セキュリティ : Cisco NAC アプライアンス(Clean Access)

リモート アクセス VPN のための NAC アプライアンス(Cisco Clean Access)インバンド仮想ゲートウェイの設定例

2006 年 10 月 3 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 10 月 3 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      ネットワーク ダイアグラム
      表記法
NAC アプライアンス(Cisco Clean Access)の設定
Cisco ASA の設定
      ASA CLI の設定
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Cisco Network Admission Control(NAC; ネットワーク アドミッション コントロール)アプライアンス(以前の Cisco Clean Access)をインバンド仮想ゲートウェイ モードでリモート アクセス VPN 用に設定する方法について段階的に説明します。 Cisco NAC アプライアンスは展開が容易な NAC 製品であり、ネットワーク インフラストラクチャを使用して、ネットワーク コンピュータ リソースにアクセスしようとするすべてのデバイスにセキュリティ ポリシーを適用します。 ネットワーク管理者は、NAC アプライアンスを使用して、有線、無線、リモートのユーザとマシンを、ネットワークにアクセスする前に認証、認定、評価、および修正できます。 NAC アプライアンスでは、ラップトップ、IP 電話、ゲーム コンソールなどのネットワーク デバイスがネットワークのセキュリティ ポリシーに準拠しているかどうかを判断し、ネットワークへのアクセスを許可する前に脆弱性を修正します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Clean Access バージョン 4.0.3

  • Cisco Adaptive Security Appliance(ASA)バージョン 7.2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメント内で使用されているデバイスは、すべてクリアな(デフォルト)設定で作業が開始されています。対象のネットワークが実稼働中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

nac-inband-remote-vpn-1.gif

ネットワーク構成
※ 画像をクリックすると、大きく表示されます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

NAC アプライアンス(Cisco Clean Access)の設定

NAC アプライアンス(Cisco Clean Access)を設定するには、次の手順を実行します。

  1. 管理アカウントを使用して Clean Access Manager(CAM)にログインします。

  2. Device Management > CCA Servers の順に選択して、New Server タブを開き、Cisco CAM に Cisco Clean Access Server(CAS)を追加します。

    この例では、CAS の IP アドレスは 10.10.20.162 です。 参考のためにサーバの場所を入力します。 この例では、CAS はリモート アクセス VPN 用に設定されている Cisco ASA の背後にあります。 Server Location の情報は、VPN Remote Access CAS となっています。 Server Type として Virtual Gateway を選択します。

    仮想ゲートウェイとして設定された CAS は、管理対象ネットワークに対するブリッジのような働きをします。 管理対象のクライアントが信頼されているクライアントとサブネットを共有し、既存のゲートウェイまたはアーキテクチャを修正する必要がないときには、仮想ゲートウェイ設定が適しています。 いずれのルーティング デバイスにもスタティック ルートを定義する必要はありません。

    nac-inband-remote-vpn-2.gif

    New Server タブで Cisco Clean Access Server を追加
    ※ 画像をクリックすると、大きく表示されます。

  3. CAS は List of Servers の下に表示されます。 Status が Connected であることを確認してください。 CAS の設定を表示するには、Manage をクリックします。

    トラブルシューティングのヒント: CAM が CAS のインポートに失敗した場合は、接続に問題がないかどうか確認してください。 root としてログインしている場合は、CAM の CLI から CAS に向けて PING を送ることができます。 また、CAM から CAS への SSH 接続を試みることもできます。 CAS で初期設定が完了していることも確認してください。 CLI を使用して CAS を初期化するには、service perfigo config コマンドを使用します。

    nac-inband-remote-vpn-3.gif

    List of Servers タブで Manage をクリック
    ※ 画像をクリックすると、大きく表示されます。

  4. Network タブに移動します。

    通常、CAS は、信頼されていないインターフェイスを、複数の VLAN がトランクされているトランク ポートに接続するように設定されます。 このような状態では、管理用の VLAN ID は、CAS の IP アドレスが属している VLAN の VLAN ID になります。

