自适应安全设备(ASA)和思科PIX安全设备。Cisco安全设备上的NAC功能增强了IPSec隧道的安全性。本章通过提供解决方案的架构概述和逐步配置示例,重点介绍安全设备的NAC实现。
关于思科安全设备的NAC架构概述
在安全设备上的NAC实现与在Cisco VPN 3000系列集中器上的实现相同。有关安全设备上的NAC架构设计的详细信息,请参阅第6章。本节介绍了VPN 3000集中器NAC实现的一些重要变化。
无状态的故障转移NAC
安全设备支持通过设备的流量的有状态故障转移。这包括传输控制协议(TCP)、用户数据报协议(UDP)、Internet控制消息协议(ICMP)和IPSec等协议。但是,当前的NAC实现只支持无状态故障转移。这意味着NAC命令将从活动设备复制到备用设备;但是,如果备用设备变为活动的,任何活动的NAC连接都不会故障转移到备用设备。在故障转移中,被活动设备验证的所有NAC姿态都将断开连接,并且在新的活动安全设备上创建新的NAC会话。
如果使用有状态故障转移,IPSec连接将在故障转移后无缝切换。但是,远程访问VPN客户机要经过姿势验证过程。在此期间,安全设备在远程访问VPN客户机上应用NAC默认访问控制列表(ACL)(如果定义的话)。
每小组NAC例外列表
与VPN 3000集中器不同,安全设备支持在用户组策略下配置的多个NAC异常列表。每个NAC异常列表都可以使用来自VPN客户机和ACL的报告操作系统设置。此列表将已配置的操作系统排除在姿势验证过程之外。Cisco VPN客户端还提供了主机正在使用的操作系统的名称,并将该字符串与NAC异常列表中的条目进行比较。
注意 -安全设备通过IPSec客户端支持Cisco软件客户端和Microsoft L2TP的NAC。正在计划在未来的版本中为基于ssl的VPN隧道支持NAC。
配置步骤的NAC对思科安全设备
图7 - 1举例说明一个网络拓扑,其中Cisco ASA 5500设备正在从Cisco VPN客户端终止VPN客户端会话。该设备的公共IP地址为209.165.202.130;私有IP地址为10.10.0.2。该安全设备利用Cisco安全ACS服务器进行用户身份验证。思科安全ACS还参与客户的姿态验证并应用适当的策略。设备设置了一个来自10.10.200.0/24子网的地址池。在VPN隧道协商的模式配置阶段,Cisco ASA 5500设备从这个池分配一个IP地址给VPN客户机。
注意 -有关模式配置相的更多信息,请参考第6章。
ASA 5500拓扑终止IPSec连接
注意 -您需要在安全设备上运行版本7.2或更高版本启用NAC。
在保安设备上推行NAC可分为三个阶段:
安全设备上的VPN配置
思科VPN客户端上的VPN配置
在安全设备配置NAC
注意 -本章主要介绍安全设备的配置以及它们如何与Cisco VPN客户端交互。
注意 -Cisco ASA和PIX使用的操作系统是一样的。因此,在两个安全设备上的NAC配置是相同的。
安全设备上的VPN配置
本节讨论安全设备上远程访问IPSec隧道的配置,这些隧道可用于接受来自Cisco VPN客户机的连接。下面的12个步骤设置了一个基本的远程访问IPSec隧道。
步骤1启用ISAKMP。
步骤2创建ISAKMP策略。
步骤3配置远程访问属性。
步骤4定义隧道类型。
步骤5配置预共享密钥。
步骤6配置用户身份验证。
步骤7分配一个IP地址。
步骤8定义IPSec策略。
步骤9建立动态密码地图。
第十步配置加密映射。
步骤11在接口上应用加密映射。
步骤12配置流量过滤。
注意 -本章假定您已经基本熟悉安全设备命令行界面(CLI),并且您有管理权限设置不同的功能和特性。有关安全设备的详细信息,请访问:http://www.cisco.com/go/asa和http://www.cisco.com/go/pix。
第1步:启用ISAKMP
默认情况下,ISAKMP在所有接口上都禁用。如果远程VPN设备发送一条隧道初始化消息,安全设备将删除该消息,直到在终止IPSec隧道的接口上启用ISAKMP为止。通常,它是在面向internet或外部接口上启用的,如例7-1所示。
例7 - 1在外部接口上启用ISAKMP
CiscoASA#配置终端CiscoASA(配置)#isakmp使外
步骤2:创建ISAKMP策略
的isakmp政策命令定义在VPN等体之间交换ISAKMP阶段1点的属性。实施例7-2示出了一个ISAKMP策略协商进行认证,高级加密标准-256(AES-256)进行加密,安全散列算法(SHA)散列为,第2组为的Diffie-Hellman(DH),和86400秒预共享密钥一生。
例7 - 2ISAKMP策略配置
CiscoASA#配置终端CiscoASA(配置)#isakmp策略10认证预共享CiscoASA(配置)#ISAKMP策略10加密AES-256CiscoASA(配置)#ISAKMP策略10哈希SHACiscoASA(配置)#ISAKMP策略10组2CiscoASA(配置)#ISAKMP策略10的寿命86400
步骤3:配置远程访问属性
安全装置允许以三个不同的地方的模式配置参数的配置:
在默认的组策略
在用户组策略
ω用户政策下
安全设备实现了一个继承模型,在该模型中,用户从用户策略继承模式配置属性,用户策略从用户组策略继承其属性,用户组策略又从默认组策略继承其属性,如中所示图7 - 2)。用户,ciscouser,接收业务过滤ACL和从所述用户策略的分配的IP地址,从所述用户组策略的域名和IP压缩,以从默认组策略同时登录的号码。
Mode-Config继承模型
