Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 8.3 и позже: проверка подлинности RADIUS (ACS 5.x) для доступа VPN Использование загружаемого списка ACL с CLI и примером конфигурации ASDM

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В настоящем документе описана настройка устройства защиты для выполнения аутентификации пользователей, получающих доступ к сети. Так как можно неявно включить Проверки подлинности RADIUS, этот документ не содержит информации о конфигурации Проверки подлинности RADIUS на устройстве безопасности. Здесь проиллюстрирована обработка устройством защиты сведений, полученных от серверов RADIUS.

Сервер RADIUS можно настроить для загрузки списка доступа в устройство защиты или использования именованного списка контроля доступа во время аутентификации. Пользователю разрешаются только те действия, которые разрешены в определенном для него списке доступа.

Загружаемые списки доступа являются самыми масштабируемыми средствами при использовании сервера Cisco Secure Access Control Server (ACS) для обеспечения соответствующих списков доступа для каждого пользователя. Функции загружаемых списков контроля доступа и система Cisco Secure ACS более подробно рассмотрены в документах Настройка сервера RADIUS для отправки загружаемых списков контроля доступа иЗагружаемые списки контроля доступа IP.

См. ASA/PIX 8. x : Проверка подлинности RADIUS (ACS) для Доступа к сети с помощью Загружаемого списка ACL с CLI и Примером конфигурации ASDM для одинаковой конфигурации на Cisco ASA с версиями 8.2 и ранее.

Предварительные условия

Требования

Этот документ предполагает, что Устройство адаптивной защиты (ASA) полностью в рабочем состоянии и настроено, чтобы позволить Cisco Adaptive Security Device Manager (ASDM) или CLI изменять конфигурацию.

Примечание: См. документ Разрешение HTTPS-доступа для ASDM, чтобы позволить устройству быть удаленно настроенным ASDM или Secure Shell (SSH).

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Версия программного обеспечения 8.3 Cisco ASA и позже

  • Версия Cisco ASDM 6.3 и позже

  • Версия клиентской части Cisco VPN 5.x и позже

  • Cisco Secure ACS 5. x

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Можно использовать загружаемые списки контроля доступа IP для создания наборов Определений ACL, что можно примениться ко многим пользователям или группам пользователей. Эти наборы определений ACL называются содержимым ACL.

Загружаемые списки контроля доступа IP работают следующим образом:

  1. Когда ACS предоставляет пользовательский доступ к сети, ACS определяет, назначен ли загружаемый список контроля доступа IP на Профиль Авторизации в разделе результата.

  2. Если ACS определяет местоположение загружаемого списка контроля доступа IP, который назначен на Профиль Авторизации, ACS передает атрибут (как часть пользовательского сеанса, в пакетах подтверждения доступа RADIUS), который задает именованный список управления доступом (ACL) и версию именованного списка управления доступом (ACL).

  3. Если клиент AAA отвечает, что в его кэше отсутствует текущая версия списка контроля доступа, т.е. что список контроля доступа является новым или измененным, то система управления доступом отправляет устройству список контроля доступа (новый или обновленный).

Загружаемые списки контроля доступа IP представляют собой альтернативу настройке списков контроля доступа в атрибуте Cisco RADIUS «cisco-av-pair» [26/9/1] для каждого пользователя или группы. Можно создать загружаемый список контроля доступа IP однажды, дать ему название, и затем назначить загружаемый список контроля доступа IP на любой Профиль Авторизации при ссылке на его название. Этот метод более эффективен чем при настройке RADIUS атрибут Cisco-av-pair Cisco для Профиля Авторизации.

При вводе определений ACL в web-интерфейсе ACS не используйте ключевые слова или имена записей; во всем остальном используйте стандартный синтаксис ACL и семантику для клиента AAA, на котором предполагается применять загружаемый список контроля доступа IP. Определения ACL, введенные в системе управления доступом, содержат одну или несколько команд ACL. Каждая команда ACL должна находиться на отдельной строке.

