root

Specialist

I. Diagram Config VPN on ASA authentication with Cisco ACS 5


Tham khảo thêm các bài lab AAA khác tại đây

1. Sơ đồ triển khai VPN trên ASA chứng thực với Cisco ACS 5



1.jpg

2. Yêu cầu

- Client ngoài internet quay VPN về ASA thành công và ASA yêu cầu client VPN chứng thực bằng username và password trên ACS server
- Sơ đồ IP
K3WvBv530Cihlr2d_jJiSzTKugpBbETHZq23FRWJD3eInoBwxVWNxVFALXuK8uycgKeLMI6ijvrFhQmdP0WspSPahEV0HpuqbMYL03yC7417RjZwMVeVa7xkmWd5RDfb0ZDMOzvLxkwblnXHZMPkPLSpw3jijYhTWuxhFPxpi5R6PE-Q7v1yhArsyE7a41iPitm1mqHDg11iF2z4Zbw7hZ8544TCRBdD0dRgjBltRbDweJHS-xK1KGJw44sQPZpRxoGtaqWAPR-2ZqPe6i-_9CpzzWZerupJAHJ_VsmJrO0jDXv7DQo8-i0gGXm0rFZNoW1Srcw_Dfkr9nzJ9YwM_fsxGmgIavs0mWf2zXLYPMpCwpH_BlCMnd3g07r8sLSiC21IUv3Ha_Z43RpUF9oXqEZWSHzfL5eWVp-ir343VcRKvmh-dysUNmjBKPBB_4o1ejTNq8a7bDsbDok6PvCuEn6ioxMSUz-EP-wrtjA9WVIpfMsYVxZkSLsMstZAYp4RigdW8AghUjlNze9i9PyD2T_EfATJkf3N53AyMBf6TRj8xpRRgtVd3bHnyhRx_LWe6ldDFuvZvlzizcXrH-IY43jNF625Iho=w626-h191-no

II. Triển khai VPN trên ASA sử dụng chứng thực với Cisco ACS 5


1. Trên Router ISP
- Cấu hình IP
R1(config-if)#int f0/0
R1(config-if)#ip address 151.1.1.254 255.255.255.0
R1(config-if)#no shutdown

R1(config-if)#int f0/1
R1(config-if)#ip address 152.2.2.254 255.255.255.0
R1(config-if)#no shutdown

2. Cấu hình Cisco ACS


- Cấu hình IP và NTP
ACS/admin#clock set Jul 8 00:50 2014
ACS/admin#config t
ACS/admin(config)#ntp server 192.168.100.10
ACS/admin(config)#interface GigabitEthernet 0ACS/admin(config-GigabitEthernet )#ip address 192.168.100.100 255.255.255.0
- Kiểm tra lại cấu hình ACS

356.jpg

3. Config VPN authentication with ACS on ASA


- Cấu hình IP và trỏ default route về ISP, NTP và clock set
ciscoasa(config)#ntp server 192.168.10.10 prefer
ciscoasa(config)#clock set 01:00:00 July 8 2014

ciscoasa(config-if)# int g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 151.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown


ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.100.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config)# route outside 0 0 151.1.1.254
- Cấu hình VPN Client to-site trên ASA
asa(config)# crypto ikev1 policy 10
asa(config-ikev1-policy)# authentication pre-share
asa(config-ikev1-policy)# encryption 3des
asa(config-ikev1-policy)# hash md5
asa(config-ikev1-policy)# group 2
asa(config-ikev1-policy)# lifetime 86400
asa(config-ikev1-policy)# crypto ikev1 enable outside


asa(config)# crypto ipsec ikev1 transform-set MYSET esp-3des esp-md5-hmac
asa(config)# crypto dynamic-map DYNAMIC-MAP 10 set ikev1 transform-set MYSET
asa(config)# crypto map MYMAP 10 ipsec-isakmp dynamic DYNAMIC-MAP
asa(config)# crypto map MYMAP interface outside
asa(config)# ip local pool MYPOOL 10.0.0.2-10.0.0.20 mask 255.255.255.0
asa(config)# group-policy REMOTE-VPN internal
asa(config)# group-policy REMOTE-VPN attributes
asa(config-group-policy)# default-domain value svuit.org
asa(config-group-policy)# address-pools value MYPOOL


asa(config-group-policy)# tunnel-group REMOTE-VPN type remote-access
asa(config)# tunnel-group REMOTE-VPN general-attributes
asa(config-tunnel-general)# default-group-policy REMOTE-VPN
asa(config-tunnel-general)# tunnel-group REMOTE-VPN ipsec-attributes
asa(config-tunnel-ipsec)# ikev1 pre-shared-key 0 svuit.com

asa(config-tunnel-ipsec)# username svuit password svuit.org

- Cấu hình ASA chứng thực VPN bằng ACS
ciscoasa(config)# aaa-server RADIUS protocol radius
ciscoasa(config)# aaa-server RADIUS (inside) host 192.168.100.100
ciscoasa(config-aaa-server-host)# key svuit.com

ciscoasa(config)# tunnel-group REMOTE-VPN general-attributes
ciscoasa(config-tunnel-general)# authentication-server-group RADIUS

- Kiểm tra chứng thực thành công
ciscoasa(config)# test aaa-server authentication RADIUS host 192.168.100.100

Username: test2
Password: ******
INFO: Attempting Authentication test to IP address <192.168.100.100> (timeout: 12 seconds)

INFO: Authentication Successful
- Client inside sử dụng Web truy cập vào ACS và cấu hình để thực hiện VPN authentication bằng ACS

358.jpg


- Tạo user cho VPN client

359.jpg


4. Kiểm tra VPN trên Cisco ASA authentication with ACS 5.4


- Client ngoài internet thực hiện VPN vào ASA

360.jpg

- Sử dụng user/pass trên ACS


361.jpg


- VPN thành công

362.jpg

- Các bạn vào ACS để xem log


363.jpg


- Mình VPN bằng user test2 và có 1 lần gõ password bị sai


364.jpg
 
Sửa lần cuối:
Back
Top