Segurança : Dispositivo Cisco NAC (Clean Access)

Gateway virtual da Em-faixa da ferramenta NAC (acesso limpo de Cisco) para o exemplo de configuração do acesso remoto VPN

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento contém um guia passo a passo sobre a configuração do dispositivo do Cisco Network Admission Control (NAC) (anteriormente o Cisco Clean Access) para VPN de acesso remoto em modo de gateway virtual in-band. O Cisco NAC Appliance é um produto NAC facilmente implementado que usa a infraestrutura de rede para reforçar a conformidade da política de segurança em todos os dispositivos que buscam acessar recursos de computação da rede. Com o NAC Appliance, os administradores de rede podem autenticar, autorizar, avaliar e remediar usuários e suas máquinas com fio, sem fio e remotos antes do acesso à rede. Identifica se os dispositivos em rede, tais como laptops, telefones IP ou consoles de jogo estão em conformidade com as políticas de segurança da rede e repara todas as vulnerabilidades antes que o acesso à rede esteja permitido.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 4.0.3 limpa do acesso de Cisco

  • Versão 7.2 adaptável da ferramenta de segurança de Cisco (ASA)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

nac-inband-remote-vpn-1.gif

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração da ferramenta NAC (acesso limpo de Cisco)

Termine estas etapas a fim configurar a ferramenta NAC (acesso limpo de Cisco).

  1. Entre ao Access Manager limpo (CAM) que usa a conta administrativa.

  2. Escolha o Gerenciamento de dispositivos > os server CCA e vá à aba nova do server a fim adicionar o servidor de acesso limpo de Cisco (CAS) a Cisco CAM.

    Neste exemplo, o endereço IP de Um ou Mais Servidores Cisco ICM NT de CAS é 10.10.20.162. Incorpore a localização do servidor para finalidades da referência. Neste exemplo, CAS é ficado situado atrás de Cisco ASA que é configurado para o acesso remoto VPN. A informação de localização do servidor é Acesso remoto CAS VPN. Selecione o gateway virtual para o tipo de servidor.

    CAS configurado como um gateway virtual atua como uma ponte para a rede gerenciada. A configuração de gateway virtual é boa quando os clientes controlados compartilham de uma sub-rede com os clientes confiados e você não quer alterar o gateway ou a arquitetura existente. Não há nenhuma necessidade de definir rotas estáticas em alguns dos dispositivos de roteamento.

    nac-inband-remote-vpn-2.gif

  3. CAS aparece sob a lista de server. Certifique-se de que o estado lê conectado. Clique sobre Manage a fim alcançar a Configuração do CAS.

    Dica de Troubleshooting: Se o CAM não importa CAS, certifique-se de que a Conectividade não é uma edição. Você pode tentar sibilar CAS do CAM CLI quando você entra como a raiz. Você pode igualmente tentar uma conexão de SSH do CAM a CAS. Certifique-se de que você fez a configuração inicial em CAS. Você pode usar o comando config do perfigo do serviço a fim inicializar CAS através de seu CLI.

    nac-inband-remote-vpn-3.gif

  4. Vá à aba da rede.

    CAS é configurado tipicamente tais que a interface não confiável está conectada a uma porta de tronco com o em tronco dos vlan múltiplos à porta. Em tal situação, o VLAN de gerenciamento ID é o ID de VLAN do VLAN a que o endereço IP de Um ou Mais Servidores Cisco ICM NT de CAS pertence.

  5. A verificação permite o apoio da camada 3 a fim permitir que os usuários sejam mais de um salto longe de CAS. Desde que este caso é uma configuração de VPN, você precisa de permitir esta opção.

    nac-inband-remote-vpn-4.gif

  6. Sob o mapeamento do clique VLAN do guia avançada do server CCA e incorpore a informação de VLAN a fim traçar VLAN10 (não-confiável) com o VLAN20 (confiado).

    nac-inband-remote-vpn-5.gif

  7. Crie um filtro para Cisco ASA para poder comunicar-se com a rede protegida atrás de CAS. Escolha o Gerenciamento de dispositivos > os filtros > os dispositivos > novo e adicionar o MAC address e o endereço IP de Um ou Mais Servidores Cisco ICM NT de Cisco ASA (00:15:C6:FA:39:F7/10.10.20.100 neste exemplo).