В ACS можно определить множественные Загружаемые списки контроля доступа IP и использовать их в других Профилях Авторизации. На основе условий в Правилах авторизации Службы доступа можно передать другие Профили Авторизации, содержащие загружаемые списки контроля доступа IP другим клиентам AAA.

Далее, можно изменить заказ содержания ACL в загружаемом списке контроля доступа IP. ACS исследует содержание ACL, запускающееся с верхних строк таблицы, и загружает первое содержание ACL, которое это находит. При задании порядка можно оптимизировать систему, разместив наиболее часто применимое содержимое ACL в верхних позициях списка.

Для использования загружаемого списка контроля доступа IP на определенном клиенте AAA клиент AAA должен придерживаться этих правил:

  • Применение протокола RADIUS для аутентификации

  • Поддержка загружаемых списков контроля доступа IP

Ниже приведены примеры устройств Cisco, поддерживающих загружаемые списки контроля доступа IP:

  • ASA

  • Устройства Сisco, которые выполняют версию IOS 12.3 (8) T и позже

Это - пример формата, который необходимо использовать для ввода ACL ASA в коробку Определений ACL:

permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1 
permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255 
permit 0 any host 10.159.1.22 
deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log 
permit TCP any host 10.160.0.1 eq 80 log 
permit TCP any host 10.160.0.2 eq 23 log 
permit TCP any host 10.160.0.3 range 20 30 
permit 6 any host HOSTNAME1 
permit UDP any host HOSTNAME2 neq 53 
deny 17 any host HOSTNAME3 lt 137 log 
deny 17 any host HOSTNAME4 gt 138 
deny ICMP any 10.161.0.0 0.0.255.255 log 
permit TCP any host HOSTNAME5 neq 80 

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Схема сети

В настоящем документе используется следующая схема сети:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-01.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918, которые использовались в лабораторной среде.

Настройка VPN для удаленного доступа (IPSec)

Порядок действий в диспетчере ASDM

Выполните эти шаги, чтобы настроить удаленный доступ через сеть VPN:

  1. Выберите Wizards> VPN Wizards> IPsec (IKEv1) Remote Access VPN Wizard из окна Home.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-02.gif

  2. Выберите VPN Tunnel Interface как требуется (Снаружи, в данном примере), и также удостоверьтесь, что флажок рядом с Позволяет сеансам входящих подключений IPSec обойти списки доступа к интерфейсам, проверен.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-03.gif

  3. Выберите VPN Client Type в качестве Cisco VPN Client, Выпуска 3.x или выше. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-04.gif

  4. Выберите Authentication Method и предоставьте Информацию для аутентификации. Методом аутентификации, используемым здесь, является Предварительный общий ключ. Кроме того, предоставьте Имя группы туннелей в предоставленном пространстве. Предварительный общий ключ, используемый здесь, является cisco123, и Именем группы туннелей, используемым здесь, является Туннель Cisco. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-05.gif

  5. Выберите, хотите ли вы, чтобы удаленные пользователи аутентифицировались на базе локальных пользователей или на внешней группе AAA-серверов. Здесь, мы выбираем Используемую аутентификацию группа AAA-серверов. Нажмите New рядом с Полем имени Группы AAA-серверов для создания нового Названия Группы AAA-серверов.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-06.gif

  6. Предоставьте Имя серверной группы, Протокол аутентификации, IP-адрес сервера, Имя интерфейса и Ключ Секретного сервера в соответствующих пробелах, если, и нажимают OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-07.gif

  7. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-08.gif

  8. Определите пул локальных адресов, которые будут динамично назначены на удаленных клиентов VPN, когда они соединятся. Нажмите New для создания нового Пула локального адреса.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-09.gif

  9. В окне Add IP Pool предоставьте имя пула, Запустив IP-адрес, Закончив IP-адрес и Маску подсети. Нажмите кнопку OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-10.gif

  10. Выберите Pool Name от выпадающего списка и нажмите Next. Именем пула для данного примера является Типовой Пул, который был создан в Шаге 9.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-11.gif

  11. Дополнительно: Задайте DNS и информацию сервера WINS и Название Домена по умолчанию, которое будет выдвинуто к удаленным клиентам VPN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-12.gif

  12. Задайте, который, если таковые имеются, внутренние хосты или сети должны быть представлены удаленным пользователям VPN. Нажмите Next после обеспечения Имени интерфейса и сетей, которые будут освобождены в поле Exempt Networks.

    При отъезде этого списка пустым он позволяет удаленным пользователям VPN обращаться ко всей внутренней сети ASA.

    Можно также включить разделенное туннелирование на этом окне. Разделенное туннелирование шифрует трафик к ресурсам, определенным ранее в этой процедуре, и предоставляет дешифрованный доступ к Интернету в целом, не туннелируя тот трафик. Если разделенное туннелирование не включено, весь трафик от удаленных пользователей VPN туннелирован к ASA. Это может стать очень пропускной способностью и сом интенсивной загрузкой процессора, на основе вашей конфигурации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-13.gif

  13. В этом окне показана сводка выполненных действий. Нажмите Завершить, если настройка выполнена правильно.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-14.gif

Настройте ASA с CLI

Это - конфигурация интерфейса командой строки:

Рабочая конфигурация на устройстве ASA
ASA# sh run
ASA Version 8.4(3)
!

!--- Specify the hostname for the Security Appliance.

hostname ciscoasa
enable password y.tvDXf6yFbMTAdD encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!


!--- Configure the outside and inside interfaces.

interface Ethernet0/0
nameif dmz
security-level 50
ip address 192.168.26.13 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!

!--- Output is suppressed.


boot system disk0:/asa843-k8.bin
ftp mode passive

object network NETWORK_OBJ_10.1.1.0_24
subnet 10.1.1.0 255.255.255.0
object network NETWORK_OBJ_10.2.2.0_24
subnet 10.2.2.0 255.255.255.0


access-list OUTIN extended permit icmp any any


!--- This is the Access-List whose name will be sent by 
!--- RADIUS Server(ACS) in the Filter-ID attribute.

access-list new extended permit ip any host 10.1.1.2
access-list new extended deny ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500

ip local pool Sample-Pool 10.2.2.1-10.2.2.254 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1


!--- Specify the location of the ASDM image for ASA 
!--- to fetch the image for ASDM access.

asdm image disk0:/asdm-647.bin
no asdm history enable
arp timeout 14400


!--- Specify the NAT from internal network to the Sample-Pool.

nat (inside,outside) source static 
NETWORK_OBJ_10.1.1.0_24 NETWORK_OBJ_10.1.1.0_24 destination static 
NETWORK_OBJ_10.2.2.0_24 NETWORK_OBJ_10.2.2.0_24 

no-proxy-arp route-lookup

access-group OUTIN in interface outside



!--- Create the AAA server group "ACS5" and specify the protocol as RADIUS.
!--- Specify the ACS 5.x server as a member of the "ACS5" group and provide the
!--- location and key.

aaa-server ACS5 protocol radius
aaa-server ACS5 (dmz) host 192.168.26.51
timeout 5
key *****

aaa authentication http console LOCAL
http server enable 2003
http 0.0.0.0 0.0.0.0 inside



!--- PHASE 2 CONFIGURATION ---!
!--- The encryption & hashing types for Phase 2 are defined here. We are using
!--- all the permutations of the PHASE 2 parameters.  



crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac



!--- Defines a dynamic crypto map with 
!--- the specified transform-sets created earlier. We are specifying all the

!--- transform-sets.
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set 
   ESP-AES-128-SHA ESP-AES-128-MD5 
ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA 
   ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5


!--- Binds the dynamic map to the IPsec/ISAKMP process.


crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP


!--- Specifies the interface to be used with 
!--- the settings defined in this configuration.

crypto map outside_map interface outside


!--- PHASE 1 CONFIGURATION ---!

