ASA 8.3 en hoger: Radius-autorisatie (ACS 5.x) voor VPN-toegang met downloadbare ACL met CLI- en ASDM-configuratievoorbeeld

Inleiding

Dit document beschrijft hoe u het security apparaat moet configureren om gebruikers voor netwerktoegang te verifiëren. Aangezien u RADIUS-autorisaties impliciet kunt inschakelen, bevat dit document geen informatie over de configuratie van RADIUS-autorisatie op het security apparaat. Het geeft wel informatie over hoe het security apparaat omgaat met informatie over toegangslijsten die van RADIUS-servers wordt ontvangen.

U kunt een RADIUS-server configureren om een toegangslijst naar het security apparaat of een naam van een toegangslijst te downloaden op het moment van verificatie. De gebruiker is geautoriseerd om alleen te doen wat is toegestaan in de gebruikersspecifieke toegangslijst.

Downloadbare toegangslijsten zijn de meest schaalbare middelen wanneer u Cisco Secure Access Control Server (ACS) gebruikt om de juiste toegangslijsten voor elke gebruiker te bieden. Raadpleeg Een RADIUS-server configureren om downloadbare toegangscontrolelijsten en downloadbare IP-toegangslijsten te verzenden voor meer informatie over de functies van de downloadbare toegangslijst en de Cisco Secure ACS.

Raadpleeg ASA/PIX 8.x: Radius Authorisation (ACS) voor Network Access met behulp van downloadbare ACL met CLI- en ASDM-configuratievoorbeeld voor de identieke configuratie op Cisco ASA met versies 8.2 en hoger.

Voorwaarden

Vereisten

Dit document gaat ervan uit dat de adaptieve security applicatie (ASA) volledig operationeel is en geconfigureerd is om Cisco Adaptive Security Device Manager (ASDM) of CLI in staat te stellen configuratiewijzigingen aan te brengen.

Opmerking: Raadpleeg Toestaan van HTTPS-toegang voor ASDM zodat het apparaat op afstand kan worden geconfigureerd door de ASDM of Secure Shell (SSH).

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco ASA softwareversie 8.3 en hoger

• Cisco ASDM versie 6.3 en hoger

• Cisco VPN-clientversie 5.x en hoger

• Cisco Secure ACS 5.x

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

U kunt downloadbare IP ACL’s gebruiken om sets van ACL-definities te maken die u op veel gebruikers of gebruikersgroepen kunt toepassen. Deze verzamelingen van ACL-definities worden ACL-inhoud genoemd.

Downloadbare IP ACL’s werken op deze manier:

1. Wanneer ACS een gebruiker toegang verleent tot het netwerk, bepaalt ACS of een downloadbare IP ACL wordt toegewezen aan het Autorisatieprofiel in de resultaatsectie.

2. Als ACS een downloadbare IP-ACL lokaliseert die is toegewezen aan het autorisatieprofiel, stuurt ACS een kenmerk (als onderdeel van de gebruikerssessie, in het RADIUS-toegangspakket) dat de genoemde ACL en de versie van de genoemde ACL specificeert.

3. Als de AAA-client antwoordt dat de huidige versie van de ACL niet in het cache staat (dat wil zeggen dat de ACL nieuw is of is gewijzigd), stuurt ACS de ACL (nieuw of bijgewerkt) naar het apparaat.

Downloadbare IP-ACL’s zijn een alternatief voor de configuratie van ACL’s in het RADIUS Cisco cisco-av-paarkenmerk [26/9/1] van elke gebruiker of gebruikersgroep. U kunt een downloadbare IP ACL eenmaal maken, deze een naam geven en vervolgens de downloadbare IP ACL aan een autorisatieprofiel toewijzen als u naar de naam verwijst. Deze methode is efficiënter dan als u het RADIUS Cisco cisco-av-paar attribuut voor Autorisatieprofiel vormt.

Wanneer u de ACL-definities in de ACS-webinterface invoert, gebruikt u geen trefwoord- of naamvermeldingen; in alle andere opzichten gebruikt u de standaard ACL-opdrachtsyntaxis en -semantiek voor de AAA-client waarop u de downloadbare IP ACL wilt toepassen. De ACL-definities die u in ACS invoert, bestaan uit een of meer ACL-opdrachten. Elke ACL-opdracht moet op een afzonderlijke lijn staan.