    nac-inband-remote-vpn-6.gif

  8. O CAM em cada CAS adiciona automaticamente dispositivos à lista de dispositivos certificada depois que o usuário autentica e à exploração da rede das passagens de dispositivo sem as vulnerabilidades encontradas e/ou cumpre exigências limpas do agente do acesso. Os dispositivos certificados são considerados limpos até removido da lista. Você pode remover os dispositivos em um tempo especificado ou em um intervalo da lista de dispositivos certificada a fim forçá-los para repetir a exploração da rede/verificação do agente.

    Note que os dispositivos para usuários limpos do agente do acesso estão feitos a varredura sempre para exigências em cada início de uma sessão. Um dispositivo de flutuação exige a certificação limpa do acesso em cada início de uma sessão e é certificado somente para a duração de uma sessão do usuário. Os dispositivos de flutuação são adicionados sempre manualmente.

    Neste caso CAS executa a postura de segurança para clientes VPN terminada em Cisco ASA. Cisco ASA precisa de comunicar-se com os dispositivos tais como o server do Cisco Secure ACS no lado confiado. Recomenda-se adicionar o ASA como um dispositivo de flutuação. Clique sobre o acesso limpo sob o Gerenciamento de dispositivos e escolha o Dispositivos > Adicionar certificado que flutua o dispositivo. Incorpore o MAC address do ASA (00:15:C6:FA:39:F7 neste exemplo). Ajuste o tipo a 1 para isentar nunca o ASA da lista da certificação e para incorporar uma descrição.

    nac-inband-remote-vpn-7.gif

  9. Neste exemplo, você cria dois papéis diferentes (vendas e engenharia). Escolha o gerenciamento de usuário > os papéis de usuário e clique o papel novo a fim criar um papel novo. Incorpore o nome do papel e uma descrição. Neste exemplo, o nome do papel é vendas com sua descrição respectiva. O clique cria o papel.

    nac-inband-remote-vpn-8.gif

  10. Repita a etapa 9 e crie o papel da engenharia. Indicadores deste indicador quando você for feito.

    nac-inband-remote-vpn-9.gif

  11. Escolha o gerenciamento de usuário > os papéis de usuário e vá à aba do controle de tráfego a fim configurar as políticas usadas por cada papel de usuário. Sob o papel desejado clique sobre a política Add.

    nac-inband-remote-vpn-10.gif

    Este indicador mostra que a política para os usuários das vendas está configurada. Os usuários das vendas devem somente ter o acesso à sub-rede 10.1.1.0/24. Todo o tráfego TCP à sub-rede das VENDAS é permitido neste exemplo.

    nac-inband-remote-vpn-11.gif

    Este indicador mostra todas as políticas configuradas para cada papel de usuário. Etapa 11 foi repetida para permitir o UDP e o tráfego TCP para as vendas e os usuários da engenharia a seus sub-rede respectiva. O ICMP é permitido igualmente ambos os grupos. Os usuários Quarantined têm somente o acesso a um server da remediação com o IP 172.18.85.123 sobre o TCP.

    nac-inband-remote-vpn-12.gif

  12. Escolha o Gerenciamento de dispositivos > acesso limpo, vá à aba geral da instalação, e clique o início de uma sessão do agente.

    Para cada papel, a verificação exige o uso do agente limpo do acesso. Exigindo o uso do agente limpo do acesso é configurado pelo papel de usuário e o sistema operacional. Quando o agente é exigido para um papel, os usuários nesse papel estão enviados à página limpa da transferência do agente do acesso após ter autenticado o início de uma sessão pela primeira vez de utilização da Web. O usuário é alertado então transferir e executar o arquivo da instalação de agente. Na extremidade da instalação, o usuário é alertado registrar na rede usando o agente.

