Безопасность : Устройство Cisco NAC (Clean Access)

Пример конфигурации встраиваемого виртуального шлюза NAC-устройства (Cisco Clean Access) для удаленного VPN-хоста

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ содержит пошаговые инструкции по настройке устройства Cisco NAC (Network Admission Control, старое название Cisco Clean Access) для сети VPN удаленного доступа в режиме внутриполосного виртуального шлюза. Устройство Cisco NAC — это простой в развертывании продукт NAC, который использует сетевую инфраструктуру для обеспечения соответствия всех устройств, которые запрашивают доступ к вычислительным ресурсами, политикам безопасности. С помощью устройства NAC сетевые администраторы могут выполнять аутентификацию, авторизацию, оценку и устранение неполадок для проводных, беспроводных и удаленных пользователей, а также для их компьютеров, перед предоставлением доступа к сети. Оно определяет, соответствуют ли сетевые устройства, например переносные компьютеры, IP-телефоны и игровые консоли, политикам безопасности сети и устраняет уязвимости перед предоставлением доступа к этой сети.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия 4.0.3 Cisco Clean Access

  • Устройство адаптивной защиты Cisco (ASA) версия 7.2

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Схема сети

В этом документе использованы параметры данной сети:

nac-inband-remote-vpn-1.gif

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Конфигурация устройства NAC (Cisco Clean Access)

Чтобы настроить устройство NAC (Cisco Clean Access), выполните следующие действия.

  1. Выполните вход в ПО Clean Access Manager (CAM), используя учетную запись администратора.

  2. Выберите Device Management> CCA Servers и перейдите к Новой вкладке Server для добавления Сервера Cisco Clean Access (CAS) к CAM Cisco.

    В этом примере сервер CAS имеет IP-адрес 10.10.20.162. Укажите расположение сервера для справки. В этом примере сервер CAS расположен за модулем Cisco ASA, который настроен для сети VPN удаленного доступа. В поле "Server Location" введите VPN Remote Access CAS. Выберите Virtual Gateway в поле "Server Type".

    Сервер CAS в режиме виртуального шлюза работает как мост для управляемой сети. Конфигурацию виртуального шлюза лучше использовать, когда управляемые клиенты используют общую подсеть с доверенными клиентами и вы не хотите вносить изменения в существующий шлюз или архитектуру. Не нужно настраивать статические маршруты ни на одном из устройств маршрутизации.

    nac-inband-remote-vpn-2.gif

  3. Сервер CAS доступен в списке "List of Servers". Убедитесь, что поле состояния (Status) имеет значение Connected. Нажмите кнопку Manage, чтобы получить доступ к конфигурации CAS.

    Совет по устранению неполадок: Если приложению CAM не удается импортировать сервер CAS, убедитесь, что проблема не связана с подключением. Попробуйте зайти в интерфейс командной строки CAM, используя учетную запись root, и отправить серверу CAS эхо-запрос (ping). Кроме того, можно создать SSH-подключение между CAM и CAS. Убедитесь, что начальная настройка сервера CAS была выполнена. Для инициализации сервера CAS через интерфейс командной строки (CLI) используйте команду service perfigo config.

    nac-inband-remote-vpn-3.gif

  4. Выберите вкладку "Network".

    Сервер CAS как правило настраивается на подключение недоверенных интерфейсов к магистральному порту, к которому подключено несколько сетей VLAN. В этом случает идентификатором управляющей сети VLAN будет идентификатор сети VLAN, которой принадлежит адрес сервера CAS.

  5. Установите флажок Enable Layer 3 support, чтобы разрешить пользователям находиться на расстоянии нескольких переходов от сервера CAS. Поскольку мы рассматриваем конфигурацию VPN, этот параметр необходимо включить.

    nac-inband-remote-vpn-4.gif

  6. На вкладке "CCA Server Advanced" нажмите VLAN Mapping и введите данные сети VLAN, чтобы сопоставить сети VLAN 10 (недоверенная) и VLAN 20 (доверенная).

    nac-inband-remote-vpn-5.gif

  7. Создайте фильтр, который позволит модулю Cisco ASA взаимодействовать с сетью, защищенной сервером CAS. Выберите Device Management> Filters> Devices> New и добавьте MAC-адрес и IP-адрес Cisco ASA (00:15:C6:FA:39:F7/10.10.20.100 в данном примере).

    nac-inband-remote-vpn-6.gif

  8. Приложение CAM на каждом сервере CAS автоматически добавляет устройства в список "Certified Devices" после аутентификации пользователя, если сетевое сканирование устройства не выявляет уязвимостей и/или подтверждает его соответствие требованиям Clean Access Agent. Сертифицированные устройства считаются "чистыми", пока не удаляются из списка. Устройства можно удалять из списка Certified Devices в указанное время или повторять сетевое сканирование и проверку агентов через определенный интервал.

    Обратите внимание, что устройства пользователей Clean Access Agent сканируются на соответствие требованиям при каждом входе. Свободные устройства (floating devices) требуют сертификации Clean Access при каждом входе и сертифицируются только на время пользовательского сеанса. Свободные устройства всегда добавляются вручную.

    В этом примере сервер CAS обеспечивает безопасность VPN-клиентов, завершаемых в модуле Cisco ASA. Модуль Cisco ASA должен взаимодействовать с устройствами, такими как Cisco Secure ACS, на доверенной стороне. Рекомендуется добавлять модуль ASA в качестве свободного устройства. Щелкните по Clean Access под Управлением устройствами и выберите Certified Devices> Add Floating Device. Введите MAC-адрес модуля ASA (в этом примере 00:15:C6:FA:39:F7). Выберите тип 1, чтобы модуль ASA никогда не исключался из списка сертификатов, и введите описание.

    nac-inband-remote-vpn-7.gif

  9. В этом примере создается две разных роли для технических специалистов и торговых представителей (sales и engineering). Выберите User Management> User Roles и нажмите New Role для создания новой роли. Введите имя роли и описание в поля "Role Name" и "Description". В этом примере именем роли будет sales с соответствующим описанием. Нажмите Create Role.

    nac-inband-remote-vpn-8.gif

  10. Повторите действие 9 для создания роли engineering. Это окно появится, когда вы закончите.

    nac-inband-remote-vpn-9.gif

  11. Выберите User Management> User Roles и перейдите к вкладке Traffic Control для настройки политики, используемой каждой ролью пользователя. Нажмите кнопку Add Policy рядом с нужной ролью.

    nac-inband-remote-vpn-10.gif

    Это окно сообщит, что политика для роли sales настроена. Пользователи с ролью sales должны иметь доступ только к подсети 10.1.1.0/24. В этом примере весь TCP-трафик в подсети SALES разрешен.

    nac-inband-remote-vpn-11.gif

    В этом окне отображаются все политики, настроенные для каждой пользовательской роли. Действие 11 было повторено, чтобы разрешить UDP- и TCP-трафик пользователей с ролями sales и engineering в соответствующих подсетях. ICMP-трафик также разрешен для обеих групп. Пользователи в карантине получат доступ только к серверу устранения неполадок (remediation server) с IP-адресом 172.18.85.123 по протоколу TCP.

    nac-inband-remote-vpn-12.gif

  12. Выберите Device Management> Clean Access, перейдите к вкладке General Setup и нажмите Agent Login.

