如示例7-39所示,安全设备在启动NAC会话时应用na - default ACL。它尝试确定CTA在VPN客户机上是否处于活动状态。EAPoUDP查询超时,安全设备为VPN客户机启动无客户机身份验证。如果无客户端身份验证成功,RADIUS服务器将发送一个访问-接受消息。
例子7-39为无客户端主机启用NAC调试
NAC默认应用acl NAC-default 10.10.200.1EAPoUDP协会发起- 10.10.200.1EAPoUDP响应计时器到期10.10.200.1EAPoUDP响应计时器到期- 10.10.200.1EAPoUDP响应计时器到期10.10.200.1EAPoUDP未能得到响应从主机- 10.10.200.1NAC clientless访问请求成功- 10.10.200.1EAPoUDP身份验证请求NAC clientless主机10.10.200.1NAC clientless接受——10.10.200.1访问
从CTA客户端远程访问IPSec隧道
如果“来自无代理客户机的远程访问IPSec隧道”测试场景成功,那么下一个测试用例是在VPN客户机上安装CTA应用程序,并在安全设备上完成姿势验证过程。在建立IPSec SAs之后,安全设备启动EAPoUDP进程。如果从VPN客户端接收到EAPoUDP响应,安全设备就知道VPN客户端正在积极运行CTA服务。
如果启用例7-37中建议的调试,安全设备将生成特定于nacl的消息。如示例7-40所示,安全设备启动一个EAPoUDP关联。它接收来自VPN客户机的响应,并启动姿势验证过程。CTA通过EAP转发客户端机器secureme:Adminsitrator的主机名和用户名(在本例中)。安全设备从RADIUS服务器接收系统状态健康标记,并将其分配给主机。
例子7-40NAC调试cta启用VPN客户端
NAC默认acl NAC-default应用- 10.10.200.1EAPoUDP协会发起10.10.200.1EAPoUDP-Hello响应收到主机- 10.10.200.1NAC EAP协会发起10.10.200.1 EAP上下文:0 x0463c490nac EAP访问接受- 10.10.200.1NAC EAP访问接受10.10.200.1用户:SECUREME: AdministratorNAC EAP访问接受——10.10.200.1瑞威尔时期:36000 secondsNAC访问接受- 10.10.200.1姿势令牌:HealthyNAC访问接受——10.10.200.1Status Query Period:300 secondsNAC PV complete - 10.10.2001, posture:HealthyEAPoUDP association成功建立- 10.10.2001
在成功测试客户机状态之后,您就可以开始在您的VPN环境中部署NAC了。可以将CTA软件分发到VPN客户端机器,以便根据它们的机器状态为它们分配正确的姿态。
NAC会议的监控
你可以使用几个显示用于监视和报告NAC会话状态的命令。的显示vpn-sessiondb远程命令是最常用的一种,因为它显示所有VPN客户机的IPSec和NAC统计数据。如例7-41所示,会话类型为remote-access tunnel, VPN用户名为ciscouser。分配的IP地址是10.10.2001,公共IP地址是209.165.202.159。安全设备已传输15,790字节,并已接收6,179字节。RADIUS服务器接受了NAC结果,并为该用户分配了一个健康的系统状态令牌。RADIUS服务器分配了一个名为IP-NAC_HEALTHY_ACL-43c0876e的可下载ACL。
例子7-41显示vpn-sessiondb远程的输出
CiscoASA #显示vpn-sessiondb远程会议类型:RemoteUsername: ciscouserIndex: 1分配IP: 10.10.200.1公共IP: 209.165.202.159Protocol: IPSec加密:3 deshashing: SHA1Bytes Tx: 15790字节的处方:6179客户类型:WinNT客户机版本:4.8.01.0300Group政策:SecureMeGrpTunnel组:NAC-GroupLogin时间:03:23:16 UTC时间2006年8月2结婚:0 h: 28 m: 13 sfilter名称:# ACSACL # -IP-NAC_HEALTHY_ACL-43c0876eNAC结果:AcceptedPosture令牌:健康
您还可以使用ASDM来监视安全设备上的IPSec和NAC会话。导航到监视> VPN > VPN统计信息>会话检查分配给用户的NAC结果和系统状态令牌,如图7。
ASDM的IPSec和NAC监控
如果您希望获得关于特定EAPoUDP会话的详细信息,则可以使用显示vpn-sessiondb详细索引命令,后面跟着索引号,以查看您感兴趣的主机的详细连接。例7-42显示的输出显示vpn-sessiondb详细索引1获取ciscouser的详细连接信息。索引号是分配给用户的本地ID。使用此命令,安全设备可以提供关于EAPoUDP计时器的信息。安全设备指示,在34,567秒后,它将启动此主机的EAPoUDP重新验证。它还显示与该主机关联的健康系统状态令牌。
例子7-42显示特定主机的EOU会话详细信息
CiscoASA #显示vpn-sessiondb详细索引1Session类型:Remote DetailedUsername: ciscouserIndex: 1
使用ASDM,您可以通过导航到查看类似的NAC会话计时器监视> VPN > VPN统计信息>会话和选择细节图标。图7 - 8说明了这一点。
在ASDM中的NAC会话计时器
属性可以查看安全设备上所有VPN和NAC会话的摘要显示vpn-sessiondb总结命令。如例7-43所示,它显示了一个活动的IPSec远程访问会话。此会话是一个活动的已接受的NAC会话。此外,安全设备显示累计接受和拒绝会话的NAC。如果您希望确定RADIUS服务器是否成功地将适当的姿态令牌分配给VPN客户机,则此命令非常有用。
例子7-43显示活跃的VPN和NAC会话
CiscoASA #显示vpn-sessiondb总结活动会话:会话信息:IPSec LAN-to-LAN: 0峰值并发:1 IPSec远程访问:1 IPSec限制:750 WebVPN: 0 WebVPN限制:2 SSL VPN客户端(SVC): 0累积会话:8邮件代理:0总活动会话:1%会话加载:0% VPN磅管理会议:0活跃NAC会话:累积NAC会话:接受:1接受:14拒绝:0拒绝:1豁免:0豁免:0没有响应:0没有响应:14迟疑:0迟疑:1 N / A: 0 N / A: 0
总结
在Cisco安全设备上的NAC实现提供了一个完整的解决方案来检查一个VPN客户端的姿态状态。如果无法验证姿态,安全设备将应用适当的acl来过滤流量。本章讨论了在启用NAC时安全设备中的包流,然后提供了详细的配置步骤。本章提供了如何监控远程访问VPN隧道的指南。出于故障排除的目的,本章讨论了各种调试和日志消息,以帮助您隔离与远程访问隧道和NAC相关的问题。
审查问题
你可以在附录A“复习问题的答案”中找到复习问题的答案。
的默认值重新生效计时器的安全设备是______。
1800秒
18000秒
180000秒
以上都不是
NAC例外政策可以建立在以下哪个地点?(多个答案)
默认组策略
用户组策略
用户的政策
隧道的政策
真或假:如果一个VPN隧道没有报告任何软件版本信息,那么它被认为是无客户端。
True或false: NAC异常策略在隧道组子配置模式下配置。
真或假:不能有状态地将NAC会话的数据库复制到备用设备。
Mode-config under________配置属性。
用户的政策
默认的次用户组
用户组策略
以上都是
为真或假:必须在隧道组下指定RADIUS服务器。
真或假:如果VPN客户机没有响应EAPoUDP请求包,IPSec隧道将被破坏。
正确或错误:NAC豁免名单必须适用于每组基础上。
对或错:无客户端身份验证用于没有安装CTA的机器。
培生教育版权所有保留所有权利。