  5. CAS から 2 ホップ以上離れた場所にいるユーザを許可するには、Enable Layer 3 support にチェックマークを付けます。 この例は VPN 構成であるため、このオプションを有効にする必要があります。

    nac-inband-remote-vpn-4.gif

    Enable Layer 3 support にチェックマークを付ける
    ※ 画像をクリックすると、大きく表示されます。

  6. CCA Server の Advanced タブで VLAN Mapping をクリックし、VLAN 10(信頼されていない VLAN)を VLAN 20(信頼されている VLAN)にマップするための VLAN 情報を入力します。

    nac-inband-remote-vpn-5.gif

    VLAN 情報を入力
    ※ 画像をクリックすると、大きく表示されます。

  7. Cisco ASA のフィルタを作成して、CAS の背後にある保護ネットワークと通信できるようにします。 Device Management > Filters > Devices > New の順に選択して、Cisco ASA の MAC アドレスと IP アドレスを追加します(この例では 00:15:C6:FA:39:F7/10.10.20.100)。

    nac-inband-remote-vpn-6.gif

    Cisco ASA の MAC アドレスと IP アドレスを追加
    ※ 画像をクリックすると、大きく表示されます。

  8. ユーザ認証の後、デバイスに脆弱性が見つからない、もしくは Clean Access Agent の要件が満たされている場合、そのデバイスは各 CAS の CAM によって自動的に Certified Devices リストに追加されます。 認証されたデバイスは、リストから削除されるまではクリーンであると見なされます。 これらのデバイスを任意の時点で Certified Devices リストから削除すると、ネットワークのスキャンとエージェントのチェックを再度実行することができます。

    Clean Access Agent ユーザ用のデバイスは、ログインするたびに要件を満たしているかどうかを確認するために必ずスキャンされます。 フローティング デバイスには、ログインごとに Clean Access の認証が必要であり、ユーザのセッションの間だけ承認されます。 フローティング デバイスの追加は常に手作業で行います。

    この例では、Cisco ASA で終端される VPN Client のセキュリティ ポスチャが CAS によって実行されます。 Cisco ASA は、信頼されている側にあるデバイス(Cisco Secure ACS サーバなど)と通信する必要があります。 ASA はフローティング デバイスとして追加することを推奨します。 Device Management で Clean Access をクリックして、Certified Devices > Add Floating Device の順に選択します。 ASA の MAC アドレスを入力します(この例では 00:15:C6:FA:39:F7)。 ASA が認証リストから除外されないようにするためにタイプを 1 に設定して、説明を入力します。

    nac-inband-remote-vpn-7.gif

    ASA の MAC アドレスを入力
    ※ 画像をクリックすると、大きく表示されます。

  9. この例では、2 つのロール(sales と engineering)を作成します。 User Management > User Roles の順に選択して、New Role をクリックし、新しいロールを作成します。 Role Name と Description に情報を入力します。 この例では、Role Name に sales と入力して、説明を入力します。 Create Role をクリックします。

    nac-inband-remote-vpn-8.gif

    新しいロールを作成
    ※ 画像をクリックすると、大きく表示されます。

  10. 手順 9 を繰り返して engineering ロールを作成します。 このウィンドウは設定後の状態を示しています。

    nac-inband-remote-vpn-9.gif

    作成したロールを確認
    ※ 画像をクリックすると、大きく表示されます。

  11. User Management > User Roles の順に選択して、Traffic Control タブを開き、各ユーザのロールで使用するポリシーを設定します。 該当するロールの下にある Add Policy をクリックします。

    nac-inband-remote-vpn-10.gif

    Add Policy をクリック
    ※ 画像をクリックすると、大きく表示されます。

    このウィンドウでは、sales ユーザ用のポリシーを設定しています。 sales ユーザはサブネット 10.1.1.0/24 のみにアクセスできます。 この例では、SALES サブネットへのすべての TCP トラフィックが許可されています。

    nac-inband-remote-vpn-11.gif

    sales ユーザ用のポリシーを設定
    ※ 画像をクリックすると、大きく表示されます。

    このウィンドウでは、各ユーザ ロールに対して設定されているポリシーがすべて表示されています。 手順 11 を繰り返して sales ユーザと engineering ユーザの UDP トラフィックと TCP トラフィックをそれぞれのサブネットに対して許可するようにします。 また、ICMP も両方のグループに対して許可します。 TCP で修正サーバ(remediation server)(IP アドレス 172.18.85.123)にアクセスできるのは Quarantined ユーザのみです。