In ACS kunt u meerdere downloadbare IP-ACL’s definiëren en deze in verschillende autorisatieprofielen gebruiken. Gebaseerd op de voorwaarden in de regels voor de autorisatie van toegangsservices kunt u verschillende autorisatieprofielen met downloadbare IP-ACL’s naar verschillende AAA-clients verzenden.

Verder kunt u de volgorde van de ACL-inhoud wijzigen in een downloadbare IP ACL. ACS onderzoekt ACL-inhoud, te beginnen vanaf de bovenkant van de tabel, en downloadt de eerste ACL-inhoud die het vindt. Wanneer u de volgorde instelt, kunt u de efficiëntie van het systeem garanderen als u de meest algemeen toepasbare ACL-inhoud hoger in de lijst plaatst.

Om een downloadbare IP ACL op een bepaalde AAA-client te kunnen gebruiken, moet de AAA-client zich aan deze regels houden:

• RADIUS voor verificatie gebruiken

• Ondersteuning van downloadbare IP-ACL’s

Dit zijn voorbeelden van Cisco-apparaten die downloadbare IP ACL’s ondersteunen:

• ASA

• Cisco-apparaten waarop IOS versie 12.3(8)T en hoger wordt uitgevoerd

Dit is een voorbeeld van de indeling die u moet gebruiken om ASA ACL’s in het vak ACL-definities in te voeren:

permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1 
permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255 
permit 0 any host 10.159.1.22 
deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log 
permit TCP any host 10.160.0.1 eq 80 log 
permit TCP any host 10.160.0.2 eq 23 log 
permit TCP any host 10.160.0.3 range 20 30 
permit 6 any host HOSTNAME1 
permit UDP any host HOSTNAME2 neq 53 
deny 17 any host HOSTNAME3 lt 137 log 
deny 17 any host HOSTNAME4 gt 138 
deny ICMP any 10.161.0.0 0.0.255.255 log 
permit TCP any host HOSTNAME5 neq 80 

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Het zijn RFC 1918-adressen die werden gebruikt in een laboratoriumomgeving.

Remote Access VPN configureren (IPsec)

ASDM-procedure

Voltooi deze stappen om de externe toegang VPN te configureren:

1. Selecteer Wizard > VPN-wizards > IPsec(IKEv1) Remote Access VPN Wizard vanuit het hoofdvenster.

   

2. Selecteer de VPN Tunnel Interface zoals vereist (Buiten, in dit voorbeeld) en zorg er ook voor dat het selectievakje naast Inkomende IPsec-sessies inschakelen om lijsten met interfacetoegang te omzeilen is ingeschakeld.

   

3. Kies het VPN-clienttype als Cisco VPN-client, release 3.x of hoger. Klik op Next (Volgende).

   

4. Kies de verificatiemethode en geef de verificatiegegevens op. De verificatiemethode die hier wordt gebruikt, is Pre-Shared Key. Geef ook een naam voor een tunnelgroep op in de daarvoor bestemde ruimte. De vooraf gedeelde sleutel die hier wordt gebruikt, is cisco123 en de naam van de tunnelgroep die hier wordt gebruikt, is Cisco-Tunnel. Klik op Next (Volgende).

   

5. Kies of u wilt dat externe gebruikers worden geverifieerd naar de lokale gebruikersdatabase of naar een externe AAA-servergroep. Hier kiezen we Verifiëren met een AAA-servergroep. Klik op Nieuw naast het veld Naam AAA-servergroep om een nieuwe AAA-servergroep te maken.

   

6. Geef de naam van de servergroep, het verificatieprotocol, het IP-adres van de server, de interfacenaam en de geheime sleutel van de server op in de respectieve beschikbare ruimtes en klik op OK.

   

7. Klik op Next (Volgende).

   

8. Definieer een pool van lokale adressen die dynamisch aan externe VPN-clients worden toegewezen wanneer deze verbinding maken. Klik op Nieuw om een nieuwe pool van lokaal adres te maken.

   

9. Typ in het venster IP-pool toevoegen de poolnaam, IP-adres starten, IP-adres beëindigen en het subnetmasker. Klik op OK.

   

10. Selecteer de poolnaam in de vervolgkeuzelijst en klik op Volgende. De naam van de pool is in dit voorbeeld Sample-Pool die in Stap 9 is gemaakt.

