ASA 8.3 y versiones posteriores: ejemplo de configuración de Radius Authorization (ACS 5.x) para acceso VPN mediante ACL descargable con CLI y ASDM

Introducción

Este documento describe cómo configurar el dispositivo de seguridad para autenticar a los usuarios para el acceso a la red. Dado que puede habilitar implícitamente las autorizaciones RADIUS, este documento no contiene información sobre la configuración de la autorización RADIUS en el dispositivo de seguridad. Proporciona información sobre cómo gestiona el dispositivo de seguridad la información de la lista de acceso recibida de los servidores RADIUS.

Puede configurar un servidor RADIUS para descargar una lista de acceso al dispositivo de seguridad o un nombre de lista de acceso en el momento de la autenticación. El usuario está autorizado a hacer solamente lo que está permitido en la lista de acceso específica del usuario.

Las listas de acceso descargables son el medio más escalable cuando utiliza Cisco Secure Access Control Server (ACS) para proporcionar las listas de acceso adecuadas para cada usuario. Para obtener más información sobre las Funciones de la Lista de Acceso Descargable y Cisco Secure ACS, refiérase a Configuración de un Servidor RADIUS para Enviar Listas de Control de Acceso Descargables y ACL IP Descargables.

Consulte ASA/PIX 8.x: Radius Authorization (ACS) for Network Access using Downloadable ACL with CLI and ASDM Configuration Example para obtener información sobre la configuración idéntica en Cisco ASA con las versiones 8.2 y anteriores.

Prerequisites

Requirements

Este documento asume que el Adaptive Security Appliance (ASA) está completamente operativo y configurado para permitir que el Cisco Adaptive Security Device Manager (ASDM) o la CLI realicen cambios en la configuración.

Nota: Consulte Cómo Permitir el Acceso HTTPS para ASDM para permitir que el dispositivo sea configurado remotamente por ASDM o Secure Shell (SSH).

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Software Cisco ASA versión 8.3 y posteriores

• Cisco ASDM versión 6.3 y posterior

• Cisco VPN Client versión 5.x y posterior

• Cisco Secure ACS 5.x

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

Puede utilizar ACL IP descargables para crear conjuntos de definiciones de ACL que puede aplicar a muchos usuarios o grupos de usuarios. Estos conjuntos de definiciones de ACL se denominan contenidos de ACL.

Las ACL IP descargables funcionan de esta manera:

1. Cuando ACS otorga a un usuario acceso a la red, ACS determina si una ACL IP descargable se asigna al perfil de autorización en la sección de resultados.

2. Si ACS localiza una ACL IP descargable que se asigna al perfil de autorización, ACS envía un atributo (como parte de la sesión de usuario, en el paquete de aceptación de acceso RADIUS) que especifica la ACL nombrada y la versión de la ACL nombrada.

3. Si el cliente AAA responde que no tiene la versión actual de la ACL en su caché (es decir, la ACL es nueva o ha cambiado), ACS envía la ACL (nueva o actualizada) al dispositivo.

Las ACL IP descargables son una alternativa a la configuración de las ACL en el atributo Cisco-av-pair de RADIUS [26/9/1] de cada usuario o grupo de usuarios. Puede crear una ACL IP descargable una vez, darle un nombre y luego asignar la ACL IP descargable a cualquier perfil de autorización si hace referencia a su nombre. Este método es más eficiente que si configura el atributo RADIUS Cisco-av-pair para el perfil de autorización.

Cuando ingrese las definiciones de ACL en la interfaz web ACS, no utilice entradas de palabra clave o nombre; en todos los demás aspectos, utilice la sintaxis y semántica de comandos ACL estándar para el cliente AAA en el que pretende aplicar la ACL IP descargable. Las definiciones de ACL que ingresa en ACS comprenden uno o más comandos de ACL. Cada comando ACL debe estar en una línea independiente.

