Seguridad : Cisco NAC Appliance (Clean Access)

Gateway virtual de la En-banda del dispositivo NAC (acceso limpio de Cisco) para el ejemplo de configuración del VPN de acceso remoto

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona un guía paso a paso para configurar el Cisco Network Admission Control (NAC) Appliance (denominado anteriormente Cisco Clean Access) para VPN de acceso remoto en modo de Gateway Virtual En-banda. Cisco NAC Appliance es un producto NAC que se despliega fácilmente y que utiliza la infraestructura de red para exigir la conformidad con las políticas de seguridad en todos los dispositivos que deseen acceder a recursos informáticos de red. Con el Dispositivo NAC, los administradores de red pueden autenticar, autorizar, evaluar y solventar problemas de usuarios cableados, inalámbricos y remotos y sus máquinas antes del acceso a la red. Identifica si los dispositivos conectados a la red como laptops, teléfonos IP o consolas de juego cumplen con las políticas de seguridad de su red y repara cualquier vulnerabilidad antes de que se permita el acceso a la red.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 4.0.3 limpia del acceso de Cisco

  • Versión 7.2 adaptante del dispositivo de seguridad de Cisco (ASA)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

nac-inband-remote-vpn-1.gif

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configuración del dispositivo NAC (acceso limpio de Cisco)

Complete estos pasos para configurar el dispositivo NAC (acceso limpio de Cisco).

  1. Inicie sesión al Access Manager limpio (CAM) usando la cuenta administrativa.

  2. Elija la Administración de dispositivos > CCA los servidores y vaya a la nueva lengueta del servidor para agregar el servidor de acceso limpio de Cisco (CAS) a Cisco CAM.

    En este ejemplo, la dirección IP de CAS es 10.10.20.162. Ingrese la ubicación del servidor para los propósitos de la referencia. En este ejemplo, CAS está situado detrás de Cisco ASA que se configure para el VPN de acceso remoto. La información de ubicación del servidor es Acceso Remoto CAS VPN. Seleccione el gateway virtual para el tipo de servidor.

    CAS configurado como gateway virtual actúa como un Bridge para la red administrada. La configuración de gateway virtual es buena cuando los clientes manejados comparten una subred con los clientes de confianza y usted no quiere modificar el gateway o la arquitectura existente. No hay necesidad de definir las Static rutas en los dispositivos de ruteo uces de los.

    nac-inband-remote-vpn-2.gif

  3. CAS aparece conforme a la lista de servidores. Aseegurese que el estatus lee conectado. Haga clic en manejan para acceder la Configuración de CAS.

    Extremidad de troubleshooting: Si el CAM no puede importar CAS, aseegurese que la Conectividad no es un problema. Usted puede intentar hacer ping CAS del CAM CLI cuando usted inicia sesión como raíz. Usted puede también intentar una conexión SSH del CAM a CAS. Aseegurese que usted ha hecho la configuración inicial en CAS. Usted puede utilizar el comando config del perfigo del servicio para inicializar CAS vía su CLI.

    nac-inband-remote-vpn-3.gif

  4. Vaya a la lengueta de la red.

    El CAS típicamente se configura tales que la interfaz no confiable está conectada con un puerto troncal con los VLAN múltiples trunked al puerto. En una situación semejante, el VLAN de administración ID es el VLAN ID del VLA N al cual la dirección IP de CAS pertenece.

  5. Marque el soporte de la capa 3 del permiso para permitir que los usuarios sean más de un salto lejos de CAS. Puesto que este caso es una configuración VPN, usted necesita habilitar esta opción.

    nac-inband-remote-vpn-4.gif

  6. Conforme CCA a la ficha de opciones avanzadas del servidor haga clic el VLA N que asocia y ingrese la información de VLAN para asociar el VLAN10 (untrusted) con el VLAN20 (confiado en).

    nac-inband-remote-vpn-5.gif

  7. Cree un filtro para Cisco ASA para poder comunicar con la red protegida detrás de CAS. Elija la Administración de dispositivos > los filtros > los dispositivos > nuevo y agregue la dirección MAC y la dirección IP de Cisco ASA (00:15:C6:FA:39:F7/10.10.20.100 en este ejemplo).

    nac-inband-remote-vpn-6.gif

  8. El CAM en cada CAS agrega automáticamente los dispositivos a la lista de dispositivos certificada después de que el usuario autentique y a la exploración de la red de los pasos de dispositivo sin las vulnerabilidades encontradas y/o cumple los requisitos limpios del agente del acceso. Los dispositivos certificados se consideran limpios hasta quitado de la lista. Usted puede quitar los dispositivos en un tiempo especificado o un intervalo de la lista de dispositivos certificada para forzarlos para relanzar la exploración de la red/marcar del agente.

