例7 - 11从一个AAA服务器地址分配
CiscoASA(配置)#aaa-server协议半径CiscoASA (config-aaa-server-group) #退出CiscoASA(配置)#主机10.10.20.181 aaa-server半径(内部)CiscoASA (config-aaa-server-host) #关键cisco123ciscoCiscoASA (config-aaa-server-host) #退出CiscoASA(配置)#vpn-addr-assign aaa
注意:如果所有三种方法配置地址分配、安全设备更喜欢半径对DHCP和一个地址池。如果思科安全设备不能RADIUS服务器的地址,联系人DHCP服务器的地址分配。如果这种方法失败,安全设备检查本地地址池作为最后的手段。
第八步:定义IPSec策略
一个IPSec变换集指定加密和散列方法用于隧道时数据包。配置转换集,使用下面的命令语法:
加密ipsec transform-set transform-set标签esp-3des | esp-aes | esp - aes - 192 | esp - aes - 256 | esp-des | esp-md5-hmac | esp-null | esp-none | esp-sha-hmac}
注意:如果安全设备没有许可证的VPN-3DES-AES特性,安全设备允许的DES加密只是ISAKMP和IPSec策略。管理员现在可以获得3 des-aes许可从思科网站上免费。软件下载页面包括指令获取许可。
在7 - 12例,安全设备在设置CiscoASA aes - 256加密和沙哈希。myset变换集名称。
7 - 12的例子转换设置配置
CiscoASA(配置)#加密ipsec transform-set myset esp - aes - 256 esp-sha-hmac
第九步:建立一个动态加密地图
VPN客户经常从他们的互联网服务提供商得到动态IP地址。因此,它是不可能的静态IP地址的地图组设置。思科安全设备解决了这个问题通过允许配置的动态加密地图。示例7 - 13演示了思科安全设备的配置使用一组定义的变换。动态加密地图叫dynmap,并配置了一个序列号的10。建立一套变换在动态加密地图是一个必需的属性。动态加密地图变得不完整的应用如果没有变换集。
例7 - 13动态加密地图配置
CiscoASA(配置)#加密动态地图dynmap 10组transform-set myset
第十步:配置加密地图
动态地图与加密映射条目相关联,这是最终应用于界面终止IPSec隧道。例7 - 14显示了加密地图配置CiscoASA安全设备。IPSec_map加密地图名称,序列号码是65535。
例7 - 14加密地图配置
CiscoASA(配置)#加密地图IPSec_map 65535 ipsec-isakmp动态dynmap
思科安全设备限制你一加密地图界面。如果有需要配置多个VPN隧道,使用相同的加密地图名称有不同的序列号。然而,最低的安全设备评估一个VPN隧道序列号。
步骤11:应用加密映射到一个接口
设置远程访问隧道的下一步是将加密映射绑定到一个接口。在7 - 15例,加密地图,IPSec_map,应用于接口之外的安全设备。
例7 - 15应用加密映射到外部接口
CiscoASA #配置终端CiscoASA(配置)#加密地图IPSec_map接口外
步骤12:配置流量过滤
如果你信任你的私人网络,包括你所有的远程VPN客户端,您可以配置的安全设备,允许所有解密IPSec包通过不检查他们根据配置的ACL。这是完成了的使用sysopt连接permit-vpn命令,如示例7 - 16所示。
例7 - 16sysopt配置旁路流量过滤
CiscoASA(配置)#sysopt连接permit-vpn
如果NAT在安全设备配置,但你不想改变流量的源IP地址将VPN隧道,您需要配置NAT豁免规则。您必须创建一个访问列表中指定交通NAT引擎应该绕过。7 - 17的例子显示了一个访问列表允许VPN的交通从10.10.0.0/16 10.10.200.0/24地址池。
7 - 17例访问列表绕过NAT
CiscoASA(配置)#扩展访问列表nonat允许ip 10.10.0.0 255.255.0.0
10.10.200.0 255.255.255.0
定义访问列表之后,下一个步骤是配置nat 0命令。7 ~ 18例演示了如何配置nat 0声明,如果私人局域网内对被保护接口。
示例7日至18日NAT 0配置访问列表
CiscoASA(配置)#nat(内部)0访问列表nonat
VPN配置思科VPN客户端
VPN客户端设置相同的第六章中讨论的过程部分“VPN配置思科VPN客户端。”Refer to Chapter 6 for configuration assistance with the VPN client.
