Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Authentification ASA à un standby ASA quand le périphérique d'AAA se trouve par un exemple de configuration L2L

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment fonctionner autour d'un scénario où l'administrateur ne peut pas authentifier à une appliance de sécurité adaptable Cisco de réserve (ASA) dans une paire de Basculement étant donné que le serveur d'Authentification, autorisation et comptabilité (AAA) se trouve sur un site distant par un entre réseaux locaux (L2L).

Bien que le retour à l'authentification locale puisse être utilisé, l'authentification de RAYON pour les deux unités est préférée.

Contribué par Gustavo la Médina, Walter Lopez, et Alex Sanchez, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Le serveur de RAYON se trouve sur l'extérieur des paires de Basculement et il est accessible par un tunnel L2L à 12.12.12.2. C'est ce qui entraîne le probem parce que les essais du standby ASA pour l'accéder par sa propre interface extérieure mais là n'est aucun tunnel construit là-dessus en ce moment ; pour qu'il fonctionne, il devrait envoyer la demande à l'interface active ainsi le paquet peut circuler à travers le VPN mais les artères sont répliquées à partir de l'unité d'active.

Une option est d'utiliser une fausse adresse IP pour le serveur de RAYON sur les ASA et de l'indiquer l'intérieur. Par conséquent, la source et l'adresse IP de destination de ce paquet peuvent être traduites sur un périphérique interne.

Router1

interface FastEthernet0/0
ip address 192.168.1.3 255.255.255.0
no ip redirects
no ip unreachables
ip nat enable
duplex auto
speed auto

ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.255 host 192.168.200.250

ip nat source list NAT interface FastEthernet0/0 overload
ip nat source static 192.168.200.1 192.168.200.250

ip route 0.0.0.0 0.0.0.0 192.168.1.1

ASA

aaa-server RADIUS protocol radius
aaa-server RADIUS (inside) host 192.168.200.250
timeout 3
key *****
authentication-port 1812
accounting-port 1813

aaa authentication serial console LOCAL
aaa authentication ssh console RADIUS LOCAL
aaa authentication telnet console RADIUS LOCAL
aaa authentication http console RADIUS LOCAL
aaa authentication enable console RADIUS LOCAL

route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
route inside 192.168.200.250 255.255.255.255 192.168.1.3 1

Remarque: L'adresse IP de 192.168.200.250 a été utilisée dans l'exemple, mais tous les travaux inutilisés d'adresse IP.

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.

Routeur

Router#   show ip nat nvi tra
Pro Source global Source local Destin local Destin global
udp 192.168.1.3:1025 192.168.1.1:1025 192.168.200.250:1812 192.168.200.1:1812
--- 192.168.200.1 192.168.2.1 --- ---
--- 192.168.200.250 192.168.200.1 --- ---

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118089