顯示具有 Cisco 標籤的文章。 顯示所有文章
顯示具有 Cisco 標籤的文章。 顯示所有文章

1、前言

Cisco ASA 5510 Series 為思科新一代的 UTM 防方牆內含 IPSec/SSL VPN、全新的自適應識別和防禦 AIM、入侵偵測 IPS、安全服務模組 SSM...等功能,本次實作為利用二台 Cisco ASA 5510 Series 設定 Active / Standby 方式來達成 HA (High Availability)。

文章目錄

1、前言
          Cisco ASA 5510 基本觀念
          Cisco ASA 5510 HA 前置作業及觀念
          註冊 Cisco 帳號及申請 HA License
          免費申請及下載 VPN-DES 及 VPN-3DES-AES License
          Cisco ASA HA 運作機制及注意事項
2、實作環境
3、安裝及設定
4、Primary ASA
          步驟1.基本設定
          步驟2.網路設定
          步驟3.NAT / Port Forwarding 設定
          步驟4.Active / Standby Failover 設定
5、Secondary ASA
          步驟1.Active / Standby Failover 設定
6、Active / Standby HA 狀態確認
          Primary ASA (目前為 Active 角色)
          Secondary ASA (目前為 Standby 角色)
7、測試 Active / Standby HA 機制是否能運作
          將 Primary 電源線拔掉 (Secondary 由 Standby -> Active)
8、補充: 如何使 Rules 更簡潔?
          設定 Network Groups
          設定 Service Groups
9、HA 機制完成後 Running Config 內容
10、參考
11、MeFAQ
          Q1.突然無法使用 ASDM 登入 Cisco ASA 5510?

Cisco ASA 5510 基本觀念

  • security-level: 數值從 0 ~ 100,數值愈大愈安全 (數值大可以存取數值小的介面)。
  • outside: 通常接到 WAN 其預設的數值為 「0」。
  • inside: 通常接到 LAN 其預設的數值為 「100」。

Cisco ASA 5510 HA 前置作業及觀念

  • 確定二台 ASA 同 Model、同型號、網路介面相同、RAM 相同 (Flash Memory 可不同大小,但要注意剩餘空間是否足夠)。
  • 確定二台 ASA 的 asa*.bin 及 asdm*.bin 版本是一致的 (此次實作二台版本皆為 asa804-k8.bin、asdm-613.bin)‧。
  • 確定二台 ASA 的 HA 及 VPN-DES 及 VPN-3DES-AES 的 License 有 Enable 。
  • HA 機制的 License Key 要額外購買。
  • VPN-DES 及 VPN-3DES-AES License 可到 Cisco 憑 ASA S/N 即可免費下載 License Key。

註冊 Cisco 帳號及申請 HA License

註冊 Cisco 帳號 > 登入 > 填入相關資訊 (例如 PAK Key or 機器序號) ,HA License 註冊完成之後,Cisco 約在 5 ~ 10 分鐘之後發送帶有啟動 HA Activation Key 的 Mail 給你。





收到啟用 Activation Key 的 Mail 之後,首先登入 Cisco ASA 5510 設備,在尚未鍵入 HA  Activation Key 之前,「Failover」欄位為「Disabled」。

在 New Activation Key 欄位,鍵入剛才收到的 Activation Key 後,「Failover」欄位變為「Active/Active」。

免費申請及下載 VPN-DES 及 VPN-3DES-AES License

只要憑 Cisco ASA 5510 的機器序號 (S/N),即可免費下載 VPN-DES 及 VPN-3DES-AES License Key。



Cisco ASA HA 運作機制及注意事項

  • 初始設定 HA 時大部份的設定都設定在 Primary 上,而 Secondary 只要設定 Failover 部份即可,當 Failover 設定成功後 Secondary 會從 Primary 自動把設定同步回來。
  • 當 HA 開始運作後則注意變成注意 Active / Standby 即可 (因為有可能 Secondary 是 Active),只要是 Active 角色的主機就會把當時 Primary 所設定的 IP 拿來用 (不管誰是 Primary、Secondary) 而是哪一台是 Active 則那一台就擁有當時 Primary 設定而 Standby 則為當時 Secondary 設定。
  • 當 Active 主機發生狀態時 Standby 主機會把 Active 主機上的 IP Address 及 MAC Address 搶過來使用 (因此不會有 ARP Cache 的問題發生)。
  • 當 HA 設定完成後出現 Beginning configuration replication from mate. 訊息表示 Active 主機 開始 同步設定資料至 Standby 主機上,出現 End configuration replication from mate. 訊息表示 同步完畢
  • 可以透過 ASA 主機面板第三顆 Active 燈號,來判斷目前哪一台為 Active 哪一台為 Standby。其中 Active 主機則面板 Active 燈號為 綠燈,而 Standby 主機則面板 Active 燈號為 橘燈

2、實作環境

  • Cisco ASA 5510 Series *2台
  • Cisco Adaptive Security Appliance Software Version 8.0(4) - asa804-k8.bin
  • Device Manager Version 6.1(3) - asdm-613.bin

本次實作的環境設定如下,其中 Primary / Secondary 的網卡介面 e0/3 則使用網路線對接即可 (詳細拓樸如附圖)

Primary ASA
  • Ethernet0/0: 61.60.59.58 (WAN)
  • Ethernet0/1: 192.168.1.254 (LAN)
  • Ethernet0/3: 10.0.0.1 (Failover)

Secondary ASA
  • Ethernet0/0: 61.60.59.57 (WAN)
  • Ethernet0/1: 192.168.1.253 (LAN)
  • Ethernet0/3: 10.0.0.2 (Failover)


