安全与 VPN : 远程验证拨入用户服务 (RADIUS)

配置 Cisco VPN 3000 集中器以阻断过滤器与 RADIUS 过滤器分配

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

在此配置示例中,我们只要使用过滤器允许用户访问一个服务器(10.1.1.2)在网络里面和阻止对其他资源的访问。Cisco VPN 3000集中器可以设置用过滤器控制IPsec、点对点隧道协议(PPTP)和L2TP访客接入对网络资源。过滤器包括规则,类似于在路由器的访问列表。如果路由器配置为:

access-list 101 permit ip any host 10.1.1.2 
access-list 101 deny ip any any

VPN集中器等同是设置有规则的一个过滤器。

我们的第一个VPN集中器规则是permit_server_rule,与路由器的permit ip是等同的所有主机10.1.1.2命令。与deny ip any any命令的路由器的是等同的我们的第二个VPN集中器规则是deny_server_rule

我们的VPN集中器过滤器是filter_with_2_rules,与路由器的101访问列表是等同的;它使用permit_server_ruledeny_server_rule (按该顺序)。假设,客户端能在添加过滤器之前正确连接;他们收到他们的从一个池的IP地址VPN集中器的。

有关如何配置远程访问服务器以及限制访问的更多信息,请参阅 PIX/ASA 7.x ASDM:限制远程访问VPN用户网络访问为了得知更多PIX/ASA 7.x块从VPN用户的访问的方案。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据Cisco VPN 3000集中器版本2.5.2.D。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

网络图

本文档使用以下网络设置:

/image/gif/paws/13834/filter.gif

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

VPN 3000 配置

完成这些步骤为了配置VPN 3000集中器。

  1. 选择配置>Policy Management>流量管理>规则>Add并且定义与这些设置的第一个VPN集中器规则呼叫的permit_server_rule

    • 方向—入站

    • 操作—前言

    • 源地址— 255.255.255.255

    • 目的地址— 10.1.1.2

    • 通配符掩码— 0.0.0.0

    filter_1.gif

    filter_1a.gif

  2. 在同一个区域中,请定义呼叫的第二个VPN集中器规则deny_server_rule以这些默认:

    • 方向—入站

    • 操作—丢弃

    • 任何东西的源地址和目的地址(255.255.255.255) :

    /image/gif/paws/13834/filter_2.gif

  3. 选择Configuration > Policy Management > Traffic Management > Filters并且添加您的filter_with_2_rules过滤器。

    filter_3.gif

  4. 增加两个规则到filter_with_2_rules :

    /image/gif/paws/13834/filter_4.gif

  5. 选择Configuration > User Management > Groups并且应用过滤器给组:

    filter_5.gif

LAN到LAN VPN隧道的过滤器

从VPN集中器代码3.6及以上版本,您能每个LAN对LAN IPSec VPN通道的过滤数据流。例如,如果构建LAN-to-LAN隧道到有地址的172.16.1.1另一个VPN集中器,和要允许主机对通道的10.1.1.2访问,当您否决其他流量时,您能应用filter_with_2_rules,当您选择Configuration > System > Tunneling Protocols > IPSec > LAN-to-LAN > Modify并且选择filter_with_2_rules过滤器下时

/image/gif/paws/13834/filter_9.gif

VPN 3000 配置 - RADIUS 过滤器分配

定义在VPN集中器的一个过滤器也是可能的然后通过在从RADIUS服务器的过滤器编号下(用RADIUS术语,属性11是过滤器ID),因此,当用户在RADIUS服务器验证,过滤器ID关联与该连接。在本例中,假定是VPN集中器用户的RADIUS验证已经是可操作的,并且仅过滤器ID将被添加。

定义在VPN集中器的过滤器正如在前一个示例:

/image/gif/paws/13834/filter_6.gif

CSNT 服务器配置 - RADIUS 过滤器分配

配置属性11,在CiscoSecure NT服务器的过滤器ID是101

/image/gif/paws/13834/filter_7.gif

调试 - RADIUS 过滤器分配

如果AUTHDECODE (1-13严重性)在VPN集中器,日志显示CiscoSecure NT服务器发送在access-list 101下在属性11 (0x0B) :

207 01/24/2001 11:27:58.100 SEV=13 AUTHDECODE/0 RPT=228
0000: 020C002B 768825C5 C29E439F 4C8A727A     ...+v.%...C.L.rz
0010: EA7606C5 06060000 00020706 00000001     .v..............
0020: 0B053130 310806FF FFFFFF                   ..101......

验证

当前没有可用于此配置的验证过程。

故障排除

为了实现故障排除目的,当您选择Configuration > System > Events > Classes并且添加FILTERDBG类以严重性记录= 13时,只,您能打开过滤器调试。在规则,请更改从转发(或丢弃的)默认操作转发和记录(或丢弃和日志)。当事件日志被检索在Monitoring > Event Log时,应该显示条目例如:

221 12/21/2000 14:20:17.190 SEV=9 FILTERDBG/1 RPT=62 
Deny In: intf 1038, ICMP, Src 10.99.99.1, Dest 10.1.1.3, Type 8

222 12/21/2000 14:20:18.690 SEV=9 FILTERDBG/1 RPT=63 
Deny In: intf 1038, ICMP, Src 10.99.99.1, Dest 10.1.1.3, Type 8

相关信息


Document ID: 13834