南汽配置思科安全设备
本节讨论NAC-related参数对安全设备的配置。这些参数建立VPN隧道后应用。以下四个步骤需要在配置NAC安全设备:
步骤1设置NAC全局参数。
步骤2配置NAC身份验证。
步骤3上启用NAC用户组。
步骤4配置NAC例外列表。
本节讨论这些配置步骤。
步骤1:设置NAC全局参数
第一步建立南汽在安全设备是确保全球南汽参数正确配置。您可以修改这些参数的默认值的全局配置模式,如7-19示例所示,通过使用eou命令。
例子7-19在全局配置模式下可用EOU参数
CiscoASA(配置)#eou吗?配置模式命令/选项:允许启用/禁用clientless认证clientless clientless主机配置max-retry设置最大数量乘以一个EAP / UDP消息转播的端口设置EAP / UDP端口号超时设置EAP / UDP超时值
7-20例子,一些NAC EAP / UDP (EOU)修改参数的默认值。修改重新传输计时器从3秒到5秒。当安全VPN客户端设备发送一个EOU数据包,它等待5秒后重新发送另一个请求。这种方式,VPN客户端使用拨号连接连接到互联网可以回复安全设备在一个合理的时间内。如果没有收到响应,安全设备发送另一个请求并启动重新传输计时器。安全设备发送EAPoUDP包三次(eou max-retry 3)之前没有沟通和启动计时器。180秒的持有时间确保没有EAPoUDP请求被发送到VPN客户端为180秒(3分钟)。一旦这个定时器到期,安全设备与VPN客户端发起EAPoUDP沟通和穿过第六章一节中讨论的过程“南汽在3000年思科VPN集中器体系结构概述”。EAPoUDP communication is done on UDP port 21862. It is recommended that you not change this port unless there is a port conflict in your network.
例子7-20修改EOU参数
CiscoASA(配置)#eou max-retry 3CiscoASA(配置)# eou端口21862 CiscoASA(配置)# eou超时重新发送5 CiscoASA # eou超时hold-period 180(配置)
对于无代理主机,您可以启用clientless身份验证和指定一个用户名和密码。用户身份验证凭据的RADIUS服务器发送到适当的行动,例如应用适当的acl或请求审计服务器扫描主机。在例子7-21 clientless用户名为clientless cisco123cisco设置了一个密码。建议clientless机器如客人主机和承包商的电脑不能得到公司的信任网络。因此,RADIUS服务器可以发送一个可下载的应用ACL的VPN客户端没有安装CTA代理。
例子7-21EOU Clientless身份验证
CiscoASA(配置)#eou允许clientlessCiscoASA(配置)# eou clientless用户名clientlessCiscoASA(配置)# eou cisco123cisco clientless密码
如果没有启用clientless认证,安全设备适用于一个默认的ACL,在步骤3中讨论。交通从VPN客户端受到这个ACL基于许可证和否认条目。活跃的VPN客户定期挑战姿势是否验证可以在客户端机器上配置的价值的基础上保持计时器。
此外,您可以使用自适应安全设备管理器(ASDM)来管理安全设备。ASDM提供了一个简单易用的图形界面设置和监控思科安全设备提供不同的特性。您可以配置下的NAC全局参数配置>VPN>南汽,见图7。
南汽在ASDM全局参数
步骤2:配置NAC身份验证
NAC姿势验证,RADIUS服务器必须定义下的隧道。RADIUS服务器是远程接入隧道组:只有IPSec和L2TP IPSec。如果你不为NAC posture-validation定义至少一个RADIUS服务器过程中,会话将不会得到验证。RADIUS服务器映射到隧道集团使用nac-authentication-server-group命令服务器标记名紧随其后。在例子7-22 RADIUS服务器映射到NAC-Group隧道集团为半径。
