Ejemplo de Configuración de Autenticación ASA a un ASA en Espera cuando el Dispositivo AAA se Encuentra a Través de un L2L

Opciones de descarga

  • PDF     (175.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (148.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (124.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de agosto de 2014
ID del documento:118089

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo trabajar en un escenario en el que el administrador no puede autenticarse en un Cisco Adaptive Security Appliance (ASA) en espera en un par de conmutación por fallas debido al hecho de que el servidor de autenticación, autorización y contabilidad (AAA) se encuentra en una ubicación remota a través de una LAN a LAN (L2L).

Aunque se puede utilizar el repliegue a la autenticación LOCAL, se prefiere la autenticación RADIUS para ambas unidades.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Failover ASA
  • VPN
  • traducción de Dirección de Red (NAT)

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurar

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

El servidor RADIUS se encuentra en el exterior del par de conmutación por fallas y se puede alcanzar a través de un túnel L2L a 12.12.12.2. Esto es lo que causa el problema porque el ASA en espera intenta alcanzarlo a través de su propia interfaz externa pero no hay ningún túnel construido en él en este punto; para que funcione, debe enviar la solicitud a la interfaz activa para que el paquete pueda fluir a través de la VPN pero las rutas se replican desde la unidad activa.

Una opción es utilizar una dirección IP falsa para el servidor RADIUS en los ASA y señalarla al interior. Por lo tanto, la dirección IP de origen y destino de este paquete se puede traducir en un dispositivo interno.

Router1

interface FastEthernet0/0
 ip address 192.168.1.3 255.255.255.0
 no ip redirects
 no ip unreachables
 ip nat enable
 duplex auto
 speed auto

ip access-list extended NAT
 permit ip 192.168.1.0 0.0.0.255 host 192.168.200.250
 
ip nat source list NAT interface FastEthernet0/0 overload
ip nat source static 192.168.200.1 192.168.200.250

ip route 0.0.0.0 0.0.0.0 192.168.1.1

ASA

aaa-server RADIUS protocol radius
aaa-server RADIUS (inside) host 192.168.200.250
 timeout 3
 key *****
 authentication-port 1812
 accounting-port 1813

aaa authentication serial console LOCAL 
aaa authentication ssh console RADIUS LOCAL
aaa authentication telnet console RADIUS LOCAL
aaa authentication http console RADIUS LOCAL
aaa authentication enable console RADIUS LOCAL

route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
route inside 192.168.200.250 255.255.255.255 192.168.1.3 1

Nota: La dirección IP 192.168.200.250 se utilizó en el ejemplo, pero cualquier dirección IP no utilizada funciona.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.

Router

Router#   show ip nat nvi tra
Pro Source global      Source local       Destin  local      Destin  global
udp 192.168.1.3:1025   192.168.1.1:1025   192.168.200.250:1812 192.168.200.1:1812
--- 192.168.200.1      192.168.2.1        ---                ---
--- 192.168.200.250    192.168.200.1      ---                ---

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Gustavo Medina, Walter Lopez, and Alex Sanchez
    Cisco TAC Engineers.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos