ASA/PIX 8.x: Ejemplo de Configuración de Radius Authorization (ACS 4.x) para VPN Access mediante ACL descargable con CLI y ASDM

Opciones de descarga

PDF (1.6 MB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (2.1 MB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (2.5 MB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:1 de marzo de 2012

ID del documento:110119

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

prerrequisitos

Requisitos

Componentes Utilizados

Productos Relacionados

Convenciones

Antecedentes

Configurar

Diagrama de la red

VPN de acceso remoto de la configuración (IPSec)

Configurar ASA/PIX con la CLI

Configuración de Cliente Cisco VPN

Configuración ACS para ACL descargable para el usuario individual

Configuración ACS para ACL descargable para el grupo

Configuraciones del IETF RADIUS de la configuración para un grupo de usuarios

Verificación

Comandos show crypto

ACL descargable para el usuario/el grupo

Id del filtro ACL

Troubleshooting

Borre las asociaciones de seguridad

Comandos para resolución de problemas

Información Relacionada

Introducción

Este documento describe cómo configurar el dispositivo de seguridad para autenticar a los usuarios para el acceso a la red. Puesto que se pueden habilitar implícitamente las autorizaciones RADIUS, esta sección no contiene ninguna información sobre la configuración de la autorización RADIUS en el dispositivo de seguridad. Proporciona información sobre cómo gestiona el dispositivo de seguridad la información de la lista de acceso recibida de los servidores RADIUS.

Usted puede configurar a un servidor de RADIUS para descargar una lista de acceso al dispositivo de seguridad o un nombre de la lista de acceso a la hora de la autenticación. Autorizan al usuario a hacer solamente qué se permite en la lista de acceso específica del usuario.

Las Listas de acceso transferibles son los medios más scalable cuando usted utiliza el Cisco Secure ACS para proporcionar las Listas de acceso apropiadas para cada usuario. Para más información sobre las funciones de lista de acceso transferibles y el Cisco Secure ACS, refiera a configurar a un servidor de RADIUS para enviar las listas de control de acceso transferibles y IP transferible ACL.

Refiera a ASA 8.3 y posterior: Autorización de RADIUS (ACS 5.x) para el acceso VPN usando ACL descargable con el CLI y el ejemplo de la Configuración de ASDM para la configuración idéntica en Cisco ASA con las versiones 8.3 y posterior.

prerrequisitos

Requisitos

Este documento asume que el ASA está completamente operativo y está configurado para permitir que el ASDM de Cisco o el CLI realice los cambios de configuración.

Nota: Consulte Cómo Permitir el Acceso HTTPS para el ASDM o el PIX/ASA 7.x: SSH en el Ejemplo de Configuración de las Interfaces Interiores y Exteriores para permitir que el dispositivo sea configurado remotamente por el ASDM o el Secure Shell (SSH).

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Cisco Adaptive Security Appliance Software Version 7.x y posterior
Versión 5.x y posterior del Cisco Adaptive Security Device Manager
Cisco VPN Client Version 4.x y posterior
Cisco Secure Access Control Server 4.x

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración también se puede usar con Cisco PIX Security Appliance Version 7.x y posterior.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

Usted puede utilizar IP transferible ACL para crear los conjuntos de las definiciones ACL que usted puede aplicar a muchos usuarios o grupos de usuarios. Estos conjuntos de las definiciones ACL se llaman contenido ACL. También, cuando usted incorpora NAFs, usted controla el contenido ACL que se envía al cliente AAA de quien un usuario busca el acceso. Es decir, un IP transferible ACL comprende una o más definiciones del contenido ACL, que se asocia a un NAF o (por abandono) se asocia a todos los clientes AAA. El NAF controla la aplicabilidad del contenido especificado ACL de acuerdo con la dirección IP del cliente AAA. Para más información sobre NAFs y cómo él regula IP transferible ACL, vea sobre los filtros del acceso a la red.

El IP transferible ACL actúa esta manera:

Cuando el ACS concede un acceso del usuario a la red, el ACS determina si un IP transferible ACL está asignado a ese usuario o al grupo del usuario.
Si el ACS localiza un IP transferible ACL que se asigne al usuario o al grupo del usuario, determina si una entrada del contenido ACL está asociada al cliente AAA que envió la petición de la autenticación de RADIUS.
El ACS envía, como parte de la sesión del usuario, de un paquete access-accept RADIUS, de un atributo que especifique ACL mencionado, y de la versión del ACL mencionado.
Si responde el cliente AAA que no tiene la versión actual del ACL en su caché, es decir, el ACL es nuevo o ha cambiado, el ACS envía el ACL (nuevo o actualizado) al dispositivo.

El IP transferible ACL es una alternativa a la configuración de los ACL en el atributo [26/9/1] del Cisco-av-pair RADIUS Cisco de cada usuario o grupo de usuarios. Usted puede crear un IP transferible ACL una vez, le da un nombre, y después asigna el IP transferible ACL a cada usuario o grupo de usuarios aplicable si usted se refiere a su nombre. Este método es más eficiente que si usted configura el atributo del Cisco-av-pair RADIUS Cisco para cada usuario o grupo de usuarios.

Además, cuando usted emplea NAFs, usted puede aplicar diverso contenido ACL al mismo usuario o grupo de usuarios con respecto al cliente AAA que él utiliza. No hay configuración adicional del cliente AAA necesaria después de que usted haya configurado al cliente AAA para utilizar IP transferible ACL del ACS. Los ACL transferibles son protegidos por el régimen del respaldo o de la replicación que usted ha establecido.

Cuando usted ingresa las definiciones ACL en la interfaz Web ACS, no utilice la palabra clave o las entradas de nombre; por lo demás, utilice el sintaxis del comando acl y la semántica estándar para el cliente AAA en quien usted se prepone aplicar el IP transferible ACL. Las definiciones ACL que usted ingresa en el ACS comprenden uno o más comandos acl. Cada comando acl debe estar en una línea aparte.

Usted puede agregar uno o más ACL mencionado contenido a un IP transferible ACL. Por abandono, cada contenido ACL se aplica a todos los clientes AAA, pero, si usted ha definido NAFs, usted puede limitar la aplicabilidad de cada contenido ACL a los clientes AAA que se enumeran en el NAF que usted asocia a ella. Es decir, cuando usted emplea NAFs, usted puede hacer cada contenido ACL, dentro de un solo IP transferible ACL, aplicable a los diversos dispositivos de red o grupos de dispositivos de red múltiples de acuerdo con su estrategia de la seguridad de la red.

También, usted puede cambiar la orden del contenido ACL en un IP transferible ACL. El ACS examina el contenido ACL, a partir del top de la tabla, y descarga el primer contenido ACL que encuentra con un NAF que incluye al cliente AAA se utiliza que. Cuando usted fija la orden, usted puede asegurar la eficiencia del sistema si usted coloca lo más extensamente posible el contenido aplicable ACL más arriba en la lista. Usted debe realizar que, si su NAFs incluye las poblaciones de clientes AAA que solapen, usted debe proceder del más específico al más general. Por ejemplo, el ACS descarga cualquier contenido ACL con la configuración NAF de los Todo-AAA-clientes y no considera cualquiera que es más bajo en la lista.

Para utilizar un IP transferible ACL en un cliente AAA determinado, el cliente AAA debe seguir estas direcciones:

Utilice RADIUS para la autenticación
Soporte IP transferible ACL

Éstos son ejemplos de los dispositivos de Cisco que soportan IP transferible ACL:

ASA y dispositivos PIX
VPN 3000 series concentrators
Dispositivos de Cisco que funcionan con la versión de IOS 12.3(8)T o más adelante

Éste es un ejemplo del formato que usted debe utilizar para ingresar VPN 3000/ASA/PIX 7.x+ ACL en el rectángulo de las definiciones ACL:

permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1 
permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255 
permit 0 any host 10.159.1.22 
deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log 
permit TCP any host 10.160.0.1 eq 80 log 
permit TCP any host 10.160.0.2 eq 23 log 
permit TCP any host 10.160.0.3 range 20 30 
permit 6 any host HOSTNAME1 
permit UDP any host HOSTNAME2 neq 53 
deny 17 any host HOSTNAME3 lt 137 log 
deny 17 any host HOSTNAME4 gt 138 
deny ICMP any 10.161.0.0 0.0.255.255 log 
permit TCP any host HOSTNAME5 neq 80

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que fueron utilizadas en un entorno de laboratorio.

VPN de acceso remoto de la configuración (IPSec)

Procedimiento del ASDM

Complete estos pasos para configurar el VPN de acceso remoto:

Elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > avanzó > IPSec > IKE Policies> agregan para crear una política isakmp.
Proporcione los detalles de la política isakmp como se muestra.

El Haga Click en OK y se aplica.
Elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > avanzó > IPSec > los parámetros IKE para habilitar el IKE en la interfaz exterior.
Elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > avanzó > IPSec > IPSec transforman los conjuntos > Add para crear el ESP-3DES-SHA transforman el conjunto, como se muestra.

El Haga Click en OK y se aplica.
Elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > avanzó > IPSec > las correspondencias de criptografía > Add para crear una correspondencia de criptografía con la directiva dinámica de la prioridad 1, como se muestra.

El Haga Click en OK y se aplica.
Elija la configuración > el VPN de acceso remoto > el acceso > la asignación de dirección > a las agrupaciones de direcciones de la red (cliente) y el tecleo agrega para agregar al cliente VPN para los usuarios de cliente VPN.
Elija la configuración > el VPN de acceso remoto >AAA ponen >AAA a los grupos de servidores y el tecleo agrega para agregar el nombre y el protocolo de Grupo de servidores AAA.

Agregue la dirección IP del servidor de AAA (ACS) y la interfaz que conecta. También agregue la clave del Secreto de servidor en el área de parámetros de RADIUS. Haga clic en OK.
Elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > conexión IPSec perfila > Add para agregar un grupo de túnel, por ejemplo, TunnelGroup1 y la clave del preshared como cisco123, como se muestra.
- Bajo lengueta básica, elija al grupo de servidores como vpn para el campo de la autenticación de usuario.
- Elija vpnclient como los pools de la dirección cliente para los usuarios de cliente VPN.
Haga clic en OK.
Habilite la interfaz exterior para el acceso del IPSec. El tecleo se aplica para proceder.

Configurar ASA/PIX con la CLI

Complete estos pasos para configurar al servidor DHCP para proporcionar los IP Addresses a los clientes VPN de la línea de comando. Consulte Configuración de VPN de Acceso Remoto o Referencias de Comandos de Cisco ASA 5500 Series Adaptive Security Appliance para obtener más información sobre cada uno de los comandos.

Configuración corriente en el dispositivo ASA
ASA# sh run ASA Version 8.0(2) ! !--- Specify the hostname for the Security Appliance. hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted names ! !--- Configure the outside and inside interfaces. interface Ethernet0/0 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! interface Ethernet0/1 nameif DMZ security-level 100 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 nameif outside security-level 0 ip address 192.168.1.1 255.255.255.0 !--- Output is suppressed. passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa802-k8.bin ftp mode passive access-list 101 extended permit ip 10.1.1.0 255.255.255.0 192.168.5.0 255.255.255.0 !--- Radius Attribute Filter access-list new extended deny ip any host 10.1.1.2 access-list new extended permit ip any any pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 mtu dmz 1500 ip local pool vpnclient1 192.168.5.1-192.168.5.10 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 !--- Specify the location of the ASDM image for ASA to fetch the image for ASDM access. asdm image disk0:/asdm-613.bin no asdm history enable arp timeout 14400 global (outside) 1 192.168.1.5 nat (inside) 0 access-list 101 nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 192.168.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy !--- Create the AAA server group "vpn" and specify the protocol as RADIUS. !--- Specify the CSACS server as a member of the "vpn" group and provide the !--- location and key. aaa-server vpn protocol radius max-failed-attempts 5 aaa-server vpn (DMZ) host 172.16.1.1 retry-interval 1 timeout 30 key cisco123 http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart !--- PHASE 2 CONFIGURATION ---! !--- The encryption types for Phase 2 are defined here. !--- A Triple DES encryption with !--- the sha hash algorithm is used. crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac !--- Defines a dynamic crypto map with !--- the specified encryption settings. crypto dynamic-map outside_dyn_map 1 set transform-set ESP-3DES-SHA !--- Binds the dynamic map to the IPsec/ISAKMP process. crypto map outside_map 1 ipsec-isakmp dynamic outside_dyn_map !--- Specifies the interface to be used with !--- the settings defined in this configuration. crypto map outside_map interface outside !--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policy 2. !--- The configuration commands here define the Phase !--- 1 policy parameters that are used. crypto isakmp enable outside crypto isakmp policy 2 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 no crypto isakmp nat-traversal telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global ! group-policy DfltGrpPolicy attributes vpn-tunnel-protocol IPSec webvpn group-policy GroupPolicy1 internal !--- Associate the vpnclient pool to the tunnel group using the address pool. !--- Associate the AAA server group (VPN) with the tunnel group. tunnel-group TunnelGroup1 type remote-access tunnel-group TunnelGroup1 general-attributes address-pool vpnclient authentication-server-group vpn !--- Enter the pre-shared-key to configure the authentication method. tunnel-group TunnelGroup1 ipsec-attributes pre-shared-key * prompt hostname context Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d : end ASA#

Configuración corriente en el dispositivo ASA

ASA# sh run
ASA Version 8.0(2)
!

!--- Specify the hostname for the Security Appliance.

hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!


!--- Configure the outside and inside interfaces.

interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif DMZ
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0

!--- Output is suppressed.


passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive

access-list 101 extended permit ip 10.1.1.0 255.255.255.0 
   192.168.5.0 255.255.255.0

!--- Radius Attribute Filter 

access-list new extended deny ip any host 10.1.1.2
access-list new extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500

ip local pool vpnclient1 192.168.5.1-192.168.5.10 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1


!--- Specify the location of the ASDM image for ASA to fetch the image for ASDM access.

asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400

global (outside) 1 192.168.1.5
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy

!--- Create the AAA server group "vpn" and specify the protocol as RADIUS. !--- Specify the CSACS server as a member of the "vpn" group and provide the !--- location and key.

aaa-server vpn protocol radius
 max-failed-attempts 5
aaa-server vpn (DMZ) host 172.16.1.1
 retry-interval 1
 timeout 30
 key cisco123
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- PHASE 2 CONFIGURATION ---! !--- The encryption types for Phase 2 are defined here. !--- A Triple DES encryption with !--- the sha hash algorithm is used.


crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac


!--- Defines a dynamic crypto map with !--- the specified encryption settings.


crypto dynamic-map outside_dyn_map 1 set transform-set ESP-3DES-SHA


!--- Binds the dynamic map to the IPsec/ISAKMP process.


crypto map outside_map 1 ipsec-isakmp dynamic outside_dyn_map


!--- Specifies the interface to be used with !--- the settings defined in this configuration.

crypto map outside_map interface outside


!--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policy 2. !--- The configuration commands here define the Phase !--- 1 policy parameters that are used.

crypto isakmp enable outside

crypto isakmp policy 2
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400

no crypto isakmp nat-traversal

telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
!
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol IPSec webvpn
group-policy GroupPolicy1 internal

!--- Associate the vpnclient pool to the tunnel group using the address pool. !--- Associate the AAA server group (VPN) with the tunnel group.


tunnel-group TunnelGroup1 type remote-access
tunnel-group TunnelGroup1 general-attributes
 address-pool vpnclient
 authentication-server-group vpn


!--- Enter the pre-shared-key to configure the authentication method.

tunnel-group TunnelGroup1 ipsec-attributes
 pre-shared-key *

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#

Configuración de Cliente Cisco VPN

Intente conectar con Cisco ASA con el Cliente Cisco VPN para verificar que el ASA está configurado con éxito.

Elija el Start (Inicio) > Programs (Programas) > Cisco Systems VPN Client (VPN Client de Cisco Systems) > al cliente VPN.
Tecleo nuevo iniciar la nueva ventana de entrada de la conexión VPN del crear.
Complete la información de su nueva conexión.

Ingrese el nombre del Entrada de conexión junto con una descripción. Ingrese el IP Address externo del ASA en el rectángulo del host. Entonces ingrese el nombre de grupo de túnel VPN (TunnelGroup1) y la contraseña (clave previamente compartida - cisco123) como está configurado en el ASA. Haga clic en Save (Guardar).
Haga clic la conexión que usted quiere utilizar, y el tecleo conecta de la ventana principal del cliente VPN.
Cuando se le pregunte, ingrese el nombre de usuario: Cisco y contraseña: password1 como está configurado en el ASA para el Xauth, y AUTORIZACIÓN del tecleo a conectar con la red remota.
El cliente VPN está conectado con el ASA en el sitio central.
Una vez que la conexión se establece con éxito, elija las estadísticas del menú Status (Estado) para verificar los detalles del túnel.

Configure el ACS para ACL descargable para el usuario individual

Usted puede configurar las Listas de acceso transferibles en el Cisco Secure ACS como un componente del perfil compartido y después asigna la lista de acceso a un grupo o a un usuario individual.

Para implementar las listas de acceso dinámicas, usted debe configurar al servidor de RADIUS para soportarla. Cuando el usuario autentica, el servidor de RADIUS envía una lista de acceso o un nombre transferible de la lista de acceso al dispositivo de seguridad. El acceso a un servicio dado es permitido o negado por la lista de acceso. El dispositivo de seguridad borra la lista de acceso cuando expira la sesión de la autenticación.

En este ejemplo, el usuario “Cisco” del IPSec VPN autentica con éxito, y el servidor de RADIUS envía una lista de acceso transferible al dispositivo de seguridad. El usuario “Cisco” puede acceder solamente el servidor de 10.1.1.2 y niega el resto del acceso. Para verificar el ACL, vea ACL descargable para el usuario/la sección de grupo.

Complete estos pasos para configurar el RADIUS en un Cisco Secure ACS.

Elija la configuración de red a la izquierda, y el tecleo agrega la entrada para agregar una entrada para el ASA en la base de datos del servidor RADIUS.
Ingrese 172.16.1.2 en el campo de dirección IP del cliente, y ingrese el "cisco123" para el campo de clave secreta compartido. Elija RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) en la autenticidad usando la casilla desplegable. El tecleo somete.
Ingrese el nombre de usuario en el campo del usuario en la base de datos segura de Cisco, y el tecleo agrega/edita.

En este ejemplo, el nombre de usuario es Cisco.
En la próxima ventana, ingrese la contraseña para “Cisco”. En este ejemplo, la contraseña es también password1. Cuando usted acaba, el tecleo somete.
Usted utiliza la página avanzada de las opciones para determinar que las opciones avanzadas el ACS visualizan. Usted puede simplificar las páginas que aparecen en otras áreas de la interfaz Web ACS si usted oculta las opciones avanzadas que usted no utiliza. Haga clic la configuración de la interfaz, y después haga clic las opciones avanzadas para abrir la página opciones avanzada.

Marque el cuadro para el nivel de usuario ACL transferibles y el Grupo-nivel ACL transferibles.