    Для каждой роли установите флажок Require use of Clean Access Agent. Параметр "Require use of Clean Access Agent" (требовать использование Clean Access Agent) настраивается для каждой роли и операционной системы. Если роль требует использования агента при первом входе через Интернет, пользователи перенаправляются на страницу загрузки Clean Access Agent сразу после аутентификации. Затем им предлагается загрузить и запустить установочный файл агента. В конце установке пользователю будет предложено войти в сеть с использованием агента.

    nac-inband-remote-vpn-13.gif

  13. Устройство NAC (Cisco Clean Access) обеспечивает интеграцию с VPN-концентраторами Cisco и модулями Cisco ASA (в этом примере). Cisco Clean Access может поддерживать функцию Single Sign-On (SSO) для пользователей VPN. Эта возможность обеспечивается благодаря использованию учета RADIUS. Сервер CAS может получить IP-адрес клиента для функции SSO из атрибута RADIUS Framed_IP_address или Calling_Station_ID. Пользователям VPN не нужно выполнять вход в веб-браузер или агент Clean Access Agent, так как данные учета RADIUS, которые VPN-концентратор отправляет в CAS/CAM, содержат идентификаторы и IP-адреса пользователей, которые выполняют вход на VPN-концентратор (начальное сообщение учета RADIUS). Для этого необходимо добавить устройство Cisco VPN (например, модуль Cisco ASA) в качестве сервера аутентификации.

    1. Выберите User Management> Auth Servers> New Server.

    2. Выберите Cisco VPN Server в раскрывающемся меню.

    3. Выберите роль, которая назначается пользователям, аутентифицированным VPN-концентратором Cisco.

      В этом примере выбрана роль Unauthenticated. Эта роль используется по умолчанию, если не переопределяется назначением роли на основе MAC- или IP-адреса или если правила RADIUS не формируют успешное сопоставление.

    4. Введите необязательное описание модуля Cisco ASA для справки нажмите кнопку Add Server.

      nac-inband-remote-vpn-14.gif

  14. Выберите User Management> Auth Servers> New Server и выберите RADIUS от раскрывающегося меню для добавления сервера Cisco Secure ACS (сервер RADIUS).

    Этот список содержит описание параметров, доступных в этом окне:

    • Provider Name. Введите уникальное имя поставщика аутентификации (необязательно). Введите значимое или узнаваемое имя, если пользователи входа через Интернет могут выбирать поставщиков на веб-странице входа.

    • Server Name. Полное имя хоста (например, auth.cisco.com) или IP-адрес сервера аутентификации RADIUS. В этом примере IP-адрес сервера Cisco Secure ACS — 172.18.124.101.

    • Server Port. Номер порта, который прослушивает сервер RADIUS.

    • RADIUS Type. Метод аутентификации RADIUS. Поддерживаемые методы EAPMD5, протоколы PAP, CHAP и MS-CHAP. В этом примере используется протокол PAP.

    • Timeout (sec). Время ожидания для запроса аутентификации.

    • Default Role. Выберите роль unauthenticated в качестве роли, назначаемой пользователям, которые аутентифицированы этим поставщиком. Эта роль используется по умолчанию, если не переопределяется назначением роли на основе MAC- или IP-адреса или если правила RADIUS не формируют успешное сопоставление.

    • Shared Secret. Общий секрет RADIUS, привязанный к IP-адресу заданного клиента.

    • NAS-Identifier. Значение идентификатора NAS, которое отправляется со всеми пакетами аутентификации RADIUS. Для отправки пакетов необходимо указать значение "NAS-Identifier" или "NAS-IP-Address".

    • NAS-IP-Address. Значение IP-адреса NAS, которое отправляется со всеми пакетами аутентификации RADIUS. Для отправки пакетов необходимо указать значение "NAS-Identifier" или "NAS-IP-Address".

    • NAS-Port. Значение порта NAS, которое отправляется со всеми пакетами аутентификации RADIUS.

    • NAS-Port-Type. Значение типа порта NAS, которое отправляется со всеми пакетами аутентификации RADIUS.

    • Enable Failover. Этот параметр включает отправку второго пакета аутентификации по IP-адресу резервного узла RADIUS, если время ожидания ответа основного сервера RADIUS истекает.

    • Failover Peer IP IP-адрес резервного сервера аутентификации RADIUS.

    • Allow Badly Formed RADIUS Packets. Этот параметр разрешает клиенту аутентификации RADIUS игнорировать ошибки в неверно сформированных ответах аутентификации RADIUS, если они содержат код успеха или неудачи. Это может потребоваться для совместимости со старыми серверами RADIUS.

    nac-inband-remote-vpn-15.gif

  15. Чтобы включить функцию Single Sign-On (SSO) на сервере CAS, выполните следующие действия.