    

11. Optioneel: Specificeer de DNS en WINS server informatie en een standaard domein naam te duwen naar externe VPN Clients.

    

12. Specificeer welke eventuele interne hosts of netwerken moeten worden blootgesteld aan externe VPN-gebruikers. Klik op Volgende na de interfacenaam te hebben opgegeven en de netwerken te hebben vrijgesteld in het veld Uitzonderlijke netwerken.

    Als u deze lijst leeg laat, kunnen externe VPN-gebruikers toegang krijgen tot het gehele interne netwerk van de ASA.

    U kunt ook gesplitste tunneling in dit venster inschakelen. Split-tunneling versleutelt verkeer naar de bronnen die eerder in deze procedure zijn gedefinieerd en biedt ongecodeerde toegang tot internet op grote schaal door dat verkeer niet te tunnelen. Als gesplitste tunneling niet is ingeschakeld, wordt al het verkeer van externe VPN-gebruikers getunneld naar de ASA. Dit kan zeer bandbreedte en processor-intensief worden, gebaseerd op uw configuratie.

    

13. Dit venster toont een samenvatting van de acties die u hebt ondernomen. Klik op Voltooien als u tevreden bent met de configuratie.

    

ASA configureren met CLI

Dit is de CLI-configuratie:

ASA# sh run
ASA Version 8.4(3)
!

!--- Specify the hostname for the Security Appliance.

hostname ciscoasa
enable password y.tvDXf6yFbMTAdD encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!


!--- Configure the outside and inside interfaces.

interface Ethernet0/0
nameif dmz
security-level 50
ip address 192.168.26.13 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!

!--- Output is suppressed.


boot system disk0:/asa843-k8.bin
ftp mode passive

object network NETWORK_OBJ_10.1.1.0_24
subnet 10.1.1.0 255.255.255.0
object network NETWORK_OBJ_10.2.2.0_24
subnet 10.2.2.0 255.255.255.0


access-list OUTIN extended permit icmp any any


!--- This is the Access-List whose name will be sent by !--- RADIUS Server(ACS) in the Filter-ID attribute.

access-list new extended permit ip any host 10.1.1.2
access-list new extended deny ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500

ip local pool Sample-Pool 10.2.2.1-10.2.2.254 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1


!--- Specify the location of the ASDM image for ASA !--- to fetch the image for ASDM access.

asdm image disk0:/asdm-647.bin
no asdm history enable
arp timeout 14400


!--- Specify the NAT from internal network to the Sample-Pool.

nat (inside,outside) source static 
NETWORK_OBJ_10.1.1.0_24 NETWORK_OBJ_10.1.1.0_24 destination static 
NETWORK_OBJ_10.2.2.0_24 NETWORK_OBJ_10.2.2.0_24 

no-proxy-arp route-lookup

access-group OUTIN in interface outside



!--- Create the AAA server group "ACS5" and specify the protocol as RADIUS. !--- Specify the ACS 5.x server as a member of the "ACS5" group and provide the !--- location and key.

aaa-server ACS5 protocol radius
aaa-server ACS5 (dmz) host 192.168.26.51
timeout 5
key *****

aaa authentication http console LOCAL
http server enable 2003
http 0.0.0.0 0.0.0.0 inside



!--- PHASE 2 CONFIGURATION ---! !--- The encryption & hashing types for Phase 2 are defined here. We are using !--- all the permutations of the PHASE 2 parameters. 


crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac



!--- Defines a dynamic crypto map with !--- the specified transform-sets created earlier. We are specifying all the

!--- transform-sets.
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set 
   ESP-AES-128-SHA ESP-AES-128-MD5 
ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA 
   ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5


!--- Binds the dynamic map to the IPsec/ISAKMP process.


crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP


!--- Specifies the interface to be used with !--- the settings defined in this configuration.

crypto map outside_map interface outside


!--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policies defined with all the permutation !--- of the 5 ISAKMP parameters. The configuration commands here define the !--- Phase 1 policy parameters that are used.

crypto ikev1 enable outside

crypto ikev1 policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 40
authentication crack
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 60
authentication pre-share
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 70
authentication crack
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 80
authentication rsa-sig
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 90
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 100
authentication crack
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 110
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 120
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 130
authentication crack
encryption des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 140
authentication rsa-sig
encryption des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 150
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400


webvpn
group-policy Cisco-Tunnel internal
group-policy Cisco-Tunnel attributes
vpn-tunnel-protocol ikev1
default-domain value cisco.com
username admin password CdOTKv3uhDhHIw3A encrypted privilege 15