3、安裝及設定

本次實作設定部份分為 Primary 及 Secondary 大部份的設定都設定在 Primary 上進行,而 Secondary 只要設定 Failover 部份即可,當 Failover 設定成功後 Secondary 會從 Primary 把設定同步回來。

透過電腦的 RS-232 Port 用原廠附的 Console 線與 Cisco ASA 5510 的 Console Port 對接,超級終端機設定值如下:
  • 傳輸位元 (Bits Per Second): 9600
  • 資料位元 (Data Bits): 8
  • 同位檢查 (Parity):
  • 停止位元 (Stop Bits): 1
  • 流量控制 (Flow Control):


4、Primary ASA

步驟1.基本設定

依照下列步驟進行 Primary ASA 設備的初始化設定。(請尊重 Weithenn 的辛勞!!)
ciscoasa> enable                          //進入 Privileged 模式
 Password:                                 //預設密碼為空白
ciscoasa#configure terminal             //進入 Configure 模式
ciscoasa(config)#enable password asa15 //設定 Telnet 登入密碼為 asa15
ciscoasa(config)#passwd asa15            //設定 Privileged 登入密碼為 asa15
ciscoasa(config)#hostname5510-HA        //設定主機名稱為5510-HA
5510-HA(config)#                          //主機名稱改變



步驟2.網路設定

設定 Primary ASA 設備網路介面的網路資訊。
5510-HA(config)#interface ethernet 0/0           //進入網卡介面 e0/0
5510-HA(config-if)#ip address 61.60.59.58 255.255.255.0 standby 61.60.59.57 //設定 IP
5510-HA(config-if)#nameif outside                 //設定網卡名稱為 outside
 INFO: Security level for "outside" set to 0 by default.  //預設security-level為0
5510-HA(config-if)#no shutdown                    //啟用網卡介面 e0/0
5510-HA(config-if)#exit                            //離開網卡介面 e0/0
5510-HA(config)#interface ethernet 0/1           //進入網卡介面 e0/1
5510-HA(config-if)#ip address 192.168.1.254 255.255.255.0 standby 192.168.1.253 //設定IP
5510-HA(config-if)#nameif inside                  //設定網卡名稱為 outside
 INFO: Security level for "inside" set to 100 by default. //預設security-level為100
5510-HA(config-if)#no shutdown                    //啟用網卡介面 e0/1
5510-HA(config-if)#interface ethernet 0/3        //進入網卡介面 e0/3
5510-HA(config-if)#no shutdown                    //啟用網卡介面 e0/3
5510-HA(config)#route outside 0 0 61.60.59.254  //設定 Default Gateway
5510-HA(config)#http server enable               //啟動 Http Server (也就是 ASDM)
5510-HA(config)#http 0 0 inside                  //允許任何網段從 inside 進入連結 ASDM
5510-HA(config)#telnet 0 0 inside                //允許任何網段從 inside 進入 telnet


步驟3.NAT / Port Forwarding 設定

指定 outside 網路介面進行 NAT 機制,設定將區網中 192.168.1.0/24 網段進行 NAT 機制轉換成Public IP(61.60.59.56) 出去網際網路,並且設定 LAN 主機可執行 Ping 至 Internet 主機 (規則名稱為 LAN_to_WAN),而 Port Forwarding 的部份則是將 61.60.59.56:3389 轉送至 192.168.1.200:3389 機制。
5510-HA(config)#global (outside) 1 interface
 INFO: outside interface address added to PAT pool
5510-HA(config)#nat (inside) 1 192.168.1.0 255.255.255.0
5510-HA(config)#access-list LAN_to_WAN permit icmp any any   //設定可Ping
5510-HA(config)#access-group LAN_to_WAN in interface outside //套用規則
5510-HA(config)#global (outside) 1 61.60.59.56 netmask 255.255.255.0
 INFO: Global 61.60.59.56 will be Port Address Translated
5510-HA(config)#static (inside,outside) 61.60.59.56 192.168.1.200
5510-HA(config)#access-list LAN_to_WAN permit tcp any host 61.60.59.56 eq 3389

步驟4.Active / Standby Failover 設定

啟用 Failover 功能後,設定此台 ASA 設備擔任 Primary 的角色,並且指定 Failover 網路介面「Ethernet 0/3」,以及 IP 位址「10.0.0.1/24、10.0.0.2」。
5510-HA(config)#failover
5510-HA(config)#failover lan unit primary
5510-HA(config)#failover lan interface failover Ethernet0/3
 INFO: Non-failover interface config is cleared on Ethernet0/3 and its sub-interfaces
5510-HA(config)#failover interface ip failover 10.0.0.1 255.255.255.0 standby 10.0.0.2
5510-HA(config)#copy running-config startup-config


至此,Primary ASA 的設定暫時告一個段落。繼續設定 Sceondary ASA 設備吧。

5、Secondary ASA

步驟1.Active / Standby Failover 設定

同樣的,依照下列步驟進行 Secondary ASA 設備的初始化設定,並且指定為 Secondary 角色以及 Failover 網路介面「Ethernet 0/3」,以及 IP 位址「10.0.0.1/24、10.0.0.2」。最後,執行同步 Primary ASA 的設定。
ciscoasa> en                                                                     Password:
ciscoasa#
ciscoasa#configure terminal
ciscoasa(config)#interface ethernet 0/3
ciscoasa(config-if)#no shutdown 
ciscoasa(config-if)#failover 
ciscoasa(config)#failover lan unit secondary
ciscoasa(config)#failover lan interface failover Ethernet0/3
 INFO: Non-failover interface config is cleared on Ethernet0/3 and its sub-interfaces
ciscoasa(config)#failover interface ip failover 10.0.0.1 255.255.255.0 standb 10.0.0.2
ciscoasa(config)#.
         Detected an Active mate                 //偵測到 Primary ASA
 Beginning configuration replication from mate.  //開始同步設定資料
 End configuration replication from mate.        //設定資料同步完成
5510-HA(config)#                                 //ASA 設定同步完成 (主機名稱變成一樣的)
5510-HA(config)#copy running-config startup-config