例子7-22南汽身份验证使用半径
CiscoASA(配置)#隧道集团NAC-Group一般属性CiscoASA (config-tunnel-general) # nac-authentication-server-group半径
ASDM, NAC可以配置认证身份验证选项卡下的编辑隧道集团通过导航窗口配置>VPN>一般>隧道集团,见图7 - 4。
南汽ASDM中的身份验证
第三步:使南汽在用户组策略
建立VPN隧道时,安全设备启动posture-validation过程。在这个过程中,一个默认的ACL是应用于用户限制流量。安全设备也同样适用这个默认ACL如果EAPoUDP ACS的客户机和服务器之间通信失败。这个默认的ACL的目的是确保远程用户不发送不必要的流量,直到他们的姿势完全验证。你想要这个ACL尽可能限制。因此,建议您配置适当的入站和出站访问控制项(ace)通过必要的数据包和否认所有其它交通安全设备。如例子7日- 23所示,ACL定义允许远程访问用户与ACS通信服务器和DNS服务器,反之亦然。所有其他的沟通是下降了ACL的隐性否定。这个ACL是映射到南汽过程根据用户通过使用组策略nac-default-acl命令。用户组策略的名字叫SecureMeGrp。
示例7日默认ACL南汽
CiscoASA(配置)#访问列表NAC-default允许ip主机10.10.20.181 10.10.200.0 255.255.255.0CiscoASA(配置)#访问列表NAC-default允许udp任何情商53 10.10.200.0 255.255.255.0CiscoASA(配置)#访问列表NAC-default允许ip 10.10.200.0 255.255.255.0主机10.10.20.181CiscoASA(配置)#访问列表NAC-default允许udp 10.10.200.0 255.255.255.0任何情商53 CiscoASA(配置)#组策略SecureMeGrp attributesCiscoASA (config-group-policy) # NAC-default nac-default-acl价值
注意:NAC默认的ACL应该允许流量通过VPN客户DNS服务器,反之亦然。
安全设备支持两种定时器为VPN客户成功完成姿势后验证。下这两个定时器配置用户组策略,如7-24例子所示:
状态查询计时器这计时器确保安全设备定期检查姿势的VPN客户端状态,以防它从最后一次改变了。默认状态查询时间是300秒。在示例7-24状态查询定时器改为600秒,这是建议如果并发会话的数量高。如果这个值设置过低,安全设备将使用大量的系统资源远程访问VPN客户端发送状态查询。
重新生效时间这计时器启动远程访问VPN客户端完成posture-validation过程。默认的计时器设置为36000秒(10小时)。你可以降低这个定时器18000秒(5小时)如果您的组织需要重新验证VPN客户更频繁。这是有用,当新的杀毒软件补丁不断更新在服务器上,你想要的VPN客户端更新他们只要通过一个新的posture-validation过程。
例子7-24状态查询和重新生效计时器
CiscoASA(配置)#组策略SecureMeGrp属性CiscoASA (config-group-policy) # 600年nac-sq-period CiscoASA (config-group-policy) # nac-reval-period 18000
当所有的参数设置,最后一步是使南汽在用户组策略。例子所示7-25用户组策略称为SecureMeGrp。
例子7-25上启用NAC用户组策略
CiscoASA(配置)#组策略SecureMeGrp属性CiscoASA (config-group-policy) # nac启用