    1. Выберите Device Management> CCA Servers и выберите сервер (в этом случае 10.10.20.162).

    2. Откройте вкладку "Authentication" и выберите VPN Auth.

    3. Установите флажки Single Sign-On и Auto Logout и введите порт учета RADIUS (поддерживается только порт 1813).

    nac-inband-remote-vpn-16.gif

  16. Во вкладке "VPN Concentrators" введите данные модуля ASA и нажмите Add VPN Concentrator.

    nac-inband-remote-vpn-17.gif

  17. Во вкладке "Accounting Servers" введите данные сервера учета RADIUS и нажмите Add Accounting Server.

    nac-inband-remote-vpn-18.gif

  18. На вкладке "Accounting Mapping" выберите модуль ASA в раскрывающемся списке "VPN Concentrator" (в этом примере asa1.cisco.com [10.10.20.100]), а затем выберите сервер учета (Accounting Server) (в этом примере acs1.cisco.com [172.18.85.181:1813]).

    nac-inband-remote-vpn-19.gif

Конфигурация Cisco ASA

В этом разделе приводятся инструкции по настройке модуля Cisco ASA с помощью ASDM. Мастер VPN позволяет настроить базовые соединения VPN между локальными сетями, а также соединения VPN для удаленного доступа. Используйте приложение ASDM для изменения и настройки расширенных функций.

  1. Выберите Configuration> VPN и нажмите Launch VPN Wizard для запуска Мастера VPN.

    nac-inband-remote-vpn-20.gif

  2. На панели "VPN Tunnel Type" выберите тип туннеля VPN (удаленный доступ или соединение локальных сетей) и определите интерфейс, который будет подключаться к удаленному узлу IPsec.

    Нажмите Remote Access, чтобы создать конфигурацию, обеспечивающую безопасный удаленный доступ для клиентов VPN, например для мобильных пользователей. Этот параметр предоставляет удаленным пользователям безопасный доступ к централизованным сетевым ресурсам. Когда вы выбираете этот параметр, мастер VPN отображает последовательность панелей, которые позволяют ввести атрибуты, необходимые для создания сети VPN удаленного доступа.

    Выберите интерфейс, который будет создавать безопасный туннель к удаленному узлу IPsec (в этом примере используется внешний интерфейс, поскольку клиенты VPN подключаются через Интернет). Если модуль устройство безопасности имеет несколько интерфейсов, необходимо спланировать конфигурацию VPN перед запуском мастера и определить интерфейс для каждого удаленного узла IPsec, к которому вы планируете создать безопасное подключение. Настройте входящие сеансы IPsec на обход списков доступа интерфейсов. Это позволяет разрешить всем аутентифицированным входящим сеансам IPsec проходить через устройство безопасности (т. е. без проверки инструкций списка доступа). Учтите, что входящие сеансы обходят только списки контроля доступа (ACL) интерфейсов. Настроенные групповые политики, пользовательские и загруженные списки контроля доступа будут действовать. Нажмите кнопку Next.

    nac-inband-remote-vpn-21.gif

  3. Выберите тип клиента для удаленного доступа. В этом примере выбран вариант Cisco VPN Client Release 3.x or higher, or other Easy VPN Remote product, так как клиенты используют Cisco VPN Client. Нажмите кнопку Next.

    nac-inband-remote-vpn-22.gif

  4. В этом примере для аутентификации туннелей используются предварительные общие ключи . Введите предварительный общий ключ (в этом примере cisco123) и имя туннельной группы VPN (в этом примере vpngroup). Нажмите кнопку Next.

    nac-inband-remote-vpn-23.gif

  5. На панели "Client Authentication" выберите метод аутентификации удаленных пользователей, который будет использоваться в устройстве безопасности. В этом примере аутентификация клиентов выполняется с помощью сервера RADIUS. Нажмите New, чтобы настроить новую группу серверов AAA.

    nac-inband-remote-vpn-24.gif

  6. Введите следующие данные, чтобы создать группу серверов AAA, которая содержит только один сервер:

    • Server Group Name. Введите имя группы серверов. Это имя сопоставляется пользователям, которые будут аутентифицироваться на этом сервере. Значение "Server Group Name" в этом примере — authgroup.

    • Authentication Protocol. Выберите протокол, который будет использоваться на сервере. В этом примере используется протокол RADIUS.

    • Server IP Address. Введите IP-адрес сервера AAA. В этом примере адрес сервера RADIUS — 172.18.124.101.

    • Interface. Выберите интерфейс устройства безопасности, на котором будет работать сервер AAA. В этом примере сервер AAA работает на внутреннем интерфейсе.

    • Server Secret Key. Введите буквенно-цифровое ключевое слово длиной до 127 символов (с учетом регистра). Сервер и устройство безопасности будут использовать это ключевое слово для шифрования данных, передаваемых между ними. Ключи на сервере и устройстве безопасности должны быть одинаковыми. В ключевом слове можно использовать специальные символы, но не пробелы.

    • Confirm Server Secret Key. Введите секретный ключ повторно.

    nac-inband-remote-vpn-25.gif

  7. Настройте пул адресов, которые будут назначаться клиентам VPN. Нажмите New, чтобы создать новый пул.

    nac-inband-remote-vpn-26.gif

  8. Введите имя пула, диапазон адресов и маску подсети.

    nac-inband-remote-vpn-27.gif

  9. Используйте окно "Attributes Pushed to Client (Optional)", чтобы заставить устройство безопасности передавать данные о DNS- и WINS-серверах, а также имени домена по умолчанию, клиентам удаленного доступа. Введите данные о первичном и вторичном DNS- и WINS-серверах. Кроме того, введите имя домена по умолчанию.

    nac-inband-remote-vpn-28.gif

  10. Используйте окно "IKE Policy", чтобы задать параметры согласования IKE фазы 1. В этом примере в качестве политики IKE для клиентов VPN используются функции 3DES, SHA и Diffie-Hellman Group 2.

    nac-inband-remote-vpn-29.gif

  11. Используйте окно "IPSec Encryption and Authentication", чтобы выбрать методы шифрования и аутентификации для согласования IKE фазы 2, в ходе которого создается безопасный туннель VPN. В этом примере используются методы 3DES и SHA.

    nac-inband-remote-vpn-30.gif

  12. Используйте окно "Address Translation Exemption (Optional)", чтобы задать локальные хосты и сети, не требующие преобразования адресов.

    По умолчанию устройство безопасности скрывает фактические IP-адреса внутренних хостов и сетей от внешних хостов с помощью преобразования сетевых адресов (NAT). Функция NAT снижает риски атак от недоверенных внешних хостов, но может быть неприемлема для пользователей, аутентифицированных и защищенных VPN.

    Например, IP-адрес внутреннего хоста, использующего динамическое преобразование адресов (NAT), преобразован. Это значит, что ему сопоставлен случайный адрес из пула. Во внешней сети будет виден только преобразованный адрес. Удаленные клиенты VPN, которые пытаются достичь этих хостов, отправляя данные по их фактическим IP-адресам, не смогут подключиться, если вы не настроите правило исключения NAT.

    nac-inband-remote-vpn-31.gif

  13. Убедитесь в точности информации с помощью окна "Summary" и нажмите Finish.

    nac-inband-remote-vpn-32.gif

  14. Этот этап крайне важен. Модулю Cisco ASA необходимо отправлять сообщения учета RADIUS серверу CAS для поддержки функции SSO и проверки обеспечения безопасности.

    Выполните следующие действия, чтобы добавить новую группу серверов AAA.

    1. Выберите Configuration > Properties > AAA Setup > AAA Server Groups и нажмите Add.

    2. Введите имя группы серверов (в этом примере CAS_Accounting).

    3. Выберите протокол RADIUS.

    4. Убедитесь, что режим учета (Accounting Mode) установлен на Single и режим повторной активации (Reactivation Mode) установлен на Depletion.

    5. Нажмите кнопку ОК.

    nac-inband-remote-vpn-33.gif

  15. Добавьте новую запись сервера AAA. В этом примере сервер AAA — это IP-адрес сервера CAS (10.10.20.162), который работает на внутреннем интерфейсе. Настройте порт аутентификации (1812) и порт учета (1813) сервера. Нажмите кнопку ОК.

    nac-inband-remote-vpn-34.gif

    Новая группа серверов AAA и новый сервер AAA отображаются так, как показано на этом окне.

    nac-inband-remote-vpn-35.gif

  16. Выполните следующие действия, чтобы добавить сервер CAS в качестве сервера учета для настраиваемой группы VPN (в этом примере vpngroup).

    1. Выберите Configuration > VPN > General > Tunnel Group.

    2. Выберите туннельную группу.

    3. Нажмите Edit.

    nac-inband-remote-vpn-36.gif

  17. На вкладке "Accounting" выберите новую группу серверов AAA в раскрывающемся меню "Accounting Server Group" (в этом примере CAS_Accounting).

    nac-inband-remote-vpn-37.gif

Конфигурация ASA в интерфейсе командной строки

ASA-1#show running-config
: Saved
:
ASA Version 7.2(1)
!
hostname ASA-1
domain-name cisco.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
dns-guard
!
interface GigabitEthernet0/0
description Outside Interface Facing the Internet
nameif outside
security-level 0
ip address 209.165.200.225 255.255.255.0
!
interface GigabitEthernet0/1
description Inside Interface
nameif inside
security-level 100
ip address 10.10.20.100 255.0.0.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 172.18.85.174 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa721-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name cisco.com
access-list outside_cryptomap extended permit ip any 10.10.55.0 255.255.255.0
access-list something extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
mtu management 1500
ip local pool pool1 10.10.55.1-10.10.55.254 mask 255.255.255.0
no failover
icmp permit any inside
icmp permit any management
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
access-group something in interface outside
access-group something in interface inside
route inside 172.18.85.181 255.255.255.255 10.10.20.1 1
route inside 0.0.0.0 0.0.0.0 10.10.20.1 tunneled
route outside 0.0.0.0 0.0.0.0 209.165.200.226 1
route inside 172.18.85.0 255.255.255.0 10.10.20.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
aaa-server authgroup protocol radius
aaa-server authgroup host 172.18.85.181
timeout 5
key cisco123
authentication-port 1812
accounting-port 1813
aaa-server test protocol radius
aaa-server test host 10.10.20.162
key cisco123
accounting-port 1813
aaa-server CAS_Accounting protocol radius
aaa-server CAS_Accounting host 10.10.20.162
key cisco123
authentication-port 1812
accounting-port 1813
radius-common-pw cisco123
group-policy vpngroup internal
group-policy vpngroup attributes
wins-server value 172.18.108.40 172.18.108.41
dns-server value 172.18.108.40 172.18.108.41
vpn-tunnel-protocol IPSec
default-domain value cisco.com
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
http 0.0.0.0 0.0.0.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set FirstSet esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto map abcmap 1 set peer 202.83.212.69
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group vpngroup type ipsec-ra
tunnel-group vpngroup general-attributes
address-pool pool1
authentication-server-group authgroup
accounting-server-group CAS_Accounting
default-group-policy vpngroup
tunnel-group vpngroup ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 5
console timeout 0
!
class-map class_sip_tcp
match port tcp eq sip
class-map class_sip_udp
match port udp eq sip
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect sqlnet
inspect sunrpc
inspect tftp
inspect xdmcp
class class_sip_tcp
inspect sip
class class_sip_udp
inspect sip
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8e30f7ade3dcb3d1ae0da79a9d94371e
: end
[OK]

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения