Sécurité : Dispositif Cisco NAC (Clean Access)

Exemple de configuration d'un dispositif NAC (Cisco Clean Access) en mode passerelle virtuelle intrabande pour un VPN d'accès à distance

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit un guide pas à pas sur la façon dont configurer l'appliance du Cisco Network Admission Control (NAC) (autrefois Cisco Clean Access) pour l'Accès à distance VPN en mode virtuel de passerelle d'intrabande. L'appliance de Cisco NAC est un produit facilement déployé NAC qui emploie l'infrastructure réseau pour imposer la conformité de stratégie de sécurité sur tous les périphériques qui recherchent à accéder au réseau calculant des ressources. Avec l'appliance NAC, les administrateurs réseau peuvent authentifier, autorisent, évaluent, et remediate de câble, radio, et utilisateurs distants et leurs ordinateurs avant l'accès au réseau. Il identifie si les périphériques en réseau tels que des ordinateurs portables, des Téléphones IP, ou des consoles de jeux sont conformes avec les stratégies de sécurité de votre réseau et répare toutes les vulnérabilités avant qu'on permette l'accès au réseau.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 4.0.3 de Cisco Clean Access

  • Version 7.2 de l'appliance de sécurité adaptable Cisco (ASA)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

nac-inband-remote-vpn-1.gif

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration d'appareils NAC (Cisco Clean Access)

Terminez-vous ces étapes afin de configurer l'appliance NAC (Cisco Clean Access).

  1. Ouvrez une session à Clean Access Manager (CAM) utilisant le compte administratif.

  2. Choisissez la Gestion de périphériques > les serveurs de CCA et allez au nouvel onglet de serveur afin d'ajouter le serveur de Cisco Clean Access (CAS) au CAM de Cisco.

    Dans cet exemple, l'adresse IP de CAS est 10.10.20.162. Entrez l'emplacement de serveur pour la référence. Dans cet exemple, CAS se trouve derrière Cisco ASA qui est configuré pour l'Accès à distance VPN. L'information d'emplacement de serveur est Accès à distance CAS VPN. Passerelle virtuelle choisie pour le type de serveur.

    CAS configuré comme passerelle virtuelle agit comme une passerelle pour le réseau administré. La configuration de passerelle virtuelle est bonne quand les clients gérés partagent un sous-réseau avec les clients de confiance et vous ne voulez pas modifier la passerelle ou l'architecture existante. Il n'y a aucun besoin de définir les artères statiques sur les périphériques l'uns des de routage.

    nac-inband-remote-vpn-2.gif

  3. CAS apparaît sous la liste de serveurs. Assurez-vous que l'état lit connecté. Cliquez sur en fonction Manage afin d'accéder à la configuration de CAS.

    Conseil de dépannage : Si le CAM n'importe pas CAS, assurez-vous que la Connectivité n'est pas une question. Vous pouvez tenter de cingler CAS du CAM CLI quand vous ouvrez une session comme racine. Vous pouvez également tenter une connexion SSH du CAM à CAS. Assurez-vous que vous avez fait la configuration initiale dans CAS. Vous pouvez employer la commande de config de perfigo de service afin d'initialiser CAS par l'intermédiaire de son CLI.

    nac-inband-remote-vpn-3.gif

  4. Allez à l'onglet de réseau.

    CAS est typiquement configuré tels que l'interface non approuvée est connectée à un port de joncteur réseau aux VLAN multiples trunked au port. Dans une telle situation, l'ID de VLAN de gestion est l'ID DE VLAN du VLAN auquel l'adresse IP de CAS appartient.

  5. Support de la couche 3 d'enable de contrôle afin de permettre à des utilisateurs pour être plus d'un saut à partir de CAS. Puisque ce cas est une configuration du VPN, vous devez activer cette option.

    nac-inband-remote-vpn-4.gif

  6. Sous le mappage du clic VLAN d'onglet Avancé de serveur de CCA et écrivez les informations VLAN afin de tracer le VLAN 10 (non approuvé) avec le VLAN 20 (fait confiance).

    nac-inband-remote-vpn-5.gif

  7. Créez un filtre pour Cisco ASA pour pouvoir communiquer avec le réseau protégé derrière CAS. Choisissez la Gestion de périphériques > les filtres > les périphériques > nouveau et ajoutez l'adresse MAC et l'adresse IP de Cisco ASA (00:15:C6:FA:39:F7/10.10.20.100 dans cet exemple).

    nac-inband-remote-vpn-6.gif

  8. Le CAM sur chaque CAS ajoute automatiquement des périphériques à la liste de périphériques certifiée après que l'utilisateur authentifie et à la lecture de réseau de passages de périphérique sans des vulnérabilités trouvées et/ou répond à des exigences de Clean Access Agent. Des périphériques certifiés sont considérés propres jusqu'à retiré de la liste. Vous pouvez retirer des périphériques à un temps ou à un intervalle spécifié de la liste de périphériques certifiée afin de les forcer pour répéter la lecture de réseau/vérifier d'agent.