!--- Associate the vpnclient pool to the tunnel group using the address pool. !--- Associate the AAA server group (ACS5) with the tunnel group.


tunnel-group Cisco-Tunnel type remote-access
tunnel-group Cisco-Tunnel general-attributes
address-pool Sample-Pool
authentication-server-group ACS5
default-group-policy Cisco-Tunnel


!--- Enter the pre-shared-key to configure the authentication method.

tunnel-group Cisco-Tunnel ipsec-attributes
ikev1 pre-shared-key *****

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#

ACS voor downloadbare ACL voor individuele gebruiker configureren

U kunt downloadbare toegangslijsten op Cisco Secure ACS 5.x configureren als een benoemde toegangslijst en deze vervolgens toewijzen aan een autorisatieprofiel dat wordt gekozen in het resultaatgedeelte van de regel in de toegangsservice.

In dit voorbeeld wordt de IPsec VPN-gebruiker cisco met succes geverifieerd en de RADIUS-server stuurt een downloadbare toegangslijst naar het security apparaat. De gebruiker "cisco" heeft alleen toegang tot de 10.1.1.2 server en ontkent alle andere toegang. Om de ACL te verifiëren, zie de sectie Downloadbare ACL voor gebruiker/groep.

Voltooi deze stappen om RADIUS-client in een Cisco Secure ACS 5.x te configureren:

1. Kies Netwerkbronnen > Netwerkapparaten en AAA-clients en klik op Maken om een vermelding voor de ASA in de RADIUS-serverdatabase toe te voegen.

   

2. Voer een lokaal belangrijke naam in voor de ASA (sample-asa, in dit voorbeeld) en voer vervolgens 192.168.26.13 in het veld IP-adres in. Kies RADIUS in het gedeelte Verificatieopties door het aanvinkvakje RADIUS in te schakelen en voer cisco123 in voor het veld Gedeeld geheim. Klik op Verzenden.

   

3. ASA wordt met succes toegevoegd aan de RADIUS-server (ACS)-database.

   

4. Kies Gebruikers en Identity Stores > Interne Identity Stores > Gebruikers, en klik op Maken om een gebruiker te maken in de lokale database van de ACS voor VPN-verificatie.

   

5. Voer de gebruikersnaam cisco in. Selecteer het wachtwoordtype als Interne gebruikers en voer het wachtwoord in (cisco123, in dit voorbeeld). Bevestig het wachtwoord en klik op Indienen.

   

6. De gebruiker cisco is gemaakt.

   

7. Als u een downloadbare ACL wilt maken, kiest u Beleidselementen > Autorisatie en toegangsrechten > Benoemde toegangsobjecten > Downloadbare ACL’s, en klikt u op Maken.

   

8. Geef de naam voor de te downloaden ACL en de ACL-inhoud op. Klik op Verzenden.

   

9. Downloadbare ACL Sample-DACL is gemaakt.

   

10. Als u het toegangsbeleid voor VPN-verificatie wilt configureren, kiest u Toegangsbeleid > Toegangsservices > Regels voor servicesselectie en bepaalt u welke service wordt toegewezen aan het RADIUS-protocol. In dit voorbeeld komt regel 1 overeen met RADIUS en wordt standaard netwerktoegang aangepast aan het RADIUS-verzoek.

    

11. Kies de Access Service die is bepaald in stap 10. In dit voorbeeld wordt standaard netwerktoegang gebruikt. Kies het tabblad Toegestane protocollen en zorg ervoor dat PAP/ASCII toestaan en MS-CHAPv2 zijn geselecteerd. Klik op Indienen.

    

12. Klik op de sectie Identity van de toegangsservices en zorg ervoor dat interne gebruikers zijn geselecteerd als de Identity Source. In dit voorbeeld hebben we standaard netwerktoegang genomen.