你可以使用组策略属性命令指定默认和用户组策略模式配置属性。示例7-3展示了如何通过将DfltGrpPolicy设置为组策略中的组名来配置安全设备上的默认组属性。管理员将同时登录限制为3次,并为数据有效负载启用了IP压缩。
例7默认组策略的配置
CiscoASA(配置)#组策略DfltGrpPolicy属性CiscoASA (config-group-policy) #vpn-simultaneous-logins 3CiscoASA (config-group-policy) #IP-COMP启用
注意 -DfltGrpPolicy是一个特殊的组名,仅用于默认的组策略。
用户组策略设置类似于一个默认的组策略,由组策略子菜单下配置的属性。在实施例7-4,被设置一个名为SecureMeGrp组模式配置交换期间发送域名securemeinc.com属性。默认的组策略和用户组策略的一个主要区别是,你可以定义后者为内部或外部组。在集团内部,所有的政策属性,在安全设备上本地定义。在外部组,所有的属性被存储在外部服务器上,例如RADIUS。在实施例7-4,SecureMeGrp被设置为一个内部组,这就是为什么域名属性本地定义。
例7 - 4组特定的组策略的配置
CiscoASA(配置)#组策略SecureMeGrp内部CiscoASA(配置)#组策略SecureMeGrp属性CiscoASA (config-group-policy) #默认域值securemeinc.com
第4步:定义隧道类型
思科安全设备可以被配置为两个不同的通道类型,如图例7-5英寸
例7 - 5支持隧道类型
CiscoASA(配置)#隧道基钠基类型?站点到站点组的IPSec -ra IPSec远程访问组
在本例中,隧道组标记命名为nacl -group,隧道类型为ipsec-ra。的IPSec的RAcommand代表IPSec远程访问隧道,在配置时,安全设备期望Cisco VPN客户端启动一个隧道,并在ISAKMP协商期间将供应商标识作为Cisco客户端发送。例7-6显示了在CiscoASA中为远程访问隧道配置的Cisco安全设备。
例7 - 6远程通道配置
CiscoASA(配置)#tunnel-group nacgroup type ipsec-ra
注意 -前述在隧道组名称-NAC-组示例-是组名称上的Cisco VPN客户端进行配置的需求。
步骤5:配置ISAKMP预共享密钥
如果要使用预共享密钥作为身份验证方法,您必须配置用于验证两个VPN设备的身份共享的秘密。预共享密钥后,配置ipsec-attributes关键字的隧道群命令,在实施例7-7中,如图所示。
例7预共享密钥配置
CiscoASA(配置)#隧道组NAC-组IPSec的属性CiscoASA (config-ipsec) #pre-shared-key cisco123cisco
在例7-7中,为na - group组配置的所有Cisco VPN客户端必须使用cisco123cisco作为预共享密钥。如果密钥不匹配,安全设备将拒绝客户端的组身份验证。
注意 -预共享密钥也被称为在Cisco远程访问VPN客户端的一组密码。
步骤6:配置用户验证
隧道组必须配置为对应的身份验证服务器,位于general attributes下。的authentication-server-group子命令指定身份验证服务器。例7-8演示了如何为用户身份验证定义一个RADIUS服务器。RADIUS服务器位于内部接口上,为10.10.20.181的IP地址设置。然后将RADIUS服务器映射到NAC-集团组进行用户认证。
例7 - 8使用RADIUS服务器进行身份验证
CiscoASA(配置)#AAA服务器半径(内部)主机10.10.20.181CiscoASA (config-aaa-server-host) #关键cisco123ciscoCiscoASA (config-aaa-server-host) #出口CiscoASA(配置)#隧道组NAC-组普遍的属性CiscoASA((配置 - 组策略)#认证服务器组半径
步骤7:分配IP地址
在IPSec隧道协商的模式配置阶段,Cisco VPN客户端请求分配一个IP地址给工作站的VPN适配器。安全设备支持三种不同的方法来将IP地址分配回客户端:
本地地址池
DHCP服务器
RADIUS服务器
例7-9显示了方法中可用的地址分配方法VPN-地址指派命令。
例7 - 9可用的地址分配方法
CiscoASA(配置)#vpn-addr-assign吗?允许aaa服务器指定IP地址允许dhcp服务器指定IP地址本地允许本地池指定IP地址sciscoasa (config)#VPN-地址指派本地
这些选项对于满足任何部署方法都是有用的。每个地址分配选项在这里讨论:
vpn-addr-assign aaa- 这个选项需要一个IP地址从RADIUS服务器分配。当用户被认证时,RADIUS服务器分配IP地址在RADIUS属性8,帧IP地址。这是在该地址池的中央认证服务器上管理的大型VPN部署一个首选方法。
VPN-地址,DHCP分配- 对于易管理性,安全设备可分配IP地址时,DHCP服务器联系。用户身份验证后,安全设备向DHCP服务器发出请求,并且它被分配后,将其转发到VPN客户端。
VPN-地址指派本地-对于小型到中型的部署,分配IP地址的首选方法是通过本地数据库。当客户机请求一个IP地址时,安全设备检查本地池并分配下一个可用的IP地址。
实施例7至10示出了配置一个地址池称为vpnpool并将其映射为VPN组NAC-组地址分配必要的命令。在10.10.200.1的池范围开始和结束在10.10.200.254。