Authentification ASA à un standby ASA quand le périphérique d'AAA se trouve par un exemple de configuration L2L

Introduction

Ce document décrit comment fonctionner autour d'un scénario où l'administrateur ne peut pas authentifier à une appliance de sécurité adaptable Cisco de réserve (ASA) dans une paire de Basculement étant donné que le serveur d'Authentification, autorisation et comptabilité (AAA) se trouve sur un site distant par un entre réseaux locaux (L2L).

Bien que le retour à l'authentification locale puisse être utilisé, l'authentification de RAYON pour les deux unités est préférée.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Basculement ASA
• VPN
• Traduction d'adresses réseau (NAT)

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Le serveur de RAYON se trouve sur l'extérieur des paires de Basculement et il est accessible par un tunnel L2L à 12.12.12.2. C'est ce qui entraîne le probem parce que les essais du standby ASA pour l'accéder par sa propre interface extérieure mais là n'est aucun tunnel construit là-dessus en ce moment ; pour qu'il fonctionne, il devrait envoyer la demande à l'interface active ainsi le paquet peut circuler à travers le VPN mais les artères sont répliquées à partir de l'unité d'active.

Une option est d'utiliser une fausse adresse IP pour le serveur de RAYON sur les ASA et de l'indiquer l'intérieur. Par conséquent, la source et l'adresse IP de destination de ce paquet peuvent être traduites sur un périphérique interne.

Router1

interface FastEthernet0/0
 ip address 192.168.1.3 255.255.255.0
 no ip redirects
 no ip unreachables
 ip nat enable
 duplex auto
 speed auto

ip access-list extended NAT
 permit ip 192.168.1.0 0.0.0.255 host 192.168.200.250
 
ip nat source list NAT interface FastEthernet0/0 overload
ip nat source static 192.168.200.1 192.168.200.250

ip route 0.0.0.0 0.0.0.0 192.168.1.1

ASA

aaa-server RADIUS protocol radius
aaa-server RADIUS (inside) host 192.168.200.250
 timeout 3
 key *****
 authentication-port 1812
 accounting-port 1813

aaa authentication serial console LOCAL 
aaa authentication ssh console RADIUS LOCAL
aaa authentication telnet console RADIUS LOCAL
aaa authentication http console RADIUS LOCAL
aaa authentication enable console RADIUS LOCAL

route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
route inside 192.168.200.250 255.255.255.255 192.168.1.3 1

Remarque: L'adresse IP de 192.168.200.250 a été utilisée dans l'exemple, mais tous les travaux inutilisés d'adresse IP.

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.

Routeur

Router#   show ip nat nvi tra
Pro Source global      Source local       Destin  local      Destin  global
udp 192.168.1.3:1025   192.168.1.1:1025   192.168.200.250:1812 192.168.200.1:1812
--- 192.168.200.1      192.168.2.1        ---                ---
--- 192.168.200.250    192.168.200.1      ---                ---

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.