Nivel de usuario ACL transferibles - Cuando está elegida, esta opción habilita la sección transferible ACL (listas de control de acceso) en la página de la configuración de usuario.

Grupo-nivel ACL transferibles - Cuando está elegida, esta opción habilita la sección transferible ACL en la página de la configuración de grupo.
En la barra de navegación, haga clic a los componentes del perfil compartidos, y haga clic IP transferible ACL.

Nota: Si el IP transferible ACL no aparece en los componentes del perfil compartidos página, usted debe habilitar el nivel de usuario opción transferible transferible ACL, del Grupo-nivel ACL, o ambas en la página opciones avanzada de la sección de configuración de la interfaz.
Haga clic en Add (Agregar). La página transferible IP ACL aparece.
En el cuadro de nombre, teclee el nombre del nuevo IP ACL.

Nota: El nombre de un IP ACL puede contener hasta 27 caracteres. El nombre no debe contener los espacios o ninguno de estos caracteres: guión (-), corchete izquierdo ([), right bracket (]), raya vertical (/), barra (\), citas ("), paréntesis angular izquierda (<), corchete de ángulo recto (>), o rociada (-).

En el cuadro de la descripción, teclee una descripción del nuevo IP ACL. La descripción puede ser hasta 1,000 caracteres.

Para agregar un contenido ACL al nuevo IP ACL, haga click en Add
En el cuadro de nombre, teclee el nombre del nuevo contenido ACL.

Nota: El nombre de un contenido ACL puede contener hasta 27 caracteres. El nombre no debe contener los espacios o ninguno de estos caracteres: guión (-), corchete izquierdo ([), right bracket (]), raya vertical (/), barra (\), citas ("), paréntesis angular izquierda (<), corchete de ángulo recto (>), o rociada (-).

En el cuadro de las definiciones ACL, teclee el nuevo definición de ACL.

Nota: Cuando usted ingresa las definiciones ACL en la interfaz Web ACS, no utilice la palabra clave o las entradas de nombre; bastante, comience con una palabra clave del permit or deny.

Para salvar el contenido ACL, el tecleo somete.
La página transferible IP ACL aparece con el nuevo contento ACL enumerado por nombre en la columna del contenido ACL. Para asociar un NAF al contenido ACL, elija un NAF del cuadro de filtración del acceso a la red a la derecha del nuevo contenido ACL. Por abandono, NAF es (los Todo-AAA-clientes). Si usted no asigna un NAF, el ACS asocia el contenido ACL a todos los dispositivos de red, que es el valor por defecto.

Para fijar la orden del contenido ACL, haga clic el botón de radio para definición de ACL, y después haga clic hacia arriba o hacia abajo para colocarlo de nuevo en la lista.

Para salvar el IP ACL, el tecleo somete.

Nota: La orden del contenido ACL es significativa. De de arriba a abajo, el ACS descarga solamente el primer definición de ACL que tiene una configuración NAF aplicable, que incluye la configuración predeterminada de los Todo-AAA-clientes, si está utilizado. Típicamente, su lista de contenido ACL procede del que está con el NAF (más estrecho) más específico al que está con (los Todo-AAA-clientes) el NAF más general.

Nota: El ACS ingresa el nuevo IP ACL, que toma el efecto inmediatamente. Por ejemplo, si el IP ACL está para el uso con los Firewall PIX, está disponible ser enviado a cualquier firewall PIX que intenta la autenticación de un usuario que tenga ese IP transferible ACL asignado a su usuario o perfil del grupo.
Vaya a la página de la configuración de usuario y edite la página del usuario. Bajo los ACL transferibles seccione, haga clic el IP ACL de la asignación: casilla de verificación. Elija un IP ACL de la lista. Si usted acabó la configuración de las opciones de la cuenta de usuario, el tecleo somete para registrar las opciones.

Configuración ACS para ACL descargable para el grupo

Los pasos completos 1 a 9 de la configuración ACS para ACL descargable para el usuario individual y siguen los siguientes pasos para configurar ACL descargable para el grupo en un Cisco Secure ACS.

En este ejemplo, el usuario “Cisco” del IPSec VPN pertenece a los grupos VPN. Las directivas del grupo VPN son aplicadas para todos los usuarios en el grupo.

El usuario " Cisco” del grupo VPN autentica con éxito, y el servidor de RADIUS envía una lista de acceso transferible al dispositivo de seguridad. El usuario “Cisco” puede acceder solamente el servidor de 10.1.1.2 y niega el resto del acceso. Para verificar el ACL, refiera a ACL descargable para el usuario/la sección de grupo.

En la barra de navegación, haga clic la configuración de grupo. La página selecta de la configuración de grupo se abre.
Retitule el group1 al VPN, y el tecleo somete.
De la lista del grupo, elija a un grupo, y después haga clic editan las configuraciones.
Bajo los ACL transferibles seccione, haga clic la casilla de verificación IP ACL de la asignación. Elija un IP ACL de la lista.
Para salvar las configuraciones de grupo que usted acaba de hacer, el tecleo somete.
Vaya a la configuración de usuario y edite al usuario que usted quisiera agregar adentro al grupo: VPN. Cuando usted acaba, el tecleo somete.

ACL descargable configurado para el grupo VPN es aplicado ahora para este usuario.
Para continuar especificando otras configuraciones de grupo, realice otros procedimientos en este capítulo, como aplicable

Configure las configuraciones del IETF RADIUS para un grupo de usuarios

Para descargar un nombre para una lista de acceso que usted ha creado ya en el dispositivo de seguridad del servidor de RADIUS cuando un usuario autentica, configure el atributo filtro-identificación del IETF RADIUS (número de atributo 11) como sigue:

filter-id=acl_name

El usuario " Cisco” del grupo VPN autentica con éxito, y el servidor de RADIUS descarga un nombre ACL (nuevo) para una lista de acceso que usted ha creado ya en el dispositivo de seguridad. El usuario “Cisco” puede acceder todos los dispositivos que sean red interna del ASA excepto el servidor de 10.1.1.2. Para verificar el ACL, vea la sección ACL del id del filtro.

Según el ejemplo, el nuevo nombrada ACL se configura para filtrar en el ASA.

access-list new extended deny ip any host 10.1.1.2
access-list new extended permit ip any any

Estos parámetros aparecen solamente cuando éstos son verdades. Usted ha configurado

Cliente AAA para utilizar uno de los protocolos RADIUS en configuración de red
atributos de RADIUS del Grupo-nivel en la página RADIUS (IETF) en la sección de configuración de la interfaz de la interfaz Web

Los atributos de RADIUS se envían como perfil para cada usuario del ACS al cliente AAA solicitante.

Para configurar las configuraciones del atributo IETF RADIUS para aplicarse como autorización para cada usuario en el grupo actual, realice estas acciones:

En la barra de navegación, haga clic la configuración de grupo.

La página selecta de la configuración de grupo se abre.
De la lista del grupo, elija a un grupo, y después haga clic editan las configuraciones.

El nombre del grupo aparece en la cima de la página de las configuraciones de grupo.
Navegue a los atributos de RADIUS IEFT. Para cada atributo IETF RADIUS, usted debe autorizar al grupo actual. Marque la casilla de verificación del atributo del id del filtro [011], y después agregue el name(new) definido ASA ACL en la autorización para el atributo en el campo. Refiera al resultado de la configuración corriente de la demostración ASA.
Para salvar las configuraciones de grupo que usted acaba de hacer y aplicarlas inmediatamente, el tecleo somete y se aplica.

Nota: Para salvar sus configuraciones de grupo y aplicarlas más adelante, el tecleo somete. Cuando usted está listo para implementar los cambios, elija la configuración del sistema > el control de servicio. Entonces elija el reinicio.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Comandos show crypto

show crypto isakmp sa: muestra todas las asociaciones actuales de seguridad IKE (SA) de un par.

ciscoasa# sh crypto isakmp sa

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active 
   and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 192.168.10.2
    Type    : user            Role    : responder
    Rekey   : no              State   : AM_ACTIVE
ciscoasa#

muestre IPSec crypto sa — Muestra las configuraciones usadas por los SA actuales.

ciscoasa# sh crypto ipsec sa
interface: outside
    Crypto map tag: outside_dyn_map, seq num: 1, 
   local addr: 192.168.1.1

      local ident (addr/mask/prot/port): 
   (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): 
   (192.168.5.1/255.255.255.255/0/0)
      current_peer: 192.168.10.2, username: cisco
      dynamic allocated peer ip: 192.168.5.1

      #pkts encaps: 65, #pkts encrypt: 
   65, #pkts digest: 65
      #pkts decaps: 65, #pkts decrypt: 
   65, #pkts verify: 65
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 4, #pkts comp failed: 
   0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 
   0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, 
   #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 192.168.1.1, 
   remote crypto endpt.: 192.168.10.2

      path mtu 1500, ipsec overhead 58, 
   media mtu 1500
      current outbound spi: EEF0EC32

    inbound esp sas:
      spi: 0xA6F92298 (2801345176)
         transform: esp-3des esp-sha-hmac none
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 86016, crypto-map: 
   outside_dyn_map
         sa timing: remaining key lifetime (sec): 
   28647
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xEEF0EC32 (4008766514)
         transform: esp-3des esp-sha-hmac none
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 86016, crypto-map: 
   outside_dyn_map
         sa timing: remaining key lifetime (sec): 28647
         IV size: 8 bytes
         replay detection support: Y

ACL descargable para el usuario/el grupo

Verifique ACL descargable para el usuario Cisco. Los ACL consiguen descargados del CSACS.

ciscoasa(config)# sh access-list
access-list cached ACL log flows: total 0, 
   denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list 101; 1 elements
access-list 101 line 1 extended permit ip 10.1.1.0 255.255.255.0 
   192.168.5.0 255.255.255.0 (hitcnt=0) 0x8719a411

access-list #ACSACL#-IP-VPN_Access-49bf68ad; 2 elements (dynamic)
access-list #ACSACL#-IP-VPN_Access-49bf68ad line 1 extended permit 
   ip any host 10.1.1.2 (hitcnt=2) 0x334915fe
access-list #ACSACL#-IP-VPN_Access-49bf68ad line 2 extended deny 
   ip any any (hitcnt=40) 0x7c718bd1

Id del filtro ACL

El id del filtro [011] ha solicitado el grupo - filtran el VPN, y a los usuarios del grupo según el ACL (nuevo) definido en el ASA.

ciscoasa# sh access-list
access-list cached ACL log flows: total 0, 
   denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list 101; 1 elements
access-list 101 line 1 extended permit ip 10.1.1.0 
   255.255.255.0 192.168.5.0 255.255.255.0 
   (hitcnt=0) 0x8719a411
access-list new; 2 elements
access-list new line 1 extended deny ip 
   any host 10.1.1.2 (hitcnt=4) 0xb247fec8
access-list new line 2 extended permit ip any any 
   (hitcnt=39) 0x40e5d57c

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. También se muestra un ejemplo de salida del debug .

Nota: Para más información sobre el IPSec VPN del Acceso Remoto del troubleshooting, refiera a la mayoría del IPSec VPN común L2L y del Acceso Remoto que resuelve problemas las soluciones.

Borre las asociaciones de seguridad

Cuando usted resuelve problemas, aseegurese borrar las asociaciones de seguridad existentes después de que usted realice un cambio. En el modo privilegiado del PIX, utilice estos comandos:

clear [crypto] ipsec sa — Borra el IPSec activo SA. La palabra clave crypto es opcional.
clear [crypto] isakmp sa — Borra el IKE activo SA. La palabra clave crypto es opcional.

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.