注意:你可以重新验证所有的活跃NAC会议使用eou重新验证所有命令。重新验证一个特定主机,您可以使用eou重新验证ip命令之后,重新检验它的主机的IP地址。
配置这些参数在ASDM,导航配置> VPN >一般>组策略并单击南汽选项卡,如图所示图7 - 5。
南汽在ASDM配置用户组策略的参数
第四步:配置NAC例外列表
许多操作系统都支持思科VPN客户端,包括Solaris、Mac OS X、Windows和Linux。然而,思科CTA目前只支持在Windows、Linux和Mac OS X tunnel-negotiation过程中,VPN客户端报告它的版本信息,例如Windows 2000, Windows XP,或Mac OS X,等等。您可以指定一个例外列表根据报告的VPN客户端版本。这个列表不包括配置的操作系统通过posture-validation过程。IPSec隧道协商后,例外列表的VPN客户端可以根据ACL来限制他们的活动在网络上。举个例子,如果你只想要是VPN客户端访问内部的主机系统,除了ACL列表应该只允许交通的ACL中的主机服务器和其他应该否认所有流量。
在示例7-26,ACL叫Solaris-ACL正在建立。该ACL将允许所有双向流量通过
这是来自10.10.50.100的主机服务器的IP地址。
就注定Solaris VPN客户端。因此,VPN客户端10.10.200.0子网掩码为255.255.255.0池指定目的地址。
例子7-26ACL NAC例外列表
CiscoASA(配置)#扩展访问列表Solaris-ACL允许ip主机10.10.50.100 10.10.200.0 255.255.255.0CiscoASA(配置)#访问列表Solaris-ACL扩展允许ip 10.10.200.0
255.255.255.0主机10.10.50.100
入站和出站条目配置时,下一步是应用这个ACL全球或特定群体。这是通过使用vpn-nac-exempt命令是由操作系统名称和ACL名称过滤流量。在例子7-27 Solaris-ACL映射到SecureMeGrp Solaris操作系统的用户组策略。
例子7-27南汽例外列表
CiscoASA (config-group-policy) #组策略SecureMeGrp属性CiscoASA (config-group-policy) # vpn-nac-exempt Solaris-ACL Solaris os过滤器
如果你想定义NAC例外政策在全球范围内,指定vpn-nac-exempt命令下默认的组策略,DfltGrpPolicy。
定义或管理ASDM例外列表中,导航到配置> VPN >一般>组策略并选择南汽选项卡,如图所示图7 - 6。姿势下验证异常列表,点击添加并指定操作系统和南汽异常ACL。
南汽ASDM例外列表中
思科安全测试、监控和故障诊断NAC电器
本节讨论不同的测试场景中有用的实现南汽在安全设备的解决方案。每个测试场景帮助收集统计信息的连接。这些场景还讨论相关的调试,有利于故障排除任何IPSec或NAC部署。以下讨论测试场景:
远程接入IPSec隧道没有南汽
远程接入IPSec隧道从一个无代理客户端
从CTA客户机远程访问IPSec隧道
远程接入IPSec隧道没有南汽
如果你建立一个新组的安全设备,将对VPN客户端验证的姿势,按照前两个配置阶段,前面讨论的部分”NAC思科安全设备的配置步骤。”The next step is to make a VPN tunnel from a test VPN client machine to ensure that you do not run into any misconfigurations. If the IPSec tunnel is not working for some reason, make sure that you have the proper debug turned on. The following are the two most important debugs to look at:
调试加密isakmp(调试级)调试加密ipsec(调试级)
默认情况下,调试级别设置为1。你可以增加事故的严重程度255获得详细的日志。然而,在大多数情况下,这个级别设置为127年提供了足够的信息来确定问题的根源。
在例子7-28,调试加密isakmp 127和调试加密ipsec 127命令已被启用。
例子7-28启用加密调试
CiscoASA #调试加密isakmp 127CiscoASA #调试加密ipsec 127
隧道通过交换ISAKMP提议谈判开始。如果启用了调试ISAKMP,安全设备显示了隧道group-NAC-Group,在这种情况下,VPN客户端试图连接到。如果这个提议是可以接受的,无论是调试显示一条消息,指示艾克SA的提议是可以接受的,如例子所示第七至第二十九页。还显示所选的艾克SA提案数量和公众的VPN客户端IP地址,这是209.165.202.159。
第七至第二十九页示例调试输出显示ISAKMP的提议是可以接受的
3月22日19:31:50 [IKEv1]: IP = 209.165.202.159连接登陆tunnel_group NAC-GroupMar 22 19:31:50 [IKEv1调试]:组= NAC-Group IP = 209.165.202.159处理艾克SA payloadMar 22 19:31:50 [IKEv1调试]:组= NAC-Group IP = 209.165.202.159,艾克SA
建议# 1,改变全球艾克条目# 1 # 10可接受的匹配
的提议是可以接受的,VPN设备试着发现他们是否NAT-T能力以及它们之间是否一个地址转换装置的谎言。如果NAT-Traversal (NAT-T)不是谈判或者NAT / PAT装置未被检测到,ISAKMP调试显示“远程端不支持NAT设备。这个目的不是背后NAT设备”信息,如7-30例子所示。
例子7-30调试输出显示NAT-T发现过程
(IKEv1调试):组= NAC-Group、IP = 209.165.202.159处理NAT-Discovery载荷(IKEv1调试):组= NAC-Group IP = 209.165.202.159计算NAT发现散列(IKEv1调试):组= NAC-Group IP = 209.165.202.159处理NAT-Discovery载荷(IKEv1):组= NAC-Group IP = 209.165.202.159自动NAT检测状态:
远程终端不支持一个NAT设备。这个目标并不是在NAT设备
NAT-T谈判后,思科安全设备提示用户指定用户凭证。用户身份验证成功后,ISAKMP调试显示一条消息,指示用户(ciscouser,在这个例子中)进行验证,如7-31例子所示。
例子7-31调试输出给用户进行身份验证
[IKEv1]: = NAC-Group组,用户名= ciscouser IP = 209.165.202.159,用户(ciscouser)进行身份验证。(IKEv1调试):组= NAC-Group,用户名= ciscouser IP = 209.165.202.159建设空白散列(IKEv1调试):组= NAC-Group,用户名= ciscouser IP = 209.165.202.159构建qm散列
客户端请求mode-config属性通过发送一个client-supported列表属性,如7-32例子所示。安全设备与它所支持的所有属性和适当的回复信息。
例子7-32调试输出显示Mode-Config请求
(IKEv1调试)处理cfg请求属性,[IKEv1调试]MODE_CFG:收到请求IPV4地址!,IKEv1调试MODE_CFG:收到请求IPV4网络掩码!,IKEv1调试MODE_CFG:收到请求DNS服务器地址!,IKEv1调试MODE_CFG:收到请求获得服务器地址!