    nac-inband-remote-vpn-13.gif

  13. A ferramenta NAC (acesso limpo de Cisco) fornece a integração os Cisco VPN concentratores e Cisco ASA (neste exemplo). O acesso limpo de Cisco pode permitir único Sinal-na capacidade (SSO) para usuários VPN. Esta funcionalidade é conseguida com o uso da contabilidade do RAIO. CAS pode adquirir o endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente dos atributos RADIUS de Framed_IP_address ou de Calling_Station_ID para finalidades SSO. Os usuários VPN não precisam de entrar ao navegador da Web ou ao agente limpo do acesso porque a informação de contabilidade do RAIO enviada ao CAS/CAM pelo concentrador VPN fornece o usuário - identificação e endereço IP de Um ou Mais Servidores Cisco ICM NT dos usuários que registram no concentrador VPN (mensagem do começo da contabilidade do RAIO). A fim fazer isto, você precisa de adicionar o dispositivo de Cisco VPN (Cisco ASA neste exemplo) como um Authentication Server.

    1. Escolha o gerenciamento de usuário > os servidores de autenticação > server novo.

    2. Escolha o servidor de VPN de Cisco do menu suspenso.

    3. Escolha o papel de usuário atribuído aos usuários autenticados pelo Cisco VPN concentrator.

      O papel não autenticado é selecionado neste exemplo. Este papel do padrão está usado se não cancelado por uma atribuição do papel baseada no MAC address ou no endereço IP de Um ou Mais Servidores Cisco ICM NT, ou se as regras do mapeamento do RAIO não conduzem a uma compatibilidade bem sucedida.

    4. Incorpore uma descrição opcional de Cisco ASA para a referência e o clique adiciona o server.

      nac-inband-remote-vpn-14.gif

  14. Escolha o gerenciamento de usuário > os servidores de autenticação > server novo e RAIO seleto do menu suspenso a fim adicionar o server do Cisco Secure ACS (servidor Radius).

    Esta lista fornece uma descrição dos ajustes neste indicador:

    • Nome do fornecedor — (opcional) datilografe um nome exclusivo para este fornecedor da autenticação. Dê entrada com um nome significativo ou reconhecível se os usuários de login da Web podem selecionar fornecedores da página de login da Web.

    • Nome do servidor — O nome de host totalmente qualificado (por exemplo, auth.cisco.com) ou endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor de autenticação RADIUS. 172.18.124.101 é o endereço IP de Um ou Mais Servidores Cisco ICM NT do server do Cisco Secure ACS neste exemplo.

    • Porta de servidor — O número de porta em que o servidor Radius escuta.

    • Tipo do RAIO — O método de autenticação RADIUS. Os métodos suportados incluem EAPMD5, protocolo password authentication (PAP), protocolo de autenticação de cumprimento do desafio (RACHADURA), e Microsoft (MS-CHAP). O PAP é usado neste exemplo.

    • Intervalo (segundo) — O valor de timeout para o pedido de autenticação.

    • Papel do padrão — Escolha o papel não autenticado como o papel de usuário atribuído aos usuários autenticado por este fornecedor. Este papel do padrão está usado se não cancelado por uma atribuição do papel baseada no MAC address ou no endereço IP de Um ou Mais Servidores Cisco ICM NT, ou se as regras do mapeamento do RAIO não conduzem a uma compatibilidade bem sucedida.

    • Segredo compartilhado — O RAIO compartilhou do limite do segredo ao endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente especificado.

    • NAS-identificador — O valor do NAS-identificador a ser enviado com todos os pacotes da autenticação RADIUS. Um NAS-identificador ou um Nas-ip-address devem ser especificados para enviar os pacotes.

    • Nas-ip-address — O valor do Nas-ip-address a ser enviado com todos os pacotes da autenticação RADIUS. Um Nas-ip-address ou um NAS-identificador devem ser especificados para enviar os pacotes.

    • NAS-porta — O valor da NAS-porta a ser enviado com todos os pacotes da autenticação RADIUS.

    • NAS-Porta-tipo — O NAS-Porta-tipo valor a ser enviado com todos os pacotes da autenticação RADIUS.

    • Permita o Failover — Isto permite a emissão de um segundo pacote de autenticação a um IP de peer do Failover do RAIO se o tempo de resposta preliminar do servidor de autenticação RADIUS para fora.

    • IP de peer do Failover — O endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor de autenticação RADIUS do Failover.