    

13. Kies Toegangsbeleid > Toegangsservices > Standaard netwerktoegang > Autorisatie, en klik op Aanpassen.

    

14. Verplaats systeem:UserName van de kolom Available naar de geselecteerde kolom en klik op OK.

    

15. Klik op Aanmaken om een nieuwe regel te maken.

    

16. Zorg dat het selectievakje naast Systeem:Gebruikersnaam is ingeschakeld, kies Gelijken in de vervolgkeuzelijst en voer de gebruikersnaam in Cisco.

    

17. Klik op Selecteren.

    

18. Klik op Aanmaken om een nieuw autorisatieprofiel te maken.

    

19. Geef een naam op voor het autorisatieprofiel. In dit voorbeeld wordt voorbeeldprofiel gebruikt.

    

20. Kies het tabblad Gemeenschappelijke taken en selecteer Statisch in de vervolgkeuzelijst voor de downloadbare ACL-naam. Kies het nieuwe DACL (Steekproef -DACL) uit de vervolgkeuzelijst Waarde.

    

21. Klik op Verzenden.

    

22. Zorg dat het selectievakje naast Steekproefprofiel (het nieuwe autorisatieprofiel) is ingeschakeld en klik op OK.

    

23. Nadat u hebt geverifieerd dat het nieuwe voorbeeldprofiel is geselecteerd in het veld Autorisatieprofielen, klikt u op OK.

    

24. Controleer of de nieuwe regel (regel-2) wordt gemaakt met System:UserName staat gelijk aan de voorwaarden van Cisco en aan het resultaat van het voorbeeldprofiel. Klik op Wijzigingen opslaan. Regel 2 is met succes in het leven geroepen.

    

ACS configureren voor downloadbare ACL voor groep

Voltooi stap 1 tot en met 12 van de Configure ACS voor Downloadbare ACL voor Individuele Gebruiker en voer deze stappen uit om Downloadbare ACL voor Groep in Cisco Secure ACS te configureren.

In dit voorbeeld, behoort de IPsec VPN gebruiker "cisco" tot de Steekproefgroep.

De gebruiker Cisco van de Steekgroep verifieert met succes, en de server van RADIUS verzendt een downloadbare toegangslijst naar het security apparaat. De gebruiker "cisco" heeft alleen toegang tot de 10.1.1.2 server en ontkent alle andere toegang. Raadpleeg het gedeelte Downloadbare ACL voor gebruikers/groepen om de ACL te verifiëren.

1. Klik in de navigatiebalk op Gebruikers en Identity Store > Identity Groups en klik op Create om een nieuwe groep te maken.

   

2. Geef een groepsnaam (Sample-Group) op en klik op Indienen.

   

3. Kies Gebruikersidentiteitswinkels > Interne identiteitswinkels > Gebruikers en selecteer de gebruiker cisco. Klik op Bewerken om het groepslidmaatschap van deze gebruiker te wijzigen.

   

4. Klik op Selecteren naast de identiteitsgroep.

   

5. Selecteer de nieuwe groep (voorbeeldgroep) en klik op OK.

   

6. Klik op Verzenden.

   

7. Kies Toegangsbeleid > Toegangsservices > Standaard netwerktoegang > autorisatie en klik op Maken om een nieuwe regel te maken.

   

8. Zorg dat het selectievakje naast Identity Group is ingeschakeld en klik op Select.

   

9. Kies Steekproefgroep en klik op OK.

   

10. Klik op Selecteren in het gedeelte Autorisatieprofielen.

    

11. Klik op Aanmaken om een nieuw autorisatieprofiel te maken.

    

12. Geef een naam op voor het autorisatieprofiel. Sample-Profile is de naam die in dit voorbeeld wordt gebruikt.

    

13. Kies het tabblad Gemeenschappelijke taken en selecteer Statisch in de vervolgkeuzelijst voor de downloadbare ACL-naam. Kies het nieuwe DACL (Steekproef -DACL) uit de vervolgkeuzelijst Waarde.

    

14. Klik op Verzenden.

    

15. Kies het Steekprofiel van het Vergunningsprofiel Steekproef-Profiel dat vroeger wordt gemaakt, en klik O.K.

    

16. Klik op OK.

    

17. Controleer dat regel-1 is gemaakt met de voorbeeldgroep Identity Group als voorwaarde en voorbeeldprofiel als resultaat. Klik op Wijzigingen opslaan.

