Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA/PIX 8.x: Проверка подлинности RADIUS (ACS 4.x) для Доступа VPN с помощью Загружаемого списка ACL с CLI и Примером конфигурации ASDM

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (10 февраля 2011) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В настоящем документе описана настройка устройства защиты для выполнения аутентификации пользователей, получающих доступ к сети. Поскольку авторизацию RADIUS можно разрешить в неявной форме, в этом разделе не освещается настройка авторизации RADIUS на устройстве защиты. Здесь проиллюстрирована обработка устройством защиты сведений, полученных от серверов RADIUS.

Сервер RADIUS можно настроить для загрузки списка доступа в устройство защиты или использования именованного списка контроля доступа во время аутентификации. Пользователю разрешаются только те действия, которые разрешены в определенном для него списке доступа.

При использовании сервера Cisco Secure ACS для назначения соответствующих списков контроля доступа отдельным пользователям наиболее масштабируемым решением будут загружаемые списки контроля доступа. Функции загружаемых списков контроля доступа и система Cisco Secure ACS более подробно рассмотрены в документах Настройка сервера RADIUS для отправки загружаемых списков контроля доступа иЗагружаемые списки контроля доступа IP.

Обратитесь к ASA 8.3 и Позже: Проверка подлинности RADIUS (ACS 5.x) для Доступа VPN Использование Загружаемого списка ACL с CLI и Примером конфигурации ASDM для одинаковой конфигурации на Cisco ASA с версиями 8.3 и позже.

Предварительные условия

Требования

В этом документе предполагается, что устройство адаптивной защиты полностью исправно и в нем разрешено изменение конфигурации с помощью Cisco ASDM или интерфейса командной строки.

Примечание: Обратитесь к документу Разрешение HTTPS-доступа для ASDM или PIX/ASA 7. x : Пример настройки SSH на внутреннем и внешнем интерфейсах для удаленной настройки устройства по протоколам ASDM или Secure Shell (SSH).

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • ПО устройств адаптивной защиты Cisco версии 7.x и более поздних версий

  • Диспетчер многофункциональных устройств защиты Adaptive Security Device Manager (ASDM) версии 5.x и более поздних версий

  • Cisco VPN Client версии 4.x или выше

  • Cisco Secure Access Control Server 4.x

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эти настройки также могут быть использованы в устройствах защиты Cisco PIX, начиная с версий 7.x.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Загружаемые списки контроля доступа (ACL) для протокола IP можно использовать для создания наборов определений ACL, действующих для множества пользователей или групп пользователей. Эти наборы определений ACL называются содержимым ACL. Дополнительно можно задействовать фильтры NAF, позволяющие контролировать содержимое списков ACL, отправляемых клиенту AAA, из которого осуществляет доступ пользователь. Таким образом, загружаемый список контроля доступа IP содержит одно или несколько определений содержимого ACL, каждое из которых связано с NAF или (по умолчанию) со всеми клиентами AAA. NAF контролирует применимость указанного содержимого ACL согласно IP-адресу клиента AAA. Подробное описание фильтров NAF и их применения для регулирования загружаемых списков IP ACL см. в разделе Обзор фильтров доступа к сети.

Загружаемые списки контроля доступа IP работают следующим образом:

  1. Когда сервер ACS предоставляет пользователю доступ к сети, сервер определяет, назначен ли этому пользователю или группе пользователей загружаемый список контроля доступа IP.

  2. Когда сервер ACS находит загружаемый список контроля доступа IP, назначенный пользователю или группе пользователей, то для клиента AAA, отправившего запрос аутентификации RADIUS, сервер проверяет наличие записи содержимого ACL.

  3. Сервер ACS в рамках пользовательского сеанса отправляет пакет RADIUS «access-accept», определяющий атрибут именованного списка контроля доступа и версию именованного списка контроля доступа.

  4. Если клиент AAA отвечает, что в его кэше отсутствует текущая версия списка контроля доступа, т.е. что список контроля доступа является новым или измененным, то система управления доступом отправляет устройству список контроля доступа (новый или обновленный).

Загружаемые списки контроля доступа IP представляют собой альтернативу настройке списков контроля доступа в атрибуте Cisco RADIUS «cisco-av-pair» [26/9/1] для каждого пользователя или группы. Можно один раз создать загружаемый список контроля доступа IP, присвоить ему имя и затем назначать загружаемый список контроля доступа IP каждому подходящему пользователю или группе через ссылку на его имя. Этот способ более эффективен по сравнению с настройкой атрибута Cisco RADIUS «cisco-av-pair» для каждого пользователя или группы пользователей.

Кроме того, в случае использования фильтров NAF имеется возможность применить различное содержимое ACL к одному и тому же пользователю или группе в отношении используемого ими клиента AAA. После настройки клиента AAA для использования загружаемых списков контроля доступа IP от сервера ACS дополнительная настройка клиента не требуется. Загружаемые списки контроля доступа защищены действующим режимом резервирования или копирования данных.

При вводе определений ACL в web-интерфейсе ACS не используйте ключевые слова или имена записей; во всем остальном используйте стандартный синтаксис ACL и семантику для клиента AAA, на котором предполагается применять загружаемый список контроля доступа IP. Определения ACL, введенные в системе управления доступом, содержат одну или несколько команд ACL. Каждая команда ACL должна находиться на отдельной строке.

К загружаемому списку контроля доступа IP можно добавить один или несколько именованных наборов содержимого ACL. По умолчанию каждый набор содержимого ACL действует для всех клиентов AAA, но в случае определения фильтров NAF возможно ограничить действие каждого набора содержимого ACL клиентами AAA, перечисленными в соответствующем фильтре NAF. Таким образом, применение NAF позволяет применять каждый набор содержимого ACL в пределах одного загружаемого списка контроля доступа IP к нескольким различным сетевым устройствам или группам сетевых устройств в соответствии со стратегией безопасности сети.

Кроме того, можно изменить порядок содержимого ACL в загружаемом списке контроля доступа IP. Сервер ACL рассматривает наборы содержимого ACL с начала таблицы и загружает первое найденное фильтром NAF содержимое ACL, которое включает в себя используемый клиент AAA. При задании порядка можно оптимизировать систему, разместив наиболее часто применимое содержимое ACL в верхних позициях списка. Следует учесть, что если фильтры NAF содержат перекрывающиеся множества клиентов AAA, то необходимо придерживаться порядка «от частного к общему». Например, ACS загрузит любое содержимое ACL с настройкой «All-AAA-Clients» и не будет рассматривать позиции, находящиеся ниже в списке.

Для использования загружаемого списка контроля доступа IP на конкретном клиенте AAA клиент AAA должен отвечать следующим условиям:

  • Применение протокола RADIUS для аутентификации

  • Поддержка загружаемых списков контроля доступа IP

Ниже приведены примеры устройств Cisco, поддерживающих загружаемые списки контроля доступа IP:

  • Устройства ASA и PIX

  • Концентраторы VPN серии 3000

  • Устройства с IOS версии 12.3(8)T и выше

Пример формата, который необходимо использовать для ввода списков ACL VPN 3000/ASA/PIX 7.x+ в поле ACL Definitions:

permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1 
permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255 
permit 0 any host 10.159.1.22 
deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log 
permit TCP any host 10.160.0.1 eq 80 log 
permit TCP any host 10.160.0.2 eq 23 log 
permit TCP any host 10.160.0.3 range 20 30 
permit 6 any host HOSTNAME1 
permit UDP any host HOSTNAME2 neq 53 
deny 17 any host HOSTNAME3 lt 137 log 
deny 17 any host HOSTNAME4 gt 138 
deny ICMP any 10.161.0.0 0.0.255.255 log 
permit TCP any host HOSTNAME5 neq 80 

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/110119/asa-vpn-acs1.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918, которые использовались в лабораторной среде.

Настройка VPN для удаленного доступа (IPSec)

Порядок действий в диспетчере ASDM

Выполните эти шаги, чтобы настроить удаленный доступ через сеть VPN:

  1. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Policies > Add (Конфигурация > VPN для удаленного доступа > Сетевой (клиентский) доступ > Дополнительно > IPSec > Политики IKE > Добавить), чтобы создать политику ISAKMP.

    asa-vpn-acs2.gif

  2. Введите сведения о политике ISAKMP, как показано на рисунке.

    /image/gif/paws/110119/asa-vpn-acs3.gif

    Нажмите кнопку OK и Apply.

  3. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Parameters (Конфигурация > VPN для удаленного доступа > Сетевой (клиентский) доступ > Дополнительно > IPSec > Параметры IKE), чтобы включить IKE на внешнем интерфейсе.

    asa-vpn-acs4.gif

  4. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IPSec Transform Sets > Add (Конфигурация > VPN для удаленного доступа > Сетевой (клиентский) доступ > Дополнительно > IPSec > Наборы преобразований IPSec > Добавить), чтобы создать набор преобразований ESP-3DES-SHA, как показано на рисунке.

    /image/gif/paws/110119/asa-vpn-acs5.gif

    Нажмите кнопку OK и Apply.

  5. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > Crypto Maps > Add (Конфигурация > VPN для удаленного доступа > Сетевой (клиентский) доступ > Дополнительно > IPSec > Криптографические карты > Добавить), чтобы создать криптографическую карту с приоритетом динамической политики равным 1, как показано на рисунке.

    /image/gif/paws/110119/asa-vpn-acs6.gif

    Нажмите кнопку OK и Apply.

  6. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools (Конфигурация > VPN для удаленного доступа > Сетевой (клиентский) доступ > Назначение адресов > Пулы адресов) и нажмите кнопку Add (Добавить), чтобы добавить VPN Client для пользователей этого клиента.

    asa-vpn-acs7.gif

  7. Для добавления имени группы серверов AAA и протокола выберите Configuration > Remote Access VPN > AAA Setup > AAA Server Groups (Конфигурация > VPN для удаленного доступа > Настройка AAA > Группы серверов AAA) и нажмите кнопку Add (Добавить).

    asa-vpn-acs8.gif

    Добавьте IP-адреса сервера AAA (ACS) и интерфейс, по которому он подключен. Также добавьте секретный ключ сервера в разделе RADIUS Parameters (Параметры RADIUS). Нажмите кнопку ОК.

    asa-vpn-acs9.gif

  8. Последовательно выберите Configuration > Remote Access VPN > Network (Client) Access > IPSec Connection Profiles > Add (Конфигурация > VPN для удаленного доступа > Сетевой (клиентский) доступ > Профили подключений IPSec > Добавить), чтобы добавить группу туннеля, например TunnelGroup1, и предварительно согласованный ключ cisco123, как показано на рисунке.

    asa-vpn-acs10.gif

    • На вкладке Basic (Основные параметры) в поле User Authentication (Аутентификация пользователей) укажите группу серверов vpn.

    • Выберите vpnclient в качестве пула клиентских адресов (Client Address Pools) для пользователей VPN Client.

    asa-vpn-acs11.gif

    Нажмите кнопку ОК.

  9. Включите внешний интерфейс для доступа IPSec. Для продолжения нажмите кнопку Apply (Применить).

    asa-vpn-acs12.gif

Настройка ASA/PIX в интерфейсе командной строки

Для настройки сервера DHCP на предоставление IP-адресов VPN-клиентам из командной строки выполните следующие шаги. Дополнительные сведения о каждой из используемых команд см. в документах Настройка сетей VPN для удаленного доступа и Справочник по командам устройств адаптивной защиты Cisco ASA серии 5500.

Рабочая конфигурация на устройстве ASA
ASA# sh run
ASA Version 8.0(2)
!

!--- Specify the hostname for the Security Appliance.

hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!


!--- Configure the outside and inside interfaces.

interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif DMZ
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0

!--- Output is suppressed.


passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive

access-list 101 extended permit ip 10.1.1.0 255.255.255.0 
   192.168.5.0 255.255.255.0

!--- Radius Attribute Filter 

access-list new extended deny ip any host 10.1.1.2
access-list new extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500

ip local pool vpnclient1 192.168.5.1-192.168.5.10 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1


!--- Specify the location of the ASDM image for ASA 
   to fetch the image for ASDM access.

asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400

global (outside) 1 192.168.1.5
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy

!--- Create the AAA server group "vpn" and specify the protocol as RADIUS.
!--- Specify the CSACS server as a member of the "vpn" group and provide the
!--- location and key.

aaa-server vpn protocol radius
 max-failed-attempts 5
aaa-server vpn (DMZ) host 172.16.1.1
 retry-interval 1
 timeout 30
 key cisco123
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.  
!--- A Triple DES encryption with
!--- the sha hash algorithm is used.


crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac


!--- Defines a dynamic crypto map with 
!--- the specified encryption settings.


crypto dynamic-map outside_dyn_map 1 set transform-set ESP-3DES-SHA


!--- Binds the dynamic map to the IPsec/ISAKMP process.


crypto map outside_map 1 ipsec-isakmp dynamic outside_dyn_map


!--- Specifies the interface to be used with 
!--- the settings defined in this configuration.

crypto map outside_map interface outside


!--- PHASE 1 CONFIGURATION ---!

!--- This configuration uses ISAKMP policy 2.   
!--- The configuration commands here define the Phase 
!--- 1 policy parameters that are used.

crypto isakmp enable outside

crypto isakmp policy 2
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400

no crypto isakmp nat-traversal

telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
!
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol IPSec webvpn
group-policy GroupPolicy1 internal

!--- Associate the vpnclient pool to the tunnel group using the address pool.
!--- Associate the AAA server group (VPN) with the tunnel group.


tunnel-group TunnelGroup1 type remote-access
tunnel-group TunnelGroup1 general-attributes
 address-pool vpnclient
 authentication-server-group vpn


!--- Enter the pre-shared-key to configure the authentication method.

tunnel-group TunnelGroup1 ipsec-attributes
 pre-shared-key *

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#

Настройка VPN-клиента Cisco VPN Client

Попробуйте подключиться к маршрутизатору Cisco с помощью VPN-клиента Cisco VPN Client, чтобы убедиться, что устройство ASA настроено правильно.

  1. Выберите Пуск > Программы > Cisco Systems VPN Client > VPN Client.

  2. Нажмите кнопку New (Создать), чтобы открыть окно Create New VPN Connection Entry (Создание записи нового VPN-подключения).

    /image/gif/paws/110119/asa-vpn-acs13.gif

  3. Введите данные нового подключения.

    Введите имя записи и описание подключения. Введите внешний IP-адрес устройства ASA в поле Host (Хост). {\f3 Затем введите имя (TunnelGroup1) группы туннеля сети VPN и пароль (предварительно согласованный ключ }—{\f3 cisco123) в том виде, в котором они настроены в ASA.} Нажмите Save.

    /image/gif/paws/110119/asa-vpn-acs14.gif

  4. Выберите подключение, которое необходимо использовать, и нажмите Connect (Подключить) в главном окне клиента VPN Client.

    /image/gif/paws/110119/asa-vpn-acs15.gif

  5. При появлении приглашения введите имя пользователя Username : cisco и пароль Password : password1 в соответствии с настройками xauth в устройстве ASA, затем нажмите кнопку OK для подключения к удаленной сети.

    /image/gif/paws/110119/asa-vpn-acs16.gif

  6. ПО VPN Client соединится с устройством ASA на центральном узле.

    /image/gif/paws/110119/asa-vpn-acs17.gif

  7. После успешного установления соединения выберите пункт Statistics (Статистика) в меню Status (Состояние), чтобы проверить данные туннеля.

    /image/gif/paws/110119/asa-vpn-acs18.gif

Настройка ACS для загружаемых списков ACL отдельного пользователя

На сервере Cisco Secure ACS можно настроить загружаемые списки контроля доступа в качестве общего компонента профиля и затем назначить список контроля доступа группе пользователей или отдельному пользователю.

Для реализации динамических списков контроля доступа необходимо настроить их поддержку на сервере RADIUS. Когда пользователь проходит аутентификацию, сервер RADIUS отправляет устройству защиты загружаемый список контроля доступа или имя списка контроля доступа. Список контроля доступа либо разрешает, либо запрещает доступ к данной службе. Устройство защиты удаляет список контроля доступа по истечении сеанса аутентификации.

В этом примере пользователь сети IPSec VPN «cisco» успешно проходит аутентификацию, и сервер RADIUS отправляет загружаемый список контроля доступа устройству защиты. Пользователю «cisco» доступен только сервер 10.1.1.2. Доступ к остальным ресурсам запрещен. Для подтверждения ACL посмотрите Загружаемый список ACL для Пользователя/Раздела группы.

Для настройки RADIUS в Cisco Secure ACS нужно выполнить следующие действия.

  1. Слева выберите Network Configuration (Настройка сети) и щелкните мышью Add Entry (Добавить запись) для добавления записи устройства ASA в базу данных сервера RADIUS.

    /image/gif/paws/110119/asa-vpn-acs19.gif

  2. В поле «Client IP address» (IP-адрес клиента) введите 172.16.1.2, а в поле Shared Secret Key (Общий секретный ключ) введите «cisco123». В раскрывающемся списке Authenticate Using (Средство аутентификации) выберите RADIUS (Cisco VPN 3000/ASA/PIX 7.x+). Щелкните Submit (отправить)..

    /image/gif/paws/110119/asa-vpn-acs20.gif

  3. В поле User введите имя пользователя в базе данных службы Cisco Secure, затем нажмите Add/Edit (Добавить/Редактировать).

    {\f3 В этом примере имя пользователя }—{\f3 cisco}{\f3 .}

    /image/gif/paws/110119/asa-vpn-acs21.gif

  4. В следующем окне введите пароль для пользователя «cisco». {\f3 В данном примере пароль также }—{\f3 password1}{\f3 .} По завершении нажмите кнопку Submit (Отправить).

    /image/gif/paws/110119/asa-vpn-acs22.gif

  5. Страница Advanced Options (Дополнительные параметры) позволяет задать состав дополнительных параметров, отображаемых сервером ACS. Скрыв неиспользуемые дополнительные параметры, можно упростить вид страниц, отображаемых в других местах web-интерфейса сервера ACS. Для перехода на страницу Advanced Options (Дополнительные параметры) выберите Interface Configuration (Настройка интерфейса), затем выберите Advanced Options (Дополнительные параметры).

    asa-vpn-acs23.gif

    Отметьте флажки User-Level Downloadable ACLs (Загружаемые списки контроля доступа уровня пользователя) и Group-Level Downloadable ACLs (Загружаемые списки контроля доступа уровня группы).

    Флажок User-Level Downloadable ACLs (Загружаемые списки контроля доступа уровня пользователя) вводит в действие раздел Downloadable ACLs (Загружаемые списки контроля доступа) страницы User Setup (Настройка пользователей).

    Флажок Group-Level Downloadable ACLs (Загружаемые списки контроля доступа уровня группы) вводит в действие раздел Downloadable ACLs (Загружаемые списки контроля доступа) страницы Group Setup (Настройка групп).

  6. На панели навигации выберите Shared Profile Components (Компоненты общего профиля) Downloadable IP ACLs (Загружаемые списки контроля доступа IP).

    Примечание: Если Загружаемые списки контроля доступа IP не появляются на странице Shared Profile Components, необходимо включить Загружаемые списки ACL Пользовательского уровня, опцию Group-Level Downloadable ACLs или обоих на странице Advanced Options раздела Конфигурации интерфейса.

    /image/gif/paws/110119/asa-vpn-acs24.gif

  7. Нажмите Add. Появится страница Downloadable IP ACLs (Загружаемые списки контроля доступа).

    /image/gif/paws/110119/asa-vpn-acs25.gif

  8. В поле Name (Название) введите название нового списка контроля доступа IP.

    Примечание: Название ACL IP может содержать до 27 символов. В названии не допускаются пробелы и следующие символы: {\f3 дефис (-), открывающая квадратная скобка ([), закрывающая квадратная скобка (]), дробь (/), наклонная черта влево (\), кавычки ("), левая угловая скобка (<), правая угловая скобка (>) и тире (}–{\f3 ).}

    В поле Description (Описание) введите описание нового списка контроля доступа IP. {\f3 Длина описания }—{\f3 до 1} {\f3 000 символов.}

    asa-vpn-acs26.gif

    Для добавления содержимого ACL в новый список IP ACL нажмите кнопку Add (Добавить).

  9. В поле Name (Название) введите название нового содержимого ACL.

    Примечание: Название содержания ACL может содержать до 27 символов. В названии не допускаются пробелы и следующие символы: {\f3 дефис (-), открывающая квадратная скобка ([), закрывающая квадратная скобка (]), дробь (/), наклонная черта влево (\), кавычки ("), левая угловая скобка (<), правая угловая скобка (>) и тире (}–{\f3 ).}

    В поле ACL Definitions (Определения ACL) введите новое определение ACL.

    Примечание: При вводе Определений ACL в веб-интерфейс ACS не используйте ключевое слово или записи имени; скорее начните с разрешения или запретите ключевое слово.

    Для сохранения содержимого ACL нажмите кнопку Submit (Отправить).

    /image/gif/paws/110119/asa-vpn-acs27.gif

  10. Появится страница списков контроля доступа IP со списком нового содержимого ACL по названиям в столбце ACL Contents (Содержимое ACL). Для связывания NAF с содержимым ACL выберите NAF в поле Network Access Filtering (Фильтрация доступа в сеть) справа от нового содержимого ACL. По умолчанию фильтр NAF имеет значение (All-AAA-Clients). В отсутствие назначения NAF сервер ACS связывает содержимое ACL со всеми сетевыми устройствами. Это состояние по умолчанию.

    /image/gif/paws/110119/asa-vpn-acs28.gif

    Для задания порядка содержимого ACL выберите переключатель с определением ACL, затем нажмите кнопку Up (Вверх) или Down (Вниз) для изменения положения позиции в списке.

    Для сохранения IP ACL нажмите кнопку Submit (Отправить).

    Примечание: Заказ содержания ACL является значительным. Просматривая список сверху вниз, сервер ACS загружает только первое определение ACL с подходящей настройкой NAF, включая настройку All-AAA-Clients по умолчанию, если таковая используется. Как правило, список наборов содержимого ACL составляется в порядке от наиболее строгих (конкретных) фильтров NAF к наиболее общим фильтрам NAF (All-AAA-Clients).

    Примечание: ACS вводит новый ACL IP, который сразу вступает в силу. Например, список контроля доступа IP ACL, предназначенный для межсетевых экранов PIX, доступен для отправки любому межсетевому экрану PIX, который предпринимает попытку аутентификации пользователя с назначенным этому пользователю или группе загружаемым списком IP ACL.

  11. Нажмите кнопку User Setup (Настройка пользователей) и отредактируйте содержимое страницы User (Пользователь). В разделе Downloadable ACLs (Загружаемые ACL) отметьте флажок Assign IP ACL: (Назначить IP ACL). Выберите список контроля доступа IP ACL из списка. Завершив настройку параметров учетной записи пользователя, запишите их, нажав кнопку Submit (Отправить).

    /image/gif/paws/110119/asa-vpn-acs29.gif

Настройка ACS для загружаемых списков ACL группы

{\f3 Выполните шаги 1}–{\f3 9 раздела }{\f3 Настройка ACS для загружаемых списков ACL отдельного пользователя}{\f3 , затем выполните перечисленные ниже шаги для настройки загружаемого списка ACL для группы в Cisco Secure ACS.}

В этом примере пользователь «cisco» сети VPN на основе IPSec принадлежит группам VPN. Групповые политики VPN применяются ко всем пользователям в группе.

Пользователь «cisco» группы VPN успешно проходит аутентификацию, и сервер RADIUS отправляет загружаемый список контроля доступа устройству защиты. Пользователю «cisco» доступен только сервер 10.1.1.2. Доступ к остальным ресурсам запрещен. Процедура проверки ACL описана в разделе Загружаемый ACL для пользователя или группы.

  1. На панели навигации выберите Group Setup (Настройка групп). Откроется страница Group Setup Select (Выбор группы для настройки).

    asa-vpn-acs30.gif

  2. Переименуйте группу 1 в VPN, после чего нажмите Submit (Отправить).

    /image/gif/paws/110119/asa-vpn-acs31.gif

  3. Выберите группу из списка, затем щелкните Edit Settings (Редактировать настройки).

    /image/gif/paws/110119/asa-vpn-acs32.gif

  4. В разделе Downloadable ACLs (Загружаемые ACL) отметьте флажок Assign IP ACL (Назначить IP ACL). Выберите список контроля доступа IP ACL из списка.

    /image/gif/paws/110119/asa-vpn-acs33.gif

  5. Для сохранения выполненных настроек группы нажмите кнопку Submit.

  6. Перейдите в раздел User Setup (Настройка пользователей) и отредактируйте пользователя, которого необходимо добавить в группу: VPN. По завершении нажмите кнопку Submit (Отправить).

    /image/gif/paws/110119/asa-vpn-acs34.gif

    Теперь для пользователя будет действовать загружаемый список контроля доступа, настроенный для группы VPN.

  7. Чтобы определить другие настройки группы, выполните соответствующие другие процедуры, описанные в этой главе

Настройка параметров IETF RADIUS для группы пользователей

{\f3 Чтобы при прохождении пользователем аутентификации загружать с сервера RADIUS название списка контроля доступа, созданного на устройстве защиты, настройте атрибут IETF RADIUS filter-id (атрибут }{\f7 № }{\f3 11) следующим образом:}

filter-id=acl_name

Пользователь группы VPN «cisco» успешно проходит аутентификацию, и сервер RADIUS загружает название списка ACL («new»), созданного ранее на устройстве защиты. Пользователь «cisco» может получить доступ ко всем устройствам в сети ASA, кроме сервера 10.1.1.2. Для подтверждения ACL посмотрите раздел ACL Filter-Id.

Обратимся к примеру: для фильтрации на устройстве ASA настраивается ACL с именем new.

access-list new extended deny ip any host 10.1.1.2
access-list new extended permit ip any any

Эти параметры присутствуют только при условии. Настройки

  • Клиента AAA для использования одного из протоколов RADIUS в сетевой конфигурации

  • Атрибутов RADIUS уровня группы на странице RADIUS (IETF) в разделе Interface Configuration (Настройка интерфейса) web-интерфейса

Атрибуты RADIUS рассылаются как профиль для каждого пользователя с сервера ACS запрашивающему клиенту AAA.

Для настройки действия атрибута IETF RADIUS в качестве авторизации для каждого пользователя в текущей группе выполните следующие действия:

  1. На панели навигации выберите Group Setup (Настройка групп).

    Откроется страница Group Setup Select (Выбор группы для настройки).

  2. Выберите группу из списка, затем щелкните Edit Settings (Редактировать настройки).

    asa-vpn-acs35.gif

    Название группы отображается вверху страницы Group Settings (Настройки группы).

  3. Пролистайте влево до атрибутов IETF RADIUS. Для каждого атрибута IETF RADIUS необходимо разрешить текущую группу. Отметьте флажок атрибута [011] Filter-Id и затем добавьте название списка ACL, определенное в устройстве ASA (new), в разрешение для атрибута в поле. См. выходные данные команды ASA show running configuration.

    asa-vpn-acs36.gif

  4. Чтобы сохранить выполненные настройки группы и сразу же привести их в действие, нажмите кнопку Submit (Отправить), а затем кнопку Apply (Применить).

    Примечание: Чтобы сохранить параметры группы и применить их позже, нажмите Submit. Когда вы будете готовы ввести изменения в действие, выберите System Configuration > Service Control (Настройка системы > Управление службами). Затем выберите Restart (Перезапуск).

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Команды «show crypto»

  • show crypto isakmp sa—отображает все текущие сопоставления безопасности IKE (SA) на одноранговом узле.

    ciscoasa# sh crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active 
       and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 192.168.10.2
        Type    : user            Role    : responder
        Rekey   : no              State   : AM_ACTIVE
    ciscoasa#
  • show crypto ipsec sa—отображает параметры, используемые текущими SA.

    ciscoasa# sh crypto ipsec sa
    interface: outside
        Crypto map tag: outside_dyn_map, seq num: 1, 
       local addr: 192.168.1.1
    
          local ident (addr/mask/prot/port): 
       (0.0.0.0/0.0.0.0/0/0)
          remote ident (addr/mask/prot/port): 
       (192.168.5.1/255.255.255.255/0/0)
          current_peer: 192.168.10.2, username: cisco
          dynamic allocated peer ip: 192.168.5.1
    
          #pkts encaps: 65, #pkts encrypt: 
       65, #pkts digest: 65
          #pkts decaps: 65, #pkts decrypt: 
       65, #pkts verify: 65
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 4, #pkts comp failed: 
       0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 
       0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, 
       #decapsulated frgs needing reassembly: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 192.168.1.1, 
       remote crypto endpt.: 192.168.10.2
    
          path mtu 1500, ipsec overhead 58, 
       media mtu 1500
          current outbound spi: EEF0EC32
    
        inbound esp sas:
          spi: 0xA6F92298 (2801345176)
             transform: esp-3des esp-sha-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 86016, crypto-map: 
       outside_dyn_map
             sa timing: remaining key lifetime (sec): 
       28647
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0xEEF0EC32 (4008766514)
             transform: esp-3des esp-sha-hmac none
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 86016, crypto-map: 
       outside_dyn_map
             sa timing: remaining key lifetime (sec): 28647
             IV size: 8 bytes
             replay detection support: Y

Загружаемый ACL для пользователя или группы

Проверьте загружаемый список контроля доступа для пользователя Cisco. Список ACL загружается с сервера CSACS.

ciscoasa(config)# sh access-list
access-list cached ACL log flows: total 0, 
   denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list 101; 1 elements
access-list 101 line 1 extended permit ip 10.1.1.0 255.255.255.0 
   192.168.5.0 255.255.255.0 (hitcnt=0) 0x8719a411

access-list #ACSACL#-IP-VPN_Access-49bf68ad; 2 elements (dynamic)
access-list #ACSACL#-IP-VPN_Access-49bf68ad line 1 extended permit 
   ip any host 10.1.1.2 (hitcnt=2) 0x334915fe
access-list #ACSACL#-IP-VPN_Access-49bf68ad line 2 extended deny 
   ip any any (hitcnt=40) 0x7c718bd1

Список ACL с атрибутом Filter-Id

Атрибут [011] Filter-Id был задан для VPN группы, и для пользователей этой группы действует фильтрование согласно списку контроля доступа («new»), определенному на устройстве ASA.

ciscoasa# sh access-list
access-list cached ACL log flows: total 0, 
   denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list 101; 1 elements
access-list 101 line 1 extended permit ip 10.1.1.0 
   255.255.255.0 192.168.5.0 255.255.255.0 
   (hitcnt=0) 0x8719a411
access-list new; 2 elements
access-list new line 1 extended deny ip 
   any host 10.1.1.2 (hitcnt=4) 0xb247fec8
access-list new line 2 extended permit ip any any 
   (hitcnt=39) 0x40e5d57c

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации. Также показан пример выходных данных команды debug.

Примечание: Для получения дополнительной информации об устранении проблем IPSEC VPN Удаленного доступа обратитесь к Решениям для Устранения проблем IPSEC VPN Наиболее распространенного соединения L2L и Удаленного доступа.

Очистка ассоциаций безопасности

При работе по устранению неполадок не забывайте очищать существующие ассоциации безопасности после выполнения изменений. В привилегированном режиме PIX используйте следующие команды:

  • {\f3 clear [crypto] ipsec sa}—{\f3 удаляет все активные ассоциации безопасности IPSec.} Ключевое слово crypto является необязательным. .

  • {\f3 clear [crypto] isakmp sa}—{\f3 удаляет активные ассоциации безопасности IKE.} Ключевое слово crypto является необязательным. .

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  • {\f3 debug crypto ipsec 7}—{\f3 показывает процессы согласования IPSec на 2-м этапе.}

  • debug crypto isakmp 7 — отображает процесс установления связи по протоколу ISAKMP на этапе 1.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 110119