    Observe que los dispositivos para los usuarios agentes limpios del acceso están analizados siempre para los requisitos en cada login. Un dispositivo flotante requiere la certificación limpia del acceso en cada login y se certifica solamente para la duración de una sesión del usuario. Los dispositivos flotantes se agregan siempre manualmente.

    En este caso CAS realiza la postura de seguridad para los clientes VPN terminada en Cisco ASA. Cisco ASA necesita comunicar con los dispositivos tales como el servidor del Cisco Secure ACS en el lado de confianza. Se recomienda para agregar el ASA como dispositivo flotante. Haga clic en el acceso limpio bajo Administración de dispositivos y elija el Devices (Dispositivos) > Add (Agregar) certificado que flota el dispositivo. Ingrese el MAC address del ASA (00:15:C6:FA:39:F7 en este ejemplo). Fije el tipo a 1 nunca para eximir el ASA de la lista de la certificación y para ingresar una descripción.

    nac-inband-remote-vpn-7.gif

  9. En este ejemplo, usted crea dos diversos papeles (las ventas e ingeniería). Elija User Management (Administración de usuario) > los rol del usuario y haga clic el nuevo papel para crear un nuevo papel. Ingrese el nombre del papel y una descripción. En este ejemplo, el nombre de la función es ventas con su descripción respectiva. El tecleo crea el papel.

    nac-inband-remote-vpn-8.gif

  10. Relance el paso 9 y cree el papel de la ingeniería. Visualizaciones de esta ventana cuando le hacen.

    nac-inband-remote-vpn-9.gif

  11. Elija User Management (Administración de usuario) > los rol del usuario y vaya a la lengueta del control de tráfico para configurar las directivas usadas por cada rol del usuario. Bajo papel deseado haga clic en agregan la directiva.

    nac-inband-remote-vpn-10.gif

    Esta ventana muestra que la directiva para los usuarios de las ventas está configurada. Los usuarios de las ventas deben solamente tener acceso a la subred 10.1.1.0/24. Todo tráfico TCP a la subred de las VENTAS se permite en este ejemplo.

    nac-inband-remote-vpn-11.gif

    Esta ventana muestra todas las directivas configuradas para cada rol del usuario. El paso 11 fue relanzado para permitir el UDP y tráfico TCP para las ventas y los usuarios de la ingeniería a sus subredes correspondientes. El ICMP también se permite para ambos grupos. Los usuarios Quarantined tienen solamente acceso a un servidor de la corrección con el IP 172.18.85.123 sobre el TCP.

    nac-inband-remote-vpn-12.gif

  12. Elija la Administración de dispositivos > acceso limpio, vaya a la lengueta general de la configuración, y haga clic el login del agente.

    Para cada papel, el control requiere el uso del agente limpio del acceso. Requiriendo el uso del agente limpio del acceso se configura por el rol del usuario y el sistema operativo. Cuando el agente se requiere para un papel, remiten los usuarios en ese papel a la página limpia de la descarga del agente del acceso después de autenticar por primera vez usando el login de la red. Entonces se indica al usuario que descargue y funcione con el archivo de la instalación del agente. En el extremo de la instalación, se indica al usuario que registre en la red usando el agente.

    nac-inband-remote-vpn-13.gif

  13. El dispositivo NAC (acceso limpio de Cisco) proporciona la integración con los Concentradores VPN de Cisco y Cisco ASA (en este ejemplo). El acceso limpio de Cisco puede habilitar solo Muestra-en la capacidad (SSO) para los usuarios de VPN. Estas funciones se alcanzan con el uso de las estadísticas RADIUS. CAS puede adquirir la dirección IP del cliente de los atributos de RADIUS de Framed_IP_address o de Calling_Station_ID para los propósitos SSO. Los usuarios de VPN no necesitan iniciar sesión al buscador Web o al agente limpio del acceso porque la información de la cuenta RADIUS enviada al CAS/CAM por el concentrador VPN proporciona la identificación del usuario y la dirección IP de los usuarios que registran en el concentrador VPN (mensaje del comienzo de las estadísticas RADIUS). Para hacer esto, usted necesita agregar el dispositivo del Cisco VPN (Cisco ASA en este ejemplo) como servidor de autenticación.