    

ACS configureren voor downloadbare ACL voor een netwerkapparaatgroep

Voltooi stap 1 tot en met 12 van de Configure ACS voor Downloadbare ACL voor Individuele Gebruiker en voer deze stappen uit om Downloadbare ACL voor een Groep van het Netwerkapparaat in een Veilige ACS van Cisco te vormen.

In dit voorbeeld behoort de RADIUS-client (ASA) tot de VPN-gateways van de netwerkapparaatgroep.Het VPN-verificatieverzoek dat van ASA voor gebruiker "cisco" komt, wordt met succes geverifieerd en de RADIUS-server stuurt een downloadbare toegangslijst naar het security apparaat. De gebruiker "cisco" heeft alleen toegang tot de 10.1.1.2 server en ontkent alle andere toegang. Raadpleeg het gedeelte Downloadbare ACL voor gebruikers/groepen om de ACL te verifiëren.

1. Kies Netwerkbronnen > Netwerkapparaatgroepen > Apparaattype en klik op Maken om een nieuwe netwerkapparaatgroep te maken.

   

2. Geef een naam voor de netwerkapparaatgroep op (VPN-gateways in dit voorbeeld) en klik op Indienen.

   

3. Kies Netwerkbronnen > Netwerkapparaten en AAA-clients en selecteer de RADIUS-client die eerder is gemaakt. Klik op Bewerken om het lidmaatschap van de netwerkapparaatgroep van deze RADIUS-client (ASA) te wijzigen.

   

4. Klik op Selecteer naast het apparaattype.

   

5. Selecteer de nieuwe netwerkapparaatgroep (VPN-gateways) en klik op OK.

   

6. Klik op Verzenden.

   

7. Kies Toegangsbeleid > Toegangsservices > Standaard netwerktoegang > Autorisatie, en klik op Aanpassen.

   

8. Verplaats NDG:Apparaattype van de sectie Beschikbaar naar de sectie Geselecteerd en klik op OK.

   

9. Klik op Aanmaken om een nieuwe regel te maken.

   

10. Zorg dat het selectievakje naast NDG:Apparaattype is ingeschakeld en kies in de vervolgkeuzelijst. Klik op Selecteren.

    

11. Kies de eerder gemaakte VPN-gateways in de netwerkapparaatgroep en klik op OK.

    

12. Klik op Selecteren.

    

13. Klik op Aanmaken om een nieuw autorisatieprofiel te maken.

    

14. Geef een naam op voor het autorisatieprofiel. Sample-Profile is de naam die in dit voorbeeld wordt gebruikt.

    

15. Kies het tabblad Gemeenschappelijke taken en selecteer Statisch in de vervolgkeuzelijst voor de te downloaden ACL-naam. Kies het nieuwe DACL (Sample-DACL) uit de vervolgkeuzelijst Waarde.

    

16. Klik op Verzenden.

    

17. Selecteer Sample-Profile dat eerder gemaakt is en klik op OK.

    

18. Klik op OK.

    

19. Controleer dat regel-1 is gemaakt met VPN-gateways als NDG:Device Type als voorwaarde en Sample-Profile als resultaat. Klik op Wijzigingen opslaan.

    

IETF RADIUS-instellingen voor een gebruikersgroep configureren

U kunt als volgt een naam voor een toegangslijst downloaden die u al op het security apparaat hebt gemaakt vanaf de RADIUS-server wanneer een gebruiker een verificatie uitvoert: configureer dan het IETF RADIUS-filter-id-kenmerk (kenmerk nummer 11):

filter-id=acl_name

De Cisco Sample-Group verifieert met succes en de RADIUS-server downloadt een ACL-naam (nieuw) voor een toegangslijst die u al hebt gemaakt op het security apparaat. De gebruiker "cisco" heeft toegang tot alle apparaten die zich binnen het netwerk van de ASA bevinden, behalve de 10.1.1.2 server. Om ACL te verifiëren, zie de sectie van filter-ID ACL.

Zoals in het voorbeeld, wordt de nieuwe ACL geconfigureerd voor filtering in ASA:

access-list new extended deny ip any host 10.1.1.2
access-list new extended permit ip any any

Deze parameters verschijnen alleen wanneer deze waar zijn. U hebt ingesteld op:

• AAA-client voor gebruik van een van de RADIUS-protocollen in netwerkconfiguratie

• Een autorisatieprofiel met RADIUS (IETF) Filter-ID wordt geselecteerd onder de resultaatsectie van de regel in de Access-Service.

RADIUS-kenmerken worden als profiel voor elke gebruiker van ACS naar de verzoekende AAA-client verzonden.

Voltooi de stappen 1 tot en met 6 en 10 tot en met 12 van de Configure ACS for Downloadable ACL for Individual User, gevolgd door de stappen 1 tot en met 6 van de Configure ACS for Downloadable ACL for Group, en voer deze stappen in deze sectie uit om Filter-ID in de Cisco Secure ACS te configureren.

Voer de volgende stappen uit om instellingen voor IETF RADIUS-kenmerken te configureren zoals in het autorisatieprofiel:

1. Kies Policy Elements > Autorisatie en toegangsrechten > Netwerktoegang > Autorisatieprofielen, en klik op Maken om een nieuw autorisatieprofiel te maken.

   

2. Geef een naam op voor het autorisatieprofiel. Filter-ID is de naam van het autorisatieprofiel die in dit voorbeeld is gekozen voor eenvoud.

   

3. Klik op het tabblad Gemeenschappelijke taken en kies Statisch in de vervolgkeuzelijst voor ACL met filter-id. Voer de naam van de toegangslijst als nieuw in het veld Waarde in en klik op Indienen.

   

4. Kies Toegangsbeleid > Toegangsservices > Standaard netwerktoegang > autorisatie en klik op Maken om een nieuwe regel te maken.

   

5. Zorg dat het selectievakje naast Identity Group is ingeschakeld en klik op Select.

   

6. Kies Steekproefgroep en klik op OK.

   

7. Klik op Selecteren in het gedeelte Autorisatieprofielen.

   

8. Kies het filter-ID van het autorisatieprofiel dat eerder is gemaakt en klik op OK.

   

9. Klik op OK.

   

10. Controleer dat regel-1 is gemaakt met Identity Group Sample-Group als voorwaarde en Filter-ID als resultaat. Klik op Wijzigingen opslaan.

    

Cisco VPN-clientconfiguratie

Verbind met Cisco ASA met de Cisco VPN-client om te verifiëren dat de ASA met succes is geconfigureerd.

Voer de volgende stappen uit:

1. Kies Start > Programma's > Cisco Systems VPN-client > VPN-client.

2. Klik op Nieuw om het venster Nieuwe VPN-verbinding maken te starten.

   

3. Vul de details van uw nieuwe verbinding in:

   1. Voer de naam van de Connection Entry samen met een beschrijving in.

   2. Voer in het vak Host het buitenste IP-adres van de ASA in.

   3. Voer de naam van de VPN-tunnelgroep (Cisco-Tunnel) en het wachtwoord (vooraf gedeelde sleutel - cisco123) in zoals in de ASA is geconfigureerd.

   4. Klik op Save (Opslaan).

   

4. Klik op de verbinding die u wilt gebruiken en klik op Verbinden vanuit het hoofdvenster van de VPN-client.

   

5. Voer, wanneer hierom wordt gevraagd, de gebruikersnaam cisco en het wachtwoord cisco123 in zoals in de ASA voor verificatie is geconfigureerd, en klik op OK om verbinding te maken met het externe netwerk.

   

6. Zodra de verbinding met succes tot stand is gebracht, kiest u Statistieken in het menu Status om de details van de tunnel te verifiëren.

   

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

Crypto-opdrachten tonen

• toon crypto isakmp sa - Toont alle huidige IKE Security Associations (SA's) aan een peer.

  ciscoasa# sh crypto isakmp sa
  
  IKEv1 SAs:
  
     Active SA: 1
      Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
  Total IKE SA: 1
  
  1   IKE Peer: 172.16.1.50
      Type    : user            Role    : responder 
      Rekey   : no              State   : AM_ACTIVE 
  ciscoasa#

• toon crypto ipsec sa - Toont de instellingen die door de huidige SA's worden gebruikt.

  ciscoasa# sh crypto ipsec sa
  interface: outside
      Crypto map tag: SYSTEM_DEFAULT_CRYPTO_MAP, seq num: 65535, local addr: 
         172.16.1.1
  
        local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 172.16.1.50, username: cisco
        dynamic allocated peer ip: 10.2.2.1
  
        #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 0
        #pkts decaps: 333, #pkts decrypt: 333, #pkts verify: 333
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
        #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
        #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly:
          0
        #send errors: 0, #recv errors: 0
  
        local crypto endpt.: 172.16.1.1/0, remote crypto endpt.: 172.16.1.50/0
        path mtu 1500, ipsec overhead 74, media mtu 1500
        current outbound spi: 9A06E834
        current inbound spi : FA372121
  
      inbound esp sas:
        spi: 0xFA372121 (4197916961)
           transform: esp-aes esp-sha-hmac no compression 
           in use settings ={RA, Tunnel, }
           slot: 0, conn_id: 16384, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
           sa timing: remaining key lifetime (sec): 28678
           IV size: 16 bytes
           replay detection support: Y
           Anti replay bitmap: 
            0xFFFFFFFF 0xFFFFFFFF
      outbound esp sas:
        spi: 0x9A06E834 (2584143924)
           transform: esp-aes esp-sha-hmac no compression 
           in use settings ={RA, Tunnel, }
           slot: 0, conn_id: 16384, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
           sa timing: remaining key lifetime (sec): 28678
           IV size: 16 bytes
           replay detection support: Y
           Anti replay bitmap: 
            0x00000000 0x00000001

Downloadbare ACL voor gebruiker/groep

Controleer de downloadbare ACL voor de gebruiker Cisco. ACL’s worden gedownload van de CSACS.

ciscoasa# sh access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list OUTIN; 1 elements; name hash: 0x683c318c
access-list OUTIN line 1 extended permit icmp any any (hitcnt=1) 0x2ba5809c 
access-list #ACSACL#-IP-Sample-DACL-4f3b9117; 2 elements; name hash: 0x3c878038
   (dynamic)
access-list #ACSACL#-IP-Sample-DACL-4f3b9117 line 1 extended permit ip any host
   10.1.1.2 (hitcnt=0) 0x5e896ac3 
access-list #ACSACL#-IP-Sample-DACL-4f3b9117 line 2 extended deny ip any any 
   (hitcnt=130) 0x19b3b8f5

Filter-ID ACL

De [011] Filter-ID is toegepast op de groep - Sample-Group, en gebruikers van de groep worden gefilterd volgens de (nieuwe) ACL die in de ASA is gedefinieerd.

ciscoasa# sh access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list OUTIN; 1 elements; name hash: 0x683c318c
access-list OUTIN line 1 extended permit icmp any any (hitcnt=1) 0x2ba5809c 
access-list new; 2 elements; name hash: 0xa39433d3
access-list new line 1 extended permit ip any host 10.1.1.2 (hitcnt=4) 
   0x58a3ea12 
access-list new line 2 extended deny ip any any (hitcnt=27) 0x61f918cd

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen. De uitvoer van het voorbeelddebug wordt ook getoond.

Opmerking: Raadpleeg voor meer informatie over probleemoplossing bij externe toegang IPsec VPN de meest gebruikelijke oplossingen voor probleemoplossing bij L2L en externe toegang tot IPsec VPN.

Wis security koppelingen

Wanneer u problemen oplossen, zorg ervoor om bestaande SAs te ontruimen nadat u een verandering maakt. Gebruik in de geprivilegieerde modus van de PIX deze opdrachten:

• [crypto] ipsec sa wissen - Verwijdert de actieve IPsec SA's. Het sleutelwoord crypto is optioneel.

• clear [crypto] isakmp sa - verwijdert de actieve IKE SA's. Het sleutelwoord crypto is optioneel.

Opdrachten voor troubleshooting

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

Opmerking: raadpleeg Belangrijke informatie over debug-opdrachten voordat u debug-opdrachten gebruikt.

• debug crypto ipsec 7 - Hier worden de IPsec-onderhandelingen van fase 2 weergegeven.

• debug crypto isakmp 7 - Hier worden de ISAKMP-onderhandelingen van fase 1 weergegeven.

Gerelateerde informatie

• Ondersteuning voor Cisco ASA 5500 Series adaptieve security applicaties
• Opdrachtreferenties voor Cisco ASA 5500 Series adaptieve security applicaties
• Cisco adaptieve security apparaatbeheer
• Ondersteuning van IPsec-onderhandeling/IKE-protocollen
• Pagina voor Cisco VPN-clientondersteuning
• Cisco Secure Access Control System
• Requests for Comments (RFC’s)
• Technische ondersteuning en documentatie – Cisco Systems