セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

AAA デバイスが L2L 設定例によってある場合のスタンバイ ASA への ASA 認証

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に管理者がスタンバイ Cisco に適応性がある認証、許可、アカウンティング(AAA) サーバは LAN-to-LAN のによる遠隔地にあるというファクトによるフェールオーバー ペアのセキュリティ アプライアンス モデル(ASA)を認証できないシナリオを回避する方法を記述されています(L2L)。

ローカル認証へのフォールバックが使用することができるが両方のユニットのための RADIUS認証は好まれます。

グスタボ マディーナ、ウォルター ローペッツ、およびアレックス サンチェスによって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • ASA フェールオーバー
  • VPN
  • Network Address Translation(NAT;ネットワーク アドレス変換)

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

RADIUSサーバはフェールオーバー ペアの外部にあり、12.12.12.2 に L2L トンネルによって到達可能です。 これはスタンバイ ASA が自身の outside インターフェイスを通してそれに達することを試みるが、それでこの時点で構築されるトンネルがないので probem を引き起こすものによりです; はたらくそれのためにアクティブインターフェイスに要求を送信 する必要があります従ってパケットは VPN を渡って流れることができますが、ルーティングはアクティブユニットから複製されます。

1 つのオプションは擬似 IP アドレスを ASA の RADIUSサーバのために使用し、内部をそれを指すことです。 従って、このパケットの送信元 および 宛先 IPアドレスは内蔵デバイスで変換することができます。

Router1

interface FastEthernet0/0
ip address 192.168.1.3 255.255.255.0
no ip redirects
no ip unreachables
ip nat enable
duplex auto
speed auto

ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.255 host 192.168.200.250

ip nat source list NAT interface FastEthernet0/0 overload
ip nat source static 192.168.200.1 192.168.200.250

ip route 0.0.0.0 0.0.0.0 192.168.1.1

ASA

aaa-server RADIUS protocol radius
aaa-server RADIUS (inside) host 192.168.200.250
timeout 3
key *****
authentication-port 1812
accounting-port 1813

aaa authentication serial console LOCAL
aaa authentication ssh console RADIUS LOCAL
aaa authentication telnet console RADIUS LOCAL
aaa authentication http console RADIUS LOCAL
aaa authentication enable console RADIUS LOCAL

route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
route inside 192.168.200.250 255.255.255.255 192.168.1.3 1

IP アドレス 192.168.200.250 は例、未使用 IP アドレス作業で使用されました。

確認

このセクションでは、設定が正常に機能していることを確認します。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

ルータ

Router#   show ip nat nvi tra
Pro Source global Source local Destin local Destin global
udp 192.168.1.3:1025 192.168.1.1:1025 192.168.200.250:1812 192.168.200.1:1812
--- 192.168.200.1 192.168.2.1 --- ---
--- 192.168.200.250 192.168.200.1 --- ---

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118089