    • Permita pacotes de informação de RADIUS ruim formados — Isto permite o cliente da autenticação RADIUS de ignorar erros em respostas ruim-formadas da autenticação RADIUS enquanto as respostas contêm um sucesso ou um código de falha. Isto pode ser exigido para a compatibilidade com servidores Radius mais velhos.

    nac-inband-remote-vpn-15.gif

  15. Termine estas etapas a fim permitir único Sinal-em (SSO) em CAS.

    1. Escolha o Gerenciamento de dispositivos > os server CCA e selecione o server (neste caso 10.10.20.162).

    2. Vá à aba da autenticação e escolha o AUTH VPN.

    3. Verifique único Sinal-em e a auto saída e entre na porta de relatório do RAIO (somente a porta 1813 é apoiada).

    nac-inband-remote-vpn-16.gif

  16. Sob a secundário-aba dos concentradores VPN incorpore a informação ASA e o clique adiciona o concentrador VPN.

    nac-inband-remote-vpn-17.gif

  17. Sob a secundário-aba dos servidores de contabilidade incorpore a informação do servidor de contabilidade do RAIO e o clique adiciona o servidor de contabilidade.

    nac-inband-remote-vpn-18.gif

  18. Sob a secundário-aba do mapeamento da contabilidade selecione o ASA do menu de destruição do concentrador VPN (asa1.cisco.com [10.10.20.100] neste exemplo) e selecione o servidor de contabilidade (acs1.cisco.com [172.18.85.181:1813] neste exemplo).

    nac-inband-remote-vpn-19.gif

Configuração ASA Cisco

Esta seção demonstra como configurar Cisco ASA usando o Security Device Manager adaptável (ASDM). O wizard VPN deixa-o configurar o LAN para LAN básico e as conexões VPN de acesso remoto. Use o ASDM a fim editar e configurar recursos avançados.

  1. Escolha a configuração > o VPN e clique o wizard VPN do lançamento a fim lançar o wizard VPN.

    nac-inband-remote-vpn-20.gif

  2. Use o painel do tipo de túnel VPN a fim selecionar o tipo de túnel VPN para definir, de Acesso remoto ou de LAN para LAN, e para identificar a relação que conecta ao ipsec peer remoto.

    Clique o Acesso remoto a fim criar uma configuração que consiga o Acesso remoto seguro para clientes VPN, tais como usuários móvéis. Esta opção deixa usuários remotos firmemente alcançar recursos de rede centralizada. Quando você seleciona esta opção, o wizard VPN indica uma série de painéis que o deixam incorporar os atributos que um acesso remoto VPN exige.

    Selecione a relação que estabelece um túnel seguro com o ipsec peer remoto (a interface externa é usada neste exemplo, desde que os clientes VPN conectam do Internet). Se a ferramenta de segurança tem interfaces múltiplas, você precisa de planear a configuração de VPN antes que você execute este assistente e identifique a relação para se usar para cada ipsec peer remoto com que você planeia estabelecer uma conexão segura. Permita sessões do IPSec de entrada de contornear Listas de acesso da relação. Isto permite sessões de entrada autenticadas IPsec de ser permitido sempre através da ferramenta de segurança (isto é, sem uma verificação das instruções de lista de acesso da relação). Esteja ciente que as sessões de entrada contorneiam somente o Access Control Lists (ACLs) da relação. A grupo-política configurada, o usuário, e os ACL transferidos ainda aplicam-se. Clique em Next.

    nac-inband-remote-vpn-21.gif

  3. Selecione o tipo do cliente de acesso remoto. A liberação de Cisco VPN Client 3.x ou produto mais alto, ou outro do Easy VPN Remote são usados neste exemplo, desde que os clientes usam o Cisco VPN Client. Clique em Next.

    nac-inband-remote-vpn-22.gif

  4. Neste exemplo, as chaves pré-compartilhada são usadas para a autenticação de túnel. Dê entrada com a chave pré-compartilhada (cisco123 neste exemplo) e o nome do grupo de túneis VPN (vpngroup neste exemplo). Clique em Next.

    nac-inband-remote-vpn-23.gif

  5. Use o painel da authenticação do cliente a fim selecionar o método por que a ferramenta de segurança autentica usuários remotos. Neste exemplo, os clientes VPN são autenticados contra um servidor Radius. Clique novo a fim configurar um Grupo de servidores AAA novo.

    nac-inband-remote-vpn-24.gif

  6. Forneça esta informação a fim configurar um Grupo de servidores AAA novo que contenha apenas um server:

    • Nome de grupo de servidor — Datilografe um nome para o grupo de servidor. Você associa este nome com os usuários quem você quer autenticar usando este server. O nome de grupo de servidor neste exemplo é chamado authgroup.