    nac-inband-remote-vpn-12.gif

    各ユーザ ロールに設定したポリシーが表示される
    ※ 画像をクリックすると、大きく表示されます。

  12. Device Management > Clean Access の順に選択して、General Setup タブを開き、Agent Login をクリックします。

    各ロールの Require use of Clean Access Agent にチェックマークを付けます。 Require use of Clean Access Agent オプションは、ユーザ ロールとオペレーティング システムごとに設定します。 エージェントが必須のロールでは、ロールに属するユーザは、Web ログインを使用して初めて認証を受けた後、Clean Access Agent のダウンロード ページに転送されます。 次に、エージェントのインストール ファイルをダウンロードして実行するように指示されます。 インストールが完了すると、エージェントを使用してネットワークにログインするためのプロンプトが表示されます。

    nac-inband-remote-vpn-13.gif

    Require use of Clean Access Agent にチェックマークを付ける
    ※ 画像をクリックすると、大きく表示されます。

  13. NAC アプライアンス(Cisco Clean Access)は、Cisco VPN コンセントレータおよび Cisco ASA(この例の場合)に統合できます。 Cisco Clean Access では、VPN ユーザに対して Single Sign-On(SSO; シングル サインオン)機能を有効にできます。 この機能を実現するには RADIUS アカウンティングを使用します。 CAS は Framed_IP_address 属性または Calling_Station_ID RADIUS 属性から SSO の目的でクライアントの IP アドレスを取得できます。 VPN コンセントレータから CAS/CAM に送信される RADIUS アカウンティング情報によって VPN コンセントレータにログインするユーザの ID と IP アドレス(RADIUS Accounting Start Message)が提供されるため、VPN ユーザは Web ブラウザや Clean Access Agent にログインする必要はありません。 これを実現するには、Cisco VPN デバイス(この例では Cisco ASA)を認証サーバとして追加する必要があります。

    1. User Management > Auth Servers > New Server の順に選択します。

    2. ドロップダウン メニューから Cisco VPN Server を選択します。

    3. Cisco VPN コンセントレータによって認証されたユーザに割り当てるユーザ ロールを選択します。

      この例では、Unauthenticated Role が選択されています。 このデフォルト ロールは、MAC アドレスまたは IP アドレスに基づいて他のロールが割り当てられていない場合、または RADIUS マッピング規則に一致しなかった場合に使用されます。

    4. 参考のために Cisco ASA の説明を入力し、Add Server をクリックします。

      nac-inband-remote-vpn-14.gif

      Cisco VPN デバイスを認証サーバとして追加
      ※ 画像をクリックすると、大きく表示されます。

  14. User Management > Auth Servers > New Server の順に選択し、ドロップダウン メニューから RADIUS を選択して、Cisco Secure ACS サーバ(RADIUS サーバ)を追加します。

    このウィンドウでの設定項目を次に説明します。

    • Provider Name — (オプション)この認証プロバイダーに割り当てる一意の名前を入力します。 Web からログインするユーザが Web ログイン ページからプロバイダーを選択する場合は、意味のわかる名前を入力します。

    • Server Name — RADIUS 認証サーバの完全修飾ホスト名(auth.cisco.com など)または IP アドレス。 この例では、Cisco Secure ACS の IP アドレスは 172.18.124.101 です。

    • Server Port — RADIUS サーバがリスニングを行うポート番号。

    • RADIUS Type — RADIUS 認証の方法。 サポートされている方法には、EAPMD5、Password Authentication Protocol(PAP)、Challenge Handshake Authentication Protocol(CHAP)、および Microsoft(MS-CHAP)があります。 この例では PAP を使用します。

    • Timeout (sec) — 認証要求のタイムアウト値。

    • Default Role — このプロバイダーによって認証されたユーザに割り当てるロールとして unauthenticated role を選択します。 このデフォルト ロールは、MAC アドレスまたは IP アドレスに基づいて他のロールが割り当てられていない場合、または RADIUS マッピング規則に一致しなかった場合に使用されます。

    • Shared Secret — 指定したクライアントの IP アドレスにバインドする RADIUS 共有秘密。

    • NAS-Identifier — すべての RADIUS 認証パケットとともに送信される NAS 識別子の値。 パケットを送信するには、NAS 識別子または NAS-IP アドレスを指定する必要があります。

    • NAS-IP-Address — すべての RADIUS 認証パケットとともに送信される NAS IP アドレスの値。 パケットを送信するには、NAS-IP アドレスまたは NAS 識別子を指定する必要があります。