    1. Elija User Management (Administración de usuario) > los servidores de autenticación > nuevo servidor.

    2. Elija el servidor del Cisco VPN del menú desplegable.

    3. Elija el rol del usuario asignado a los usuarios autenticados por el Concentrador VPN de Cisco.

      La función no autenticada se selecciona en este ejemplo. Este papel predeterminado es utilizado si no reemplazado por una asignación del papel basada en la dirección MAC o la dirección IP, o si las reglas de la asignación RADIUS no dan lugar a una correspondencia con éxito.

    4. Ingrese una descripción opcional del Cisco ASA para la referencia y el tecleo agrega el servidor.

      nac-inband-remote-vpn-14.gif

  14. Elija User Management (Administración de usuario) > los servidores de autenticación > nuevo servidor y RADIUS selecto del menú desplegable para agregar el servidor del Cisco Secure ACS (servidor de RADIUS).

    Esta lista proporciona una descripción de las configuraciones en esta ventana:

    • Nombre del proveedor — (opcional) teclee un nombre único para este proveedor de la autenticación. Ingrese un nombre significativo o reconocible si los usuarios que ingresa al sistema de la red pueden seleccionar los proveedores de la página de registro de la red.

    • Nombre del servidor — El nombre del host calificado completamente (por ejemplo, auth.cisco.com) o dirección IP del servidor de autenticación de RADIUS. 172.18.124.101 es la dirección IP del servidor del Cisco Secure ACS en este ejemplo.

    • Puerto de servidor — El número del puerto en el cual el servidor de RADIUS escucha.

    • Tipo RADIUS — El método de autenticación de RADIUS. Los métodos aceptados incluyen EAPMD5, el protocolo password authentication (PAP), el Challenge Handshake Authentication Protocol (CHAP), y Microsoft (MS-CHAP). El PAP se utiliza en este ejemplo.

    • Descanso (sec) — El valor de agotamiento del tiempo para el pedido de autenticación.

    • Papel predeterminado — Elija el papel del unauthenticated como el rol del usuario asignado a los usuarios autenticado por este proveedor. Este papel predeterminado es utilizado si no reemplazado por una asignación del papel basada en la dirección MAC o la dirección IP, o si las reglas de la asignación RADIUS no dan lugar a una correspondencia con éxito.

    • Secreto compartido — El límite del secreto compartido RADIUS a la dirección IP del cliente especificado.

    • NAS-identificador — El valor del NAS-identificador que se enviará con todos los paquetes de la autenticación de RADIUS. Un NAS-identificador o un Nas-ip-address se debe especificar para enviar los paquetes.

    • Nas-ip-address — El valor del Nas-ip-address que se enviará con todos los paquetes de la autenticación de RADIUS. Un Nas-ip-address o un NAS-identificador se debe especificar para enviar los paquetes.

    • NAS-puerto — El valor del NAS-puerto que se enviará con todos los paquetes de la autenticación de RADIUS.

    • NAS-Puerto-tipo — El valor del NAS-Puerto-tipo que se enviará con todos los paquetes de la autenticación de RADIUS.

    • Conmutación por falla del permiso — Esto habilita el envío de un segundo paquete de autenticación a un IP de peer de la Conmutación por falla RADIUS si los tiempos de respuesta primarios del servidor de autenticación de RADIUS hacia fuera.

    • IP de peer de la Conmutación por falla — La dirección IP del servidor de autenticación de RADIUS de la Conmutación por falla.

    • Permita los paquetes RADIUS gravemente formados — Esto permite al cliente de la autenticación de RADIUS para ignorar los errores en las respuestas malo-formadas de la autenticación de RADIUS mientras las respuestas contengan un éxito o un código de falla. Esto se puede requerir para la compatibilidad con más viejos servidores de RADIUS.

    nac-inband-remote-vpn-15.gif

  15. Complete estos pasos para habilitar solo Muestra-en (SSO) en CAS.

    1. Elija la Administración de dispositivos > CCA los servidores y seleccione el servidor (en este caso 10.10.20.162).

    2. Vaya a la lengueta de la autenticación y elija el auth VPN.

    3. Marque solo Muestra-en y el logout auto y ingrese el puerto de contabilidad del RADIO (solamente se soporta el puerto 1813).

    nac-inband-remote-vpn-16.gif

  16. Bajo sub-lengueta de los concentradores VPN ingrese la información ASA y el tecleo agrega el concentrador VPN.

    nac-inband-remote-vpn-17.gif

  17. Bajo sub-lengueta de los servidores de contabilidad ingrese la información del servidor de contabilidad del RADIO y el tecleo agrega al servidor de contabilidad.

    nac-inband-remote-vpn-18.gif

  18. Bajo sub-lengueta de la asignación de las estadísticas seleccione el ASA del menú desplegable del concentrador VPN (asa1.cisco.com [10.10.20.100] en este ejemplo) y seleccione al servidor de contabilidad (acs1.cisco.com [172.18.85.181:1813] en este ejemplo).

    nac-inband-remote-vpn-19.gif

Configuración de ASA de Cisco

Esta sección demuestra cómo configurar Cisco ASA usando el Administrador de dispositivos de seguridad adaptante (ASDM). El Asistente VPN le deja configurar el LAN a LAN y las conexiones VPN de acceso remoto básicos. Utilice el ASDM para editar y configurar las funciones avanzadas.

  1. Elija la configuración > el VPN y haga clic al Asistente VPN del lanzamiento para iniciar al Asistente VPN.

    nac-inband-remote-vpn-20.gif

  2. Utilice el panel del tipo de túnel VPN para seleccionar el tipo de túnel VPN definir, de Acceso Remoto o de LAN a LAN, e identificar la interfaz que conecta con el peer IPSec remoto.

    Haga clic el Acceso Remoto para crear una configuración que alcance el Acceso Remoto seguro para los clientes VPN, tales como usuarios ambulantes. Esta opción deja a los usuarios remotos con seguridad acceder los recursos de red centralizada. Cuando usted selecciona esta opción, el Asistente VPN visualiza una serie de los paneles que le dejan ingresar los atributos que un VPN de acceso remoto requiere.

    Seleccione la interfaz que establece un túnel seguro con el peer IPSec remoto (la interfaz exterior se utiliza en este ejemplo, puesto que los clientes VPN conectan de Internet). Si el dispositivo de seguridad tiene interfaces múltiples, usted necesita planear la configuración VPN antes de que usted funcione con a este Asisitente e identifique la interfaz para utilizar para cada peer IPSec remoto con quien usted planee establecer una conexión segura. Sesiones del permiso IPSec entrante para desviar las Listas de acceso de la interfaz. Esto habilita a las sesiones entrantes autenticadas IPSec que se permitirán siempre a través del dispositivo de seguridad (es decir, sin un control de las sentencias de lista de acceso de la interfaz). Sea consciente que las sesiones entrantes desvían solamente el Listas de control de acceso (ACL) de la interfaz. La grupo-directiva configurada, el usuario, y los ACL descargados todavía se aplican. Haga clic en Next (Siguiente).

    nac-inband-remote-vpn-21.gif

  3. Seleccione el tipo del cliente de acceso remoto. La versión de Cliente Cisco VPN 3.x o un producto más alto, u otro del Easy VPN Remote se utiliza en este ejemplo, puesto que los clientes utilizan al Cliente Cisco VPN. Haga clic en Next (Siguiente).

    nac-inband-remote-vpn-22.gif

  4. En este ejemplo, las claves previamente compartidas se utilizan para la autenticación de túnel. Ingrese la clave previamente compartida (cisco123 en este ejemplo) y el nombre de grupo de túnel VPN (vpngroup en este ejemplo). Haga clic en Next (Siguiente).

    nac-inband-remote-vpn-23.gif

  5. Utilice el panel de la autenticación de cliente para seleccionar el método por el cual el dispositivo de seguridad autentica a los usuarios remotos. En este ejemplo, autentican a los clientes VPN contra un servidor de RADIUS. Tecleo nuevo para configurar a un nuevo Grupo de servidores AAA.

    nac-inband-remote-vpn-24.gif

  6. Proporcione esta información para configurar a un nuevo Grupo de servidores AAA que contenga apenas un servidor:

    • Nombre de grupo de servidores — Teclee un nombre para el grupo de servidores. Usted asocia este nombre a los usuarios que usted quiere autenticar usando este servidor. El nombre de grupo de servidores en este ejemplo se llama authgroup.

    • Protocolo de autenticación — Seleccione el protocolo de autenticación las aplicaciones del servidor. El RADIUS se utiliza en este ejemplo.

    • Dirección IP del servidor — Teclee la dirección IP para el servidor de AAA. El servidor de RADIUS es 172.18.124.101 en este ejemplo.

    • Interfaz — Seleccione la interfaz del dispositivo de seguridad en la cual el servidor de AAA reside. El servidor de AAA en este ejemplo está en la interfaz interior.

    • Clave del Secreto de servidor — Teclee una palabra clave con diferenciación entre mayúsculas y minúsculas, alfanumérica de hasta 127 caracteres. El servidor y el dispositivo de seguridad utilizan la clave para cifrar los datos que viajan entre ellos. La clave debe ser lo mismo en el dispositivo de seguridad y el servidor. Usted puede utilizar los caracteres especiales, pero no los espacios.

    • Confirme la clave del Secreto de servidor — Teclee la clave secreta otra vez.

    nac-inband-remote-vpn-25.gif

  7. Configure a una agrupación de direcciones para que los direccionamientos sean asignados a los clientes VPN. Haga clic nuevo para crear un nuevo pool.

    nac-inband-remote-vpn-26.gif

  8. Agregue el nombre del pool, del rango, y de la máscara de subred.

    nac-inband-remote-vpn-27.gif

  9. Utilice los atributos avanzados a la ventana (opcional) del cliente para tener la información del paso del dispositivo de seguridad sobre el DNS y GANA los servidores y el Domain Name predeterminado a los clientes de acceso remoto. Ingrese el primario y los DN secundarios y GANA la información del servidor. También ingrese el Domain Name predeterminado.

    nac-inband-remote-vpn-28.gif

  10. Utilice la ventana de la política IKE para fijar los términos de las negociaciones IKE de la fase 1. El 3DES, el SHA, y el grupo Diffie-Hellman 2 se utilizan en este ejemplo como la política IKE para las conexiones de cliente VPN.

    nac-inband-remote-vpn-29.gif

  11. Utilice esta encripción de IPSec y ventana Authentication (Autenticación) para seleccionar el cifrado y los métodos de autentificación para utilizar para las negociaciones IKE de la fase 2, que crean el túnel del VPN seguro. El 3DES y el SHA se utilizan en este ejemplo.

    nac-inband-remote-vpn-30.gif

  12. Utilice la ventana (opcional) de la exención de la traducción de la dirección para identificar los host locales/las redes que no requieren la traducción de la dirección.

    Por abandono, el dispositivo de seguridad oculta los IP Address reales de los host internos y de las redes de los host exteriores usando dinámico o la traducción de dirección de red estática (NAT). El NAT minimiza los riesgos de ataque por los host exteriores untrusted, pero pudo ser incorrecto para los que han sido autenticadas y protegidas por el VPN.

    Por ejemplo, un host interior que utiliza el NAT dinámico tiene su dirección IP traducida correspondiéndola con a un direccionamiento aleatoriamente seleccionado de un pool. Solamente la dirección traducida es visible al exterior. Los clientes VPN remotos que intentan alcanzar estos host enviando los datos a sus IP Address reales no pueden conectar con estos host, a menos que usted configure una regla de la exención de NAT.

    nac-inband-remote-vpn-31.gif

  13. Verifique que la información sea exacta en la ventana de resumen y el clic en Finalizar.

    nac-inband-remote-vpn-32.gif

  14. Esto es un paso muy importante. Cisco ASA necesita enviar los mensajes de las estadísticas RADIUS a CAS para hacer el SSO y realizar los controles de la postura de seguridad.