    • Protocolo de autenticação — Selecione o protocolo de autenticação os usos do server. O RAIO é usado neste exemplo.

    • Endereço IP do servidor — Datilografe o endereço IP de Um ou Mais Servidores Cisco ICM NT para o servidor AAA. O servidor Radius é 172.18.124.101 neste exemplo.

    • Relação — Selecione a relação da ferramenta de segurança em que o servidor AAA reside. O servidor AAA neste exemplo está na interface interna.

    • Chave do segredo de servidor — Datilografe uma palavra-chave diferenciando maiúsculas e minúsculas, alfanumérica de até 127 caráteres. O server e a ferramenta de segurança usam a chave para cifrar os dados que viajam entre eles. A chave deve ser a mesma na ferramenta de segurança e no server. Você pode usar caracteres especiais, mas não espaços.

    • Confirme a chave do segredo de servidor — Datilografe a chave secreta outra vez.

    nac-inband-remote-vpn-25.gif

  7. Configurar um conjunto de endereços para que os endereços sejam atribuídos aos clientes VPN. Clique novo a fim criar um pool novo.

    nac-inband-remote-vpn-26.gif

  8. Adicionar o nome do pool, da escala, e da máscara de sub-rede.

    nac-inband-remote-vpn-27.gif

  9. Use os atributos empurrados para o indicador (opcional) do cliente a fim ter a informação da passagem da ferramenta de segurança sobre o DNS e GANHE server e o Domain Name do padrão aos clientes de acesso remoto. Incorpore o preliminar e os DN secundários e GANHE a informação do servidor. Igualmente incorpore o Domain Name do padrão.

    nac-inband-remote-vpn-28.gif

  10. Use o indicador da política de IKE a fim ajustar os termos das negociações de IKE da fase 1. O 3DES, o SHA, e o grupo Diffie-Hellman 2 são usados neste exemplo como a política de IKE para conexões de cliente de VPN.

    nac-inband-remote-vpn-29.gif

  11. Use estas criptografia IPSec e janela de autenticação a fim selecionar a criptografia e os métodos de autenticação para usar-se para as negociações de IKE da fase 2, que criam o túnel do VPN seguro. O 3DES e o SHA são usados neste exemplo.

    nac-inband-remote-vpn-30.gif

  12. Use o indicador (opcional) da isenção da tradução de endereços a fim identificar os host locais/redes que não exigem a tradução de endereços.

    À revelia, a ferramenta de segurança esconde os endereços IP real dos host internos e das redes dos host exteriores pela utilização dinâmica ou pela tradução de endereço da rede estática (NAT). O NAT minimiza riscos de ataque por host exteriores não confiáveis, mas pôde ser impróprio para aqueles que foram autenticadas e protegidas pelo VPN.

    Por exemplo, um host interno que use o NAT dinâmico tem seu endereço IP de Um ou Mais Servidores Cisco ICM NT traduzido combinando o a um endereço aleatoriamente selecionado de um pool. Somente o endereço traduzido é visível à parte externa. Os clientes VPN remotos que tentam alcançar estes anfitriões enviando dados a seus endereços IP real não podem conectar a estes anfitriões, a menos que você configurar uma regra da isenção de NAT.

    nac-inband-remote-vpn-31.gif

  13. Verifique que a informação é exata na janela de sumário e clique o revestimento.

    nac-inband-remote-vpn-32.gif

  14. Esta é uma etapa muito importante. Cisco ASA precisa de enviar as mensagens da contabilidade do RAIO a CAS a fim fazer o SSO e executar verificações da postura de segurança.

    Termine estas etapas a fim adicionar um Grupo de servidores AAA novo.

