例7 - 11从AAA服务器分配地址
CiscoASA(配置)#aaa-server Radius协议RadiusCiscoASA (config-aaa-server-group) #出口CiscoASA(配置)#aaa-server Radius(内部)主机10.10.20.181Ciscoasa(Config-AAA-Server-Host)#关键cisco123ciscoCiscoasa(Config-AAA-Server-Host)#出口CiscoASA(配置)#vpn-addr-assign aaa
注意:如果同时配置了这三种地址分配方式,则安全设备将优先选择RADIUS over DHCP和地址池。如果Cisco安全设备无法从RADIUS服务器获取到地址,则联系DHCP服务器进行地址分配。如果该方法也失败,安全设备将检查本地地址池作为最后的手段。
步骤8:定义IPSec策略
IPSec转换集指定了当隧道开启时对数据包使用的加密和哈希方法。要配置转换集,请使用以下命令语法:
Crypto IPSec变换集变换集标签ESP-3DES |ESP-AES |ESP-AES-192 |ESP-AES-256 |ESP-DES |ESP-MD5-HMAC |ESP-NULL |ESP-无|ESP-SHA-HMAC}
注意:如果安全设备没有VPN-3DES-AES特性的license,则只支持ISAKMP策略和IPSec策略的DES加密。管理员现在可以从思科网站免费获得3DES-AES许可证。软件下载页面包括获取license的说明。
在示例7-12中,Ciscoasa中的安全设备设置为AES-256加密和SHA HASHING。变换集名称是myset。
7 - 12的例子转换集配置
CiscoASA(配置)#esp-aes-256 esp-sha-hmac
第9步:设置动态加密地图
VPN客户端经常从他们的isp获得动态IP地址。因此,不可能在组设置中静态映射IP地址。Cisco安全设备通过允许配置动态加密映射来解决这个问题。示例7-13演示了Cisco安全设备使用定义的转换集的配置。动态加密映射名称是dynmap,它的序号为10。在动态加密映射中设置转换集是必需的属性。如果没有对动态加密映射应用转换集,则动态加密映射将成为不完整的。
例7 - 13动态加密映射配置
CiscoASA(配置)#Crypto Dynamic-Map DynMap 10 Set Transform-Set MySet
步骤10:配置加密映射
动态映射与加密映射项相关联,加密映射项最终应用于终止IPSec隧道的接口。示例7-14显示了在CiscoASA安全设备上的加密映射配置。加密映射名称为IPSec_map,序列号为65535。
例7 - 14加密地图配置
CiscoASA(配置)#crypto map IPSec_map 65535 ipsec-isakmp dynamic动态映射
思科安全设备限制每个接口只能有一个加密映射。如果需要配置多个VPN隧道,请使用相同的加密映射名称,但序号不同。但是,安全设备首先评估序列号最低的VPN隧道。
步骤11:将Crypto Map应用到接口
设置远程访问隧道的下一步是将CryPTO映射绑定到接口。在示例7-15中,Crypto Map,IPSec_map应用于安全设备的外部接口。
例7 - 15将加密映射应用到外部接口
CiscoASA #配置终端CiscoASA(配置)#crypto映射IPSec_map接口
步骤12:配置流量过滤
如果您信任您的所有私有网络,包括您的所有远程VPN客户端,您可以配置安全设备,允许所有解密的IPSec报文通过它,而不需要根据配置的ACL检查它们。这是通过使用sysopt连接permit-vpn命令,如图7-16所示。
例7 - 16sysopt配置旁路流量过滤
CiscoASA(配置)#sysopt连接permit-vpn
如果安全设备上配置了NAT,但不希望改变VPN隧道流量的源IP地址,则需要配置NAT豁免规则。你必须创建一个访问列表来指定NAT引擎应该绕过哪些流量。举例7-17显示允许从10.10.0.0/16访问地址池10.10.200.0/24的VPN流量的访问列表。