6、Active / Standby HA 狀態確認

上述步驟完成後相信 Active / Standby HA 已經完成,接下來就是日後要維護時可隨時透過指令來查詢 Failover 的運作狀況。

Primary ASA (目前為 Active 角色)

查看 Failover 是否開啟及相關資訊。
5510-HA(config)#show failover
 Failover On                                        //Failover 機制啟用中
 Failover unit Primary                              //此台為 Primary
 Failover LAN Interface: failover Ethernet0/3 (up)  //Failover介面為e0/3且連通中
 Unit Poll frequency 1 seconds, holdtime 15 seconds
 Interface Poll frequency 5 seconds, holdtime 25 seconds
 Interface Policy 1
 Monitored Interfaces 2 of 250 maximum
 Version: Ours 8.0(4), Mate 8.0(4)
 Last Failover at: 08:30:59 UTC Mar 10 2010
         This host: Primary - Active                //此台 ASA 為 Active
                 Active time: 282 (sec)
                 slot 0: ASA5510 hw/sw rev (2.0/8.0(4)) status (Up Sys)
                   Interface outside (61.60.59.58): Normal
                   Interface inside (192.168.1.254): Normal
                 slot 1: empty
         Other host: Secondary - Standby Ready
                 Active time: 0 (sec)
                 slot 0: ASA5510 hw/sw rev (2.0/8.0(4)) status (Up Sys)
                   Interface outside (61.60.59.57): Normal
                   Interface inside (192.168.1.253): Normal
                 slot 1: empty
 Stateful Failover Logical Update Statistics
         Link : Unconfigured.

查看 Failover 狀態。
5510-HA(config)#show failover state
                State          Last Failure Reason      Date/Time
 This host  -   Primary
                Active         None
 Other host -   Secondary
                Standby Ready  None
 ====Configuration State===
         Sync Done
 ====Communication State===
         Mac set

查看 Failover 介面資訊。
5510-HA(config)#show failover interface
         interface failover Ethernet0/3
                 System IP Address: 10.0.0.1 255.255.255.0
                 My IP Address    : 10.0.0.1
                 Other IP Address : 10.0.0.2

查看 Failover 介面連接狀態。
5510-HA(config)#show monitor-interface
         This host: Primary - Active
                 Interface outside (61.60.59.58): Normal
                 Interface inside (192.168.1.254): Normal

         Other host: Secondary - Standby Ready
                 Interface outside (61.60.59.57): Normal
                 Interface inside (192.168.1.253): Normal


Secondary ASA (目前為 Standby 角色)

查看 Failover 是否開啟及相關資訊。
5510-HA(config)#show failover                                          
 Failover On                                        //Failover 機制啟用中
 Failover unit Secondary                            //此台為 Secondary
 Failover LAN Interface: failover Ethernet0/3 (up)  //Failover介面為e0/3且連通中
 Unit Poll frequency 1 seconds, holdtime 15 seconds
 Interface Poll frequency 5 seconds, holdtime 25 seconds
 Interface Policy 1
 Monitored Interfaces 2 of 250 maximum
 Version: Ours 8.0(4), Mate 8.0(4)
 Last Failover at: 08:06:40 UTC Mar 10 2010
         This host: Secondary - Standby Ready       //此台 ASA 為 Standby
                 Active time: 0 (sec)
                 slot 0: ASA5510 hw/sw rev (2.0/8.0(4)) status (Up Sys)
                   Interface outside (61.60.59.57): Normal
                   Interface inside (192.168.1.253): Normal
                 slot 1: empty
         Other host: Primary - Active
                 Active time: 456 (sec)
                 slot 0: ASA5510 hw/sw rev (2.0/8.0(4)) status (Up Sys)
                   Interface outside (61.60.59.58): Normal
                   Interface inside (192.168.1.254): Normal
                 slot 1: empty
 Stateful Failover Logical Update Statistics
         Link : Unconfigured.

查看 Failover 狀態。
5510-HA(config)#show failover state
                State          Last Failure Reason      Date/Time
 This host  -   Secondary
                Standby Ready  None
 Other host -   Primary
                Active         None
 ====Configuration State===
         Sync Done - STANDBY
 ====Communication State===
         Mac set

查看 Failover 介面資訊。
5510-HA(config)#show failover interface
         interface failover Ethernet0/3
                 System IP Address: 10.0.0.1 255.255.255.0
                 My IP Address    : 10.0.0.2
                 Other IP Address : 10.0.0.1

查看 Failover 介面連接狀態。
5510-HA(config)#show monitor-interface
         This host: Secondary - Standby Ready
                 Interface outside (61.60.59.57): Normal
                 Interface inside (192.168.1.253): Normal

         Other host: Primary - Active
                 Interface outside (61.60.59.58): Normal
                 Interface inside (192.168.1.254): Normal


7、測試 Active / Standby HA 機制是否能運作

您可以在二台都通電運作的情況下在 Standby 主機執行指令 failover active 將 Active 搶過來 (執行的 Active -> Standby),而本次實作測試為 Active 主機電源線直接拔掉來驗證 Active / Standby HA 機制是否能運作,Primary 目前為 Active 角色當電源被拔掉後 Standby 主機會接手 Active 角色,待 Primary 電源恢復後則為 Standby。
  • Primary-Active (電源線拔掉前) -> Primary-Standby (電源恢復後為 Standby 因為 Secondary 已經接手成為 Active)。
  • Secondary-Standby (Primary 電源線拔掉前) -> Secondary-Active (Primary 電源被拔掉後接手成為 Active)。

將 Primary 電源線拔掉 (Secondary 由 Standby -> Active)

將 Primary ASA 設備上的電源線拔掉後,在 Secondary ASA 設備上 Console 端出現  HA 機制生效接手為 Active 的訊息。
5510-HA(config)#Failover LAN Failed    //HA 機制生效接手為 Active
        Switching to Active

查看 Failover 是否開啟及相關資訊。
5510-HA(config)#show failover
 Failover On                                                           //Failover 啟用中
 Failover unit Secondary                                               //此台為 Secondary
 Failover LAN Interface: failover Ethernet0/3 (Failed - No Switchover) //介面中斷
 Unit Poll frequency 1 seconds, holdtime 15 seconds
 Interface Poll frequency 5 seconds, holdtime 25 seconds
 Interface Policy 1
 Monitored Interfaces 2 of 250 maximum
 Version: Ours 8.0(4), Mate 8.0(4)
 Last Failover at: 08:41:51 UTC Mar 10 2010
         This host: Secondary - Active                                  //此台 ASA 為 Active
                 Active time: 107 (sec)
                  slot 0: ASA5510 hw/sw rev (2.0/8.0(4)) status (Up Sys)
                   Interface outside (61.60.59.58): Normal (Waiting)
                   Interface inside (192.168.1.254): Normal (Waiting)
                 slot 1: empty
         Other host: Primary - Failed
                 Active time: 730 (sec)
                 slot 0: ASA5510 hw/sw rev (2.0/8.0(4)) status (Unknown/Unknown)
                   Interface outside (61.60.59.57): Unknown
                   Interface inside (192.168.1.253): Unknown
                 slot 1: empty
 Stateful Failover Logical Update Statistics
         Link : Unconfigured.

查看 Failover 狀態。
5510-HA(config)#show failover state
                State      Last Failure Reason   Date/Time
 This host  -   Secondary
                Active     None
 Other host -   Primary
                Failed     Comm Failure          08:41:51 UTC Mar 10 2010  //發生時間
 ====Configuration State===
         Sync Done - STANDBY
 ====Communication State===

查看 Failover 介面連接狀態。(請尊重 Weithenn 的辛勞!!)
5510-HA(config)#show monitor-interface
         This host: Secondary - Active
                 Interface outside (61.60.59.58): Normal (Waiting)
                 Interface inside (192.168.1.254): Normal (Waiting)

         Other host: Primary - Failed
                 Interface outside (61.60.59.57): Unknown
                 Interface inside (192.168.1.253): Unknown

待 Primary 電力恢復後則為 Standby 角色,您應該會有疑問那麼 Standby 接手時間要多久,此次實測的結果約為 3 ~ 6 秒 則 Standby 就可接手,如下圖持續 Ping 的話可看到當 Primary 電力失去時大約漏了三個封包。

8、補充: 如何使 Rules 更簡潔?

當要設定的 Access Rules 及 NAT Rules 愈來愈多時若不將相關的 IP 網段及 Service 設為群組 (Group)將造成 Rules 管理上的困擾!! 例如要設定 Port Forwarding 時將 Internet 的流量導至 DMZ Server 上相關服務 Port 若有 3 個 Port 則必須建立 3 筆 Access Rules,但若轉換為 Service Groups 則不但只要一筆即可,在操作介面上會顯得簡潔且日後要增減服務 Port 也更為方便,以下為簡述將 IP 網段設定為 Network Groups 將 Service 設定為 Service Groups.

設定 Network Groups

1. 開啟 ASDM。
2. 點選 【Configuration】 >> 【Firewall】 >> 【Objects】 >> 【Network Objects/Groups】 >> 【Add】 >> 【Network Object Groups】。
          2-1.【Group Name】 為填入此 Network Groups 的名稱。
          2-2.【Description】 為此 Network Groups 的內容描述。
          2-3.你可以點選現存的網段或自行新增網段,完成設定後按下 OK 即新增完成。
3. 日後當要設定 Rules 時即可在 【Source】 或 【Destination】 選擇您所新增的 Network Groups。

設定 Service Groups

1. 開啟 ASDM。
2. 點選 【Configuration】 >> 【Firewall】 >> 【Objects】 >> 【Service Groups】 >> 【Add】 >> 【Service Groups】。
          2-1.【Group Name】 為填入此 Service Groups 的名稱。
          2-2.【Description】 為此 Service Groups 的內容描述。
          2-3.你可以點選 Well Know 的服務或自行新增 Port (或 Port Range),完成設定後按下 OK 即新增完成。
3. 日後當要設定 Rules 時即可在 【Service】內選擇您所新增的 Service Groups。

9、HA 機制完成後 Running Config 內容

下列為 Cisco ASA 5510 設定 HA 機制完成後,Running Config 的內容。
 : Saved
 : Written by enable_15 at 00:38:48.296 CST Sat Mar 13 2010
 !
 ASA Version 8.0(4)
 !
 hostname ASA5510-HA
 enable password k5oGzdLgCIdw7VXk encrypted
 passwd k1oGndLgCIdw5VXk encrypted
 names
 !
 interface Ethernet0/0
  nameif wan
  security-level 0
  ip address 61.60.59.58 255.255.255.0 standby 61.60.59.57
 !
 interface Ethernet0/1
  nameif lan
  security-level 100
  ip address 192.168.1.254 255.255.255.0 standby 192.168.1.253
 !
 interface Ethernet0/2
  shutdown
  no nameif
  no security-level
  no ip address
 !
 interface Ethernet0/3
  description LAN Failover Interface
 !
 interface Management0/0
  nameif man
  security-level 0
  no ip address
 !
 ftp mode passive
 clock timezone CST 8
 object-group protocol TCPUDP
  protocol-object udp
  protocol-object tcp
 object-group protocol DM_INLINE_PROTOCOL_1
  protocol-object udp
  protocol-object tcp
 access-list WAN_To_LAN extended permit tcp any eq 3389
 logging enable
 logging asdm informational
 mtu wan 1500
 mtu lan 1500
 mtu man 1500
 failover
 failover lan unit secondary
 failover lan interface failover Ethernet0/3
 failover interface ip failover 10.0.0.1 255.255.255.0 standby 10.0.0.2
 icmp unreachable rate-limit 1 burst-size 1
 asdm image disk0:/asdm-613.bin
 no asdm history enable
 arp timeout 14400
 global (wan) 1 interface
 nat (lan) 1 192.168.1.0 255.255.255.0
 static (lan,wan) 61.60.59.56 192.168.1.200 netmask 255.255.255.255
 access-group WAN_To_LAN in interface wan
 access-group LAN_To_WAN in interface lan
 route wan 0.0.0.0 0.0.0.0 61.60.59.254 1
 timeout xlate 3:00:00
 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
 dynamic-access-policy-record DfltAccessPolicy
 http server enable
 http 0.0.0.0 0.0.0.0 lan
 no snmp-server location
 no snmp-server contact
 snmp-server enable traps snmp authentication linkup linkdown coldstart
 service resetoutside
 crypto ipsec security-association lifetime seconds 28800
 crypto ipsec security-association lifetime kilobytes 4608000
 telnet 0.0.0.0 0.0.0.0 lan
 telnet timeout 5
 ssh timeout 5
 console timeout 0
 threat-detection basic-threat
 threat-detection statistics access-list
 no threat-detection statistics tcp-intercept
 ntp server 220.130.158.52 source wan
 ntp server 220.130.158.51 source wan prefer
 ntp server 220.130.158.72 source wan
 ntp server 220.130.158.71 source wan
 !
 class-map inspection_default
  match default-inspection-traffic
 !
 !
 policy-map type inspect dns preset_dns_map
  parameters
   message-length maximum 512
 policy-map global_policy
  class inspection_default
   inspect dns preset_dns_map
   inspect ftp
   inspect h323 h225
   inspect h323 ras
   inspect netbios
   inspect rsh
   inspect rtsp
   inspect skinny
   inspect esmtp
   inspect sqlnet
   inspect sunrpc
   inspect tftp
   inspect sip
   inspect xdmcp
   inspect pptp
 !
 service-policy global_policy global
 prompt hostname context
 Cryptochecksum:be8009cb2ffe7db565d9d64c837d2f5b
 : end


10、參考


11、MeFAQ

Q1.突然無法使用 ASDM 登入 Cisco ASA 5510?

Error Message:
本來都很順便可以使用 ASDM 登入,但是今天突然無法使用 ASDM 登入 Cisco ASA 5510,並且出現下列錯誤訊息?
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NumberFormatException: For input string: "1 year 4"
Ans:
根據官網 Cisco Adaptive Security Device Manager - ASDM Troubleshooting 可知,舊版的 Firmware Bug 當使用 超過一年 之後必須要把 Cisco ASA 重新啟動 才行,事實證明真的重開後就一切順利了。

1、前言

在 Cisco ASA 設定 IPSec VPN Client 連接驗證設定時通常採用 VPN Group Name 及 Group Password 來進行簡單的連接驗證,本篇實作為利用 Microsoft CA 派發憑證給 Cisco VPN Client 來進行此一驗證動作提高安全性。

文章目錄

1、前言
2、實作環境
3、Microsoft CA / Certificate 設定
          安裝 IIS 服務
          安裝 Certificate 服務
4、Cisco ASA CA 設定
          確認 Cisco ASA 設備系統時間、日期、時區
          Cisco ASA 產生憑證要求 CSR (Certificate Signing Request)
          提交憑證要求 CSR 至 Windows CA Server
          安裝 RootCA 及 ASA Certificate 至 Cisco ASA 設備
          設定 VPN (IPSec) 使用憑證驗證及相關設定
          設定 Cisco VPN Client
5、補充
          補充一:備份使用者憑證
          補充二:Windows CA Server 撤銷使用者憑證
          補充三:Cisco ASA 下載 CRL
6、CA 憑證機制完成後 Running Config 內容
7、參考
8、MeFAQ
          Q1.因為 Cisco ASA 的 CA 憑證到期,但是更換後 VPN Client 無法連接成功?