    1. Escolha a configuração > as propriedades > o AAA Setup > Grupos de servidores AAA e o clique adiciona.

    2. Dê entrada com o nome do grupo de servidor (CAS_Accounting neste exemplo).

    3. Selecione o RAIO como o protocolo.

    4. Certifique-se de que o modo de contabilidade é único e modo do Reactivation é prostração.

    5. Clique em OK.

    nac-inband-remote-vpn-33.gif

  15. Adicionar uma entrada nova do servidor AAA. Neste caso o servidor AAA é o endereço IP de Um ou Mais Servidores Cisco ICM NT de CAS (10.10.20.162) que reside na interface interna. Configurar a porta da autenticação de servidor (1812) e a porta de relatório de server (1813). Clique em OK.

    nac-inband-remote-vpn-34.gif

    O Grupo de servidores AAA e o servidor AAA novos aparecem enquanto este exemplo de janela mostra.

    nac-inband-remote-vpn-35.gif

  16. Termine estas etapas a fim adicionar CAS como o servidor de contabilidade para o grupo de VPN que você configurou (vpngroup neste exemplo).

    1. Escolha a configuração > o VPN > o general > o grupo de túneis.

    2. Selecione o grupo de túneis.

    3. O clique edita.

    nac-inband-remote-vpn-36.gif

  17. Sob a aba da contabilidade selecione o Grupo de servidores AAA novo sob o menu de destruição do grupo de servidor de contabilidade (CAS_Accounting neste exemplo).

    nac-inband-remote-vpn-37.gif

Configuração do ASA via CLI

ASA-1#show running-config
: Saved
:
ASA Version 7.2(1)
!
hostname ASA-1
domain-name cisco.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
dns-guard
!
interface GigabitEthernet0/0
description Outside Interface Facing the Internet
nameif outside
security-level 0
ip address 209.165.200.225 255.255.255.0
!
interface GigabitEthernet0/1
description Inside Interface
nameif inside
security-level 100
ip address 10.10.20.100 255.0.0.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 172.18.85.174 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa721-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name cisco.com
access-list outside_cryptomap extended permit ip any 10.10.55.0 255.255.255.0
access-list something extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
mtu management 1500
ip local pool pool1 10.10.55.1-10.10.55.254 mask 255.255.255.0
no failover
icmp permit any inside
icmp permit any management
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
access-group something in interface outside
access-group something in interface inside
route inside 172.18.85.181 255.255.255.255 10.10.20.1 1
route inside 0.0.0.0 0.0.0.0 10.10.20.1 tunneled
route outside 0.0.0.0 0.0.0.0 209.165.200.226 1
route inside 172.18.85.0 255.255.255.0 10.10.20.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
aaa-server authgroup protocol radius
aaa-server authgroup host 172.18.85.181
timeout 5
key cisco123
authentication-port 1812
accounting-port 1813
aaa-server test protocol radius
aaa-server test host 10.10.20.162
key cisco123
accounting-port 1813
aaa-server CAS_Accounting protocol radius
aaa-server CAS_Accounting host 10.10.20.162
key cisco123
authentication-port 1812
accounting-port 1813
radius-common-pw cisco123
group-policy vpngroup internal
group-policy vpngroup attributes
wins-server value 172.18.108.40 172.18.108.41
dns-server value 172.18.108.40 172.18.108.41
vpn-tunnel-protocol IPSec
default-domain value cisco.com
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
http 0.0.0.0 0.0.0.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set FirstSet esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto map abcmap 1 set peer 202.83.212.69
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group vpngroup type ipsec-ra
tunnel-group vpngroup general-attributes
address-pool pool1
authentication-server-group authgroup
accounting-server-group CAS_Accounting
default-group-policy vpngroup
tunnel-group vpngroup ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 5
console timeout 0
!
class-map class_sip_tcp
match port tcp eq sip
class-map class_sip_udp
match port udp eq sip
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect sqlnet
inspect sunrpc
inspect tftp
inspect xdmcp
class class_sip_tcp
inspect sip
class class_sip_udp
inspect sip
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8e30f7ade3dcb3d1ae0da79a9d94371e
: end
[OK]

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 71573