    Notez que des périphériques pour des utilisateurs de Clean Access Agent sont toujours balayés pour des conditions requises à chaque procédure de connexion. Un périphérique flottant exige la certification de Clean Access à chaque procédure de connexion et est certifié seulement pour la durée d'une session d'utilisateur. Des périphériques flottants sont toujours ajoutés manuellement.

    Dans ce cas CAS exécute le choix de sécurité pour des clients vpn terminé sur Cisco ASA. Cisco ASA doit communiquer avec des périphériques tels que le serveur de Cisco Secure ACS dans le côté de confiance. Il est recommandé pour ajouter l'ASA comme périphérique flottant. Cliquez sur en fonction Clean Access sous la Gestion de périphériques et choisissez a certifié des périphériques > ajoutent le périphérique flottant. Écrivez l'adresse MAC de l'ASA (00:15:C6:FA:39:F7 dans cet exemple). Set type à 1 pour ne jamais exempter l'ASA de la liste de certification et pour écrire une description.

    nac-inband-remote-vpn-7.gif

  9. Dans cet exemple, vous créez deux rôles différents (des ventes et ingénierie). Choisissez la gestion des utilisateurs > les rôles de l'utilisateur et cliquez sur New le rôle afin de créer un nouveau rôle. Écrivez la role name et une description. Dans cet exemple, la role name est des ventes avec sa description respective. Le clic créent le rôle.

    nac-inband-remote-vpn-8.gif

  10. Répétez l'étape 9 et créez le rôle d'ingénierie. Affichages de cette fenêtre quand vous êtes fait.

    nac-inband-remote-vpn-9.gif

  11. Choisissez la gestion des utilisateurs > les rôles de l'utilisateur et allez à l'onglet de contrôle de trafic afin de configurer les stratégies utilisées par chaque rôle de l'utilisateur. Sous le rôle désiré cliquez sur en fonction la stratégie Add.

    nac-inband-remote-vpn-10.gif

    Cette fenêtre prouve que la stratégie pour les utilisateurs de ventes est configurée. Les utilisateurs de ventes devraient seulement avoir accès au sous-réseau 10.1.1.0/24. On permet tout le trafic TCP au sous-réseau de VENTES dans cet exemple.

    nac-inband-remote-vpn-11.gif

    Cette fenêtre affiche toutes les stratégies configurées pour chaque rôle de l'utilisateur. Étape 11 a été répétée pour permettre l'UDP et le trafic TCP pour les ventes et les utilisateurs d'ingénierie à leurs sous-réseaux respectifs. On permet également l'ICMP pour les deux groupes. Les utilisateurs mis en quarantaine ont seulement accès à un serveur de correction avec l'IP 172.18.85.123 au-dessus du TCP.

    nac-inband-remote-vpn-12.gif

  12. Choisissez la Gestion de périphériques > le Clean Access, allez à l'onglet de configuration générale, et cliquez sur la connexion de l'agent.

    Pour chaque rôle, le contrôle exigent l'utilisation de Clean Access Agent. Exigeant l'utilisation de Clean Access Agent est configuré par rôle de l'utilisateur et système d'exploitation. Quand l'agent est exigé pour un rôle, des utilisateurs dans ce rôle sont expédiés à la page de téléchargement de Clean Access Agent après avoir authentifié pour la première fois utilisant la procédure de connexion de Web. L'utilisateur est alors incité à télécharger et exécuter le fichier d'installation d'agent. À la fin de l'installation, l'utilisateur est incité à se connecter dans le réseau utilisant l'agent.

