如示例7-39所示,当它启动NAC会话时,安全设备会应用NAC默认ACL。它试图确定CTA是否在VPN客户端上处于活动状态。EAPOUDP查询超时和安全设备为VPN客户端发起无客户端身份验证。如果客户端身份验证成功,则RADIUS服务器发送访问接受消息。
例7-39.为无客户端主机启用NAC调试
NAC默认ACL NAC默认应用 - 10.10.200.1APOUDP关联发起 - 10.10.200.1APOUDP响应计时器到期 - 10.10.200.1APOUDP响应计时器到期 - 10.10.200.1APOUDP响应计时器到期 - 10.10.200.1APOUDP无法获得响应Host - 10.10.200.1NAC无客户端访问请求成功 - 10.10.200.1APOUDP认证请求NAC无客户端主机 - 10.10.200.1NAC无客户端访问接受 - 10.10.200.1
来自CTA客户端的远程访问IPSec隧道
如果“来自无代理客户端”的“远程访问IPSec隧道”测试方案成功,则下一个测试用例是在VPN客户端上安装CTA应用程序,并通过安全设备上的姿态验证过程。建立IPSec SAS后,安全设备启动了EAPOUDP进程。如果从VPN客户端接收到EAPOUDP响应,则安全设备知道VPN客户端正在主动运行CTA服务。
如果启用示例7-37中建议的调试,则安全设备会生成特定于NAC的消息。如示例7-40中所示,安全设备发起了EAPOUDP关联。它从VPN客户端收到响应并启动姿势验证过程。CTA将客户端计算机-scureme:adminsitrator的主机名和用户名转发,在此示例 - 通过EAP中。安全设备从RADIUS服务器接收系统姿势令牌,并将其分配给主机。
例7-40NAC用于启用CTA的VPN客户端的调试
NAC默认ACL NAC默认应用 - 10.10.200.1APOUDP协会发起 - 10.10.200.1APOUDP-HELLO响应从主机收到 - 10.10.200.1NAC EAP协会发起 - 10.10.200.1,EAP上下文:0x0463C490NAC EAP Access接受 - 10.10.200.1NACEAP Access Accept - 10.10.200.1,用户:Secureme:Accessatornac EAP Access接受 - 10.10.200.1,REVAL期间:36000秒内接入接受 - 10.10.200.1,姿态令牌:HealtalNAC Access接受 - 10.10.200.1,状态查询期:300秒PV完成 - 10.10.200.1,姿势:HealthyAudP协会成功成立 - 10.10.200.1
成功地测试客户端姿势后,您已准备好在VPN环境中开始部署NAC。CTA软件可以分发到VPN客户端计算机,以便可以根据其机器状态分配正确的姿势。
监测NAC会议
你可以使用几个表演命令要监控和报告NAC会话状态。这显示VPN-SessionDB Remote命令是最常用的,因为它显示了IPsec以及所有VPN客户端的NAC统计信息。如示例7-41所示,会话类型对于远程访问隧道来远程,并且VPN用户名是CISCOURER。分配的IP地址为10.10.200.1,公共IP地址为209.165.202.159。安全设备传输了15,790个字节,并已收到6,179个字节。NAC结果由RADIUS服务器接受,并将健康的系统姿势令牌分配给该用户。RADIUS服务器分配了一个名为IP-NAC_Healthy_acl-43c0876e的可下载ACL。
例7-41Show VPN-SessionDB Remote的输出
Ciscoasa#显示VPN-SessionDB Remote会话类型:RementUserName:CiscouneDex:1分配器IP:10.10.200.1 Public IP:209.165.202.159 Protocol-grouplogin时间:03:23:16 UTC 2006Duration:0H:28M:13SFilter名称:#Acsacl#-IP-NAC_Healthy_acl-43C0876ENAC结果:AcceptedPosture令牌:健康
