L2L を通して AAA デバイスが配置されている場合のスタンバイ ASA に対する ASA 認証の設定例

ダウンロード オプション

  • PDF     (266.1 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (138.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (114.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2014 年 8 月 13 日
Document ID:118089

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、認証、認可、およびアカウンティング(AAA)サーバが LAN-to-LAN(L2L)経由のリモート ロケーションにあることが原因で、フェールオーバー ペアのスタンバイ Cisco 適応型セキュリティ アプライアンス(ASA)に管理者が認証できないシナリオを回避する方法について説明します。

ローカル認証にフォールバックする方法も使用できますが、両方のユニットが RADIUS で認証されるほうが望まれます。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • ASA フェールオーバー
  • VPN
  • ネットワーク アドレス変換(NAT)

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

設定

注:このセクションで使用されるコマンドの詳細については、Command Lookup Tool(登録ユーザ専用)を使用してください。

ネットワーク図

RADIUSサーバはフェールオーバーペアの外側にあり、L2Lトンネルを介して12.12.12.2に到達できます。これは、スタンバイASAが自身の外部インターフェイスを介して到達しようとしますが、この時点ではトンネルが構築されていないため、問題の原因になります。これが機能するには、パケットが VPN 上を流れることができるように、スタンバイ ASA がアクティブ インターフェイスに対して要求を送信する必要がありますが、このルートはアクティブ ユニットから複製されます。

選択肢の 1 つは、ASA 上の RADIUS サーバ用に疑似 IP アドレスを使用し、内部を指定することです。したがって、このパケットの送信元と宛先 IP アドレスは、内部デバイスに変換されます。

Router1

interface FastEthernet0/0
 ip address 192.168.1.3 255.255.255.0
 no ip redirects
 no ip unreachables
 ip nat enable
 duplex auto
 speed auto

ip access-list extended NAT
 permit ip 192.168.1.0 0.0.0.255 host 192.168.200.250
 
ip nat source list NAT interface FastEthernet0/0 overload
ip nat source static 192.168.200.1 192.168.200.250

ip route 0.0.0.0 0.0.0.0 192.168.1.1

ASA

aaa-server RADIUS protocol radius
aaa-server RADIUS (inside) host 192.168.200.250
 timeout 3
 key *****
 authentication-port 1812
 accounting-port 1813

aaa authentication serial console LOCAL 
aaa authentication ssh console RADIUS LOCAL
aaa authentication telnet console RADIUS LOCAL
aaa authentication http console RADIUS LOCAL
aaa authentication enable console RADIUS LOCAL

route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
route inside 192.168.200.250 255.255.255.255 192.168.1.3 1

注:この例では、192.168.200.250 という IP アドレスが使用されていますが、任意の未使用 IP アドレスで動作します。

確認

ここでは、設定が正常に機能しているかどうかを確認します。

アウトプット インタープリタ ツール(登録ユーザ専用)は、特定の show コマンドをサポートしています。show コマンドの出力の分析を表示するには、Output Interpreter Tool を使用します。

ルータ

Router#   show ip nat nvi tra
Pro Source global      Source local       Destin  local      Destin  global
udp 192.168.1.3:1025   192.168.1.1:1025   192.168.200.250:1812 192.168.200.1:1812
--- 192.168.200.1      192.168.2.1        ---                ---
--- 192.168.200.250    192.168.200.1      ---                ---

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

TAC Authored

シスコ エンジニア提供

  • Gustavo Medina, Walter Lopez, and Alex Sanchez
    Cisco TAC Engineers.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