!--- This configuration uses ISAKMP policies defined with all the permutation    
!--- of the 5 ISAKMP parameters. The configuration commands here define the  
!--- Phase 1 policy parameters that are used.

crypto ikev1 enable outside

crypto ikev1 policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 40
authentication crack
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 60
authentication pre-share
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 70
authentication crack
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 80
authentication rsa-sig
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 90
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 100
authentication crack
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 110
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 120
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 130
authentication crack
encryption des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 140
authentication rsa-sig
encryption des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 150
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400


webvpn
group-policy Cisco-Tunnel internal
group-policy Cisco-Tunnel attributes
vpn-tunnel-protocol ikev1
default-domain value cisco.com
username admin password CdOTKv3uhDhHIw3A encrypted privilege 15

!--- Associate the vpnclient pool to the tunnel group using the address pool.
!--- Associate the AAA server group (ACS5) with the tunnel group.


tunnel-group Cisco-Tunnel type remote-access
tunnel-group Cisco-Tunnel general-attributes
address-pool Sample-Pool
authentication-server-group ACS5
default-group-policy Cisco-Tunnel


!--- Enter the pre-shared-key to configure the authentication method.

tunnel-group Cisco-Tunnel ipsec-attributes
ikev1 pre-shared-key *****

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#

Настройка ACS для загружаемых списков ACL отдельного пользователя

Можно настроить загружаемые списки доступа на Cisco Secure ACS 5.x как Именованный Объект Разрешений и затем назначить его на Профиль Авторизации, который будет выбран в разделе результата Правила в Службе доступа.

В этом примере пользователь сети IPSec VPN «cisco» успешно проходит аутентификацию, и сервер RADIUS отправляет загружаемый список контроля доступа устройству защиты. Пользователю «cisco» доступен только сервер 10.1.1.2. Доступ к остальным ресурсам запрещен. Для проверки ACL посмотрите Загружаемый список ACL для Пользователя/Раздела группы.

Выполните эти шаги для настройки Клиента RADIUS в Cisco Secure ACS 5. x :

  1. Выберите Network Resources> Network Devices и AAA Clients, и нажмите Create для добавления записи для ASA в Базе данных сервера RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-15.gif

  2. Введите локально значительное Имя для ASA (выборка-asa, в данном примере), затем войдите 192.168.26.13 в поле IP address. Выберите RADIUS в разделе Параметров проверки подлинности путем проверки флажка RADIUS и введите cisco123 для поля Shared Secret. Нажмите кнопку Submit (Отправить).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-16.gif

  3. ASA добавлен успешно к серверу RADIUS (ACS) база данных.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-17.gif

  4. Выберите Users и Identity Stores>> Users Internal Identity Stores, и нажмите Create для создания пользователя в локальной базе данных ACS для аутентификации VPN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-18.gif

  5. Введите имя пользователя cisco. Выберите тип пароля как Внутренних пользователей и введите пароль (cisco123 в данном примере). Подтвердите пароль и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-19.gif

  6. Пользовательский Cisco создан успешно.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-20.gif

  7. Для создания Загружаемого списка ACL выберите Policy Elements> Authorization и Permissions> Named Permission Objects> Downloadable ACLs, и нажмите Create.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-21.gif

  8. Предоставьте Название для Загружаемого списка ACL, а также Содержание ACL. Нажмите кнопку Submit (Отправить).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-22.gif

  9. Типовой DACL Загружаемого списка ACL создан успешно.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-23.gif

  10. Для настройки Политики доступа для аутентификации VPN выберите Access Policies> Access Services> Service Selection Rules и определите, какой сервис угождает Протоколу RADIUS. В данном примере RADIUS соответствий Правила 1 и Доступ к сети по умолчанию угодят Запросу RADIUS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-24.gif

  11. Выберите Access Service, определенный из Шага 10. В данном примере используется Доступ к сети по умолчанию. Выберите вкладку Allowed Protocols и удостоверьтесь, что Позволяют PAP/ASCII и Позволяют, что MSCHAPv2 выбран.Click Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-25.gif