您还可以使用ASDM监视安全设备上的IPSec和Nac会话。导航监控> VPN> VPN统计信息>会话检查分配给用户的NAC结果和系统姿势令牌,如图所示图7-7。
ASDM中的IPSec和NAC监控
如果您宁愿获取有关特定EAPOUDP会话的详细信息,则可以使用显示VPN-SessionDB详细索引命令后跟索引号,查看您感兴趣的主机的详细连接。示例7-42显示输出显示VPN-SessionDB详细索引1获取有关Casisherer的详细连接信息。索引号是分配给用户的本地ID。使用此命令,安全设备可以提供有关EAPOUDP定时器的信息。安全设备指示在34,567秒后,它将启动此主机的EAPOUDP Revalidation。它还显示为该主机关联的健康系统姿势令牌。
例7-42显示特定主机的EOU会话详细信息
Ciscoasa#显示VPN-SessionDB详细索引1会话类型:远程详细信息:CiscouseRindex:1 <输出删除> NAC:Reval Int(T):18000秒左左(T):17900秒SQ int(t):600秒eou年龄(t):剩下100秒左右(T):0秒姿势令牌:健康重定向URL:
使用ASDM,您可以通过导航来查看类似的NAC会话计时器监控> VPN> VPN统计信息>会话并选择这一点细节图标。图7-8说明了这一点。
NAC在ASDM中的会话计时器
您可以使用“通过使用”安全设备“上的所有VPN和NAC会话的摘要显示VPN-SessionDB摘要命令。如示例7-43所示,它显示有效的IPSec远程访问会话。此会话是一个主动接受的NAC会话。此外,安全设备显示累积NAC接受和拒绝会话。如果要确定RADIUS服务器是否已成功为VPN客户端分配适当的姿态令牌,则此命令很有用。
例7-43.显示活动VPN和NAC会话
Ciscoasa#显示VPN-SessionDB摘要活动会话:会话信息:IPSec LAN-to-LAN:0峰值并发:1 IPSec远程访问:1 IPSec限制:750 WebVPN:0 WebVPN限制:2 SSL VPN客户端(SVC):0累计会话:8电子邮件代理:0总活动会话:1%,会话负载:0%VPN LB管理会议:0Active NAC会话:累积NAC会话:接受:1修:14拒绝:0拒绝:1豁免:0豁免:0无响应:0无响应:14封闭:0保持:1 N / A:0 N / A:0
概括
Cisco安全设备的NAC实现提供了一个完整的解决方案来检查VPN客户端的姿势状态。如果无法验证姿势,则安全设备将适当的ACL应用于过滤流量。本章在启用NAC时讨论了安全设备中的数据包流,然后提供了详细的配置步骤。本章提供了有关如何监视远程访问VPN隧道的指导。出于故障排除目的,本章讨论了各种调试和日志消息,以帮助您隔离与远程访问隧道和NAC相关的问题。
检视问题
您可以在附录A中找到审查问题的答案,“审查问题的答案”。
安全设备上的Revalidation计时器的默认值是________。
1,800秒
18,000秒
180,000秒
以上都不是
可以在以下哪个位置设置NAC异常策略?(多答案)
默认组策略
用户组策略
用户策略
隧道政策
TRUE或FALSE:如果没有报告任何软件版本信息,则将VPN隧道视为无客户端。
true或false:NAC异常策略在隧道组子配置模式下配置。
TRUE或FALSE:NAC会话的数据库无法定期复制到备用设备。
Mode-Config属性在_________中配置。
用户政策
默认用户组
用户组 - 策略
上述所有的
true或false:在隧道组下指定RADIUS服务器是强制性步骤。
TRUE或FALSE:如果VPN客户端未响应EAPOUDP请求数据包,则拆除IPSec隧道。
TRUE或FALSE:NAC豁免列表必须按本集团应用。
TRUE或FALSE:无客户端身份验证用于未安装CTA的计算机。
版权所有©2007 Pearson教育。版权所有。