    nac-inband-remote-vpn-13.gif

  13. L'appliance NAC (Cisco Clean Access) fournit à l'intégration les concentrateurs et Cisco ASA de Cisco VPN (dans cet exemple). Cisco Clean Access peut activer la capacité simple de l'ouverture de session (SSO) pour des utilisateurs VPN. Cette fonctionnalité est réalisée avec l'utilisation de la comptabilité de RAYON. CAS peut saisir l'adresse IP du client des attributs RADIUS de Framed_IP_address ou de Calling_Station_ID pour le sso. Les utilisateurs VPN n'ont pas besoin d'ouvrir une session au navigateur Web ou au Clean Access Agent parce que l'information de comptabilité de RAYON envoyée au CAS/CAM par le concentrateur VPN fournit l'user-id et l'adresse IP des utilisateurs qui se connectent dans le concentrateur VPN (message de début de comptabilité de RAYON). Afin de faire ceci, vous devez ajouter le périphérique VPN de Cisco (Cisco ASA dans cet exemple) en tant que serveur d'authentification.

    1. Choisissez la gestion des utilisateurs > les serveurs authentiques > nouveau serveur.

    2. Choisissez le serveur VPN de Cisco du menu déroulant.

    3. Choisissez le rôle de l'utilisateur assigné aux utilisateurs authentifiés par le concentrateur de Cisco VPN.

      Le rôle Unauthenticated est sélectionné dans cet exemple. Ce rôle par défaut est utilisé sinon ignoré par une affectation de rôle basée sur l'adresse MAC ou l'adresse IP, ou si les règles de mappage de RAYON n'ont pas comme conséquence une concordance réussie.

    4. Écrivez une description facultative de Cisco ASA pour la référence et cliquez sur Add le serveur.

      nac-inband-remote-vpn-14.gif

  14. Choisissez la gestion des utilisateurs > les serveurs authentiques > nouveau serveur et RAYON choisi du menu déroulant afin d'ajouter le serveur de Cisco Secure ACS (serveur de RAYON).

    Cette liste fournit une description des configurations sur cette fenêtre :

    • Nom de fournisseur — (facultatif) introduisez un nom unique pour ce fournisseur d'authentification. Écrivez un nom signicatif ou reconnaissable si les utilisateurs de connexion de Web peuvent sélectionner des fournisseurs de la page de connexion de Web.

    • Nom du serveur — Entièrement - le nom d'hôte qualifié (par exemple, auth.cisco.com) ou adresse IP du serveur d'authentification RADIUS. 172.18.124.101 est l'adresse IP du serveur de Cisco Secure ACS dans cet exemple.

    • Port de serveur — Le numéro de port sur lequel le serveur de RAYON écoute.

    • Type de RAYON — La méthode d'authentification de RAYON. Les méthodes prises en charge incluent EAPMD5, Password Authentication Protocol (PAP), protocole d'authentification CHAP (Challenge Handshake Authentication Protocol), et Microsoft (MS-CHAP). Le PAP est utilisé dans cet exemple.

    • Délai d'attente (sec) — La valeur du dépassement de durée pour la demande d'authentification.

    • Rôle par défaut — Choisissez le rôle unauthenticated comme rôle de l'utilisateur assigné aux utilisateurs authentifiés par ce fournisseur. Ce rôle par défaut est utilisé sinon ignoré par une affectation de rôle basée sur l'adresse MAC ou l'adresse IP, ou si les règles de mappage de RAYON n'ont pas comme conséquence une concordance réussie.

    • Secret partagé — Le RAYON a partagé la limite secrète à l'adresse IP du client spécifié.

    • Nas-identifiant — La valeur de Nas-identifiant à envoyer avec tous les paquets d'authentification de RAYON. Un Nas-identifiant ou une Nas-IP-adresse doit être spécifié pour envoyer les paquets.

    • Nas-IP-adresse — La valeur de Nas-IP-adresse à envoyer avec tous les paquets d'authentification de RAYON. Une Nas-IP-adresse ou un Nas-identifiant doit être spécifiée pour envoyer les paquets.

    • Nas-port — La valeur de Nas-port à envoyer avec tous les paquets d'authentification de RAYON.

    • Nas-Port-type — La valeur de Nas-Port-type à envoyer avec tous les paquets d'authentification de RAYON.

    • Basculement d'enable — Ceci active envoyer un deuxième paquet d'authentification à un peer ip de Basculement de RAYON si les temps de réponse primaires de serveur d'authentification RADIUS.

    • Peer ip de Basculement — L'adresse IP du serveur d'authentification RADIUS de Basculement.

