Introduction
Ce document décrit comment fonctionner autour d'un scénario où l'administrateur ne peut pas authentifier à une appliance de sécurité adaptable Cisco de réserve (ASA) dans une paire de Basculement étant donné que le serveur d'Authentification, autorisation et comptabilité (AAA) se trouve sur un site distant par un entre réseaux locaux (L2L).
Bien que le retour à l'authentification locale puisse être utilisé, l'authentification de RAYON pour les deux unités est préférée.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Configurez
Note: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Le serveur de RAYON se trouve sur l'extérieur des paires de Basculement et il est accessible par un tunnel L2L à 12.12.12.2. C'est ce qui entraîne le probem parce que les essais du standby ASA pour l'accéder par sa propre interface extérieure mais là n'est aucun tunnel construit là-dessus en ce moment ; pour qu'il fonctionne, il devrait envoyer la demande à l'interface active ainsi le paquet peut circuler à travers le VPN mais les artères sont répliquées à partir de l'unité d'active.
Une option est d'utiliser une fausse adresse IP pour le serveur de RAYON sur les ASA et de l'indiquer l'intérieur. Par conséquent, la source et l'adresse IP de destination de ce paquet peuvent être traduites sur un périphérique interne.

Router1
interface FastEthernet0/0
ip address 192.168.1.3 255.255.255.0
no ip redirects
no ip unreachables
ip nat enable
duplex auto
speed auto
ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.255 host 192.168.200.250
ip nat source list NAT interface FastEthernet0/0 overload
ip nat source static 192.168.200.1 192.168.200.250
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ASA
aaa-server RADIUS protocol radius
aaa-server RADIUS (inside) host 192.168.200.250
timeout 3
key *****
authentication-port 1812
accounting-port 1813
aaa authentication serial console LOCAL
aaa authentication ssh console RADIUS LOCAL
aaa authentication telnet console RADIUS LOCAL
aaa authentication http console RADIUS LOCAL
aaa authentication enable console RADIUS LOCAL
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
route inside 192.168.200.250 255.255.255.255 192.168.1.3 1
Note: L'adresse IP de 192.168.200.250 a été utilisée dans l'exemple, mais tous les travaux inutilisés d'adresse IP.
Vérifiez
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.
Routeur
Router# show ip nat nvi tra
Pro Source global Source local Destin local Destin global
udp 192.168.1.3:1025 192.168.1.1:1025 192.168.200.250:1812 192.168.200.1:1812
--- 192.168.200.1 192.168.2.1 --- ---
--- 192.168.200.250 192.168.200.1 --- ---
Dépannez
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.