En ACS, puede definir varias ACL IP descargables y utilizarlas en diferentes perfiles de autorización. Según las condiciones de las reglas de autorización de servicio de acceso, puede enviar diferentes perfiles de autorización que contienen ACL IP descargables a diferentes clientes AAA.

Además, puede cambiar el orden del contenido de ACL en una ACL IP descargable. ACS examina el contenido de ACL, empezando desde la parte superior de la tabla, y descarga el primer contenido de ACL que encuentra. Al establecer el orden, puede garantizar la eficacia del sistema si coloca el contenido de ACL más aplicable en una posición superior de la lista.

Para utilizar una ACL IP descargable en un cliente AAA determinado, el cliente AAA debe cumplir estas reglas:

• Usar RADIUS para autenticación

• Admitir ACL IP descargables

Estos son ejemplos de dispositivos de Cisco que admiten ACL IP descargables:

• ASA

• Dispositivos de Cisco que ejecutan la versión 12.3(8)T del IOS y posteriores

Este es un ejemplo del formato que debe utilizar para ingresar las ACL de ASA en el cuadro Definiciones de ACL:

permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1 
permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255 
permit 0 any host 10.159.1.22 
deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log 
permit TCP any host 10.160.0.1 eq 80 log 
permit TCP any host 10.160.0.2 eq 23 log 
permit TCP any host 10.160.0.3 range 20 30 
permit 6 any host HOSTNAME1 
permit UDP any host HOSTNAME2 neq 53 
deny 17 any host HOSTNAME3 lt 137 log 
deny 17 any host HOSTNAME4 gt 138 
deny ICMP any 10.161.0.0 0.0.255.255 log 
permit TCP any host HOSTNAME5 neq 80 

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que fueron utilizadas en un entorno de laboratorio.

Configurar VPN de acceso remoto (IPsec)

Procedimiento ASDM

Complete estos pasos para configurar la VPN de acceso remoto:

1. Seleccione Wizards > VPN Wizards > IPsec(IKEv1) Remote Access VPN Wizard en la ventana principal.

   

2. Seleccione la interfaz de túnel VPN según sea necesario (Outside, en este ejemplo), y asegúrese también de que la casilla de verificación junto a Habilitar sesiones IPsec entrantes para saltar las listas de acceso a la interfaz esté marcada.

   

3. Elija el tipo de cliente VPN como Cisco VPN Client, Release 3.x o superior. Haga clic en Next (Siguiente).

   

4. Elija el Método de autenticación y proporcione la información de autenticación. El método de autenticación utilizado aquí es Pre-Shared Key. Además, proporcione un nombre de Grupo de Túnel en el espacio proporcionado. La clave previamente compartida utilizada aquí es cisco123 y el nombre del grupo de túnel utilizado aquí es Cisco-Tunnel. Haga clic en Next (Siguiente).

   

5. Elija si desea que los usuarios remotos sean autenticados en las bases de datos de usuarios locales o en un grupo de servidores AAA externo. Aquí, elegimos Autenticar usando un grupo de servidores AAA. Haga clic en Nuevo junto al campo Nombre del Grupo de Servidores AAA para crear un nuevo Nombre del Grupo de Servidores AAA.

   

6. Proporcione el nombre del grupo de servidores, el protocolo de autenticación, la dirección IP del servidor, el nombre de la interfaz y la clave secreta del servidor en los espacios respectivos proporcionados y haga clic en Aceptar.

   

7. Haga clic en Next (Siguiente).

   

8. Defina un pool de las direcciones locales que se asignarán dinámicamente a los clientes de VPN remotos cuando se conectan. Haga clic en Nuevo para crear un nuevo conjunto de direcciones locales.

   

9. En la ventana Add IP Pool, proporcione el nombre del conjunto, la dirección IP inicial, la dirección IP final y la máscara de subred. Click OK.

   

10. Seleccione el nombre del conjunto en la lista desplegable y haga clic en Next. El nombre de conjunto para este ejemplo es Sample-Pool que se creó en el paso 9.

    

11. Opcional: especifique la información de los servidores DNS y WINS y un nombre de dominio predeterminado que se enviará a los clientes VPN remotos.

    

12. Especifique qué host internos (de haber alguno) o redes deben exponerse a los usuarios de VPN remotos. Haga clic en Next después de proporcionar el nombre de la interfaz y las redes que se van a eximir en el campo Exempt Networks.

    Si deja esta lista vacía, permita que los usuarios de VPN remotos acceden a la red interna completa del ASA.

    Puede también habilitar la tunelización dividida en esta ventana. La tunelización dividida encripta el tráfico a los recursos definidos anteriormente en este procedimiento y proporciona el acceso no cifrado a Internet en general al no tunelizar ese tráfico. Si la tunelización dividida no se habilita, todo el tráfico de los usuarios de VPN remotos se tuneliza al ASA. Éste puede convertirse en un gran ancho de banda y hacer un uso intensivo del procesador, sobre la base de su configuración.

    

13. Esta ventana muestra un resumen de las acciones que ha realizado. Haga clic en Finalizar si está satisfecho con la configuración.

    

Configuración del ASA con CLI

Esta es la configuración CLI:

ASA# sh run
ASA Version 8.4(3)
!

!--- Specify the hostname for the Security Appliance.

hostname ciscoasa
enable password y.tvDXf6yFbMTAdD encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!


!--- Configure the outside and inside interfaces.

interface Ethernet0/0
nameif dmz
security-level 50
ip address 192.168.26.13 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!

!--- Output is suppressed.


boot system disk0:/asa843-k8.bin
ftp mode passive

object network NETWORK_OBJ_10.1.1.0_24
subnet 10.1.1.0 255.255.255.0
object network NETWORK_OBJ_10.2.2.0_24
subnet 10.2.2.0 255.255.255.0


access-list OUTIN extended permit icmp any any


!--- This is the Access-List whose name will be sent by !--- RADIUS Server(ACS) in the Filter-ID attribute.

access-list new extended permit ip any host 10.1.1.2
access-list new extended deny ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500

ip local pool Sample-Pool 10.2.2.1-10.2.2.254 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1


!--- Specify the location of the ASDM image for ASA !--- to fetch the image for ASDM access.

asdm image disk0:/asdm-647.bin
no asdm history enable
arp timeout 14400


!--- Specify the NAT from internal network to the Sample-Pool.

nat (inside,outside) source static 
NETWORK_OBJ_10.1.1.0_24 NETWORK_OBJ_10.1.1.0_24 destination static 
NETWORK_OBJ_10.2.2.0_24 NETWORK_OBJ_10.2.2.0_24 

no-proxy-arp route-lookup

access-group OUTIN in interface outside



!--- Create the AAA server group "ACS5" and specify the protocol as RADIUS. !--- Specify the ACS 5.x server as a member of the "ACS5" group and provide the !--- location and key.

aaa-server ACS5 protocol radius
aaa-server ACS5 (dmz) host 192.168.26.51
timeout 5
key *****

aaa authentication http console LOCAL
http server enable 2003
http 0.0.0.0 0.0.0.0 inside



!--- PHASE 2 CONFIGURATION ---! !--- The encryption & hashing types for Phase 2 are defined here. We are using !--- all the permutations of the PHASE 2 parameters. 


crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac



!--- Defines a dynamic crypto map with !--- the specified transform-sets created earlier. We are specifying all the

!--- transform-sets.
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set 
   ESP-AES-128-SHA ESP-AES-128-MD5 
ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA 
   ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5


!--- Binds the dynamic map to the IPsec/ISAKMP process.


crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP


!--- Specifies the interface to be used with !--- the settings defined in this configuration.

crypto map outside_map interface outside


!--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policies defined with all the permutation !--- of the 5 ISAKMP parameters. The configuration commands here define the !--- Phase 1 policy parameters that are used.

crypto ikev1 enable outside

crypto ikev1 policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 40
authentication crack
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 60
authentication pre-share
encryption aes-192
hash sha
group 2
lifetime 86400

crypto ikev1 policy 70
authentication crack
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 80
authentication rsa-sig
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 90
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400

crypto ikev1 policy 100
authentication crack
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 110
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 120
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 130
authentication crack
encryption des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 140
authentication rsa-sig
encryption des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 150
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400


webvpn
group-policy Cisco-Tunnel internal
group-policy Cisco-Tunnel attributes
vpn-tunnel-protocol ikev1
default-domain value cisco.com
username admin password CdOTKv3uhDhHIw3A encrypted privilege 15

!--- Associate the vpnclient pool to the tunnel group using the address pool. !--- Associate the AAA server group (ACS5) with the tunnel group.


tunnel-group Cisco-Tunnel type remote-access
tunnel-group Cisco-Tunnel general-attributes
address-pool Sample-Pool
authentication-server-group ACS5
default-group-policy Cisco-Tunnel


!--- Enter the pre-shared-key to configure the authentication method.

tunnel-group Cisco-Tunnel ipsec-attributes
ikev1 pre-shared-key *****

prompt hostname context
Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d
: end
ASA#

Configuración de ACS para ACL descargable para usuarios individuales

Puede configurar listas de acceso descargables en Cisco Secure ACS 5.x como un objeto de permisos con nombre y luego asignarlo a un perfil de autorización que se elegirá en la sección de resultados de la regla en el servicio de acceso.

En este ejemplo, el usuario de VPN IPsec cisco se autentica correctamente y el servidor RADIUS envía una lista de acceso descargable al dispositivo de seguridad. El usuario "cisco" puede acceder solamente al servidor 10.1.1.2 y niega todos los demás accesos. Para verificar la ACL, vea la sección ACL descargable para usuario/grupo.

Complete estos pasos para configurar el cliente RADIUS en un Cisco Secure ACS 5.x:

1. Elija Network Resources > Network Devices and AAA Clients, y haga clic en Create para agregar una entrada para el ASA en la base de datos del servidor RADIUS.

   

2. Ingrese un Nombre localmente significativo para el ASA (sample-asa, en este ejemplo), luego ingrese 192.168.26.13 en el campo de dirección IP. Elija RADIUS en la sección Authentication Options marcando la casilla de verificación RADIUS e ingrese cisco123 para el campo Shared Secret. Haga clic en Submit (Enviar).

   

3. ASA se ha agregado correctamente a la base de datos del servidor RADIUS (ACS).

   

4. Elija Users and Identity Stores > Internal Identity Stores > Users, y haga clic en Create para crear un usuario en la base de datos local de ACS para la autenticación VPN.

   

5. Introduzca el nombre de usuario cisco. Seleccione el tipo de contraseña como Internal Users e ingrese la contraseña (cisco123, en este ejemplo). Confirme la contraseña y haga clic en Submit.

   

6. El usuario cisco se ha creado correctamente.

   

7. Para crear una ACL descargable, elija Policy Elements > Authorization and Permissions > Named Permission Objects > ACL descargables y haga clic en Create.

   

8. Proporcione el Nombre para la ACL descargable, así como el Contenido ACL. Haga clic en Submit (Enviar).

   

9. La ACL descargable Sample-DACL se ha creado correctamente.

   

10. Para configurar las políticas de acceso para la autenticación VPN, elija Políticas de acceso > Servicios de acceso > Reglas de selección de servicio, y determine qué servicio está atendiendo al protocolo RADIUS. En este ejemplo, Rule 1 coincide con RADIUS, y Default Network Access atenderá la solicitud RADIUS.

    

11. Elija el servicio de acceso determinado en el paso 10. En este ejemplo, se utiliza Default Network Access. Elija la pestaña Allowed Protocols, y asegúrese de que Allow PAP/ASCII y Allow MS-CHAPv2 estén seleccionados .Haga clic en Submit.

    

12. Haga clic en la sección Identity de Access Services y asegúrese de que Internal Users esté seleccionado como el origen de identidad. En este ejemplo, hemos tomado el acceso a la red predeterminado.

    

13. Elija Access Policies > Access Services > Default Network Access > Authorization, y haga clic en Customize.

    

14. Mueva System:UserName de la columna Available a la columna Selected y haga clic en OK.

    

15. Haga clic en Create para crear una nueva regla.

    

16. Asegúrese de que la casilla de verificación junto a System:UserName esté seleccionada, elija equals en la lista desplegable e ingrese el nombre de usuario cisco.

    

17. Haga clic en Seleccionar.

    

18. Haga clic en Create para crear un nuevo perfil de autorización.

    

19. Proporcione un nombre para el perfil de autorización. Sample-Profile se utiliza en este ejemplo.

    

20. Elija la pestaña Tareas comunes y seleccione Estático en la lista desplegable para el Nombre de ACL descargable. Elija la DACL recién creada (Sample -DACL) de la lista desplegable de valores.

    

21. Haga clic en Submit (Enviar).

    

22. Asegúrese de que la casilla de verificación junto a Sample-Profile (el perfil de autorización recién creado) esté marcada y haga clic en OK.

    

23. Una vez que haya verificado que el Sample-Profile recién creado está seleccionado en el campo Authorization Profiles, haga clic en OK.

    

24. Verifique que la nueva regla (Rule-2) se cree con System:UserName es igual a las condiciones de cisco y a Sample-Profile como resultado. Haga clic en Guardar cambios. La regla 2 se ha creado correctamente.

    

Configuración de ACS para ACL descargable para el grupo

Complete los pasos del 1 al 12 de Configure ACS for Downloadable ACL for Individual User y realice estos pasos para configurar la ACL Descargable para el Grupo en un Cisco Secure ACS.

En este ejemplo, el usuario de VPN IPsec "cisco" pertenece al Sample-Group.

El usuario Sample-Group cisco se autentica correctamente y el servidor RADIUS envía una lista de acceso descargable al dispositivo de seguridad. El usuario "cisco" puede acceder solamente al servidor 10.1.1.2 y niega todos los demás accesos. Para verificar la ACL, consulte la sección ACL descargable para usuario/grupo.

1. En la barra de navegación, haga clic en Usuarios y Almacenes de Identidad > Grupos de Identidad, y haga clic en Crear para crear un nuevo grupo.

   

2. Proporcione un nombre de grupo (Sample-Group) y haga clic en Submit.

   

3. Elija User Identity Stores > Internal Identity Stores > Users, y seleccione el usuario cisco. Haga clic en Edit para cambiar la membresía del grupo de este usuario.

   

4. Haga clic en Seleccionar junto al grupo de identidad.

   

5. Seleccione el grupo recién creado (es decir, Sample-Group) y haga clic en OK.

   

6. Haga clic en Submit (Enviar).

   

7. Elija Access Policies > Access Services > Default Network Access > Authorization, y haga clic en Create para crear una nueva regla.

   

8. Asegúrese de que la casilla de verificación junto a Grupo de identidad esté marcada y haga clic en Seleccionar.

   

9. Elija Sample-Group, y haga clic en OK.

   

10. Haga clic en Seleccionar, en la sección Perfiles de autorización.

    

11. Haga clic en Create para crear un nuevo perfil de autorización.

    

12. Proporcione un nombre para el perfil de autorización. Sample-Profile es el nombre utilizado en este ejemplo.

    

13. Elija la pestaña Tareas comunes y seleccione Estático en la lista desplegable para el Nombre de ACL descargable. Elija la DACL recién creada (Sample -DACL) de la lista desplegable Valor.

    

14. Haga clic en Submit (Enviar).

    

15. Elija el Sample-Profile del perfil de autorización creado anteriormente y haga clic en OK.

    

16. Click OK.

    

17. Verifique que Rule-1 se crea con el Sample-Group del grupo de identidad como condición y el Sample-Profile como resultado. Haga clic en Guardar cambios.

    

Configuración de ACS para ACL descargable para un grupo de dispositivos de red

Complete los pasos del 1 al 12 de Configure ACS for Downloadable ACL for Individual User y realice estos pasos para configurar el ACL Descargable para un Network Device Group en un Cisco Secure ACS.

En este ejemplo, el cliente RADIUS (ASA) pertenece al grupo de dispositivos de red VPN-Gateways.La solicitud de autenticación VPN que proviene de ASA para el usuario "cisco" se autentica correctamente, y el servidor RADIUS envía una lista de acceso descargable al dispositivo de seguridad. El usuario "cisco" puede acceder solamente al servidor 10.1.1.2 y niega todos los demás accesos. Para verificar la ACL, consulte la sección ACL descargable para usuario/grupo.

1. Elija Network Resources > Network Device Groups > Device Type, y haga clic en Create para crear un nuevo Network Device Group.

   

2. Proporcione un nombre de Network Device Group (VPN-Gateways en este ejemplo) y haga clic en Submit.

   

3. Elija Network Resources > Network Devices and AAA Clients, y seleccione el RADIUS Client sample-asa creado anteriormente. Haga clic en Edit para cambiar la membresía de Network Device Group de este RADIUS Client (ASA).

   

4. Haga clic en Seleccionar junto al Tipo de dispositivo.

   

5. Seleccione el grupo de dispositivos de red recién creado (que es VPN-Gateways) y haga clic en Aceptar.

   

6. Haga clic en Submit (Enviar).

   

7. Elija Access Policies > Access Services > Default Network Access > Authorization, y haga clic en Customize.

   

8. Mueva NDG:Device Type de la sección Available a la sección Selected y haga clic en OK.

   

9. Haga clic en Create para crear una nueva regla.

   

10. Asegúrese de que la casilla de verificación junto a NDG:Device Type esté seleccionada y elija in en la lista desplegable. Haga clic en Seleccionar.

    

11. Elija el Network Device Group VPN-Gateways creado anteriormente y haga clic en OK.

    

12. Haga clic en Seleccionar.

    

13. Haga clic en Create para crear un nuevo perfil de autorización.

    

14. Proporcione un nombre para el perfil de autorización. Sample-Profile es el nombre utilizado en este ejemplo.

    

15. Elija la pestaña Tareas comunes, y seleccione Estático de la lista desplegable para el Nombre de ACL Descargable. Elija la DACL (DACL de muestra) recién creada en la lista desplegable de valores.

    

16. Haga clic en Submit (Enviar).

    

17. Seleccione Sample-Profile creado anteriormente y haga clic en OK.

    

18. Click OK.

    

19. Verifique que Rule-1 se cree con VPN-Gateways como NDG:Device Type como condición y Sample-Profile como resultado. Haga clic en Guardar cambios.

    

Configuración de RADIUS IETF para un Grupo de Usuarios

Para descargar un nombre para una lista de acceso que ya ha creado en el dispositivo de seguridad desde el servidor RADIUS cuando un usuario autentica, configure el atributo de ID de filtro RADIUS IETF (atributo número 11):

filter-id=acl_name

El usercisco del grupo de muestra se autentica correctamente y el servidor RADIUS descarga un nombre de ACL (nuevo) para una lista de acceso que ya ha creado en el dispositivo de seguridad. El usuario "cisco" puede acceder a todos los dispositivos que se encuentran dentro de la red del ASA excepto el servidor 10.1.1.2. Para verificar la ACL, vea la sección Filtrar ID ACL.

Según el ejemplo, la ACL denominada new se configura para el filtrado en ASA:

access-list new extended deny ip any host 10.1.1.2
access-list new extended permit ip any any

Estos parámetros aparecen sólo cuando son verdaderos. Ha configurado:

• Cliente AAA para utilizar uno de los protocolos RADIUS en la configuración de red

• Se selecciona un perfil de autorización con ID de filtro de RADIUS (IETF) en la sección de resultados de la regla del servicio de acceso.

Los atributos RADIUS se envían como un perfil para cada usuario de ACS al cliente AAA solicitante.

Complete los pasos 1 a 6 y 10 a 12 de Configure ACS for Downloadable ACL for Individual User, seguidos de los pasos 1 a 6 de Configure ACS for Downloadable ACL for Group, y realice estos pasos en esta sección para configurar Filter-Id en Cisco Secure ACS.

Para configurar los valores del atributo IETF RADIUS para aplicar como en el perfil de autorización, realice estos pasos:

1. Elija Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles, y haga clic en Create para crear un nuevo perfil de autorización.

   

2. Proporcione un nombre para el perfil de autorización. Filter-Id es el nombre del perfil de autorización elegido en este ejemplo para simplificar.

   

3. Haga clic en la pestaña Tareas comunes, y elija Estático de la lista desplegable para Filtrar ID ACL. Introduzca el nombre de la lista de acceso como nuevo en el campo Valor y haga clic en Enviar.

   

4. Elija Access Policies > Access Services > Default Network Access > Authorization, y haga clic en Create para crear una nueva regla.

   

5. Asegúrese de que la casilla de verificación junto a Grupo de identidad esté marcada y haga clic en Seleccionar.

   

6. Elija Sample-Group, y haga clic en OK.

   

7. Haga clic en Seleccionar en la sección Perfiles de autorización.

   

8. Elija el Authorization Profile Filter-Id creado anteriormente y haga clic en OK.

   

9. Click OK.

   

10. Verifique que Rule-1 se crea con Identity Group Sample-Group como condición y Filter-Id como Resultado. Haga clic en Guardar cambios.

    

Configuración de Cisco VPN Client

Conéctese a Cisco ASA con Cisco VPN Client para verificar que el ASA esté configurado correctamente.

Complete estos pasos:

1. Elija Inicio > Programas > Cisco Systems VPN Client > VPN Client.

2. Haga clic en New para iniciar la ventana Create New VPN Connection Entry.

   

3. Complete la información de su nueva conexión:

   1. Introduzca el nombre de la entrada de conexión junto con una descripción.

   2. Ingrese la dirección IP externa del ASA en el cuadro Host.

   3. Ingrese el nombre del grupo de túnel VPN (Cisco-Tunnel) y la contraseña (Pre-shared Key - cisco123) según lo configurado en el ASA.

   4. Click Save.

   

4. Haga clic en la conexión que desea utilizar y haga clic en Connect en la ventana principal de VPN Client.

   

5. Cuando se le solicite, ingrese el nombre de usuario cisco y la contraseña cisco123 como se configuraron en el ASA para la autenticación, y haga clic en Aceptar para conectarse a la red remota.

   

6. Una vez que la conexión se haya establecido correctamente, elija Statistics en el menú Status para verificar los detalles del túnel.

   

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Mostrar comandos criptográficos

• show crypto isakmp sa: muestra todas las asociaciones actuales de seguridad IKE (SA) de un par.

  ciscoasa# sh crypto isakmp sa
  
  IKEv1 SAs:
  
     Active SA: 1
      Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
  Total IKE SA: 1
  
  1   IKE Peer: 172.16.1.50
      Type    : user            Role    : responder 
      Rekey   : no              State   : AM_ACTIVE 
  ciscoasa#

• show crypto ipsec sa - Muestra la configuración utilizada por las SAs actuales.

  ciscoasa# sh crypto ipsec sa
  interface: outside
      Crypto map tag: SYSTEM_DEFAULT_CRYPTO_MAP, seq num: 65535, local addr: 
         172.16.1.1
  
        local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 172.16.1.50, username: cisco
        dynamic allocated peer ip: 10.2.2.1
  
        #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 0
        #pkts decaps: 333, #pkts decrypt: 333, #pkts verify: 333
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
        #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
        #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly:
          0
        #send errors: 0, #recv errors: 0
  
        local crypto endpt.: 172.16.1.1/0, remote crypto endpt.: 172.16.1.50/0
        path mtu 1500, ipsec overhead 74, media mtu 1500
        current outbound spi: 9A06E834
        current inbound spi : FA372121
  
      inbound esp sas:
        spi: 0xFA372121 (4197916961)
           transform: esp-aes esp-sha-hmac no compression 
           in use settings ={RA, Tunnel, }
           slot: 0, conn_id: 16384, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
           sa timing: remaining key lifetime (sec): 28678
           IV size: 16 bytes
           replay detection support: Y
           Anti replay bitmap: 
            0xFFFFFFFF 0xFFFFFFFF
      outbound esp sas:
        spi: 0x9A06E834 (2584143924)
           transform: esp-aes esp-sha-hmac no compression 
           in use settings ={RA, Tunnel, }
           slot: 0, conn_id: 16384, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
           sa timing: remaining key lifetime (sec): 28678
           IV size: 16 bytes
           replay detection support: Y
           Anti replay bitmap: 
            0x00000000 0x00000001

ACL descargable para usuario/grupo

Verifique la ACL descargable para el usuario Cisco. Las ACL se descargan de CSACS.

ciscoasa# sh access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list OUTIN; 1 elements; name hash: 0x683c318c
access-list OUTIN line 1 extended permit icmp any any (hitcnt=1) 0x2ba5809c 
access-list #ACSACL#-IP-Sample-DACL-4f3b9117; 2 elements; name hash: 0x3c878038
   (dynamic)
access-list #ACSACL#-IP-Sample-DACL-4f3b9117 line 1 extended permit ip any host
   10.1.1.2 (hitcnt=0) 0x5e896ac3 
access-list #ACSACL#-IP-Sample-DACL-4f3b9117 line 2 extended deny ip any any 
   (hitcnt=130) 0x19b3b8f5

ACL con ID de filtro

[011] Filter-Id se ha aplicado para el grupo - Sample-Group, y los usuarios del grupo se filtran según la ACL (nueva) definida en el ASA.

ciscoasa# sh access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list OUTIN; 1 elements; name hash: 0x683c318c
access-list OUTIN line 1 extended permit icmp any any (hitcnt=1) 0x2ba5809c 
access-list new; 2 elements; name hash: 0xa39433d3
access-list new line 1 extended permit ip any host 10.1.1.2 (hitcnt=4) 
   0x58a3ea12 
access-list new line 2 extended deny ip any any (hitcnt=27) 0x61f918cd

Troubleshoot

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. También se muestra un ejemplo de salida del debug .

Nota: Para obtener más información sobre la resolución de problemas de VPN IPsec de acceso remoto, consulte Soluciones de resolución de problemas de VPN IPsec de acceso remoto y L2L más comunes.

Despeje las asociaciones de seguridad

Cuando resuelva problemas, asegúrese de borrar las SA existentes después de realizar un cambio. En el modo privilegiado de PIX, utilice estos comandos:

• clear [crypto] ipsec sa - Elimina las SAs IPsec activas. La palabra clave crypto es opcional.

• clear [crypto] isakmp sa - Elimina las IKE SA activas. La palabra clave crypto es opcional.

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

• debug crypto ipsec 7 - Muestra las negociaciones IPSec de la Fase 2.

• debug crypto isakmp 7 - Muestra las negociaciones ISAKMP de la Fase 1.

Información Relacionada

• Página de Soporte de Cisco ASA 5500 Series Adaptive Security Appliances
• Referencias de Comandos de Cisco ASA 5500 Series Adaptive Security Appliances
• Cisco Adaptive Security Device Manager
• Página de Soporte de IPSec Negotiation/IKE Protocols
• Página de soporte para cliente Cisco VPN
• Cisco Secure Access Control System
• Solicitudes de Comentarios (RFC)
• Soporte Técnico y Documentación - Cisco Systems