2、實作環境

Cisco ASA 5510 Series * 2台
  • Cisco Adaptive Security Appliance Software Version 8.0(4) - asa804-k8.bin
  • Device Manager Version 6.1(3) - asdm-613.bin
  • 憑證要求 CSR (Certificate Signing Request): ASA_CSR.txt

Windows Server 2003 R2 Standard Edition SP2
  • CA Server IP: 192.168.1.10
  • DNS Servers: 192.168.1.20, 192.168.1.30
  • WINS Servers: 192.168.1.20, 192.168.1.30
  • VPN Client IP Range: 192.168.1.101 ~ 200
  • RootCA 憑證: Weithenn_RootCA.cer
  • ASA 憑證: asaca.cer


3、Microsoft CA / Certificate 設定

安裝 IIS 服務

此次實作為使用者屆時使用瀏覽器來向獨立根 CA (Standard-alone Root CA) 申請憑證,安裝 IIS 服務以便屆時提供憑證服務,請依如下步驟安裝 IIS
 【開始】 >> 【控制台】 >> 【新增或移除程式】 >> 【新增/移除 Windows 元件】 >> 【Application Server】 >> 【詳細資料】 >> 【IIS】

安裝完畢後確定 IIS 服務有啟動且並使用下列指令來確定系統有 Listen Port 80。
C:\>netstat -na | find ":80"
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING


安裝 Certificate 服務

請依下列步驟來安裝獨立根 CA (Standard-alone Root CA)。
 【開始】 >> 【控制台】 >> 【新增或移除程式】 >> 【新增/移除 Windows 元件】 >> 【Certificate Services】

安裝完成後確定是否把屆時提供使用者申請憑證服務的網頁放入 IIS 內。


4、Cisco ASA CA 設定

確認 Cisco ASA 設備系統時間、日期、時區

在進行設定以前請先確定 Cisco ASA 設備系統時間、日期、時區是否與 CA 伺服器相同。

Cisco ASA 產生憑證要求 CSR (Certificate Signing Request)

操作 Cisco ASA 來產生憑證要求 CSR (Certificate Signing Request),以便等一下提交給 Windows CA Server,請依下列步驟來產生 CSR (Certificate Signing Request)

1. 開啟【ASDM】 >> 【Configuration】 >> 【Device Management】 >> 【Certificate Management】 >> 【Identity Certificates】 >> 【Add】。
2. Add Identity Certificate。
     2-1. Trustpoint Name: 此設定檔名稱此例為 Weithenn_VPN
     2-2. Key Pair: 建立 Private Key 此例將 Key 命名為 Private.key。
     2-3. Certificate Subject DN: 此憑證申請書的資訊。
          2-3-1. Common Name(CN): 填入 CA 伺服器的 FQDN,此例為 CA.weithenn.org
          2-3-2. Department(OU): 填入組織或部門別,此例為 IT
          2-3-3. Company Name(O): 填入公司名稱,此例為 Weithenn Research
          2-3-4. Country(C): 填入國碼,此例為 TW(Taiwan)
          2-3-5. Location(L): 填入地區,此例為 Taipei
          2-3-6. Email Address(EA): 填入連絡人 E-Mail

完成上述設定後按下 【Add Certificate】後 Cisco ASA 會提示您將此憑證要求 CSR (Certificate Signing Request) 存檔至您的本機以便等一下送給 Windows CA Server 來申請憑證用,此例為將憑證要求 CSR 存檔為 ASA_CSR.txt 內容類似如下顯示
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----


提交憑證要求 CSR 至 Windows CA Server

1. 送出憑證要求 CSR(Certificate Signing Request) 申請
     1-1. 開啟瀏覽器輸入 Windows CA Server 憑證服務網址 (本例為 http://192.168.1.10/certsrv)。
     1-2. 點選【要求憑證】。(請尊重 Weithenn 的辛勞!!)
     1-3. 點選【進階憑證要求】。
     1-4. 點選【用 Base-64 編碼的 CMC 或 PKCS #10 檔案來提交憑證要求,或用 Base-64 編碼的 CMC 或 PKCS #7 檔案提交更新要求】。
     1-5. 貼上【ASA_CSR.txt 內容】至已儲存的要求區塊內。
     1-6. 按下【提交】。
     1-7. 憑證擱置 (等待 Windows CA Server 發行您提交的憑證)。


2. Windows CA Server 發行憑證
     2-1. 登入 Windows CA Server。
     2-2. 開啟【憑證授權】。
     2-3. 點選【擱置要求】 >> 【點擊欲發行的憑證】 >> 【右鍵後選擇所有工作】 >> 【發行】 >> 可在【已發出的憑證】內看到剛才發行的憑證。

3. 下載 ASA Certificate 憑證
     3-1. 開啟瀏覽器輸入 Windows CA Server 憑證服務網址 (本例為 http://192.168.1.10/certsrv)。
     3-2. 點選【檢視擱置中的憑證要求狀態】。
     3-3. 點選【已儲存要求的憑證(時間)】。
     3-4. 點選【Base 64】 >> 【下載憑證】並命名為 asaca.cer 此憑證為 Cisco ASA Certificate 為屆時匯入 Identity Certificates 內用。

安裝 RootCA 及 ASA Certificate 至 Cisco ASA 設備

1. 下載 RootCA 憑證
1-1. 開啟瀏覽器輸入 Windows CA Server 憑證服務網址 (本例為 http://192.168.1.10/certsrv)。
1-2. 點選【下載 CA 憑證、憑證鏈結或 CRL】。
1-3. 點選【Base 64】 >> 【下載 CA 憑證】並命名為 Weithenn_RootCA.cer。

2. 安裝 RootCA 憑證至 Cisco ASA 的 CA Certificates 內
開啟【ASDM】 >> 【Configuration】 >> 【Device Management】 >> 【Certificate Management】 >> 【CA Certificates】 >> 【Add】 >> 【貼上 RootCA 憑證內容 (PEM格式)】 >> 按下【Install Certificate】。