    Complete estos pasos para agregar a un nuevo Grupo de servidores AAA.

    1. Elija la configuración > las propiedades >AAA ponen >AAA los grupos de servidores y el haga click en Add

    2. Ingrese el nombre de grupo de servidores (CAS_Accounting en este ejemplo).

    3. Seleccione el RADIUS como el protocolo.

    4. Aseegurese que el modo de estadísticas es solo y modo de la reactivación es agotamiento.

    5. Haga clic en OK.

    nac-inband-remote-vpn-33.gif

  15. Agregue una nueva entrada del servidor de AAA. En este caso el servidor de AAA es la dirección IP de CAS (10.10.20.162) que reside en la interfaz interior. Configure el puerto de la autenticación de servidor (1812) y el puerto de contabilidad de servidor (1813). Haga clic en OK.

    nac-inband-remote-vpn-34.gif

    El nuevos Grupo de servidores AAA y servidor de AAA aparece mientras que esta ventana de muestra muestra.

    nac-inband-remote-vpn-35.gif

  16. Complete estos pasos para agregar CAS como el servidor de contabilidad para el grupo VPN que usted configuró (vpngroup en este ejemplo).

    1. Elija Configuration > VPN > General > Tunnel Group.

    2. Seleccione al grupo de túnel.

    3. Haga clic en Editar.

    nac-inband-remote-vpn-36.gif

  17. Bajo lengueta de las estadísticas seleccione al nuevo Grupo de servidores AAA bajo menú desplegable del grupo de servidor de contabilidad (CAS_Accounting en este ejemplo).

    nac-inband-remote-vpn-37.gif

Configuración CLI ASA

ASA-1#show running-config
: Saved
:
ASA Version 7.2(1)
!
hostname ASA-1
domain-name cisco.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
dns-guard
!
interface GigabitEthernet0/0
description Outside Interface Facing the Internet
nameif outside
security-level 0
ip address 209.165.200.225 255.255.255.0
!
interface GigabitEthernet0/1
description Inside Interface
nameif inside
security-level 100
ip address 10.10.20.100 255.0.0.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 172.18.85.174 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa721-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name cisco.com
access-list outside_cryptomap extended permit ip any 10.10.55.0 255.255.255.0
access-list something extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
mtu management 1500
ip local pool pool1 10.10.55.1-10.10.55.254 mask 255.255.255.0
no failover
icmp permit any inside
icmp permit any management
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
access-group something in interface outside
access-group something in interface inside
route inside 172.18.85.181 255.255.255.255 10.10.20.1 1
route inside 0.0.0.0 0.0.0.0 10.10.20.1 tunneled
route outside 0.0.0.0 0.0.0.0 209.165.200.226 1
route inside 172.18.85.0 255.255.255.0 10.10.20.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
aaa-server authgroup protocol radius
aaa-server authgroup host 172.18.85.181
timeout 5
key cisco123
authentication-port 1812
accounting-port 1813
aaa-server test protocol radius
aaa-server test host 10.10.20.162
key cisco123
accounting-port 1813
aaa-server CAS_Accounting protocol radius
aaa-server CAS_Accounting host 10.10.20.162
key cisco123
authentication-port 1812
accounting-port 1813
radius-common-pw cisco123
group-policy vpngroup internal
group-policy vpngroup attributes
wins-server value 172.18.108.40 172.18.108.41
dns-server value 172.18.108.40 172.18.108.41
vpn-tunnel-protocol IPSec
default-domain value cisco.com
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
http 0.0.0.0 0.0.0.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set FirstSet esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto map abcmap 1 set peer 202.83.212.69
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group vpngroup type ipsec-ra
tunnel-group vpngroup general-attributes
address-pool pool1
authentication-server-group authgroup
accounting-server-group CAS_Accounting
default-group-policy vpngroup
tunnel-group vpngroup ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 5
console timeout 0
!
class-map class_sip_tcp
match port tcp eq sip
class-map class_sip_udp
match port udp eq sip
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect sqlnet
inspect sunrpc
inspect tftp
inspect xdmcp
class class_sip_tcp
inspect sip
class class_sip_udp
inspect sip
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8e30f7ade3dcb3d1ae0da79a9d94371e
: end
[OK]

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.


Información Relacionada


Document ID: 71573