ASA 8.3 und höher: Radius-Autorisierung (ACS 5.x) für VPN-Zugriff über herunterladbare ACL mit CLI und ASDM - Konfigurationsbeispiel

Download-Optionen

PDF (5.1 MB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (5.8 MB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (4.2 MB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:27. Februar 2012

Dokument-ID:113449

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Konventionen

Hintergrundinformationen

Konfigurieren

Netzwerkdiagramm

Konfigurieren des Remotezugriff-VPNs (IPsec)

Konfigurieren der ASA mit der CLI

ACS für herunterladbare ACLs für einzelne Benutzer konfigurieren

ACS für herunterladbare ACL für Gruppe konfigurieren

ACS für herunterladbare ACLs für eine Netzwerk-Gerätegruppe konfigurieren

Konfigurieren der IETF-RADIUS-Einstellungen für eine Benutzergruppe

Konfiguration des Cisco VPN Clients

Überprüfung

Kryptografiebefehle anzeigen

ACL zum Herunterladen für Benutzer/Gruppe

Filter-ID ACL

Fehlerbehebung

Löschen Sie die Sicherheitszuordnungen

Befehle für die Fehlerbehebung

Zugehörige Informationen

Einleitung

In diesem Dokument wird beschrieben, wie Sie die Sicherheits-Appliance so konfigurieren, dass Benutzer für den Netzwerkzugriff authentifiziert werden. Da Sie RADIUS-Autorisierungen implizit aktivieren können, enthält dieses Dokument keine Informationen zur Konfiguration der RADIUS-Autorisierung auf der Sicherheits-Appliance. Es enthält Informationen darüber, wie die Sicherheits-Appliance die von RADIUS-Servern empfangenen Zugriffslisteninformationen behandelt.

Sie können einen RADIUS-Server so konfigurieren, dass er bei der Authentifizierung eine Zugriffsliste auf die Sicherheits-Appliance oder einen Zugriffslistennamen herunterlädt. Der Benutzer ist nur zu den in der benutzerspezifischen Zugriffsliste zulässigen Aktionen berechtigt.

Herunterladbare Zugriffslisten sind die am besten skalierbare Methode, wenn Sie Cisco Secure Access Control Server (ACS) verwenden, um die entsprechenden Zugriffslisten für jeden Benutzer bereitzustellen. Weitere Informationen zu den Funktionen der herunterladbaren Zugriffslisten und zum Cisco Secure ACS finden Sie unter Konfigurieren eines RADIUS-Servers zum Senden von herunterladbaren Zugriffskontrolllisten und herunterladbaren IP-Zugriffskontrolllisten.

Weitere Informationen zur identischen Konfiguration der Cisco ASA mit Version 8.2 und früheren Versionen finden Sie unter ASA/PIX 8.x: Radius Authorization (ACS) for Network Access using Downloadable ACL with CLI and ASDM Configuration Example.

Voraussetzungen

Anforderungen

In diesem Dokument wird davon ausgegangen, dass die Adaptive Security Appliance (ASA) vollständig betriebsbereit und konfiguriert ist, damit der Cisco Adaptive Security Device Manager (ASDM) oder die CLI Konfigurationsänderungen vornehmen kann.

Hinweis: Weitere Informationen finden Sie unter Zulassen des HTTPS-Zugriffs für ASDM, um die Remote-Konfiguration des Geräts durch den ASDM oder Secure Shell (SSH) zu ermöglichen.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

Cisco ASA Software Version 8.3 oder höher
Cisco ASDM Version 6.3 und höher
Cisco VPN Client Version 5.x und höher
Cisco Secure ACS 5.x

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Sie können herunterladbare IP-Zugriffskontrolllisten verwenden, um ACL-Definitionen zu erstellen, die Sie auf viele Benutzer oder Benutzergruppen anwenden können. Diese ACL-Definitionen werden als ACL-Inhalte bezeichnet.

Herunterladbare IP-Zugriffskontrolllisten funktionieren folgendermaßen:

Wenn der ACS einem Benutzer Zugriff auf das Netzwerk gewährt, bestimmt der ACS im Ergebnisabschnitt, ob dem Autorisierungsprofil eine herunterladbare IP-ACL zugewiesen wird.
Wenn ACS eine herunterladbare IP-Zugriffskontrollliste findet, die dem Autorisierungsprofil zugewiesen ist, sendet ACS ein Attribut (als Teil der Benutzersitzung im RADIUS-Akzeptierungspaket), das die benannte Zugriffskontrollliste und die Version der benannten Zugriffskontrollliste angibt.
Wenn der AAA-Client antwortet, dass die aktuelle Version der ACL nicht im Cache vorhanden ist (d. h. die ACL neu ist oder geändert wurde), sendet ACS die ACL (neu oder aktualisiert) an das Gerät.

Herunterladbare IP-Zugriffskontrolllisten sind eine Alternative zur Konfiguration von Zugriffskontrolllisten im Cisco cisco-av-pair-RADIUS-Attribut [26/9/1] jedes Benutzers oder jeder Benutzergruppe. Sie können eine herunterladbare IP-Zugriffskontrollliste einmal erstellen, ihr einen Namen zuweisen und dann die herunterladbare IP-Zugriffskontrollliste einem beliebigen Autorisierungsprofil zuweisen, wenn Sie auf ihren Namen verweisen. Diese Methode ist effizienter als die Konfiguration des Cisco cisco-av-pair-RADIUS-Attributs für das Autorisierungsprofil.

Wenn Sie die ACL-Definitionen in die ACS-Webschnittstelle eingeben, dürfen Sie keine Stichwort- oder Namenseinträge verwenden. Verwenden Sie im Übrigen die standardmäßige ACL-Befehlssyntax und -semantik für den AAA-Client, auf den die herunterladbare IP-ACL angewendet werden soll. Die ACL-Definitionen, die Sie in ACS eingeben, umfassen einen oder mehrere ACL-Befehle. Jeder ACL-Befehl muss in einer separaten Zeile stehen.

In ACS können Sie mehrere herunterladbare IP-Zugriffskontrolllisten definieren und in verschiedenen Autorisierungsprofilen verwenden. Basierend auf den Bedingungen in den Zugriffsdienst-Autorisierungsregeln können Sie verschiedene Autorisierungsprofile mit herunterladbaren IP-ACLs an verschiedene AAA-Clients senden.

Außerdem können Sie die Reihenfolge der ACL-Inhalte in einer herunterladbaren IP-ACL ändern. ACS überprüft den Inhalt der ACL, beginnend mit dem oberen Rand der Tabelle, und lädt den ersten gefundenen ACL-Inhalt herunter. Wenn Sie die Reihenfolge festlegen, können Sie die Systemeffizienz sicherstellen, wenn Sie die am häufigsten anwendbaren ACL-Inhalte weiter oben in der Liste positionieren.

Um eine herunterladbare IP-Zugriffskontrollliste auf einem bestimmten AAA-Client verwenden zu können, muss der AAA-Client die folgenden Regeln befolgen:

RADIUS für Authentifizierung verwenden
Herunterladbare IP-Zugriffskontrolllisten unterstützen

Dies sind Beispiele für Cisco Geräte, die herunterladbare IP-Zugriffskontrolllisten unterstützen:

ASA
Cisco Geräte, auf denen IOS-Version 12.3(8)T oder höher ausgeführt wird

Dies ist ein Beispiel für das Format, das Sie verwenden müssen, um ASA ACLs in das Feld "ACL Definitions" (ACL-Definitionen) einzugeben:

permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1 
permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255 
permit 0 any host 10.159.1.22 
deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log 
permit TCP any host 10.160.0.1 eq 80 log 
permit TCP any host 10.160.0.2 eq 23 log 
permit TCP any host 10.160.0.3 range 20 30 
permit 6 any host HOSTNAME1 
permit UDP any host HOSTNAME2 neq 53 
deny 17 any host HOSTNAME3 lt 137 log 
deny 17 any host HOSTNAME4 gt 138 
deny ICMP any 10.161.0.0 0.0.255.255 log 
permit TCP any host HOSTNAME5 neq 80

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Hinweis: Die in dieser Konfiguration verwendeten IP-Adressierungsschemata sind im Internet nicht legal routbar. Es handelt sich um RFC 1918-Adressen, die in einer Laborumgebung verwendet wurden.

Konfigurieren des Remotezugriff-VPNs (IPsec)

ASDM-Verfahren

Gehen Sie wie folgt vor, um das Remote-Access-VPN zu konfigurieren:

Wählen Sie im Hauptfenster die Option Wizards > VPN Wizards > IPsec(IKEv1) Remote Access VPN Wizard (Assistenten > VPN-Assistenten > IPsec(IKEv1)-Remotezugriff-VPN-Assistent aus.
Wählen Sie die erforderliche VPN-Tunnelschnittstelle aus (in diesem Beispiel Outside), und stellen Sie sicher, dass das Kontrollkästchen neben Eingehende IPsec-Sitzungen aktivieren, um Schnittstellenzugriffslisten zu umgehen aktiviert ist.
Wählen Sie als Typ des VPN-Clients Cisco VPN Client, Version 3.x oder höher aus. Klicken Sie auf Next (Weiter).
Wählen Sie die Authentifizierungsmethode aus, und geben Sie die Authentifizierungsinformationen an. Die hier verwendete Authentifizierungsmethode ist Pre-Shared Key (Vorläufiger gemeinsamer Schlüssel). Geben Sie außerdem im dafür vorgesehenen Feld einen Namen für die Tunnelgruppe an. Der hier verwendete vorinstallierte Schlüssel ist cisco123, und der hier verwendete Tunnelgruppenname ist Cisco-Tunnel. Klicken Sie auf Next (Weiter).
Wählen Sie aus, ob Remote-Benutzer bei der lokalen Benutzerdatenbank oder einer externen AAA-Servergruppe authentifiziert werden sollen. Wählen Sie Authentication using an AAA server group (Authentifizierung mithilfe einer AAA-Servergruppe). Klicken Sie neben dem Feld "AAA Server Group Name" auf New, um einen neuen AAA Server Group Name zu erstellen.
Geben Sie den Server-Gruppennamen, das Authentifizierungsprotokoll, die Server-IP-Adresse, den Schnittstellennamen und den Server-Geheimschlüssel in die entsprechenden Felder ein, und klicken Sie auf OK.
Klicken Sie auf Next (Weiter).
Definieren Sie einen Pool lokaler Adressen, die Remote-VPN-Clients bei der Verbindung dynamisch zugewiesen werden. Klicken Sie auf Neu, um einen neuen Pool mit lokalen Adressen zu erstellen.
Geben Sie im Fenster Add IP Pool (IP-Pool hinzufügen) den Namen des Pools, die Start-IP-Adresse, die End-IP-Adresse und die Subnetzmaske ein. Klicken Sie auf OK.
Wählen Sie den Pool-Namen aus der Dropdown-Liste aus, und klicken Sie auf Weiter. Der Poolname für dieses Beispiel ist Sample-Pool, der in Schritt 9 erstellt wurde.
Optional: Geben Sie die DNS- und WINS-Serverinformationen sowie einen Standard-Domänennamen an, der an Remote-VPN-Clients übertragen werden soll.
Legen Sie fest, welche internen Hosts oder Netzwerke Remote-VPN-Benutzern ausgesetzt werden sollen (falls vorhanden). Klicken Sie nach Eingabe des Schnittstellennamen und der Netzwerke, für die im Feld Exempt Networks (Netzwerke ausnehmen) eine Ausnahme gemacht werden soll, auf Next (Weiter).

Wenn Sie diese Liste leer lassen, können Remote-VPN-Benutzer auf das gesamte interne Netzwerk der ASA zugreifen.

Sie können in diesem Fenster auch Split-Tunneling aktivieren. Split-Tunneling verschlüsselt den Datenverkehr zu den zuvor in diesem Verfahren definierten Ressourcen und bietet unverschlüsselten Zugriff auf das Internet im Allgemeinen, indem dieser Datenverkehr nicht getunnelt wird. Wenn Split-Tunneling nicht aktiviert ist, wird der gesamte Datenverkehr von Remote-VPN-Benutzern über Tunnel an die ASA weitergeleitet. Je nach Konfiguration kann dies sehr bandbreiten- und prozessorintensiv werden.
Dieses Fenster zeigt eine Zusammenfassung der von Ihnen durchgeführten Aktionen. Klicken Sie auf Beenden, wenn Sie mit Ihrer Konfiguration zufrieden sind.

Konfigurieren der ASA mit der CLI

Dies ist die CLI-Konfiguration:

Ausführen der Konfiguration auf dem ASA-Gerät
ASA# sh run ASA Version 8.4(3) ! !--- Specify the hostname for the Security Appliance. hostname ciscoasa enable password y.tvDXf6yFbMTAdD encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! !--- Configure the outside and inside interfaces. interface Ethernet0/0 nameif dmz security-level 50 ip address 192.168.26.13 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! interface Ethernet0/2 nameif outside security-level 0 ip address 172.16.1.1 255.255.255.0 ! !--- Output is suppressed. boot system disk0:/asa843-k8.bin ftp mode passive object network NETWORK_OBJ_10.1.1.0_24 subnet 10.1.1.0 255.255.255.0 object network NETWORK_OBJ_10.2.2.0_24 subnet 10.2.2.0 255.255.255.0 access-list OUTIN extended permit icmp any any !--- This is the Access-List whose name will be sent by !--- RADIUS Server(ACS) in the Filter-ID attribute. access-list new extended permit ip any host 10.1.1.2 access-list new extended deny ip any any pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 mtu dmz 1500 ip local pool Sample-Pool 10.2.2.1-10.2.2.254 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 !--- Specify the location of the ASDM image for ASA !--- to fetch the image for ASDM access. asdm image disk0:/asdm-647.bin no asdm history enable arp timeout 14400 !--- Specify the NAT from internal network to the Sample-Pool. nat (inside,outside) source static NETWORK_OBJ_10.1.1.0_24 NETWORK_OBJ_10.1.1.0_24 destination static NETWORK_OBJ_10.2.2.0_24 NETWORK_OBJ_10.2.2.0_24 no-proxy-arp route-lookup access-group OUTIN in interface outside !--- Create the AAA server group "ACS5" and specify the protocol as RADIUS. !--- Specify the ACS 5.x server as a member of the "ACS5" group and provide the !--- location and key. aaa-server ACS5 protocol radius aaa-server ACS5 (dmz) host 192.168.26.51 timeout 5 key ***** aaa authentication http console LOCAL http server enable 2003 http 0.0.0.0 0.0.0.0 inside !--- PHASE 2 CONFIGURATION ---! !--- The encryption & hashing types for Phase 2 are defined here. We are using !--- all the permutations of the PHASE 2 parameters. crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac !--- Defines a dynamic crypto map with !--- the specified transform-sets created earlier. We are specifying all the !--- transform-sets. crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 !--- Binds the dynamic map to the IPsec/ISAKMP process. crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP !--- Specifies the interface to be used with !--- the settings defined in this configuration. crypto map outside_map interface outside !--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policies defined with all the permutation !--- of the 5 ISAKMP parameters. The configuration commands here define the !--- Phase 1 policy parameters that are used. crypto ikev1 enable outside crypto ikev1 policy 10 authentication crack encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 20 authentication rsa-sig encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 30 authentication pre-share encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 40 authentication crack encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 50 authentication rsa-sig encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 60 authentication pre-share encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 70 authentication crack encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 80 authentication rsa-sig encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 90 authentication pre-share encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 100 authentication crack encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 110 authentication rsa-sig encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 120 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 130 authentication crack encryption des hash sha group 2 lifetime 86400 crypto ikev1 policy 140 authentication rsa-sig encryption des hash sha group 2 lifetime 86400 crypto ikev1 policy 150 authentication pre-share encryption des hash sha group 2 lifetime 86400 webvpn group-policy Cisco-Tunnel internal group-policy Cisco-Tunnel attributes vpn-tunnel-protocol ikev1 default-domain value cisco.com username admin password CdOTKv3uhDhHIw3A encrypted privilege 15 !--- Associate the vpnclient pool to the tunnel group using the address pool. !--- Associate the AAA server group (ACS5) with the tunnel group. tunnel-group Cisco-Tunnel type remote-access tunnel-group Cisco-Tunnel general-attributes address-pool Sample-Pool authentication-server-group ACS5 default-group-policy Cisco-Tunnel !--- Enter the pre-shared-key to configure the authentication method. tunnel-group Cisco-Tunnel ipsec-attributes ikev1 pre-shared-key ***** prompt hostname context Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d : end ASA#

Ausführen der Konfiguration auf dem ASA-Gerät

ASA# sh run
ASA Version 8.4(3)
!

!--- Specify the hostname for the Security Appliance.

hostname ciscoasa
enable password y.tvDXf6yFbMTAdD encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!


!--- Configure the outside and inside interfaces.

interface Ethernet0/0
nameif dmz
security-level 50
ip address 192.168.26.13 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!

!--- Output is suppressed.


boot system disk0:/asa843-k8.bin
ftp mode passive

object network NETWORK_OBJ_10.1.1.0_24
subnet 10.1.1.0 255.255.255.0
object network NETWORK_OBJ_10.2.2.0_24
subnet 10.2.2.0 255.255.255.0


access-list OUTIN extended permit icmp any any


!--- This is the Access-List whose name will be sent by !--- RADIUS Server(ACS) in the Filter-ID attribute.

access-list new extended permit ip any host 10.1.1.2
access-list new extended deny ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500

ip local pool Sample-Pool 10.2.2.1-10.2.2.254 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1


!--- Specify the location of the ASDM image for ASA !--- to fetch the image for ASDM access.

asdm image disk0:/asdm-647.bin
no asdm history enable
arp timeout 14400


!--- Specify the NAT from internal network to the Sample-Pool.

nat (inside,outside) source static 
NETWORK_OBJ_10.1.1.0_24 NETWORK_OBJ_10.1.1.0_24 destination static 
NETWORK_OBJ_10.2.2.0_24 NETWORK_OBJ_10.2.2.0_24 

no-proxy-arp route-lookup

access-group OUTIN in interface outside



!--- Create the AAA server group "ACS5" and specify the protocol as RADIUS. !--- Specify the ACS 5.x server as a member of the "ACS5" group and provide the !--- location and key.

aaa-server ACS5 protocol radius
aaa-server ACS5 (dmz) host 192.168.26.51
timeout 5
key *****

aaa authentication http console LOCAL
http server enable 2003
http 0.0.0.0 0.0.0.0 inside



!--- PHASE 2 CONFIGURATION ---! !--- The encryption & hashing types for Phase 2 are defined here. We are using !--- all the permutations of the PHASE 2 parameters. 


crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac



!--- Defines a dynamic crypto map with !--- the specified transform-sets created earlier. We are specifying all the

!--- transform-sets.
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set 
   ESP-AES-128-SHA ESP-AES-128-MD5 
ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA 
   ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5


!--- Binds the dynamic map to the IPsec/ISAKMP process.


crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP


!--- Specifies the interface to be used with !--- the settings defined in this configuration.

crypto map outside_map interface outside


!--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policies defined with all the permutation !--- of the 5 ISAKMP parameters. The configuration commands here define the !--- Phase 1 policy parameters that are used.

crypto ikev1 enable outside

crypto ikev1 policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 40
authentication crack
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 60
authentication pre-share
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 70
authentication crack
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 80
authentication rsa-sig
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 90
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 100
authentication crack
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 110
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 120
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 130
authentication crack
encryption des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 140
authentication rsa-sig
encryption des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 150
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400


webvpn
group-policy Cisco-Tunnel internal
group-policy Cisco-Tunnel attributes
vpn-tunnel-protocol ikev1
default-domain value cisco.com
username admin password CdOTKv3uhDhHIw3A encrypted privilege 15

!--- Associate the vpnclient pool to the tunnel group using the address pool. !--- Associate the AAA server group (ACS5) with the tunnel group.


tunnel-group Cisco-Tunnel type remote-access
tunnel-group Cisco-Tunnel general-attributes
address-pool Sample-Pool
authentication-server-group ACS5
default-group-policy Cisco-Tunnel


!--- Enter the pre-shared-key to configure the authentication method.

tunnel-group Cisco-Tunnel ipsec-attributes
ikev1 pre-shared-key *****

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#

ACS für herunterladbare ACLs für einzelne Benutzer konfigurieren

Sie können herunterladbare Zugriffslisten auf Cisco Secure ACS 5.x als benanntes Berechtigungsobjekt konfigurieren und sie dann einem Autorisierungsprofil zuweisen, das im Ergebnisabschnitt der Regel im Access-Service ausgewählt wird.

In diesem Beispiel wird der IPsec-VPN-Benutzer cisco erfolgreich authentifiziert, und der RADIUS-Server sendet eine herunterladbare Zugriffsliste an die Sicherheits-Appliance. Der Benutzer "cisco" kann nur auf den Server 10.1.1.2 zugreifen und verweigert allen anderen Zugriff. Informationen zum Überprüfen der ACL finden Sie im Abschnitt Herunterladbare ACL für Benutzer/Gruppe.

Führen Sie die folgenden Schritte aus, um den RADIUS-Client in einem Cisco Secure ACS 5.x zu konfigurieren:

Wählen Sie Netzwerkressourcen > Netzwerkgeräte und AAA-Clients aus, und klicken Sie auf Erstellen, um einen Eintrag für die ASA in der RADIUS-Serverdatenbank hinzuzufügen.
Geben Sie einen lokal relevanten Namen für die ASA ein (in diesem Beispiel Beispiel-ASA), und geben Sie dann 192.168.26.13 in das IP-Adressfeld ein. Wählen Sie im Abschnitt "Authentication Options" (Authentifizierungsoptionen) die Option RADIUS aus, indem Sie das Kontrollkästchen RADIUS aktivieren und cisco123 für das Feld Shared Secret eingeben. Klicken Sie auf Senden.
Die ASA wurde der RADIUS-Serverdatenbank (ACS) erfolgreich hinzugefügt.
Wählen Sie Benutzer und Identitätsdaten > Interne Identitätsdaten > Benutzer aus, und klicken Sie auf Erstellen, um einen Benutzer in der lokalen Datenbank des ACS für die VPN-Authentifizierung zu erstellen.
Geben Sie den Benutzernamen cisco ein. Wählen Sie als Kennworttyp Internal Users aus, und geben Sie das Kennwort ein (in diesem Beispiel cisco123). Bestätigen Sie das Kennwort, und klicken Sie auf Senden.
Der Benutzer cisco wurde erfolgreich erstellt.
Um eine herunterladbare Zugriffskontrollliste zu erstellen, wählen Sie Richtlinienelemente > Autorisierung und Berechtigungen > Benannte Berechtigungsobjekte > herunterladbare Zugriffskontrolllisten aus, und klicken Sie auf Erstellen.
Geben Sie den Namen für die herunterladbare ACL und den ACL-Inhalt an. Klicken Sie auf Senden.
Die herunterladbare ACL Sample-DACL wurde erfolgreich erstellt.
Um die Zugriffsrichtlinien für die VPN-Authentifizierung zu konfigurieren, wählen Sie Zugriffsrichtlinien > Zugriffsdienste > Dienstauswahlregeln aus, und bestimmen Sie, welcher Dienst für das RADIUS-Protokoll zuständig ist. In diesem Beispiel stimmt Regel 1 mit RADIUS überein, und der Standardnetzwerkzugriff entspricht der RADIUS-Anforderung.
Wählen Sie den aus Schritt 10 ermittelten Zugriffsdienst aus. In diesem Beispiel wird Standard-Netzwerkzugriff verwendet. Wählen Sie die Registerkarte Allowed Protocols (Zugelassene Protokolle) aus, und stellen Sie sicher, dass Allow PAP/ASCII (PAP/ASCII zulassen) und Allow MS-CHAPv2 (MS-CHAPv2 zulassen) ausgewählt sind.Klicken Sie auf Submit (Senden).
Klicken Sie auf den Identitätsabschnitt der Zugriffsdienste, und stellen Sie sicher, dass Interne Benutzer als Identitätsquelle ausgewählt ist. In diesem Beispiel haben wir den Standardnetzwerkzugriff verwendet.
Wählen Sie Zugriffsrichtlinien > Zugriffsdienste > Standard-Netzwerkzugriff > Autorisierung aus, und klicken Sie auf Anpassen.
Verschieben Sie System:UserName aus der Spalte Available in die Spalte Selected, und klicken Sie auf OK.
Klicken Sie auf Erstellen, um eine neue Regel zu erstellen.
Vergewissern Sie sich, dass das Kontrollkästchen neben System:UserName aktiviert ist, wählen Sie in der Dropdown-Liste die Option Equal aus, und geben Sie den Benutzernamen cisco ein.
Klicken Sie auf Auswählen.
Klicken Sie auf Erstellen, um ein neues Autorisierungsprofil zu erstellen.
Geben Sie einen Namen für das Autorisierungsprofil an. In diesem Beispiel wird Sample-Profile verwendet.
Wählen Sie die Registerkarte Allgemeine Aufgaben aus, und wählen Sie in der Dropdown-Liste für den herunterladbaren ACL-Namen die Option Statisch aus. Wählen Sie die neu erstellte DACL (Sample -DACL) aus der Dropdown-Liste "Value" aus.
Klicken Sie auf Senden.
Vergewissern Sie sich, dass das Kontrollkästchen neben Sample-Profile (das neu erstellte Autorisierungsprofil) aktiviert ist, und klicken Sie auf OK.
Nachdem Sie sichergestellt haben, dass das neu erstellte Beispielprofil im Feld Autorisierungsprofile ausgewählt ist, klicken Sie auf OK.
Überprüfen Sie, ob die neue Regel (Regel-2) mit System:UserName gleich cisco Bedingungen und Sample-Profile als Ergebnis erstellt wurde. Klicken Sie auf Änderungen speichern. Regel 2 wurde erfolgreich erstellt.

ACS für herunterladbare ACL für Gruppe konfigurieren

Führen Sie die Schritte 1 bis 12 des Befehls Configure ACS for Downloadable ACL for Individual User aus, und führen Sie diese Schritte aus, um die herunterladbare ACL für Gruppen in einem Cisco Secure ACS zu konfigurieren.

In diesem Beispiel gehört der IPsec-VPN-Benutzer "cisco" zur Beispielgruppe.

Der Sample-Group-Benutzer cisco authentifiziert sich erfolgreich, und der RADIUS-Server sendet eine herunterladbare Zugriffsliste an die Sicherheits-Appliance. Der Benutzer "cisco" kann nur auf den Server 10.1.1.2 zugreifen und verweigert allen anderen Zugriff. Informationen zum Überprüfen der ACL finden Sie im Abschnitt Herunterladbare ACL für Benutzer/Gruppe.

Klicken Sie in der Navigationsleiste auf Benutzer und Identitätsdaten > Identitätsgruppen, und klicken Sie auf Erstellen, um eine neue Gruppe zu erstellen.
Geben Sie einen Gruppennamen an (Beispielgruppe), und klicken Sie auf Submit (Senden).
Wählen Sie User Identity Stores > Internal Identity Stores > Users aus, und wählen Sie den Benutzer cisco aus. Klicken Sie auf Bearbeiten, um die Gruppenmitgliedschaft dieses Benutzers zu ändern.
Klicken Sie neben der Identitätsgruppe auf Auswählen.
Wählen Sie die neu erstellte Gruppe aus (Beispielgruppe), und klicken Sie auf OK.
Klicken Sie auf Senden.
Wählen Sie Access Policies > Access Services > Default Network Access > Authorization (Zugriffsrichtlinien > Zugriffsservices > Standard-Netzwerkzugriff > Autorisierung) aus, und klicken Sie auf Create (Erstellen), um eine neue Regel zu erstellen.
Vergewissern Sie sich, dass das Kontrollkästchen neben Identitätsgruppe aktiviert ist, und klicken Sie auf Auswählen.
Wählen Sie Beispielgruppe aus, und klicken Sie auf OK.
Klicken Sie im Abschnitt "Autorisierungsprofile" auf Auswählen.
Klicken Sie auf Erstellen, um ein neues Autorisierungsprofil zu erstellen.
Geben Sie einen Namen für das Autorisierungsprofil an. Sample-Profile ist der in diesem Beispiel verwendete Name.
Wählen Sie die Registerkarte Allgemeine Aufgaben aus, und wählen Sie in der Dropdown-Liste für den herunterladbaren ACL-Namen die Option Statisch aus. Wählen Sie die neu erstellte DACL (Sample -DACL) aus der Dropdown-Liste Value (Wert) aus.
Klicken Sie auf Senden.
Wählen Sie das zuvor erstellte Beispielprofil für das Autorisierungsprofil aus, und klicken Sie auf OK.
Klicken Sie auf OK.
Stellen Sie sicher, dass Regel-1 mit der Identitätsgruppen-Beispielgruppe als Bedingung und dem Beispielprofil als Ergebnis erstellt wird. Klicken Sie auf Änderungen speichern.

ACS für herunterladbare ACLs für eine Netzwerk-Gerätegruppe konfigurieren

Führen Sie die Schritte 1 bis 12 des Befehls Configure ACS for Downloadable ACL for Individual User aus, und führen Sie diese Schritte aus, um die herunterladbare ACL für eine Gruppe von Netzwerkgeräten in einem Cisco Secure ACS zu konfigurieren.

In diesem Beispiel gehört der RADIUS-Client (ASA) zur Netzwerkgerätegruppe VPN-Gateways.Die von ASA für den Benutzer "cisco" eingehende VPN-Authentifizierungsanforderung wird erfolgreich authentifiziert, und der RADIUS-Server sendet eine herunterladbare Zugriffsliste an die Sicherheits-Appliance. Der Benutzer "cisco" kann nur auf den Server 10.1.1.2 zugreifen und verweigert allen anderen Zugriff. Informationen zum Überprüfen der ACL finden Sie im Abschnitt Herunterladbare ACL für Benutzer/Gruppe.

Wählen Sie Netzwerkressourcen > Netzwerkgerätegruppen > Gerätetyp aus, und klicken Sie auf Erstellen, um eine neue Netzwerkgerätegruppe zu erstellen.
Geben Sie einen Netzwerkgerätegruppennamen an (in diesem Beispiel VPN-Gateways), und klicken Sie auf Senden.
Wählen Sie Netzwerkressourcen > Netzwerkgeräte und AAA-Clients, und wählen Sie das RADIUS-Client-Beispiel aus, das Sie zuvor erstellt haben. Klicken Sie auf Edit, um die Mitgliedschaft der Netzwerkgerätegruppe in diesem RADIUS-Client (ASA) zu ändern.
Klicken Sie neben dem Gerätetyp auf Auswählen.
Wählen Sie die neu erstellte Netzwerkgerätegruppe (VPN-Gateways) aus, und klicken Sie auf OK.
Klicken Sie auf Senden.
Wählen Sie Zugriffsrichtlinien > Zugriffsdienste > Standard-Netzwerkzugriff > Autorisierung aus, und klicken Sie auf Anpassen.
Verschieben Sie NDG:Device Type aus dem Abschnitt Available in den Abschnitt Selected (Ausgewählt), und klicken Sie auf OK.
Klicken Sie auf Erstellen, um eine neue Regel zu erstellen.
Vergewissern Sie sich, dass das Kontrollkästchen neben NDG:Device Type (Gerätetyp) aktiviert ist, und wählen Sie in der Dropdown-Liste aus. Klicken Sie auf Auswählen.
Wählen Sie die zuvor erstellten VPN-Gateways für Netzwerkgerätegruppen aus, und klicken Sie auf OK.
Klicken Sie auf Auswählen.
Klicken Sie auf Erstellen, um ein neues Autorisierungsprofil zu erstellen.
Geben Sie einen Namen für das Autorisierungsprofil an. Sample-Profile ist der in diesem Beispiel verwendete Name.
Wählen Sie die Registerkarte Allgemeine Aufgaben aus, und wählen Sie in der Dropdown-Liste für den herunterladbaren ACL-Namen die Option Statisch aus. Wählen Sie die neu erstellte DACL (Sample-DACL) aus der Dropdown-Liste "Value" aus.
Klicken Sie auf Senden.
Wählen Sie zuvor erstelltes Beispielprofil aus, und klicken Sie auf OK.
Klicken Sie auf OK.
Überprüfen Sie, ob Regel-1 mit VPN-Gateways als Bedingung NDG:Device Type (Gerätetyp) und Sample-Profile als Ergebnis erstellt wurde. Klicken Sie auf Änderungen speichern.

Konfigurieren der IETF-RADIUS-Einstellungen für eine Benutzergruppe

Um einen Namen für eine Zugriffsliste herunterzuladen, die Sie bei der Authentifizierung eines Benutzers bereits auf der Sicherheitsappliance erstellt haben, konfigurieren Sie das IETF RADIUS filter-id-Attribut (Attributnummer 11):

filter-id=acl_name

Der Benutzer der Beispielgruppe wird erfolgreich authentifiziert, und der RADIUS-Server lädt einen ACL-Namen (neu) für eine Zugriffsliste herunter, die Sie bereits auf der Sicherheits-Appliance erstellt haben. Der Benutzer "cisco" kann auf alle Geräte im Netzwerk der ASA zugreifen, mit Ausnahme des Servers 10.1.1.2. Informationen zum Überprüfen der ACL finden Sie im Abschnitt Filter-ID ACL.

Wie im Beispiel gezeigt, ist die neue ACL für die Filterung in ASA konfiguriert:

access-list new extended deny ip any host 10.1.1.2
access-list new extended permit ip any any

Diese Parameter werden nur angezeigt, wenn sie wahr sind. Sie haben Folgendes konfiguriert:

AAA-Client zur Verwendung eines der RADIUS-Protokolle in der Netzwerkkonfiguration
Im Ergebnisabschnitt der Regel im Access-Service wird ein Autorisierungsprofil mit RADIUS (IETF) Filter-Id ausgewählt.

RADIUS-Attribute werden als Profil für jeden Benutzer vom ACS an den anfordernden AAA-Client gesendet.

Führen Sie die Schritte 1 bis 6 und 10 bis 12 des Befehls Configure ACS for Downloadable ACL for Individual User aus, gefolgt von den Schritten 1 bis 6 des Befehls Configure ACS for Downloadable ACL for Group, und führen Sie die in diesem Abschnitt beschriebenen Schritte aus, um die Filter-ID im Cisco Secure ACS zu konfigurieren.

So konfigurieren Sie die IETF RADIUS-Attributeinstellungen so, dass sie wie im Autorisierungsprofil angewendet werden:

Wählen Sie Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles aus, und klicken Sie auf Create, um ein neues Autorisierungsprofil zu erstellen.
Geben Sie einen Namen für das Autorisierungsprofil an. Filter-Id ist der Name des Autorisierungsprofils, der aus Gründen der Einfachheit in diesem Beispiel ausgewählt wurde.
Klicken Sie auf die Registerkarte Allgemeine Aufgaben, und wählen Sie Statisch aus der Dropdown-Liste für Filter-ID ACL aus. Geben Sie im Feld Wert den neuen Namen der Zugriffsliste ein, und klicken Sie auf Senden.
Wählen Sie Access Policies > Access Services > Default Network Access > Authorization (Zugriffsrichtlinien > Zugriffsservices > Standard-Netzwerkzugriff > Autorisierung) aus, und klicken Sie auf Create (Erstellen), um eine neue Regel zu erstellen.
Vergewissern Sie sich, dass das Kontrollkästchen neben Identitätsgruppe aktiviert ist, und klicken Sie auf Auswählen.
Wählen Sie Beispielgruppe aus, und klicken Sie auf OK.
Klicken Sie im Abschnitt "Autorisierungsprofile" auf Auswählen.
Wählen Sie die zuvor erstellte Filter-ID für das Autorisierungsprofil aus, und klicken Sie auf OK.
Klicken Sie auf OK.
Überprüfen Sie, ob Regel-1 mit der Identitätsgruppen-Beispielgruppe als Bedingung und der Filter-ID als Ergebnis erstellt wurde. Klicken Sie auf Änderungen speichern.

Konfiguration des Cisco VPN Clients

Stellen Sie mit dem Cisco VPN Client eine Verbindung zur Cisco ASA her, um zu überprüfen, ob die ASA erfolgreich konfiguriert wurde.

