使用CLI和ASDM進行擴展身份驗證的PIX/ASA作為遠端VPN伺服器的配置示例

下載選項

PDF (887.1 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (653.6 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (1.1 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2008 年 2 月 25 日

文件 ID:68795

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹如何使用自適應安全裝置管理器(ASDM)或CLI將Cisco 5500系列自適應安全裝置(ASA)配置為遠端VPN伺服器。ASDM透過一個直觀、易於使用的基於Web的管理介面，提供世界一流的安全管理和監控。Cisco ASA配置完成後，可以使用Cisco VPN客戶端進行驗證。

請參閱使用Windows 2003 IAS RADIUS（針對Active Directory）進行身份驗證的PIX/ASA 7.x和Cisco VPN客戶端4.x配置示例，以設定Cisco VPN客戶端(4.x for Windows)和PIX 500系列安全裝置7.x之間的遠端訪問VPN連線。遠端VPN客戶端使用者使用Microsoft Windows 2003 Internet身份驗證服務(IAS) RADIUS伺服器對Active Directory進行身份驗證。

請參閱PIX/ASA 7.x和Cisco VPN客戶端4.x for Cisco Secure ACS身份驗證配置示例，以使用Cisco安全訪問控制伺服器（ACS 3.2版）進行擴展身份驗證(Xauth)，在Cisco VPN客戶端(4.x for Windows)和PIX 500系列安全裝置7.x之間設定遠端訪問VPN連線。

必要條件

需求

本文檔假設ASA完全正常運行且已配置為允許Cisco ASDM或CLI進行配置更改。

注意：請參閱允許ASDM進行HTTPS訪問或PIX/ASA 7.x：內部和外部介面上的SSH配置示例，以允許透過ASDM或Secure Shell (SSH)對裝置進行遠端配置。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

思科自適應安全裝置軟體版本7.x及更高版本
自適應安全裝置管理器5.x版及更高版本
Cisco VPN Client版本4.x及更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

背景資訊

遠端訪問配置為Cisco VPN客戶端（如移動使用者）提供安全的遠端訪問。遠端訪問VPN使遠端使用者能夠安全地訪問集中式網路資源。Cisco VPN Client符合IPSec協定，專門設計用於安全裝置。但是，安全裝置可以與許多符合協定的客戶端建立IPSec連線。有關IPSec的詳細資訊，請參閱ASA配置指南。

組和使用者是VPN安全管理和安全裝置配置中的核心概念。它們指定決定使用者訪問和使用VPN的屬性。群組是被視為單一實體的使用者集合。使用者從組策略獲取其屬性。隧道組標識特定連線的組策略。如果您未將特定組策略分配給使用者，則連線的預設組策略適用。

隧道組由確定隧道連線策略的一組記錄組成。這些記錄標識了隧道使用者被認證到的伺服器，以及連線資訊被傳送到的記帳伺服器（如果有）。它們還標識了連線的預設組策略，並且它們包含特定於協定的連線引數。隧道組包含與建立隧道本身相關的少量屬性。隧道組包括指向定義面向使用者的屬性的組策略的指標。

注意：在本文檔的示例配置中，本地使用者帳戶用於身份驗證。如果要使用其他服務，例如LDAP和RADIUS，請參閱配置用於授權和身份驗證的外部RADIUS伺服器。

Internet安全連線和金鑰管理協定(ISAKMP)（也稱為IKE）是主機同意如何建立IPSec安全關聯的協商協定。每個ISAKMP協商分為兩個部分：階段1和階段2。第1階段建立第一條隧道，以保護後來的ISAKMP協商消息。第2階段建立隧道，用於保護透過安全連線傳輸的資料。有關ISAKMP的詳細資訊，請參閱CLI命令的ISAKMP策略關鍵字。

組態

使用ASDM將ASA/PIX配置為遠端VPN伺服器

完成以下步驟，以便使用ASDM將Cisco ASA配置為遠端VPN伺服器：

從主窗口中選擇Wizards > VPN Wizard。
選擇Remote Access VPN隧道型別，並確保按照要求設定VPN隧道介面。
已選擇唯一可用的VPN客戶端型別。按「Next」（下一步）。
輸入Tunnel Group Name的名稱。提供要使用的身份驗證資訊。

本示例中選擇了Pre-shared Key。

注意：無法隱藏/加密ASDM上的預共用金鑰。原因是ASDM只能由配置ASA的人員或協助客戶進行此配置的人員使用。
選擇是要向本地使用者資料庫還是向外部AAA伺服器組驗證遠端使用者。

注意：您可以在步驟6中將使用者新增至本機使用者資料庫。

注意：有關如何透過ASDM配置外部AAA伺服器組的資訊，請參閱PIX/ASA 7.x的透過ASDM為VPN使用者配置身份驗證和授權伺服器組的配置示例。
如有必要，將使用者增加到本地資料庫。

附註：請勿從此視窗移除現有使用者。在ASDM主窗口中選擇Configuration > Device Administration > Administration > User Accounts，以編輯資料庫中的現有條目或將這些條目從資料庫中刪除。
定義在遠端VPN客戶端連線時將動態分配給這些客戶端的本地地址池。
可選：指定要推送到遠端VPN客戶端的DNS和WINS伺服器資訊以及預設域名。
指定IKE的引數，也稱為IKE階段1。

通道兩端的組態必須完全相符。但是，Cisco VPN Client會自動為其自身選擇正確的配置。因此，客戶端PC上無需配置IKE。
指定IPSec（也稱為IKE階段2）的引數。

通道兩端的組態必須完全相符。但是，Cisco VPN Client會自動為其自身選擇正確的配置。因此，客戶端PC上無需配置IKE。
指定哪些內部主機或網路應向遠端VPN使用者公開（如果有）。

如果將此清單留空，則允許遠端VPN使用者訪問ASA的整個內部網路。

您也可以在此窗口中啟用分割隧道。分割隧道會加密發往本過程前面定義的資源的流量，並透過不對該流量進行隧道傳輸來提供對整個Internet的未加密訪問。如果未啟用分割隧道，則來自遠端VPN使用者的所有資料流將透過隧道傳輸到ASA。根據您的配置，這會佔用大量頻寬和處理器。
此視窗顯示您已經採取的動作摘要。如果對配置感到滿意，請按一下Finish。

使用CLI將ASA/PIX配置為遠端VPN伺服器

要從命令列配置遠端VPN訪問伺服器，請完成以下步驟。有關所使用的每個命令的詳細資訊，請參閱配置遠端接入VPN或Cisco ASA 5500系列自適應安全裝置命令參考。

在全局配置模式下輸入ip local pool 命令以配置要用於VPN遠端訪問隧道的IP地址池。要刪除地址池，請輸入此命令的no形式。

安全裝置使用基於連線隧道組的地址池。如果為一個隧道組配置多個地址池，安全裝置將按配置順序使用這些地址池。發出以下命令以建立可用於向遠端訪問VPN客戶端分配動態地址的本地地址池：
```
ASA-AIP-CLI(config)#ip local pool vpnpool 172.16.1.100-172.16.1.199 mask
		  255.255.255.0
		 
```

發出以下命令：

ASA-AIP-CLI(config)#username marty password 12345678

發出以下命令集以配置特定隧道：
- ASA-AIP-CLI(config)#isakmp policy 1身份驗證預共用
- ASA-AIP-CLI(config)#isakmp policy 1 encryption 3des
- ASA-AIP-CLI(config)#isakmp policy 1 hash sha
- ASA-AIP-CLI(config)#isakmp policy 1 group 2
- ASA-AIP-CLI(config)#isakmp policy 1 lifetime 43200
- ASA-AIP-CLI(config)#isakmp enable outside
- ASA-AIP-CLI(config)#crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
- ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA
- ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set reverse-route
- ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000
- ASA-AIP-CLI(config)#crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map
- ASA-AIP-CLI(config)#crypto map outside_map interface outside
- ASA-AIP-CLI(config)#crypto isakmp nat-traversal
可選：如果您希望連線繞過應用於介面的訪問清單，請發出以下命令：
```
ASA-AIP-CLI(config)#sysopt connection permit-ipsec
```
注意：此指令適用於7.2(2)之前的7.x影像。如果使用映像7.2(2)，請發出ASA-AIP-CLI(config)#sysopt connection permit-vpn命令。

發出以下命令：

ASA-AIP-CLI(config)#group-policy hillvalleyvpn internal

要配置客戶端連線設定，請發出以下命令：
- ASA-AIP-CLI(config)#group-policy hillvalleyvpn attributes
- ASA-AIP-CLI(config)#(config-group-policy)#dns-server value 172.16.1.11
- ASA-AIP-CLI(config)#(config-group-policy)#vpn-tunnel-protocol IPSec
- ASA-AIP-CLI(config)#(config-group-policy)#default-domain value test.com

發出以下命令：

ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-ra

發出以下命令：

ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-attributes

發出以下命令：

ASA-AIP-CLI(config-tunnel-ipsec)#pre-shared-key cisco123

發出以下命令：

ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn general-attributes

發出此命令，以引用本地使用者資料庫進行身份驗證。
```
ASA-AIP-CLI(config-tunnel-general)#authentication-server-group LOCAL
```

將組策略與隧道組關聯

ASA-AIP-CLI(config-tunnel-ipsec)# default-group-policy hillvalleyvpn

在hillvalleyvpn tunnel-group的general-attributes模式下發出此命令，以便將步驟1中建立的vpnpool分配給hillvalleyvpn組。
```
ASA-AIP-CLI(config-tunnel-general)#address-pool vpnpool
```

在ASA裝置上運行配置
ASA-AIP-CLI(config)#show running-config ASA Version 7.2(2) ! hostname ASAwAIP-CLI domain-name corp.com enable password WwXYvtKrnjXqGbu1 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 10.10.10.2 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name corp.com pager lines 24 mtu outside 1500 mtu inside 1500 ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute group-policy hillvalleyvpn1 internal group-policy hillvalleyvpn1 attributes dns-server value 172.16.1.11 vpn-tunnel-protocol IPSec default-domain value test.com username marty password 6XmYwQOO9tiYnUDN encrypted no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000 crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp nat-traversal 20 tunnel-group hillvalleyvpn type ipsec-ra tunnel-group hillvalleyvpn general-attributes address-pool vpnpool default-group-policy hillvalleyvpn tunnel-group hillvalleyvpn ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:0f78ee7ef3c196a683ae7a4804ce1192 : end ASA-AIP-CLI(config)#

在ASA裝置上運行配置

ASA-AIP-CLI(config)#show running-config 
ASA Version 7.2(2) 
!
hostname ASAwAIP-CLI
domain-name corp.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
pager lines 24
mtu outside 1500
mtu inside 1500
ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy hillvalleyvpn1 internal
group-policy hillvalleyvpn1 attributes
 dns-server value 172.16.1.11
 vpn-tunnel-protocol IPSec 
 default-domain value test.com
username marty password 6XmYwQOO9tiYnUDN encrypted
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000
crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha     
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group hillvalleyvpn type ipsec-ra
tunnel-group hillvalleyvpn general-attributes
 address-pool vpnpool
 default-group-policy hillvalleyvpn
tunnel-group hillvalleyvpn ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:0f78ee7ef3c196a683ae7a4804ce1192
: end
ASA-AIP-CLI(config)#

Cisco VPN客戶端密碼儲存配置

如果您有許多Cisco VPN客戶端，則很難記住所有VPN客戶端使用者名稱和密碼。要在VPN客戶端電腦中儲存密碼，請按照本節所述配置ASA/PIX和VPN客戶端。

ASA/PIX

請在全局配置模式下使用group-policy attributes命令：

group-policy VPNusers attributes
  password-storage enable

Cisco VPN使用者端

編輯.pcf檔案並修改以下引數：

SaveUserPassword=1
UserPassword=

停用擴展身份驗證

在隧道組模式下，輸入以下命令以在PIX/ASA 7.x上停用擴展身份驗證（預設情況下已啟用）：

asa(config)#tunnel-group client ipsec-attributes
asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none

停用擴展身份驗證後，VPN客戶端不會彈出用於身份驗證的使用者名稱/密碼(Xauth)。因此，ASA/PIX不需要使用者名稱和密碼配置來對VPN客戶端進行身份驗證。

驗證

嘗試使用Cisco VPN客戶端連線到Cisco ASA，以驗證是否成功配置了ASA。

選擇Connection Entries > New。
填寫新連線的詳細資訊。

Host欄位應包含之前配置的Cisco ASA的IP地址或主機名。組身份驗證資訊應與步驟4中使用的組身份驗證資訊對應。完成後，按一下Save。
選擇新建立的連線，然後按一下Connect。
輸入用於擴展身份驗證的使用者名稱和密碼。此資訊應與在步驟5和步驟6中指定的資訊一致。
成功建立連線後，在Status選單中選擇Statistics以驗證隧道的詳細資訊。

此窗口顯示流量和加密資訊：

此窗口顯示分割隧道資訊：