    • NAS-Port — すべての RADIUS 認証パケットとともに送信される NAS ポートの値。

    • NAS-Port-Type — すべての RADIUS 認証パケットとともに送信される NAS ポート タイプの値。

    • Enable Failover — このオプションを選択すると、プライマリ RADIUS 認証サーバの応答がタイムアウトになった場合に、2 つ目の認証パケットがフェールオーバー先の RADIUS ピア IP アドレスに送信されます。

    • Failover Peer IP — フェールオーバー用の RADIUS 認証サーバの IP アドレス。

    • Allow Badly Formed RADIUS Packets — このオプションを選択すると、応答に成功または失敗のコードが含まれている場合、RADIUS 認証クライアントが誤った形式の RADIUS 認証応答に含まれるエラーを無視するようになります。 これは古い形式の RADIUS サーバと互換性を持たせる場合に必要となる場合があります。

    nac-inband-remote-vpn-15.gif

    RADIUS サーバ を追加
    ※ 画像をクリックすると、大きく表示されます。

  15. CAS で Single Sign-On(SSO; シングル サインオン)を有効にするには、次の手順を実行します。

    1. Device Management > CCA Servers の順に選択して、サーバを選択します(この例では 10.10.20.162)。

    2. Authentication タブを開き、VPN Auth を選択します。

    3. Single Sign-On および Auto Logout にチェックマークを付けて、RADIUS アカウンティング ポートを入力します(サポートされているのはポート 1813 のみです)。

    nac-inband-remote-vpn-16.gif

    CAS で Single Sign-On を有効にする
    ※ 画像をクリックすると、大きく表示されます。

  16. VPN Concentrators サブタブを開き、ASA 情報を入力して、Add VPN Concentrator をクリックします。

    nac-inband-remote-vpn-17.gif

    VPN Concentrators の ASA 情報を入力
    ※ 画像をクリックすると、大きく表示されます。

  17. Accounting Servers サブタブを開き、RADIUS アカウンティング サーバの情報を入力して、Add Accounting Server をクリックします。

    nac-inband-remote-vpn-18.gif

    RADIUS アカウンティング サーバの情報を入力
    ※ 画像をクリックすると、大きく表示されます。

  18. Accounting Mapping サブタブを開き、VPN Concentrator プルダウン メニューから ASA を選択し(この例では asa1.cisco.com [10.10.20.100])、アカウンティング サーバを選択します(この例では acs1.cisco.com [172.18.85.181:1813])。

    nac-inband-remote-vpn-19.gif

    Accounting Mapping サブタブで ASA とアカウンティング サーバを選択
    ※ 画像をクリックすると、大きく表示されます。

Cisco ASA の設定

このセクションでは、Adaptive Security Device Manager(ASDM)を使用して Cisco ASA を設定する方法について説明します。 VPN Wizard では、基本的な LAN-to-LAN 接続とリモート アクセス VPN 接続を設定できます。 高度な機能の編集や設定には ASDM を使用します。

  1. Configuration > VPN の順に選択し、Launch VPN Wizard をクリックして、VPN Wizard を起動します。

    nac-inband-remote-vpn-20.gif

    VPN Wizard を起動
    ※ 画像をクリックすると、大きく表示されます。

  2. VPN Tunnel Type パネルで、定義する VPN トンネルのタイプとしてリモート アクセスまたは LAN-to-LAN を選択し、リモート IPsec ピアに接続するインターフェイスを指定します。

    Remote Access をクリックして、モバイル ユーザなどの VPN クライアントが安全なリモート アクセスを行うための設定を作成します。 このオプションを選択すると、リモート ユーザが中央のネットワーク リソースへ安全にアクセスできるようになります。 このオプションを選択すると、リモート アクセス VPN に必要な属性を入力するための一連のパネルが VPN Wizard によって表示されます。

    リモート IPsec ピアとの安全なトンネルを確立するためのインターフェイスを選択します(この例では、VPN クライアントはインターネットから接続するため、外部インターフェイスを使用します)。 セキュリティ アプライアンスに複数のインターフェイスがある場合は、このウィザードを実行する前に VPN の設定を計画し、安全な接続が必要なリモート IPsec ピアごとにどのインターフェイスを使用するかを決める必要があります。 インターフェイス アクセス リストをバイパスするには、インバウンド IPsec セッションを有効にします。 これにより、IPsec 認証を受けたインバウンド セッションがセキュリティ アプライアンスの通過を常に許可されるようになります(つまり、インターフェイス アクセス リストのステートメントによるチェックを受けなくなります)。 インバウンド セッションがバイパスするのはインターフェイス Access Control List(ACL; アクセス コントロール リスト)だけであることに注意してください。 設定されたグループ ポリシー ACL、ユーザ ACL、およびダウンロードされた ACL は引き続き適用されます。 Next をクリックします。

    nac-inband-remote-vpn-21.gif

    VPN Tunnel Type パネル
    ※ 画像をクリックすると、大きく表示されます。

  3. リモート アクセス クライアントのタイプを選択します。 この例では、クライアントが Cisco VPN Client を使用しているため、Cisco VPN Client Release 3.x or higher, or other Easy VPN Remote product を選択します。 Next をクリックします。

    nac-inband-remote-vpn-22.gif

    リモート アクセス クライアントのタイプを選択
    ※ 画像をクリックすると、大きく表示されます。

  4. この例では、トンネル認証に事前共有キーを使用しています。 事前共有キー(この例では cisco123)と VPN Tunnel Group Name(この例では vpngroup)を入力します。 Next をクリックします。

    nac-inband-remote-vpn-23.gif

    事前共有キーと VPN Tunnel Group Name を入力
    ※ 画像をクリックすると、大きく表示されます。

  5. Client Authentication パネルを使用して、セキュリティ アプライアンスがリモート ユーザの認証に使用する方法を選択します。 この例では、RADIUS サーバを使用して VPN クライアントの認証を行います。 New をクリックして新しい AAA サーバ グループを設定します。

    nac-inband-remote-vpn-24.gif

    リモート ユーザの認証に使用する方法を選択
    ※ 画像をクリックすると、大きく表示されます。

  6. 次の情報を入力して、サーバが 1 台だけ含まれる新しい AAA サーバ グループを設定します。

    • Server Group Name — サーバ グループの名前を入力します。 この名前は、このサーバを使用して認証するユーザに関連付けられます。 この例で使用する Server Group Name は authgroup です。

    • Authentication Protocol — サーバが使用する認証プロトコルを選択します。 この例では RADIUS を使用します。

    • Server IP Address — AAA サーバの IP アドレスを入力します。 この例で使用する RADIUS サーバの IP アドレスは 172.18.124.101 です。

    • Interface — AAA サーバが存在するセキュリティ アプライアンス インターフェイスを選択します。 この例では、AAA サーバは内部インターフェイスに存在します。

    • Server Secret Key — 127 文字以下の英数字でキーワードを入力します(大文字と小文字は区別されます)。 サーバとセキュリティ アプライアンスの間で送受信されるデータは、このキーを使用して暗号化します。 このキーは、サーバとセキュリティ アプライアンスの両方で一致している必要があります。 特殊文字も使用できますが、スペースは使用できません。

    • Confirm Server Secret Key — 秘密キーを再度入力します。

    nac-inband-remote-vpn-25.gif

    新しい AAA サーバ グループを設定
    ※ 画像をクリックすると、大きく表示されます。

  7. VPN クライアントに割り当てるアドレスのアドレス プールを設定します。 新しいプールを作成するには New をクリックします。

    nac-inband-remote-vpn-26.gif

    アドレス プールを設定
    ※ 画像をクリックすると、大きく表示されます。

  8. プールの名前、範囲、サブネット マスクを追加します。

    nac-inband-remote-vpn-27.gif

    名前、範囲、サブネット マスクを追加

  9. Attributes Pushed to Client (Optional) ウィンドウを使用して、セキュリティ アプライアンスがリモート アクセス クライアントに DNS サーバ、WINS サーバ、デフォルト ドメイン名に関する情報を渡すように設定します。 プライマリおよびセカンダリの DNS サーバと WINS サーバの情報を入力します。 Default Domain Name も入力します。

    nac-inband-remote-vpn-28.gif

    Attributes Pushed to Client (Optional) ウィンドウ
    ※ 画像をクリックすると、大きく表示されます。

  10. IKE Policy ウィンドウを使用して、Phase 1 IKE ネゴシエーションの条項をセットします。 この例では、VPN クライアント接続の IKE ポリシーとして、3DES、SHA、および Diffie-Hellman Group 2 を使用しています。

    nac-inband-remote-vpn-29.gif

    IKE Policy ウィンドウ
    ※ 画像をクリックすると、大きく表示されます。

  11. IPSec Encryption and Authentication ウィンドウを使用して、Phase 2 IKE ネゴシエーションに使用する暗号化方式と認証方式を選択します。これにより安全な VPN トンネルが作成されます。 この例では、3DES と SHA を使用しています。

    nac-inband-remote-vpn-30.gif

    IPSec Encryption and Authentication ウィンドウ
    ※ 画像をクリックすると、大きく表示されます。

  12. Address Translation Exemption (Optional) ウィンドウを使用して、アドレス変換を必要としないローカルのホストとネットワークを指定します。

    デフォルトでは、内部のホストとネットワークの実際の IP アドレスは、セキュリティ アプライアンスによって外側のホストから見えないようにされています。これにはダイナミックまたはスタティックな Network Address Translation(NAT; ネットワーク アドレス変換)が使用されます。 NAT を使用すると信頼されていない外側のホストから攻撃を受けるリスクを最小限に抑えることができますが、VPN によって認証され保護されるホストに対しては不適切な場合があります。

    たとえば、ダイナミック NAT を使用する内部ホストは、プールからランダムに選択されたアドレスにマッチングすることによって変換された IP アドレスを持っています。 外側から見えるのは変換されたアドレスだけです。 リモートの VPN クライアントが、これらのホストに接続しようとして実際の IP アドレスにデータを送信しても、NAT の除外ルールを設定しない限り接続することはできません。

    nac-inband-remote-vpn-31.gif

    Address Translation Exemption and Split Tunneling (Optional) ウィンドウ
    ※ 画像をクリックすると、大きく表示されます。

  13. Summary ウィンドウで情報が正確であることを確認し、Finish をクリックします。

    nac-inband-remote-vpn-32.gif

    Summary ウィンドウ
    ※ 画像をクリックすると、大きく表示されます。

  14. これは非常に重要な手順です。Cisco ASA では、SSO を実行してセキュリティ ポスチャ チェックを行うために、RADIUS アカウンティング メッセージを CAS に送信する必要があります。

    新しい AAA サーバ グループを追加するには、次の手順を実行します。

    1. Configuration > Properties > AAA Setup > AAA Server Groups の順に選択して、Add をクリックします。

    2. Server Group にサーバ グループ名を入力します(この例では CAS_Accounting)。

    3. Protocol として RADIUS を選択します。

    4. Accounting Mode を Single に、Reactivation Mode を Depletion に設定します。

    5. OK をクリックします。

    nac-inband-remote-vpn-33.gif

    新しい AAA サーバ グループを追加
    ※ 画像をクリックすると、大きく表示されます。

  15. 新しい AAA サーバ エントリを追加します。 この例では、内部インターフェイスに存在する CAS の IP アドレス(10.10.20.162)がこの AAA サーバになります。 Server Authentication Port(1812)と Server Accounting Port(1813)を設定します。OK をクリックします。

    nac-inband-remote-vpn-34.gif

    新しい AAA サーバ エントリを追加
    ※ 画像をクリックすると、大きく表示されます。

    次のように新しい AAA サーバ グループと AAA サーバが表示されます。

    nac-inband-remote-vpn-35.gif

    新しい AAA サーバ グループと AAA サーバ
    ※ 画像をクリックすると、大きく表示されます。

  16. 設定した VPN グループ(この例では vpngroup)のアカウンティング サーバとして CAS を追加するには、次の手順を実行します。

    1. Configuration > VPN > General > Tunnel Group の順に選択します。

    2. トンネル グループを選択します。

    3. Edit をクリックします。

    nac-inband-remote-vpn-36.gif

    トンネル グループを選択
    ※ 画像をクリックすると、大きく表示されます。

  17. Accounting タブを開き、Accounting Server Group プルダウン メニューから新しい AAA サーバ グループを選択します(この例では CAS_Accounting)。

    nac-inband-remote-vpn-37.gif

    新しい AAA サーバ グループを選択
    ※ 画像をクリックすると、大きく表示されます。

ASA CLI の設定

  ASA-1#show running-config
  : Saved
  :
  ASA Version 7.2(1)
  !
  hostname ASA-1
  domain-name cisco.com
  enable password 8Ry2YjIyt7RRXU24 encrypted
  names
  dns-guard
  !
  interface GigabitEthernet0/0
  description Outside Interface Facing the Internet
  nameif outside
  security-level 0
  ip address 209.165.200.225 255.255.255.0
  !
  interface GigabitEthernet0/1
  description Inside Interface
  nameif inside
  security-level 100
  ip address 10.10.20.100 255.0.0.0
  !
  interface GigabitEthernet0/2
  shutdown
  no nameif
  no security-level
  no ip address
  !
  interface GigabitEthernet0/3
  shutdown
  no nameif
  no security-level
  no ip address
  !
  interface Management0/0
  nameif management
  security-level 100
  ip address 172.18.85.174 255.255.255.0
  !
  passwd 2KFQnbNIdI.2KYOU encrypted
  boot system disk0:/asa721-k8.bin
  ftp mode passive
  dns server-group DefaultDNS
  domain-name cisco.com
  access-list outside_cryptomap extended permit ip any 10.10.55.0 255.255.255.0
  access-list something extended permit ip any any
  pager lines 24
  mtu outside 1500
  mtu inside 1500
  mtu management 1500
  ip local pool pool1 10.10.55.1-10.10.55.254 mask 255.255.255.0
  no failover
  icmp permit any inside
  icmp permit any management
  asdm image disk0:/asdm521.bin
  no asdm history enable
  arp timeout 14400
  access-group something in interface outside
  access-group something in interface inside
  route inside 172.18.85.181 255.255.255.255 10.10.20.1 1
  route inside 0.0.0.0 0.0.0.0 10.10.20.1 tunneled
  route outside 0.0.0.0 0.0.0.0 209.165.200.226 1
  route inside 172.18.85.0 255.255.255.0 10.10.20.1 1
  timeout xlate 3:00:00
  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
  timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
  timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
  timeout uauth 0:05:00 absolute
  aaa-server authgroup protocol radius
  aaa-server authgroup host 172.18.85.181
  timeout 5
  key cisco123
  authentication-port 1812
  accounting-port 1813
  aaa-server test protocol radius
  aaa-server test host 10.10.20.162
  key cisco123
  accounting-port 1813
  aaa-server CAS_Accounting protocol radius
  aaa-server CAS_Accounting host 10.10.20.162
  key cisco123
  authentication-port 1812
  accounting-port 1813
  radius-common-pw cisco123
  group-policy vpngroup internal
  group-policy vpngroup attributes
  wins-server value 172.18.108.40 172.18.108.41
  dns-server value 172.18.108.40 172.18.108.41
  vpn-tunnel-protocol IPSec
  default-domain value cisco.com
  username cisco password ffIRPGpDSOJh9YLq encrypted
  http server enable
  http 0.0.0.0 0.0.0.0 management
  no snmp-server location
  no snmp-server contact
  snmp-server enable traps snmp authentication linkup linkdown coldstart
  crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
  crypto ipsec transform-set FirstSet esp-3des esp-sha-hmac
  crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
  crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
  crypto map outside_map interface outside
  crypto map abcmap 1 set peer 202.83.212.69
  crypto isakmp enable outside
  crypto isakmp policy 1
  authentication pre-share
  encryption 3des
  hash sha
  group 2
  lifetime 86400
  tunnel-group vpngroup type ipsec-ra
  tunnel-group vpngroup general-attributes
  address-pool pool1
  authentication-server-group authgroup
  accounting-server-group CAS_Accounting
  default-group-policy vpngroup
  tunnel-group vpngroup ipsec-attributes
  pre-shared-key *
  telnet timeout 5
  ssh 0.0.0.0 0.0.0.0 management
  ssh timeout 5
  console timeout 0
  !
  class-map class_sip_tcp
  match port tcp eq sip
  class-map class_sip_udp
  match port udp eq sip
  class-map inspection_default
  match default-inspection-traffic
  !
  !
  policy-map global_policy
  class inspection_default
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect xdmcp
  class class_sip_tcp
  inspect sip
  class class_sip_udp
  inspect sip
  !
  service-policy global_policy global
  prompt hostname context
  Cryptochecksum:8e30f7ade3dcb3d1ae0da79a9d94371e
  : end
  [OK]
  

確認

現在のところ、この設定を確認する手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報