  12. Щелкните по Идентификационному Разделу Служб доступа и удостоверьтесь, что Внутренние пользователи выбраны как Идентификационный Источник. В данном примере мы взяли доступ к сети по умолчанию.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-26.gif

  13. Выберите Access Policies> Access Services> Default Network Access> Authorization и нажмите Customize.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-27.gif

  14. Переместите System:UserName от столбца Available до Выбранного столбца и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-28.gif

  15. Нажмите Create для создания нового Правила.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-29.gif

  16. Удостоверьтесь, что флажок рядом с System:UserName установлен, выберите, равняется от выпадающего списка, и введите имя пользователя cisco.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-30.gif

  17. Нажмите Select.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-31.gif

  18. Нажмите Create для создания нового профиля авторизации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-32.gif

  19. Предоставьте название для Профиля Авторизации. Образец профиля используется в данном примере.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-33.gif

  20. Выберите вкладку Common Tasks и выберите Static от выпадающего списка для Названия Загружаемого списка ACL. Выберите недавно созданный DACL (Выборка - DACL) от раскрывающегося списка значенего.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-34.gif

  21. Нажмите кнопку Submit (Отправить).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-35.gif

  22. Удостоверьтесь, что флажок, следующий за Образцом профиля (недавно созданный Профиль Авторизации), проверен, и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-36.gif

  23. Как только вы проверили, что недавно созданный Образец профиля выбран в поле Authorization Profiles, нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-37.gif

  24. Проверьте, что новое правило (Правило 2) создано с System:UserName, равняется условиям Cisco и Образцу профиля как Результат. Нажмите кнопку Save Changes (Сохранить изменения). Правило 2 создано успешно.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-38.gif

Настройка ACS для загружаемых списков ACL группы

Завершенные Шаги 1 - 12 Настраивать ACS для Загружаемого списка ACL для Отдельного пользователя и выполняют эти шаги для настройки Загружаемого списка ACL для Группы в Cisco Secure ACS.

В данном примере пользователь IPSec VPN "Cisco" принадлежит Типовой Группе.

Cisco Типового Группового пользователя аутентифицируется успешно, и сервер RADIUS передает загружаемый список доступа к устройству безопасности. Пользователю «cisco» доступен только сервер 10.1.1.2. Доступ к остальным ресурсам запрещен. Процедура проверки ACL описана в разделе Загружаемый ACL для пользователя или группы.

  1. В панели навигации нажмите Users и Identity Stores> Identity Groups, и нажмите Create для создания новой группы.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-39.gif

  2. Предоставьте имя группы (Типовая Группа) и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-40.gif

  3. Выберите User Identity Stores>> Users Internal Identity Stores и выберите пользовательский Cisco. Нажмите Edit для изменения состава группы этого пользователя.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-41.gif

  4. Нажмите Select рядом с Identity Group.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-42.gif

  5. Выберите недавно созданную группу (т.е. Типовую Группу), и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-43.gif

  6. Нажмите кнопку Submit (Отправить).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-44.gif

  7. Выберите Access Policies> Access Services> Default Network Access> Authorization и нажмите Create для создания нового Правила.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-45.gif

  8. Удостоверьтесь, что флажок, следующий за Identity Group, проверен, и нажмите Select.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-46.gif

  9. Choose Sample-Group, и нажимает OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-47.gif

  10. Нажмите Select в разделе Профилей Авторизации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-48.gif

  11. Нажмите Create для создания нового профиля авторизации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-32.gif

  12. Предоставьте Название для Профиля Авторизации. Образец профиля является названием, используемым в данном примере.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-33.gif

  13. Выберите вкладку Common Tasks и выберите Static от выпадающего списка для Названия Загружаемого списка ACL. Выберите недавно созданный DACL (Выборка - DACL) от Раскрывающегося списка значенего.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-34.gif

  14. Нажмите кнопку Submit (Отправить).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-35.gif

  15. Выберите Authorization Profile Sample-Profile, созданный ранее, и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-49.gif

  16. Нажмите кнопку OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-50.gif

  17. Проверьте, что Правило 1 создано с Identity Group Sample-Group как условие и Образец профиля как Результат. Нажмите кнопку Save Changes (Сохранить изменения).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-51.gif

Настройте ACS для загружаемого списка ACL для группы сетевых устройств

Завершенные Шаги 1 - 12 Настраивать ACS для Загружаемого списка ACL для Отдельного пользователя и выполняют эти шаги для настройки Загружаемого списка ACL для Группы сетевых устройств в Cisco Secure ACS.

В данном примере КЛИЕНТ RADIUS (ASA) принадлежит Шлюзам VPN Группы сетевых устройств. Запрос аутентификации VPN, прибывающий из ASA для пользователя "Cisco", аутентифицируется успешно, и сервер RADIUS передает загружаемый список доступа к устройству безопасности. Пользователю «cisco» доступен только сервер 10.1.1.2. Доступ к остальным ресурсам запрещен. Процедура проверки ACL описана в разделе Загружаемый ACL для пользователя или группы.

  1. Выберите Network Resources> Network Device Groups> Device Type и нажмите Create для создания новой Группы сетевых устройств.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-52.gif

  2. Предоставьте название Группы сетевых устройств (Шлюзы VPN в данном примере) и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-53.gif

  3. Выберите Network Resources> Network Devices и AAA Clients, и выберите выборку-asa КЛИЕНТА RADIUS, созданную ранее. Нажмите Edit для изменения членства в Группе сетевых устройств этого КЛИЕНТА RADIUS (asa).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-54.gif

  4. Нажмите Select рядом с Типом устройства.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-55.gif

  5. Выберите недавно созданную Группу сетевых устройств (который является Шлюзами VPN), и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-56.gif

  6. Нажмите кнопку Submit (Отправить).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-57.gif

  7. Выберите Access Policies> Access Services> Default Network Access> Authorization и нажмите Customize.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-58.gif

  8. Переместите Тип NDG:Device от Доступного раздела до Выбранного раздела и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-59.gif

  9. Нажмите Create для создания нового Правила.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-60.gif

  10. Удостоверьтесь, что флажок рядом с Типом NDG:Device установлен, и выберите в из выпадающего списка. Нажмите Select.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-61.gif

  11. Выберите Network Device Group VPN-Gateways, созданный ранее, и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-62.gif

  12. Нажмите Select.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-63.gif

  13. Нажмите Create для создания нового профиля авторизации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-32.gif

  14. Предоставьте название для Профиля Авторизации. Образец профиля является названием, используемым в данном примере.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-33.gif

  15. Выберите вкладку Common Tasks и выберите Static от выпадающего списка для Названия Загружаемого списка ACL. Выберите недавно созданный DACL (типовой DACL) из раскрывающегося списка значенего.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-34.gif

  16. Нажмите кнопку Submit (Отправить).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-35.gif

  17. Выберите Sample-Profile, созданный ранее, и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-64.gif

  18. Нажмите кнопку OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-65.gif

  19. Проверьте, что Правило 1 создано со Шлюзами VPN как Тип NDG:Device как условие и Образец профиля как Результат. Нажмите кнопку Save Changes (Сохранить изменения).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-66.gif

Настройка параметров IETF RADIUS для группы пользователей

Для загрузки названия для списка доступа, который вы уже создали на устройстве безопасности от сервера RADIUS, когда пользователь аутентифицируется, настройте атрибут идентификатора фильтра РАДИУСА IETF (номер атрибута 11):

filter-id=acl_name

Типовая Группа usercisco аутентифицируется успешно, и сервер RADIUS загружает название ACL (новое) для списка доступа, который вы уже создали на устройстве безопасности. Пользователь "Cisco" может обратиться ко всем устройствам, которые являются в сети ASA кроме 10.1.1.2 серверов. Для проверки ACL посмотрите раздел ACL Filter-Id.

Обратимся к примеру: для фильтрации на устройстве ASA настраивается ACL с именем new:

access-list new extended deny ip any host 10.1.1.2
access-list new extended permit ip any any

Эти параметры присутствуют только при условии. Настройки:

  • Клиента AAA для использования одного из протоколов RADIUS в сетевой конфигурации

  • Профиль авторизации с RADIUS (IETF) Filter-Id выбран под разделом результата правила в Службе доступа.

Атрибуты RADIUS рассылаются как профиль для каждого пользователя с сервера ACS запрашивающему клиенту AAA.

Завершенные Шаги 1 - 6 и 10 - 12 Настраивать ACS для Загружаемого списка ACL для Отдельного пользователя, придерживавшегося Шагами 1 - 6 Настраивать ACS для Загружаемого списка ACL для Группы, и, выполняют эти шаги в этот раздел для настройки Filter-Id в Cisco Secure ACS.

Для настройки параметров настройки атрибута RADIUS IETF, чтобы примениться как в профиле авторизации, выполнить эти шаги:

  1. Выберите Policy Elements> Authorization и Permissions> Network Access> Authorization Profiles, и нажмите Create для создания нового профиля авторизации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-67.gif

  2. Предоставьте название для Профиля Авторизации. Filter-Id является Именем профиля Авторизации, выбранным в данном примере для простоты.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-68.gif

  3. Нажмите вкладку Common Tasks и выберите Static из выпадающего списка для ACL Filter-Id. Введите имя списка доступа как новое в Поле значения и нажмите Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-69.gif

  4. Выберите Access Policies> Access Services> Default Network Access> Authorization и нажмите Create для создания нового Правила.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-70.gif

  5. Удостоверьтесь, что флажок, следующий за Identity Group, проверен, и нажмите Select.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-71.gif

  6. Choose Sample-Group, и нажимает OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-72.gif

  7. Нажмите Select в разделе Профилей Авторизации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-73.gif

  8. Выберите Authorization Profile Filter-Id, созданный ранее, и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-74.gif

  9. Нажмите кнопку OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-75.gif

  10. Проверьте, что Правило 1 создано с Identity Group Sample-Group как условие и Filter-Id как Результат. Нажмите кнопку Save Changes (Сохранить изменения).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-76.gif

Настройка VPN-клиента Cisco VPN Client

Соединитесь с Cisco ASA с Cisco VPN Client, чтобы проверить, что успешно настроен ASA.

Выполните следующие действия:

  1. Выберите Пуск > Программы > Cisco Systems VPN Client > VPN Client.

  2. Нажмите New, чтобы открыть окно "Create New VPN Connection Entry" (Создание новой записи VPN-соединения).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-77.gif

  3. Введите данные нового подключения:

    1. Введите имя записи и описание подключения.

    2. Введите внешний IP-адрес устройства ASA в поле Host (Хост).

    3. Введите Имя группы VPN-туннеля (Туннель Cisco) и пароль (Предварительный общий ключ - cisco123) согласно конфигурации в ASA.

    4. Нажмите Save.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-78.gif

  4. Выберите подключение, которое необходимо использовать, и нажмите Connect (Подключить) в главном окне клиента VPN Client.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-79.gif

  5. Когда предложено, введите Имя пользователя cisco и Пароль cisco123 согласно конфигурации в ASA для аутентификации, и нажмите OK для соединения с удаленной сетью.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-80.gif

  6. Как только соединение успешно установлено, выберите Statistics из Меню состояния для проверки подробных данных туннеля.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113449-asa-vpn-acs-81.gif

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Команды «show crypto»

  • show crypto isakmp sa — Показывает все текущие ассоциации безопасности (SA) протокола IKE для узла.

    ciscoasa# sh crypto isakmp sa
    
    IKEv1 SAs:
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 172.16.1.50
        Type    : user            Role    : responder 
        Rekey   : no              State   : AM_ACTIVE 
    ciscoasa#
  • show crypto ipsec sa—отображает параметры, используемые текущими SA.