Führen Sie diese Schritte aus:

Wählen Sie Start > Programme > Cisco Systems VPN Client > VPN Client aus.
Klicken Sie auf Neu, um das Fenster Neuen VPN-Verbindungseintrag erstellen zu öffnen.
Geben Sie die Details Ihrer neuen Verbindung ein:
1. Geben Sie den Namen des Verbindungseintrags und eine Beschreibung ein.
2. Geben Sie die externe IP-Adresse der ASA im Feld Host ein.
3. Geben Sie den Namen der VPN-Tunnelgruppe (Cisco-Tunnel) und das Kennwort (Pre-shared Key - cisco123) wie in der ASA konfiguriert ein.
4. Klicken Sie auf Speichern.
Klicken Sie auf die Verbindung, die Sie verwenden möchten, und klicken Sie im Hauptfenster von VPN Client auf Verbinden.
Wenn Sie dazu aufgefordert werden, geben Sie den Benutzernamen cisco und das Kennwort cisco123 ein, wie in der ASA für die Authentifizierung konfiguriert, und klicken Sie auf OK, um eine Verbindung zum Remote-Netzwerk herzustellen.
Wenn die Verbindung erfolgreich hergestellt wurde, wählen Sie im Menü Status die Option Statistics (Statistiken) aus, um die Details des Tunnels zu überprüfen.

Überprüfung

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

Kryptografiebefehle anzeigen

show crypto isakmp sa - Zeigt alle aktuellen IKE Security Associations (SAs) auf einem Peer an.

ciscoasa# sh crypto isakmp sa

IKEv1 SAs:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 172.16.1.50
    Type    : user            Role    : responder 
    Rekey   : no              State   : AM_ACTIVE 
ciscoasa#

show crypto ipsec sa - Zeigt die von aktuellen SAs verwendeten Einstellungen an.

ciscoasa# sh crypto ipsec sa
interface: outside
    Crypto map tag: SYSTEM_DEFAULT_CRYPTO_MAP, seq num: 65535, local addr: 
       172.16.1.1

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
      current_peer: 172.16.1.50, username: cisco
      dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 0
      #pkts decaps: 333, #pkts decrypt: 333, #pkts verify: 333
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly:
        0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.16.1.1/0, remote crypto endpt.: 172.16.1.50/0
      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: 9A06E834
      current inbound spi : FA372121

    inbound esp sas:
      spi: 0xFA372121 (4197916961)
         transform: esp-aes esp-sha-hmac no compression 
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
         sa timing: remaining key lifetime (sec): 28678
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x9A06E834 (2584143924)
         transform: esp-aes esp-sha-hmac no compression 
         in use settings ={RA, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
         sa timing: remaining key lifetime (sec): 28678
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0x00000000 0x00000001

ACL zum Herunterladen für Benutzer/Gruppe

Überprüfen Sie die herunterladbare ACL für den Benutzer Cisco. ACLs werden vom CSACS heruntergeladen.

ciscoasa# sh access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list OUTIN; 1 elements; name hash: 0x683c318c
access-list OUTIN line 1 extended permit icmp any any (hitcnt=1) 0x2ba5809c 
access-list #ACSACL#-IP-Sample-DACL-4f3b9117; 2 elements; name hash: 0x3c878038
   (dynamic)
access-list #ACSACL#-IP-Sample-DACL-4f3b9117 line 1 extended permit ip any host
   10.1.1.2 (hitcnt=0) 0x5e896ac3 
access-list #ACSACL#-IP-Sample-DACL-4f3b9117 line 2 extended deny ip any any 
   (hitcnt=130) 0x19b3b8f5

Filter-ID ACL

Die [011] Filter-ID wurde für "Group - Sample-Group" (Gruppe - Beispielgruppe) angewendet, und die Benutzer der Gruppe werden entsprechend der in der ASA definierten ACL (neu) gefiltert.

ciscoasa# sh access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list OUTIN; 1 elements; name hash: 0x683c318c
access-list OUTIN line 1 extended permit icmp any any (hitcnt=1) 0x2ba5809c 
access-list new; 2 elements; name hash: 0xa39433d3
access-list new line 1 extended permit ip any host 10.1.1.2 (hitcnt=4) 
   0x58a3ea12 
access-list new line 2 extended deny ip any any (hitcnt=27) 0x61f918cd

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration. Außerdem wird eine Beispiel-Debugausgabe angezeigt.

Hinweis: Weitere Informationen zur Fehlerbehebung bei Remote Access IPsec VPN finden Sie unter Häufigste L2L- und Remote Access IPsec VPN-Fehlerbehebungslösungen.

Löschen Sie die Sicherheitszuordnungen

Achten Sie bei der Fehlerbehebung darauf, vorhandene SAs zu löschen, nachdem Sie eine Änderung vorgenommen haben. Verwenden Sie im privilegierten Modus von PIX die folgenden Befehle:

clear [crypto] ipsec sa - Löscht die aktiven IPsec-SAs. Das Schlüsselwort crypto ist optional.
clear [crypto] isakmp sa - Löscht die aktiven IKE-SAs. Das Schlüsselwort crypto ist optional.

Befehle für die Fehlerbehebung

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

Hinweis: Lesen Sie den Artikel Important Information on Debug Commands (Wichtige Informationen zu Debug-Befehlen), bevor Sie debug-Befehle verwenden.