7 - 17例访问列表以绕过NAT
CiscoASA(配置)#访问列表Nonat扩展许可IP 10.10.0.0 255.255.0.0
10.10.200.0 255.255.255.0
定义访问列表之后,下一步是配置nat 0命令。示例7-18演示如何配置nat 0声明如果受保护的私有LAN是朝向内部接口。
示例7日至18日配置NAT 0访问列表
CiscoASA(配置)#NAT (inside) 0 access-list nonat
Cisco VPN Client上的VPN配置
VPN客户端与第6章“Cisco VPN客户端上的VPN配置”中讨论的过程相同。有关VPN客户端的配置帮助,请参阅第6章。
Cisco安全设备上的NAC配置
本节讨论安全设备上与nac相关的参数的配置。这些参数在VPN隧道建立后应用。在安全设备上配置NAC需要完成以下四个步骤:
步骤1设置NAC全局参数。
步骤2配置NAC身份验证。
步骤3对用户组启用NAC功能。
第四步配置NAC例外列表。
本节讨论这些配置步骤。
步骤1:设置NAC全局参数
在安全设备上设置NAC的第一步是确保正确配置了全局NAC参数。您可以通过使用示例7-19中所示,从全局配置模式修改这些参数的默认值,如图7-19所示eou命令。
例子7-19全局配置模式下可用的EOU参数
CiscoASA(配置)#eou吗?配置模式命令/选项:allow启用/禁用无客户端认证clientless客户端主机配置max-retry设置EAP over UDP报文的最大重传次数port设置EAP over UDP端口号timeout设置EAP over UDP超时时间
例7-20中,修改了NAC EAP over UDP (EOU)参数的部分默认值。重传定时器由3秒修改为5秒。当安全设备向VPN客户端发送EOU报文时,需要等待5秒再重新发送请求。这样,使用拨号连接连接Internet的VPN客户端可以在合理的时间内回复安全设备。如果没有收到响应,安全设备将发送另一个请求并启动重传计时器。安全设备发送EAPoUDP报文三次(eou max-retry 3)在失败通信并启动HOLD计时器之前。保持时间为180秒,确保不将EAPOUDP请求发送到VPN客户端180秒(3分钟)。一旦这个定时器到期,安全设备就会与VPN客户端发起EAPOUDP通信,并通过第6章“Cisco VPN 3000集中器的NAC架构概述”第6章中讨论的进程。EAPOUDP通信在UDP端口21862上完成。如果您的网络中存在端口冲突,则建议您不要更改此端口。
例子7-20修改EOU参数
CiscoASA(配置)#eou max-retry 3csccoasa (config)# eou timeout retransmit 5csccoasa (config)# eou timeout hold-period 180
对于无agent主机,可以启用无客户端认证,并指定用户名和密码。将用户认证证书发送到RADIUS服务器进行相应的处理,如应用相应的acl或请求审计服务器扫描主机等。例7-21中创建的无客户端用户名为clientless,密码为cisco123cisco。建议不要让非客户机器(如客户主机和承包商的电脑)访问公司的可信网络。因此,对于未安装CTA代理的VPN客户端,RADIUS服务器可以发送可下载的ACL应用于VPN客户端。
例子7-21eou无客户身份验证
CiscoASA(配置)#eou允许clientlessCiscoasa(Config)#eou无客户端用户名clientressciscoasa(config)#eou无客户端密码cisco123cisco
如果没有启用无客户端身份验证,安全设备将应用默认ACL,这在步骤3中讨论。VPN客户端的流量受此ACL的约束,ACL中有permit和deny两个表项。活动的VPN客户端定期受到挑战,以确定是否可以根据保持计时器的配置值在客户端机器上进行姿势验证。
此外,您可以使用自适应安全设备管理器(ASDM)来管理安全设备。ASDM提供了一种易于导航的图形界面来设置和监控思科安全设备提供的不同功能。您可以配置NAC全局参数配置>VPN>南汽,如图所示图7-3.
