セキュリティ : Cisco FlexVPN

ローカル AAA の属性リストを使った FlexVPN の動的設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この設定例はローカル認証、外部 Remote Authentication Dial-In User Service (RADIUS) サーバの使用なしでダイナミックおよび可能性としては拡張設定を行うために許可および会計(AAA)属性 リストを使用する方法を示します。

これは特に急速 な 展開がかテストが必要となるとき、ある特定の場合望まれます。 そのような配備は一般的に proof-of-concept ラボ、テストする新しい配備またはトラブルシューティングです。

ダイナミック コンフィギュレーションは異なるポリシーか属性がユーザごと、顧客ごとの、セッションごとの基礎で適用する必要があるコンセントレータ/ハブサイドで重要です。

注: 著者:Cisco TAC エンジニア、Marcin Latosiewicz

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

この文書に記載されている情報は基づいていますが、に、これらのソフトウェア および ハードウェア バージョン制限されません。 このリストは最小限の要件を概説しませんが、この機能のテスト段階全体のデバイスの状態を反映します。

ハードウェア

  • 集約 サービス ルータ(ASR) - ASR 1001 -呼出された "bsns-asr1001-4"

  • 統合サービス ルータ 生成 2 (ISR G2) - 3925e -呼出された "bsns-3925e-1"

  • 統合サービス ルータ 生成 2 (ISR G2) - 3945e -呼出された "bsns-3945e-1"

ソフトウェア

  • Cisco IOS XE リリース 3.8 - 15.3(1)S

  • Cisco IOS(R) ソフトウェア リリース 15.2(4)M1 および 15.2(4)M2

ライセンス

  • ASR ルータは ipsec adventerprise およびフィーチャー ライセンスを有効に してもらいます。

  • ISR G2 ルータは ipbasek9securityk9 および hseck9 フィーチャー ライセンスを有効に してもらいます。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

トポロジ

この演習で使用されるトポロジーは基本的です。 クライアントをシミュレートする 2 つのスポークルータ(ISR)は利用されます、およびハブルータ(ASR)。

http://www.cisco.com/c/dam/en/us/support/docs/security/flexvpn/116032-flexvpn-aaa-config-example-01.png

設定

この資料のコンフィギュレーションはスマートなデフォルトの基本的なセットアップを、できるだけ表示するように意図されています。 暗号解読法の Cisco推奨に関しては、cisco.com の次世代 暗号化 ページを参照して下さい。

スポークの設定

以前に述べられるように、このドキュメントの操作のほとんどはハブで実行された。 スポーク設定は参照用にここにあります。 この設定では、変更だけ Client1 と Client2 間の識別であることに注意して下さい(太字で表示する)。

aaa new-model
aaa authorization network default local
aaa session-id common

crypto ikev2 keyring Flex_key
 peer Spokes
 address 0.0.0.0 0.0.0.0
 pre-shared-key local cisco
 pre-shared-key remote cisco
 !!
crypto ikev2 profile Flex_IKEv2
 match identity remote address 0.0.0.0
 identity local email Client1@cisco.com
 authentication remote pre-share
 authentication local pre-share
 keyring local Flex_key
 aaa authorization group psk list default default
 virtual-template 1

crypto logging session

crypto ipsec profile default
 set ikev2-profile Flex_IKEv2

interface Tunnel1
 ip address negotiated
 ip mtu 1400
 ip nhrp network-id 2
 ip nhrp shortcut virtual-template 1
 ip nhrp redirect
 ip tcp adjust-mss 1360
 tunnel source GigabitEthernet0/0
 tunnel destination 172.25.1.1
 tunnel path-mtu-discovery
 tunnel protection ipsec profile default

interface Virtual-Template1 type tunnel
 ip unnumbered Tunnel1
 ip mtu 1400
 ip nhrp network-id 2
 ip nhrp shortcut virtual-template 1
 ip nhrp redirect
 ip tcp adjust-mss 1360
 tunnel path-mtu-discovery
 tunnel protection ipsec profile default

ハブの設定

ハブ 設定は 2 人の部に分けられます:

  1. 基本的な接続 設定は基本的な接続のために、設定を概説する必要としました。

  2. 拡張設定は、コンフィギュレーション変更の輪郭を描くユーザごとかセッションごとのコンフィギュレーション変更を行うのに管理者がどのように AAA 属性 リストを使用できるか示す必要がありました。

基本的な接続設定

この設定は参照だけのため最適であるために機能だけ意味されません。

この設定の最も大きい制限は認証方式として事前共有キー(PSK)の使用方法です。 Cisco は適当時はいつでも認証の使用を推奨します。

aaa new-model
aaa authorization network default local

aaa session-id common
crypto ikev2 authorization policy default
 pool FlexSpokes
 route set interface

crypto ikev2 keyring Flex_key
 peer Spokes
 address 0.0.0.0 0.0.0.0
 pre-shared-key local cisco
 pre-shared-key remote cisco
 !!
 peer Client1
 identity email Client1@cisco.com
 pre-shared-key cisco
 !!
 peer Client2
 identity email Client2@cisco.com
 pre-shared-key cisco

crypto ikev2 profile Flex_IKEv2
 match fvrf any
 match identity remote address 0.0.0.0
 match identity remote email domain cisco.com
 authentication remote pre-share
 authentication local pre-share
 keyring local Flex_key
 aaa authorization group psk list default default
 virtual-template 1

no crypto ikev2 http-url cert

crypto logging session

crypto ipsec profile default
 set ikev2-profile Flex_IKEv2

interface Virtual-Template1 type tunnel
 vrf forwarding IVRF
 ip unnumbered Loopback100
 ip mtu 1400
 ip nhrp network-id 2
 ip nhrp redirect
 ip tcp adjust-mss 1360
 tunnel path-mtu-discovery
 tunnel vrf INTERNET
 tunnel protection ipsec profile default

拡張設定

特定 の セッションに AAA 属性を割り当てるのに必要とされるいくつかの事があります。 この例は client1 のための完全な作業を示したものです; それから他のクライアント/ユーザを追加する方法を示します。

Client1 のための拡張ハブ 設定

  1. AAA 属性 リストを定義して下さい。

    aaa attribute list Client1
     attribute type interface-config "ip mtu 1300" protocol ip
     attribute type interface-config "service-policy output TEST" protocol ip

    注: 属性によって割り当てられるエンティティがローカルである必要があることを覚えていて下さい。 この場合、policy-map は前もって設定されました。

    policy-map TEST
     class class-default
     shape average 60000
  2. 承認ポリシーに AAA 属性 リストを割り当てて下さい

    crypto ikev2 authorization policy Client1
     pool FlexSpokes
     aaa attribute list Client1
     route set interface
  3. ように接続するクライアントが使用するこの新しいポリシーして下さい。 この場合、クライアントが送信 する識別のユーザ名部分を得て下さい。 クライアントは ClientX@cisco.com の eメールアドレスを使用する必要があります(X は 1 または 2、クライアントの依存です)。 mangler はユーザ名およびドメイン部分に eメールアドレスを分割し、承認ポリシーの名前を選択するのにそれらの 1 つだけを(ユーザ名この場合)使用します。

    crypto ikev2 name-mangler GET_NAME
     email username
    
    crypto ikev2 profile Flex_IKEv2
     aaa authorization group psk list default name-mangler GET_NAME

    client1 が正常に動作しているとき、client2 は追加された比較的容易である場合もあります。

Client2 のための拡張ハブ 設定

ポリシーを確認すれば属性の別個のセットは、もし必要なら、あります。

aaa attribute list Client2
 attribute type interface-config "ip tcp adjust-mss 1200" protocol ip
 attribute type interface-config "ip access-group 133 in" protocol ip

crypto ikev2 authorization policy Client2
 pool FlexSpokes
 aaa attribute list Client2
 route set interface

この例では、更新済 Maximum Segment Size (MSS) 設定およびインバウンドアクセスリストはこのクライアントのために操作するために適用します。 他の設定は容易に選択することができます。 通常の設定は異なるクライアントに別のバーチャルルーティングおよびフォワーディング(VRF)を割り当てることです。 、このシナリオの access-list 133 のような属性 リストに上記されるように、割り当てられるどのエンティティでも設定に既にある必要があります。

プロセス 外観

この図は AAA認証がインターネット鍵交換 バージョン 2 (IKEv2)プロファイルによって処理される輪郭を描き、この設定例に情報仕様が含まれていますときオペレーションの順序の。

http://www.cisco.com/c/dam/en/us/support/docs/security/flexvpn/116032-flexvpn-aaa-config-example-02.png

確認

このセクションは事前に割り当てられる設定がクライアントに加えられたことを確認する方法を示します。

Client1

最大 伝送 ユニット(MTU)設定、またサービス ポリシーが適用されたことを確認するコマンドはここにあります。

bsns-asr1001-4#show cef int virtual-access 1
(...)
 Hardware idb is Virtual-Access1
 Fast switching type 14, interface type 21
 IP CEF switching enabled
 IP CEF switching turbo vector
 IP Null turbo vector
 VPN Forwarding table "IVRF"
 IP prefix lookup IPv4 mtrie 8-8-8-8 optimized
 Tunnel VPN Forwarding table "INTERNET" (tableid 2)
 Input fast flags 0x0, Output fast flags 0x4000
 ifindex 16(16)
 Slot unknown (4294967295) Slot unit 1 VC -1
 IP MTU 1300
 Real output interface is GigabitEthernet0/0/0

bsns-asr1001-4#show policy-map interface virtual-access1
 Virtual-Access1

Service-policy output: TEST

Class-map: class-default (match-any)
 5 packets, 620 bytes
 5 minute offered rate 0000 bps, drop rate 0000 bps
 Match: any
 Queueing
 queue limit 64 packets
 (queue depth/total drops/no-buffer drops) 0/0/0
 (pkts output/bytes output) 5/910
 shape (average) cir 60000, bc 240, be 240
 target shape rate 60000

Client2

MSS 設定は押されたこと、そして access-list 133 はまた同等の仮想アクセスインターフェイスのインバウンドフィルタとして適用されたことを確認するコマンドはここにあります。

bsns-asr1001-4#show cef int virtual-access 2
Virtual-Access2 is up (if_number 18)
 Corresponding hwidb fast_if_number 18
 Corresponding hwidb firstsw->if_number 18
 Internet address is 0.0.0.0/0
 Unnumbered interface. Using address of Loopback100 (192.168.1.1)
 ICMP redirects are never sent
 Per packet load-sharing is disabled
 IP unicast RPF check is disabled
 Input features: Access List, TCP Adjust MSS
 (...)

bsns-asr1001-4#show ip interface virtual-access2
Virtual-Access2 is up, line protocol is up
 Interface is unnumbered. Using address of Loopback100 (192.168.1.1)
 Broadcast address is 255.255.255.255
 MTU is 1400 bytes
 Helper address is not set
 Directed broadcast forwarding is disabled
 Outgoing access list is not set
 Inbound access list is 133, default is not set
(...)

デバッグ

デバッグするべき 2 つの主要なブロックがあります。 これは TAC ケースをオープンし、トラックの事柄をより速い得る必要があるとき役立ちます。

デバッグ IKEv2

この主要な debug コマンドで始めて下さい:

debug crypto ikev2 [internal|packet]

それからこれらのコマンドを入力して下さい:

show crypto ikev2 sa
show crypto ipsec sa peer a.b.c.d

AAA アトリビュート 割り当てをデバッグして下さい

属性の AAA 割り当てをデバッグすることを望んだ場合これらのデバッグは有用である場合もあります。

debug aaa authorization 
debug aaa attr 
debug aaa proto local

結論

この資料に RADIUSサーバが利用可能ではないかもしれない示されていますまたは適切ではありません FlexVPN 配備の追加された柔軟性を提供するために AAA 属性 リストを使用する方法を。 AAA 属性 リストはそれが必要となる場合、セッションごとに追加された設定 オプションを、グループ単位ベース提供します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 116032