    • Permettez les paquets RADIUS mal formés — Ceci permet à l'authentication client de RAYON d'ignorer des erreurs dans des réponses mauvais-formées d'authentification de RAYON tant que les réponses contiennent un code de succès ou échec. Ceci peut être exigé pour la compatibilité avec des serveurs plus âgés de RAYON.

    nac-inband-remote-vpn-15.gif

  15. Terminez-vous ces étapes afin d'activer l'ouverture de session simple (SSO) sur CAS.

    1. Choisissez la Gestion de périphériques > les serveurs de CCA et sélectionnez le serveur (dans ce cas 10.10.20.162).

    2. Allez à l'onglet d'authentification et choisissez le VPN authentique.

    3. L'ouverture de session simple de contrôle et la déconnexion automatique et entrent dans le port de traçabilité de RAYON (seulement le port 1813 est pris en charge).

    nac-inband-remote-vpn-16.gif

  16. Sous le sous-titre-onglet de concentrateurs VPN écrivez les informations ASA et cliquez sur Add le concentrateur VPN.

    nac-inband-remote-vpn-17.gif

  17. Sous le sous-titre-onglet de serveurs de comptabilité écrivez les informations du serveur de comptabilité de RAYON et cliquez sur Add le serveur de comptabilité.

    nac-inband-remote-vpn-18.gif

  18. Sous le sous-titre-onglet de mappage de comptabilité sélectionnez l'ASA du menu déroulant de concentrateur VPN (asa1.cisco.com [10.10.20.100] dans cet exemple) et sélectionnez le serveur de comptabilité (acs1.cisco.com [172.18.85.181:1813] dans cet exemple).

    nac-inband-remote-vpn-19.gif

Configuration de Cisco ASA

Cette section explique comment configurer Cisco ASA utilisant Adaptive Security Device Manager (ASDM). L'assistant VPN vous permet de configurer les connexions VPN de base d'entre réseaux locaux et d'Accès à distance. Employez l'ASDM afin d'éditer et configurer la fonctionnalité avancée.

  1. Choisissez la configuration > le VPN et cliquez sur l'assistant du lancement VPN afin de lancer l'assistant VPN.

    nac-inband-remote-vpn-20.gif

  2. Employez le panneau de type de tunnel VPN afin de sélectionner le type du tunnel VPN pour définir, de l'Accès à distance ou d'entre réseaux locaux, et pour identifier l'interface qui se connecte au pair distant d'IPsec.

    Cliquez sur l'Accès à distance afin de créer une configuration qui réalise l'accès distant sécurisé pour des clients vpn, tels que des utilisateurs nomades. Cette option permet des utilisateurs distants sécurisé d'accéder aux ressources de réseau centralisées. Quand vous sélectionnez cette option, l'assistant VPN affiche une gamme de panneaux qui vous permettent d'écrire les attributs qu'un Accès à distance VPN exige.

    Sélectionnez l'interface qui établit un tunnel sécurisé avec le pair distant d'IPsec (l'interface extérieure est utilisée dans cet exemple, puisque les clients vpn se connectent de l'Internet). Si les dispositifs de sécurité ont des plusieurs interfaces, vous devez prévoir la configuration du VPN avant que vous exécutiez cet assistant et identifiiez l'interface pour utiliser pour chaque pair distant d'IPsec avec lequel vous prévoyez d'établir une connexion sécurisée. Permettez aux sessions d'arrivée d'IPsec de sauter des Listes d'accès d'interface. Ceci permet à des sessions d'arrivée authentifiées par IPsec d'être permises toujours par les dispositifs de sécurité (c'est-à-dire, sans contrôle des instructions de liste d'accès d'interface). Rendez-vous compte que les sessions d'arrivée sautent seulement le Listes de contrôle d'accès (ACL) d'interface. La stratégie de groupe configurée, l'utilisateur, et l'ACLs téléchargé s'appliquent toujours. Cliquez sur Next (Suivant).

    nac-inband-remote-vpn-21.gif

  3. Sélectionnez le type de client d'Accès à distance. La release de Client VPN Cisco 3.x ou le produit d'Easy VPN Remote plus élevé et ou autre est utilisée dans cet exemple, puisque les clients utilisent le Client VPN Cisco. Cliquez sur Next (Suivant).

    nac-inband-remote-vpn-22.gif

  4. Dans cet exemple, des clés pré-partagées sont utilisées pour l'authentification de tunnel. Écrivez la clé pré-partagée (cisco123 dans cet exemple) et le nom de groupe de tunnel VPN (vpngroup dans cet exemple). Cliquez sur Next (Suivant).

    nac-inband-remote-vpn-23.gif

  5. Employez le panneau d'authentification client afin de sélectionner la méthode par laquelle les dispositifs de sécurité authentifient des utilisateurs distants. Dans cet exemple, les clients vpn sont authentifiés contre un serveur de RAYON. Cliquez sur New afin de configurer un nouveau Groupe de serveurs AAA.

    nac-inband-remote-vpn-24.gif

  6. Fournissez ces informations afin de configurer un nouveau Groupe de serveurs AAA qui contient juste un serveur :

    • Nom de groupe de serveurs — Introduisez un nom pour le groupe de serveurs. Vous associez ce nom avec les utilisateurs que vous voulez authentifier utilisant ce serveur. Le nom de groupe de serveurs dans cet exemple s'appelle l'authgroup.

    • Authentification Protocol — Sélectionnez le protocole d'authentification les utilisations de serveur. Le RAYON est utilisé dans cet exemple.

    • Adresse IP du serveur — Tapez l'adresse IP pour le serveur d'AAA. Le serveur de RAYON est 172.18.124.101 dans cet exemple.

    • Interface — Sélectionnez l'interface de dispositifs de sécurité sur laquelle le serveur d'AAA réside. Le serveur d'AAA dans cet exemple est dans l'interface interne.

    • Clé secrète de serveur — Tapez un mot clé case-sensitive et alphanumérique de jusqu'à 127 caractères. Le serveur et les dispositifs de sécurité emploient la clé pour chiffrer les données qui voyagent entre elles. La clé doit être identique sur les dispositifs de sécurité et le serveur. Vous pouvez utiliser des caractères particuliers, mais pas des espaces.

    • Confirmez la clé secrète de serveur — Tapez la clé secrète de nouveau.

    nac-inband-remote-vpn-25.gif

  7. Configurez un pool d'adresses pour que les adresses soient assignées aux clients vpn. Cliquez sur New afin de créer un nouveau groupe.

    nac-inband-remote-vpn-26.gif

  8. Ajoutez le nom du groupe, de la plage, et du masque de sous-réseau.

    nac-inband-remote-vpn-27.gif

  9. Utilisez les attributs poussés à la fenêtre (facultative) de client afin d'avoir les informations de passage de dispositifs de sécurité sur des DN et des serveurs WINS et le nom de domaine par défaut aux clients d'Accès à distance. Écrivez les informations primaires et de DNS secondaire et de serveur WINS. Écrivez également le nom de domaine par défaut.

    nac-inband-remote-vpn-28.gif

  10. Employez la fenêtre de stratégie IKE afin de placer les termes des négociations d'IKE de Phase 1. 3DES, SHA, et groupe 2 de Diffie-Hellman sont utilisés dans cet exemple comme stratégie IKE pour des connexions client VPN.

    nac-inband-remote-vpn-29.gif

  11. Employez cette fenêtre de chiffrement IPSec et d'authentification afin de sélectionner les méthodes de cryptage et d'authentification pour l'utiliser pour les négociations d'IKE de Phase 2, qui créent le tunnel VPN sécurisé. 3DES et SHA sont utilisés dans cet exemple.

    nac-inband-remote-vpn-30.gif

  12. Employez la fenêtre (facultative) d'exemption de traduction d'adresses afin d'identifier les hôtes locaux/réseaux qui n'exigent pas la traduction d'adresses.

    Par défaut, les dispositifs de sécurité masquent les vraies adresses IP des hôtes internes et des réseaux des hôtes d'extérieur à l'aide de dynamique ou de la traduction d'adresses de réseau statique (NAT). NAT réduit des risques d'attaque par les hôtes non approuvés d'extérieur, mais pourrait être inexact pour ceux qui ont été authentifiés et protégés par VPN.

    Par exemple, un hôte interne qui utilise NAT dynamique a son adresse IP traduite en l'appariant à une adresse aléatoirement sélectionnée d'un groupe. Seulement l'adresse traduite est visible à l'extérieur. Les clients vpn distants qui tentent d'atteindre ces hôtes en envoyant des données à leurs vraies adresses IP ne peuvent pas se connecter à ces hôtes, à moins que vous configuriez une règle de nat exemption.

    nac-inband-remote-vpn-31.gif

  13. Vérifiez que les informations sont précises dans la fenêtre récapitulative et cliquez sur Finish.

    nac-inband-remote-vpn-32.gif

  14. C'est une étape très importante. Cisco ASA doit envoyer les messages de comptabilité de RAYON à CAS afin de faire SSO et exécuter des contrôles de choix de sécurité.

    Terminez-vous ces étapes afin d'ajouter un nouveau Groupe de serveurs AAA.

    1. Choisissez la configuration > le Properties > l'AAA installé > des Groupes de serveurs AAA et cliquez sur Add.

    2. Écrivez le nom de groupe de serveurs (CAS_Accounting dans cet exemple).

    3. RAYON choisi comme Protocol.

    4. Assurez-vous que le mode comptable est célibataire et mode de réactivation est épuisement.

    5. Cliquez sur OK.

    nac-inband-remote-vpn-33.gif

  15. Ajoutez une nouvelle entrée de serveur d'AAA. Dans ce cas le serveur d'AAA est l'adresse IP de CAS (10.10.20.162) qui réside dans l'interface interne. Configurez le port d'authentification de serveur (1812) et le port de traçabilité de serveur (1813). Cliquez sur OK.

    nac-inband-remote-vpn-34.gif

    Le nouveaux Groupe de serveurs AAA et serveur d'AAA apparaît pendant que cette fenêtre d'exemple affiche.

    nac-inband-remote-vpn-35.gif

  16. Terminez-vous ces étapes afin d'ajouter CAS comme le serveur de comptabilité pour le groupe VPN que vous avez configuré (vpngroup dans cet exemple).

    1. Choisissez la configuration > le VPN > le groupe de général > de tunnel.

    2. Sélectionnez le groupe de tunnel.

    3. Cliquez sur Edit.

    nac-inband-remote-vpn-36.gif

  17. Sous l'onglet de comptabilité sélectionnez le nouveau Groupe de serveurs AAA sous le menu déroulant de comptabilité de groupe de serveurs (CAS_Accounting dans cet exemple).

    nac-inband-remote-vpn-37.gif

Configuration de l'interface de ligne de commande ASA

ASA-1#show running-config
: Saved
:
ASA Version 7.2(1)
!
hostname ASA-1
domain-name cisco.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
dns-guard
!
interface GigabitEthernet0/0
description Outside Interface Facing the Internet
nameif outside
security-level 0
ip address 209.165.200.225 255.255.255.0
!
interface GigabitEthernet0/1
description Inside Interface
nameif inside
security-level 100
ip address 10.10.20.100 255.0.0.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 172.18.85.174 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa721-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name cisco.com
access-list outside_cryptomap extended permit ip any 10.10.55.0 255.255.255.0
access-list something extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
mtu management 1500
ip local pool pool1 10.10.55.1-10.10.55.254 mask 255.255.255.0
no failover
icmp permit any inside
icmp permit any management
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
access-group something in interface outside
access-group something in interface inside
route inside 172.18.85.181 255.255.255.255 10.10.20.1 1
route inside 0.0.0.0 0.0.0.0 10.10.20.1 tunneled
route outside 0.0.0.0 0.0.0.0 209.165.200.226 1
route inside 172.18.85.0 255.255.255.0 10.10.20.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
aaa-server authgroup protocol radius
aaa-server authgroup host 172.18.85.181
timeout 5
key cisco123
authentication-port 1812
accounting-port 1813
aaa-server test protocol radius
aaa-server test host 10.10.20.162
key cisco123
accounting-port 1813
aaa-server CAS_Accounting protocol radius
aaa-server CAS_Accounting host 10.10.20.162
key cisco123
authentication-port 1812
accounting-port 1813
radius-common-pw cisco123
group-policy vpngroup internal
group-policy vpngroup attributes
wins-server value 172.18.108.40 172.18.108.41
dns-server value 172.18.108.40 172.18.108.41
vpn-tunnel-protocol IPSec
default-domain value cisco.com
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
http 0.0.0.0 0.0.0.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set FirstSet esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto map abcmap 1 set peer 202.83.212.69
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group vpngroup type ipsec-ra
tunnel-group vpngroup general-attributes
address-pool pool1
authentication-server-group authgroup
accounting-server-group CAS_Accounting
default-group-policy vpngroup
tunnel-group vpngroup ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 5
console timeout 0
!
class-map class_sip_tcp
match port tcp eq sip
class-map class_sip_udp
match port udp eq sip
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect sqlnet
inspect sunrpc
inspect tftp
inspect xdmcp
class class_sip_tcp
inspect sip
class class_sip_udp
inspect sip
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8e30f7ade3dcb3d1ae0da79a9d94371e
: end
[OK]

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


Informations connexes


Document ID: 71573