本章涵盖以下主题:
关于思科安全设备的NAC架构概述
Cisco安全设备上NAC的配置步骤
Cisco NAC设备的故障排除和安全测试
类似于在第六章“在Cisco VPN 3000系列集中器上配置NAC”中讨论的Cisco VPN 3000系列集中器,思科安全设备提供了一个完整的站点对站点以及远程访问VPN隧道的解决方案。思科安全设备包括思科自适应安全设备(ASA)和思科PIX安全设备。Cisco安全设备上的NAC功能增强了IPSec隧道的安全性。本章通过提供解决方案的架构概述和逐步配置示例,重点介绍安全设备的NAC实现。
关于思科安全设备的NAC架构概述
在安全设备上的NAC实现与在Cisco VPN 3000系列集中器上的实现相同。有关安全设备上的NAC架构设计的详细信息,请参阅第6章。本节介绍了VPN 3000集中器NAC实现的一些重要变化。
NAC的无状态故障转移
安全设备支持通过设备的流量的有状态故障转移。这包括传输控制协议(TCP)、用户数据报协议(UDP)、Internet控制消息协议(ICMP)和IPSec等协议。但是,当前的NAC实现只支持无状态故障转移。这意味着NAC命令将从活动设备复制到备用设备;但是,如果备用设备变为活动的,任何活动的NAC连接都不会故障转移到备用设备。在故障转移中,被活动设备验证的所有NAC姿态都将断开连接,并且在新的活动安全设备上创建新的NAC会话。
如果使用有状态故障转移,IPSec连接将在故障转移后无缝切换。但是,远程访问VPN客户机要经过姿势验证过程。在此期间,安全设备在远程访问VPN客户机上应用NAC默认访问控制列表(ACL)(如果定义的话)。
每组NAC例外列表
与VPN 3000集中器不同,安全设备支持在用户组策略下配置的多个NAC异常列表。每个NAC异常列表都可以使用来自VPN客户机和ACL的报告操作系统设置。此列表将已配置的操作系统排除在姿势验证过程之外。Cisco VPN客户端还提供了主机正在使用的操作系统的名称,并将该字符串与NAC异常列表中的条目进行比较。
注意-安全设备通过IPSec客户端支持Cisco软件客户端和Microsoft L2TP的NAC。正在计划在未来的版本中为基于ssl的VPN隧道支持NAC。
配置步骤的NAC对思科安全设备
图7 - 1举例说明一个网络拓扑,其中Cisco ASA 5500设备正在从Cisco VPN客户端终止VPN客户端会话。该设备的公共IP地址为209.165.202.130;私有IP地址为10.10.0.2。该安全设备利用Cisco安全ACS服务器进行用户身份验证。思科安全ACS还参与客户的姿态验证并应用适当的策略。设备设置了一个来自10.10.200.0/24子网的地址池。在VPN隧道协商的模式配置阶段,Cisco ASA 5500设备从这个池分配一个IP地址给VPN客户机。
注意-要了解更多关于配置模式阶段的信息,请参阅第6章。
ASA 5500拓扑终止IPSec连接
注意-您需要在安全设备上运行7.2或更高版本才能启用NAC。
在保安设备上推行NAC可分为三个阶段:
安全设备上的VPN配置
Cisco VPN客户端上的VPN配置
安全设备上的NAC配置
注意-本章主要介绍安全设备的配置以及它们如何与Cisco VPN客户端交互。
注意-Cisco ASA和PIX使用的操作系统是一样的。因此,在两个安全设备上的NAC配置是相同的。
安全设备上的VPN配置
本节讨论安全设备上远程访问IPSec隧道的配置,这些隧道可用于接受来自Cisco VPN客户机的连接。下面的12个步骤设置了一个基本的远程访问IPSec隧道。
步骤1启用ISAKMP。
步骤2创建ISAKMP策略。
步骤3配置远程访问属性。
步骤4定义隧道类型。
步骤5配置预共享密钥。
步骤6配置用户身份验证。
步骤7分配一个IP地址。
步骤8定义IPSec策略。
步骤9建立动态密码地图。
第十步配置加密映射。
步骤11在接口上应用加密映射。
步骤12配置流量筛选。
注意-本章假设您基本熟悉security appliance命令行界面(CLI),并且您具有设置不同功能和功能的管理权限。有关安全设备的更多信息,请访问http://www.cisco.com/go/asa和http://www.cisco.com/go/pix。
步骤1:启用ISAKMP
默认情况下,ISAKMP在所有接口上都禁用。如果远程VPN设备发送一条隧道初始化消息,安全设备将删除该消息,直到在终止IPSec隧道的接口上启用ISAKMP为止。通常,它是在面向internet或外部接口上启用的,如例7-1所示。
例7 - 1在外部接口上启用ISAKMP
西斯科萨#配置终端CiscoASA(配置)#isakmp使外
步骤2:创建ISAKMP策略
的isakmp政策命令定义在VPN对等端之间交换的ISAKMP阶段1属性。示例7-2显示了一个ISAKMP策略,用于协商用于身份验证的预共享密钥,用于加密的高级加密标准256(AES-256),用于散列的安全哈希算法(SHA),用于Diffie-Hellman(DH)的组2,以及生命周期的86400秒。
例7 - 2ISAKMP策略的配置
西斯科萨#配置终端CiscoASA(配置)#isakmp策略10认证预共享CiscoASA(配置)#isakmp策略10加密aes-256CiscoASA(配置)#isakmp策略10哈希shaCiscoASA(配置)#isakmp策略10组2CiscoASA(配置)#isakmp策略10生存期86400
步骤3:配置远程访问属性
安全设备允许在三个不同的位置配置模式配置参数:
在默认的组策略
在用户组策略
ω用户政策下
安全设备实现了一个继承模型,在该模型中,用户从用户策略继承模式配置属性,用户策略从用户组策略继承其属性,用户组策略又从默认组策略继承其属性,如中所示图7 - 2). 用户ciscouser接收来自用户策略的流量过滤ACL和分配的IP地址、来自用户组策略的域名和IP压缩,以及来自默认组策略的同时登录数。
Mode-Config继承模型
你可以使用组策略属性命令指定默认和用户组策略模式配置属性。示例7-3展示了如何通过将DfltGrpPolicy设置为组策略中的组名来配置安全设备上的默认组属性。管理员将同时登录限制为3次,并为数据有效负载启用了IP压缩。
例7默认组策略的配置
CiscoASA(配置)#组策略DfltGrpPolicy属性CiscoASA (config-group-policy) #vpn-simultaneous-logins 3CiscoASA (config-group-policy) #ip补偿启用
注意-DfltGrpPolicy是一个特殊的组名,仅用于默认组策略。
通过配置组策略子菜单下的属性,用户组策略的设置与默认组策略类似。在示例7-4中,正在设置一个名为SecureMeGrp的组来发送域名securemeinc.com网站模式配置交换期间的属性。默认组策略和用户组策略之间的一个主要区别是,可以将后者定义为内部组或外部组。在内部组中,所有策略属性都在安全设备上本地定义。在外部组中,所有属性都存储在外部服务器(如RADIUS)上。在示例7-4中,SecureMeGrp被设置为一个内部组,这就是为什么在本地定义域名属性。
例7 - 4组特定的组策略的配置
CiscoASA(配置)#组策略SecureMeGrp内部CiscoASA(配置)#组策略SecureMgrp属性CiscoASA (config-group-policy) #默认域值securemeinc.com
步骤4:定义隧道类型
Cisco安全设备可以配置为两种不同的隧道类型,如示例7-5所示。
例7 - 5支持隧道类型
CiscoASA(配置)#隧道基钠基类型?站点到站点组的IPSec -ra IPSec远程访问组
在本例中,隧道组标记命名为nacl -group,隧道类型为ipsec-ra。的ipsec racommand代表IPSec远程访问隧道,在配置时,安全设备期望Cisco VPN客户端启动一个隧道,并在ISAKMP协商期间将供应商标识作为Cisco客户端发送。例7-6显示了在CiscoASA中为远程访问隧道配置的Cisco安全设备。
例7 - 6远程通道配置
CiscoASA(配置)#tunnel-group nacgroup type ipsec-ra
注意-上例中的隧道组名NAC group是需要在Cisco VPN客户端上配置的组名。
步骤5:配置ISAKMP预共享密钥
如果要使用预共享密钥作为身份验证方法,则必须配置用于验证两个VPN设备的标识的共享密钥。预共享密钥在ipsec-attributes关键字的隧道群命令,如例7-7所示。
例7预共享密钥配置
CiscoASA(配置)#隧道组NAC组ipsec属性CiscoASA (config-ipsec) #pre-shared-key cisco123cisco
在例7-7中,为na - group组配置的所有Cisco VPN客户端必须使用cisco123cisco作为预共享密钥。如果密钥不匹配,安全设备将拒绝客户端的组身份验证。
注意-预共享密钥在Cisco远程访问VPN客户端中也称为组密码。
步骤6:配置用户身份验证
隧道组必须配置为对应的身份验证服务器,位于general attributes下。的authentication-server-group子命令指定身份验证服务器。例7-8演示了如何为用户身份验证定义一个RADIUS服务器。RADIUS服务器位于内部接口上,为10.10.20.181的IP地址设置。然后将RADIUS服务器映射到NAC集团用于用户身份验证的组。
例7 - 8使用RADIUS服务器进行身份验证
CiscoASA(配置)#aaa服务器Radius(内部)主机10.10.20.181CiscoASA (config-aaa-server-host) #密钥cisco123ciscoCiscoASA (config-aaa-server-host) #出口CiscoASA(配置)#隧道组NAC组常规属性CiscoASA((config group policy)#身份验证服务器组Radius
步骤7:分配IP地址
在IPSec隧道协商的模式配置阶段,Cisco VPN客户端请求分配一个IP地址给工作站的VPN适配器。安全设备支持三种不同的方法来将IP地址分配回客户端:
本地地址池
DHCP服务器
RADIUS服务器
例7-9显示了方法中可用的地址分配方法vpn地址分配命令。
例7 - 9可用的地址分配方法
CiscoASA(配置)#vpn-addr-assign吗?允许aaa服务器指定IP地址允许dhcp服务器指定IP地址本地允许本地池指定IP地址sciscoasa (config)#vpn地址分配本地
这些选项对于满足任何部署方法都是有用的。每个地址分配选项在这里讨论:
vpn-addr-assign aaa-此选项要求从RADIUS服务器分配IP地址。对用户进行身份验证时,RADIUS服务器在RADIUS属性8(带帧的IP地址)中分配一个IP地址。这是大型VPN部署的首选方法,其中地址池在身份验证服务器上集中管理。
vpn地址分配dhcp-为了便于管理,安全设备可以在分配IP地址时联系DHCP服务器。在用户身份验证之后,安全设备向DHCP服务器发送一个请求,并在分配后将其转发给VPN客户端。
vpn地址分配本地-对于小型到中型的部署,分配IP地址的首选方法是通过本地数据库。当客户机请求一个IP地址时,安全设备检查本地池并分配下一个可用的IP地址。
例7-10显示了配置名为vpnpool的地址池并将其映射为VPN组NAC组的地址分配所需的命令。池范围从10.10.200.1开始,到10.10.200.254结束。