压低的属性后,安全设备显示一条消息,表明ISAKMP SA被成功谈判,7-33例子中演示。
例子7-33调试输出显示第一阶段谈判完成
[IKEv1]: = NAC-Group组,用户名= ciscouser IP = 209.165.202.159第一阶段完成
在完成第一阶段谈判,VPN客户端和安全设备试图谈判第二阶段通过交换代理身份和SA IPSec第二阶段的建议。远程主机的IP地址分配给VPN客户端安全设备。如果代理身份是可以接受的,ISAKMP调试显示一条消息,指示IPSec SA的提议是可以接受的,如7-34例子所示。
例子7-34调试输出显示代理身份和第二阶段的建议被接受
(IKEv1调试):组= NAC-Group、用户名= ciscouser IP = 209.165.202.159,
IPSec SA建议# 12,变换# 1接受匹配全球IPSec SA条目# 10,[IKEv1调试]:= NAC-Group组,用户名= ciscouser IP = 209.165.202.159传输代理Id:远程主机:10.10.200.1协议端口0本地子网:0.0.0.0面具0.0.0.0协议端口0
接受改变设置值之后,在入站和出站IPSec VPN设备同意SAs,如编例子所示。后创建了IPSec SAs, VPN设备应该能够通过交通双向穿越隧道。
例子编调试输出显示IPSec情景应用程序被激活
= NAC-Group IKEv1调试):组,用户名= ciscouser IP = 209.165.202.159,加载所有IPSEC SAs [IKEv1]:集团= NAC-Group,用户名= ciscouser IP = 209.165.202.159
安全协商完成用户(ciscouser)应答器,
入站SPI = 0 x00c6bc19,出站SPI = 0 xa472f8c1, [IKEv1]: = NAC-Group组,用户名= ciscouser IP = 209.165.202.159
为客户添加静态路由地址:10.10.200.1,[IKEv1]: = NAC-Group组,用户名= ciscouser IP = 209.165.202.159,第二阶段完成(是否= 8732 f056)
远程接入IPSec隧道从一个无代理客户端
成功测试VPN隧道后,下一个步骤是配置南汽在安全设备,然后从相同的测试VPN连接客户端不需要安装CTA代理。这模拟一个无代理VPN客户端场景。安全设备使您能够设置NAC日志和/或NAC调试。NAC记录允许您捕获EAPoUDP EAP,和南京事件如EAP状态查询,posture-validation初始化和重新生效,例外列表匹配,ACS事务,clientless认证和默认ACL的应用程序。
NAC调试是非常有用的,如果你想收集详细NAC-specific十六进制转储等事件的EAP头和包内容,EAPoUDP头和包内容,EAPoUDP对话状态变化,计时器事件。
7-36例子演示了如何启用NAC登录安全设备。定义一个事件列表、NAC日志南汽,eapoudp, eap课程。日志级别设置为调试。NAC日志发送到内部缓冲区的安全设备。
例子7-36使NAC登录安全设备
CiscoASA(配置)#日志启用CiscoASA(配置)#日志列表NAC水平调试类nacCiscoASA(配置)#日志列表NAC水平调试类eapoudpCiscoASA(配置)#日志列表NAC水平调试类eapCiscoASA #日志缓冲NAC(配置)
注意:这是一个最佳实践将日志消息发送到外部syslog服务器进行取证,后来分析。
当打开NAC日志,建立一个IPSec clientless从VPN客户端会话。如7-37例子所示,一旦艾克谈判第二阶段完成,安全设备启动10.10.200.1 NAC过程。它适用于默认的ACL给默认过滤VPN用户会话,直到确定正确的姿势。
这个测试场景假设您没有运行CTA在VPN客户端应用程序。因此,安全设备未能从主机接收响应。安全设备超时请求和发送身份验证请求clientless RADIUS服务器的用户。如果RADIUS服务器对该用户进行身份验证,它发送一个可下载的ACL, ACSACL # ip - clientless_acl - 4470 a5d3安全设备。基于访问控制项,用户可以看到有限的网络。
例子7-37南汽Clientless代理日志
CiscoASA(配置)#显示日志<一些输出删除> % asa - 6 - 335001: NAC会话初始化——10.10.200.1。% asa - 5 - 335003: NAC违约ACL, ACL: NAC-default - 10.10.200.1。% asa - 6 - 334001: EAPoUDP协会发起,10.10.200.1。% asa - 5 - 334006: EAPoUDP未能从主机- 10.10.200.1得到响应。% asa - 6 - 334004: NAC Clientless主机- 10.10.200.1身份验证请求。% asa - 6 - 335006: NAC应用ACL: # ACSACL # ip - clientless_acl - 4470 a5d3 10.10.200.1。
或者,您可以启用调试合适的解决与南汽有关的问题。7-38例子显示了NAC推荐的安全设备上调试故障排除。
例子7-38使NAC登录安全设备
CiscoASA #调试nac身份验证CiscoASA #调试nac错误CiscoASA #调试nac事件CiscoASA #调试eou eapCiscoASA #调试eou错误CiscoASA #调试eou事件