憑證安裝完成後,查看憑證內容是否正確 (有效期限為 10 年)。

3. 安裝 ASA Certificate 憑證至 Cisco ASA 的 Identity Certificates 內
開啟【ASDM】 >> 【Configuration】 >> 【Device Management】 >> 【Certificate Management】 >> 【Identity Certificates】 >> 【Install】 >> 【貼上 ASA Certificate 內容 (Base 64 格式)】 >> 按下【Install Certificate】。

設定 VPN (IPSec) 使用憑證驗證及相關設定

1. 設定 IKE Policy
開啟【ASDM】 >> 【Configuration】 >> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【Advanced】 >> 【IPsec】 >> 【IKE Policies】 >> 【Add】 >> 【設定相關資訊 (如下)】 >> 【OK】 >> 【Apply】
  • Priority: 65535
  • Authentication: rsa-sig
  • Encryption: 3des
  • D-H Group: 2
  • Hash: md5
  • Lifetime: 86400 seconds


2. 設定 IPSec Transform Sets
【Configuration】 >> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【Advanced】 >> 【IPSec】 >> 【IPSec Transform Sets】 >> 【Add】 >> 【設定相關資訊 (如下)】 >> 【OK】 >> 【Apply】
  • Set Name: Weithenn-3DES-MD5
  • Mode: Tunnel
  • ESP Encryption: 3DES
  • ESP Authentication: MD5


3. 設定 Crypto Maps
【Configuration】 >> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【Advanced】 >> 【IPSec】 >> 【Crypto Maps】 >> 【Add】 >> 【設定相關資訊 (如下)】 >> 【OK】 >> 【Apply】
  • Interface: wan
  • Priority: 10
  • Transform Sets: Weithenn-3DES-MD5


4.設定 IPSec Rules Group Policies
【Configuration】 >> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【Group Policies】 >> 【Add】 >> 【設定相關資訊 (如下)】 >> 【OK】 >> 【Apply】
  • Name: Weithenn_Policy
  • DNS Servers: 192.168.1.20, 192.168.1.30
  • WINS Servers: 192.168.1.20, 192.168.1.30



5. 設定 VPN Client IP Range
【Configuration】 >> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【Address Assignment】 >> 【Address Pools】 >> 【Add】 >> 【設定相關資訊 (如下)】>> 【OK】 >> 【Apply】
  • Name: VPN_Client_IP_Pool
  • Starting IP Address: 192.168.1.101
  • Ending IP Address: 192.168.1.200
  • Subnet Mask: 255.255.255.0


6.建立 Cisco ASA 本機使用者帳號 (因為尚未結合 RADIUS 身份驗證)
【Configuration】 >> 【Remote Access VPN】 >> 【AAA/Local Users】 >> 【Local Users】 >> 【Add】 >> 【設定相關資訊 (如下)】>> 【OK】 >> 【Apply】


7. 設定 IPsec Connection Profiles
【Configuration】 >> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【IPsec Connection Profiles】 >> 【Edit】 >> 【設定相關資訊 (如下)】>> 【OK】 >> 【Apply】
  • Name: DefaultRAGroup
  • Identity Certificates: 選擇 ASA Certificate (Identity Certificates)
  • Server Group: LOCAL
  • Client Address Pools: VPN_Client_IP_Pool
  • Group Policy: Weithenn_Policy


設定 Cisco VPN Client

1. 安裝 Cisco VPN Client (vpnclient-win-msi-5.0.02.0090-k9.exe)

2. 安裝 RootCA 至 Cisco VPN Client
開啟 Cisco VPN Client >> 【Certificates】 >> 【Show CA/RA Certificates】 >> 【Import】 >> 選擇 RootCA 匯入【Weithenn_RootCA.cer】。



3. 提交使用者憑證需求
     3-1. 開啟瀏覽器輸入 Windows CA Server 憑證服務網址 (本例為 http://192.168.1.10/certsrv)。
     3-2. 點選【要求憑證】。
     3-3. 點選【進階憑證要求】。
     3-4. 點選【向這個 CA 建立並提交一個要求。】後填入如下相關資訊。
          3-4-1. 識別資訊名稱: Weithenn Wang (填入使用者相關資訊)。
          3-4-2. 所需的憑證類型: 用戶端驗證憑證。
          3-4-3. 金鑰選項: 選擇【建立新的金鑰組】及【Microsoft Enhanced Cryptographic Provider v1.0】,在金鑰使用方式: 選擇【二者皆是】,金鑰大小: 輸入【1024】、選擇【自動金鑰容器名稱】、勾選【將金鑰標示成可匯出】。
          3-4-4. 其他選項,要求格式: 選擇【PKCS10】,雜湊演算法: 選擇【MD5】。
     3-5. 憑證擱置 (等待 Windows CA Server 發行您提交的憑證)。



4. Windows CA Server 發行使用者憑證
登入 Windows CA Server 後,開啟【憑證授權】,然後點選【擱置要求】 >> 【點擊欲發行的憑證】 >> 【右鍵後選擇所有工作】 >> 【發行】 >> 可在【已發出的憑證】內看到剛才發行的憑證。

5. 安裝使用者憑證至電腦 (將同步安裝至 Cisco VPN Client)
5-1. 開啟瀏覽器輸入 Windows CA Server 憑證服務網址 (本例為 http://192.168.1.10/certsrv)。
5-2. 點選【檢視擱置中的憑證要求狀態】。
5-3. 點選【用戶端驗證憑證(時間)】 >> 點選【安裝這個憑證】 >> 【是】顯示安裝憑證成功。
5-4. 此時開啟 IE 或 MMC 查看使用者憑證資訊時可看到剛才安裝的使用者憑證資訊。
5-5. 此時開啟 Cisco VPN Client 查看 Certificates 可發現有 RootCA 及剛才安裝的使用者憑證資訊。