    ciscoasa# sh crypto ipsec sa
    interface: outside
        Crypto map tag: SYSTEM_DEFAULT_CRYPTO_MAP, seq num: 65535, local addr: 
           172.16.1.1
    
          local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
          remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
          current_peer: 172.16.1.50, username: cisco
          dynamic allocated peer ip: 10.2.2.1
    
          #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 0
          #pkts decaps: 333, #pkts decrypt: 333, #pkts verify: 333
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly:
            0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.16.1.1/0, remote crypto endpt.: 172.16.1.50/0
          path mtu 1500, ipsec overhead 74, media mtu 1500
          current outbound spi: 9A06E834
          current inbound spi : FA372121
    
        inbound esp sas:
          spi: 0xFA372121 (4197916961)
             transform: esp-aes esp-sha-hmac no compression 
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 16384, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
             sa timing: remaining key lifetime (sec): 28678
             IV size: 16 bytes
             replay detection support: Y
             Anti replay bitmap: 
              0xFFFFFFFF 0xFFFFFFFF
        outbound esp sas:
          spi: 0x9A06E834 (2584143924)
             transform: esp-aes esp-sha-hmac no compression 
             in use settings ={RA, Tunnel, }
             slot: 0, conn_id: 16384, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
             sa timing: remaining key lifetime (sec): 28678
             IV size: 16 bytes
             replay detection support: Y
             Anti replay bitmap: 
              0x00000000 0x00000001

Загружаемый ACL для пользователя или группы

Проверьте загружаемый список контроля доступа для пользователя Cisco. ACL загружены от CSACS.

ciscoasa# sh access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list OUTIN; 1 elements; name hash: 0x683c318c
access-list OUTIN line 1 extended permit icmp any any (hitcnt=1) 0x2ba5809c 
access-list #ACSACL#-IP-Sample-DACL-4f3b9117; 2 elements; name hash: 0x3c878038
   (dynamic)
access-list #ACSACL#-IP-Sample-DACL-4f3b9117 line 1 extended permit ip any host
   10.1.1.2 (hitcnt=0) 0x5e896ac3 
access-list #ACSACL#-IP-Sample-DACL-4f3b9117 line 2 extended deny ip any any 
   (hitcnt=130) 0x19b3b8f5

Список ACL с атрибутом Filter-Id

[011] Filter-Id просил Группу - Типовая Группа, и пользователи группы фильтруются согласно ACL (новому) определенный в ASA.

ciscoasa# sh access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list OUTIN; 1 elements; name hash: 0x683c318c
access-list OUTIN line 1 extended permit icmp any any (hitcnt=1) 0x2ba5809c 
access-list new; 2 elements; name hash: 0xa39433d3
access-list new line 1 extended permit ip any host 10.1.1.2 (hitcnt=4) 
   0x58a3ea12 
access-list new line 2 extended deny ip any any (hitcnt=27) 0x61f918cd

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации. Также показан пример выходных данных команды debug.

Примечание: Для получения дополнительной информации об устранении проблем IPSec VPN Удаленного доступа обратитесь к Решениям для Устранения проблем IPSec VPN Наиболее распространенного соединения L2L и Удаленного доступа.

Очистка ассоциаций безопасности

Когда вы устраняете неполадки, удостоверьтесь, что очистили существующие SA после внесения изменения. В привилегированном режиме PIX используйте следующие команды:

  • clear [crypto] ipsec sa— удаляет все активные ассоциации безопасности IPSec. Ключевое слово crypto является необязательным.

  • clear crypto isakmp sa— удаляет активные ассоциации безопасности IKE. Ключевое слово crypto является необязательным.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

  • debug crypto ipsec 7 – отображает связь IPsec этапа 2.

  • debug crypto isakmp 7 — отображает процесс установления связи по протоколу ISAKMP на этапе 1.


Дополнительные сведения


Document ID: 113449