ASDM中的NAC全局参数
步骤2:配置NAC认证
对于NAC姿势验证,必须在隧道组下定义RADIUS服务器。RADIUS服务器仅适用于远程访问隧道组:IPSec和IPSec的L2TP。如果您没有为NAC姿势验证过程定义至少一个RADIUS服务器,则会话不会被认证。通过使用RADIUS服务器映射到隧道组nac-authentication-server-group命令后跟服务器标记名。例7-22中,RADIUS服务器映射给NAC-Group隧道组为RADIUS。
例子7-22使用RADIUS进行NAC认证
CiscoASA(配置)#隧道集团NAC集团普通属性Ciscoasa(Config-Tunnel-General)#NAC-Authentication-Server-Group Radius
在ASDM中,可以通过导航到编辑隧道组窗口的“身份验证”选项卡下配置NAC身份验证配置>VPN>一般>隧道集团,如图所示图7-4.
ASDM中的NAC认证
第3步:在用户组策略上启用NAC
VPN隧道建立后,安全设备会启动姿势验证过程。在此过程中,对用户使用缺省ACL进行流量限制。当客户端与ACS服务器之间的EAPoUDP通信失败时,安全设备也会使用该缺省ACL。此缺省ACL的目的是确保远程用户在姿势完全验证之前不会发送不必要的流量。您希望这个ACL尽可能地具有限制性。因此,建议配置正确的入方向和出方向的ace (access-control entries),使必要的报文通过,并拒绝其他流量通过安全设备。如例7-23所示,定义了ACL,允许远程访问用户与ACS服务器和DNS服务器通信,ACS服务器和DNS服务器通信。所有其他通信都被ACL隐式拒绝丢弃。该ACL通过配置映射到用户组策略下的NAC进程nac-default-acl命令。用户组策略名称为securegrp。
示例7日NAC的缺省ACL
CiscoASA(配置)#访问列表NAC默认允许IP主机10.10.20.181 10.10.200.0 255.255.255.0# access-list NAC-default permit udp any eq 53 10.10.200.0 255.255.255.0 # access-list NAC-default permit udp 10.10.200.0 255.255.255.0参数参数说明. attributesCiscoASA(config-group-policy)# NAC-default -acl value NAC-default . properties (config-group-policy
注意:NAC缺省ACL应该允许VPN客户端访问DNS服务器,反之亦然。
安全设备在成功完成VPN客户端的姿态验证后,支持两个定时器。这两个定时器都在user group-policy下配置,如例7-24所示:
状态查询计时器-该定时器用于保证安全设备定期检查VPN客户端的姿态状态,以防止与上次状态发生变化。缺省状态查询定时器为300秒。例7-24中,状态查询定时器被修改为600秒,建议在并发会话较多的情况下使用。如果该值设置过低,安全设备将使用大量系统资源向远程访问VPN客户端发送状态查询。
重新生效时间-this timer在远程访问VPN客户端上启动完整的姿态验证过程。默认定时器设置为36,000秒(10小时)。如果您的组织要求您更频繁地重新验证VPN客户端,您可以将此定时器降低到18,000秒(5小时)。当新的防病毒补丁在服务器上不断更新,并且希望VPN客户端通过新的姿势验证过程,我们希望VPN客户端更新它们。
例子7-24状态查询和重新验证定时器
CiscoASA(配置)#组策略SecureMeGrp属性cisco - asa (config-group-policy)# nac-sq-period 600,18000
所有参数设置完成后,最后一步是在用户组策略上启用NAC功能。示例7-25显示了名为securegrp的用户组策略。
例子7-25在用户组策略上启用NAC功能
CiscoASA(配置)#组策略SecureMeGrp属性Ciscoasa(Config-Group-Policy)#NAC启用
注意:控件可以重新验证所有活动的NAC会话eou重新验证所有命令。要重新验证特定的主机,可以使用埃何重演IP.命令,后跟需要重新验证的主机IP地址。
在ASDM中配置这些参数,导航到配置> VPN>常规>组策略并单击南汽选项卡,如图所示图7-5.
NAC ASDM用户组策略参数配置
步骤4:配置NAC例外列表
许多操作系统支持Cisco VPN客户端,包括Solaris、Mac OS X、Windows和Linux。Cisco CTA目前仅支持Windows、Linux和Mac OS X操作系统。在隧道协商过程中,VPN客户端会上报其版本信息,如Windows 2000、Windows XP、Mac OS X等。可以根据上报的VPN客户端版本,指定例外列表。此列表排除了经过姿势验证过程的配置操作系统。IPSec隧道协商成功后,处于例外列表中的VPN客户端可以通过ACL约束其在网络中的活动。例如,如果您只希望基于solaris的VPN客户端访问内部大型机系统,那么例外列表ACL应该只允许ACL中指向大型机服务器的流量,并且应该拒绝所有其他流量。
例7-26中,正在建立一个名为Solaris-ACL的ACL。这个ACL将允许所有双向流量通过
它来自主机服务器,IP地址为10.10.50.100。
它的目的地是Solaris VPN客户端。因此,指定目的地址为10.10.200.0,子网掩码为255.255.255.0的VPN客户端池。
例子7-26NAC例外列表的ACL
CiscoASA(配置)#访问列表Solaris-ACL扩展许可IP主机10.10.50.100 10.10.200.0 255.255.255.0cisco (config)# access-list Solaris-ACL extended permit ip 10.10.200.0
255.255.255.0主机10.10.50.100.
在配置了入方向和出方向的表项后,下一步是在全局或特定组上应用该ACL。这是通过使用vpn-nac-exempt命令加上操作系统名称和ACL名称进行流量过滤。例7-27中Solaris- acl映射到Solaris操作系统的securegrp用户组-policy。
例子7-27南汽例外列表
CiscoASA (config-group-policy) #组策略SecureMeGrp属性CiscoASA(config-group-policy)# vpn-nac-exempt os Solaris filter Solaris- acl
如果您想要在全局定义NAC异常策略,请指定vpn-nac-exempt命令,在默认组策略DfltGrpPolicy下执行。
要在ASDM中定义或管理异常列表,导航到配置> VPN>常规>组策略并选择南汽选项卡,如图所示图7-6.在“姿势验证异常列表”下,单击添加并指定操作系统和NAC异常ACL。
ASDM中的NAC例外列表
Cisco安全设备上的NAC测试、监控和故障排除
本节讨论了不同的测试场景,可用于在安全设备上实现NAC解决方案。每个测试场景都有助于收集有关连接的统计信息。这些方案还讨论了有助于排除任何IPsec或NAC部署的相关调试。讨论了以下测试场景:
不使用NAC的远程接入IPSec隧道
从无代理客户端远程访问IPSec隧道
通过CTA客户端远程访问IPSec隧道
无NAC的远程接入IPSec隧道
如果您在将在VPN客户端上验证姿势的安全设备上设置新组,请遵循前两个配置阶段,在“思科安全设备上NAC的NAC配置步骤”部分中讨论。下一步是从测试VPN客户端计算机中制作VPN隧道,以确保您不会进入任何错误配置。如果IPsec隧道因某种原因而无法工作,请确保打开正确的调试。以下是要查看的两个最重要的调试:
调试加密isakmp(调试级)调试加密IPsec.(调试级)
默认情况下,调试级别设置为1。您可以将级别提高到255以获取详细的日志。但是,在大多数情况下,将此级别设置为127可以提供足够的信息来确定问题的根本原因。
例7-28中调试加密isakmp 127和调试加密IPsec 127命令已启用。
例子7-28启用加密调试
CiscoASA #调试加密isakmp 127CiscoASA #调试加密IPsec 127
隧道谈判以交换ISAKMP建议开始。如果打开ISAKMP调试开关,安全设备会显示VPN客户端试图连接的隧道组- nac - group。如果安全提议被接受,则调试信息会显示IKE SA安全提议被接受的信息,如例7-29所示。同时显示选中的IKE SA提议号和VPN客户端的公网IP地址209.165.202.159。
第七至第二十九页示例调试以显示ISAKMP提案的输出是可接受的
3月22日19:31:50 [ikev1]:IP = 209.165.202.159,连接在Tunnel_Group Nac-Groupmar 22 19:31:50 [Ikev1 Debug]:Group = NAC组,IP = 209.165.202.159,加工IKE SAPayloadMar 22 19:31:50 [ikev1 debug]:group = nac-group,ip = 209.165.202.159,ike sa
Proposal # 1, Transform # 10可接受匹配全局IKE表项# 1
如果该提议被接受,则VPN设备将尝试发现是否支持NAT-T,以及两者之间是否存在地址转换设备。如果没有协商NAT- traversal (NAT- t)或者没有检测到NAT/PAT设备,则ISAKMP调试信息会显示“Remote end is not behind a NAT device”。This end is NOT behind a NAT device”,如例7-30所示。
例7-30.调试显示NAT-T发现过程
(IKEv1调试):组= NAC-Group、IP = 209.165.202.159处理NAT-Discovery载荷(IKEv1调试):组= NAC-Group IP = 209.165.202.159计算NAT发现散列(IKEv1调试):组= NAC-Group IP = 209.165.202.159处理NAT-Discovery载荷(IKEv1):组= NAC-Group IP = 209.165.202.159自动NAT检测状态:
远端不在NAT设备后面。此端不在NAT设备后面
在NAT-T协商之后,Cisco Security设备会提示用户指定用户凭据。在用户身份验证成功后,ISAKMP调试显示指示用户(在此示例中的Casisher)的消息,如示例7-31所示。
例7-31调试输出显示用户已被认证
[ikev1]:group = nac-group,username = ciscouser,ip = 209.165.202.159,用户(casisherer)认证。,[ikev1 debug]:group = nac-group,Username = Ciscouser,IP = 209.165.202.159,构建空白哈希[ikev1 debug]:group = nac-group,username = ciscouser,ip = 209.165.202.159,构建qm哈希
客户端通过发送客户端支持的属性列表来请求模式 - 配置属性,如示例7-32所示。安全设备回复了所有支持的属性和相应的信息。
例7-32调试输出显示模式 - 配置请求
[IKEv1 DEBUG]Processing cfg请求属性,[IKEv1 DEBUG]MODE_CFG: Received Request for IPV4 address!,[IKEv1 DEBUG]MODE_CFG:收到IPV4网络掩码请求!,[IKEv1 DEBUG]MODE_CFG: Received request for DNS server address!,[IKEv1 DEBUG]MODE_CFG: Received request for WINS server address!,
下推属性后,安全设备提示ISAKMP SA协商成功,如例7-33所示。
例7-33.调试产出显示第一阶段谈判已完成
[IKEV1]:Group = NAC-GROUP,USERNAME = CISCOURER,IP = 209.165.202.159阶段1完成
完成阶段1的协商后,VPN客户端和安全设备通过交换代理身份和IPSec第2阶段提案来尝试协商阶段2A。远程主机是分配给VPN客户端的安全设备的IP地址。如果代理身份是可接受的,则ISAKMP调试显示一条消息,指示IPSec SA提议是可接受的,如实施例7-34所示。
例7-34.调试销量显示代理身份和第2阶段提案被接受
[IKEv1 DEBUG]: Group = NAC-Group, Username = ciscouser, IP = 209.165.202.159,
IPSec SA提案#12,转换#1可接受的匹配全局IPSec SA条目#10,[IKEv1 Debug]:Group = NAC组,Username = Ciscouser,IP = 209.165.202.159,传输代理ID:远程主机:10.10.200.1协议0端口0本地子网:0.0.0.0面具0.0.0.0协议0端口0
在接受变换集值之后,两个VPN设备都同意入站和出站IPSec SAS,如示例7-35所示。创建了IPSec SA后,VPN设备都应该能够通过隧道双向双向传输流量。
例7-35.调试显示IPSec sa已激活
ikev1 debug]:group = nac-group,Username = Ciscouser,IP = 209.165.202.159,加载所有IPsec SAS [IKEV1]:Group = NAC-GROUP,USERNAME = Ciscouser,IP = 209.165.202.159
安全谈判为用户(Casishouter)响应者完成,
Inbound SPI = 0x00c6bc19, Outbound SPI = 0xa472f8c1,[IKEv1]: Group = NAC-Group, Username = ciscouser, IP = 209.165.202.159
为客户端地址添加静态路由:10.10.200.1,[IKEv1]: Group = NAC-Group, Username = ciscouser, IP = 209.165.202.159, PHASE 2 COMPLETED (msgid=8732f056)
通过无代理客户端远程访问IPSec隧道
在成功测试VPN隧道后,下一步是在安全设备上配置NAC,然后在不安装CTA代理的情况下从相同的测试VPN客户端连接。这会模拟无代理VPN客户端方案。安全设备使您可以设置NAC日志记录和/或NAC调试。NAC日志记录使您可以捕获EAPOUDP,EAP和NAC事件,例如EAP状态查询,姿态验证初始化和重新验证,异常列表匹配,ACS事务,无客户端认证和默认ACL应用程序。
如果您想收集详细的NAC特定事件,如EAP头和包内容的十六进制转储,EAPoUDP头和包内容,EAPoUDP会话状态变化和定时器事件,NAC调试是有用的。
举例7-36说明如何在安全设备上开启NAC登录功能。一个称为NAC的事件列表被定义为记录NAC、eapoudp和eap类。日志级别设置为调试级别。NAC日志发送到安全设备的内部缓冲区。
例7-36.在安全设备上启用NAC登录
CiscoASA(配置)#记录使能# loglist NAC level debugging class eapoudpCiscoASA(config)# loglist NAC level debugging class eapoudpCiscoASA(config)# loglist NAC level debugging class eapCiscoASA(config)# loglist NAC level debugging class eapCiscoASA(config
注意:最佳实践是将日志消息发送到外部syslog服务器,以便进行取证和后续分析。
打开NAC日志功能后,通过VPN客户端建立IPSec会话,VPN客户端为无客户端。如例7-37所示,IKE阶段2协商完成后,安全设备启动10.10.200.1的NAC进程。在VPN用户会话中使用缺省的ACL default - filter,直到确定正确的姿势为止。
此测试场景假定您未在VPN客户端上运行CTA应用程序。因此,安全设备无法接收来自主机的响应。安全设备超出请求,并向无客户端向RADIUS服务器发送身份验证请求。如果RADIUS服务器对此用户进行身份验证,则会将可下载的ACL ACSACL#--ip-clientress_acl-4470a5d3发送到安全设备。基于访问控制条目,用户在网络上获取有限。
例7-37无客户端座席的NAC日志
CiscoASA(配置)#显示日志<一些输出删除>%ASA-6-335001:NAC会话初始化 - 10.10.200.1。%ASA-5-335003:NAC默认ACL应用,ACL:NAC默认值 - 10.10.200.1。%ASA-6-334001:EAPOUDP协会启动 - 10.10.200.1。%ASA-5-334006:EAPOUDP未能获得来自主机的响应 - 10.10.200.1。%ASA-6-334004:NAC无客户端主机的身份验证请求 - 10.10.200.1。%ASA-6-335006:NAC应用ACL:#acsacl#-ip-clientress_acl-4470a5d3 - 10.10.200.1。
或者,您可以启用适当的调试以解决与NAC相关的问题。示例7-38显示了NAC故障排除的安全设备上的推荐调试。
例7-38在安全设备上启用NAC登录
CiscoASA #调试NAC AUTH.CiscoASA #调试nac错误CiscoASA #调试nac事件CiscoASA #调试eou eap.CiscoASA #调试eou错误CiscoASA #调试eou事件