6. 設定 Cisco VPN Client 使用憑證進行驗證
6-1. 建立 Cisco VPN Client 連線設定。
6-2. 填入設定檔名稱、Cisco VPN IP Address、選擇使用剛才的使用者憑證進行驗證。
6-3. 設定檔建立完成後按下 Connect 後若驗證成功即跳出帳號密碼驗證視窗,此時請輸入剛才建立的 ASA 使用者帳號 vpnuser 及密碼即可登入 VPN,登入成功後即可看到右下角有鎖頭圖示。




5、補充

補充一:備份使用者憑證

未避免使用者的電腦重灌或其它因素造成該使用者憑證無法使用而無法登入 VPN,建議申請使用者憑證及設定連結 VPN 成功後將該使用者憑證進行備份 (含 Private Key),備份步驟如下 (以 IE 8 操作為例),其中保護私密金鑰密碼為當日後使用者電腦重灌後匯入 .pfx 時會詢問您當初所設定的保護密碼 (您也可設為空白)。

開啟 【IE8】 >> 【工具】 >> 【網際網路選項】 >> 【內容】 >> 【憑證】 >> 【點選要匯出的憑證】 >> 【匯出】 >> 【憑證匯出精靈】 >> 【是,匯出私密金鑰】 。


選擇【個人資訊交換 -  PKCS #12 (.PFX)】 選項。

接著輸入私密金鑰保護密碼 。

選擇匯出的檔案路徑,最後按下完成即可。


補充二:Windows CA Server 撤銷使用者憑證

若該憑證的使用者離職為落實公司安全政策,您可至 Windows CA Server 將該使用者憑證撤銷 (那麼 VPN Client 使用憑證驗證時即會失敗),至於撤銷理由請自行選擇即可(本例為選擇已取代) 完成後 Windows CA Server 預設為一週更新 CRL(Certificate Revocation List) 一次,您可自行調整更新時間或手動更新 CRL。

Windows CA Server 發行使用者憑證
登入 Windows CA Server,開啟【憑證授權】, 點選【已發出的憑證】 >> 【點擊欲撤銷的憑證】 >> 【右鍵後選擇所有工作】 >> 【撤銷憑證】 >> 【理由代碼】 >> 可在【已撤銷的憑證】內看到剛才撤銷的憑證。



Windows CA Server 預設為一週更新 CRL(Certificate Revocation List) 一次,您可自行調整更新時間 (小時、天、週、月、年) 或手動更新 CRL。

手動更新 CRL 方式為點選【已撤銷的憑證】 >> 【右鍵後選擇所有工作】 >> 【發行】 >> 【新的 CRL】 >> 【確定】 如此即馬上更新 CRL 內容。

補充三:Cisco ASA 下載 CRL

設定 Cisco ASA 下載 Windows CA Server 憑證撤銷清單 CRL(Certificate Revocation List),請開啟 【ASDM】>> 【Configuration】 >> 【Remote Access VPN】 >> 【Certificate Management】 >> 【CA Certificates】 >> 【Edit】 >> 【CRL Retrieval Policy】 >> 【Add】 >> 【Static URLs (如下)】 >> 【OK】(請尊重 Weithenn 的辛勞!!)

Static URLs (本次實作環境為 http://192.168.1.10/certsrv/certcrl.crl?Type=base&Renewal=0&Enc=bin)
設定完成後按下【Request CRL】Cisco ASA 將會立即向 Microsoft CA Server 下載最新 CRL。

6、CA 憑證機制完成後 Running Config 內容

下列為 Cisco ASA 5510 設定憑證機制完成後,所增加的 Running Config 內容。
ip local pool VPN_Client_IP_Pool 192.168.1.101-192.168.1.200 mask 255.255.255.0
crypto ipsec transform-set Weithenn-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map wan_dyn_map 10 set transform-set Weithenn-3DES-MD5
crypto dynamic-map wan_dyn_map 10 set security-association lifetime seconds 28800
crypto dynamic-map wan_dyn_map 10 set security-association lifetime kilobytes 4608000
crypto map wan_map 10 ipsec-isakmp dynamic wan_dyn_map
crypto map wan_map interface wan
crypto ca trustpoint Weithenn_VPN
revocation-check crl none
enrollment terminal
subject-name CN=CA.weithenn.org,OU=IT,O=Weithenn Research,C=TW,L=Taipei
keypair Private.key
crl configure
  policy both
  url 1 http://192.168.1.10/certsrv/certcrl.crl?Type=base&Renewal=0&Enc=bin
  no protocol ldap
  no protocol scep
 crypto ca certificate chain Weithenn_VPN
  certificate 1aee8272000000000004
    30820482 3082036a a0030201 02020a1a ee827200 00000000 04300d06 092a8648
    ...略...
    86f70d01 01050500 30573112 3010060a 09922689 93f22c64 01191602 74773113
    8ebe022a f458
  quit
 certificate ca 7533849e14a3efa54fe8c736fe2495a2
    30820421 30820309 a0030201 02021075 33849e14 a3efa54f e8c736fe 2495a230
    ...略...
    4f241149 fc2478d6 63417e59 7f408e08 d0b66413 bac8a17e f25861e6 067c5656
    d8700c60 e8
  quit
crypto isakmp enable wan
group-policy Weithenn_Policy internal
group-policy Weithenn_Policy attributes
wins-server value 192.168.1.20 192.168.1.30
dns-server value 192.168.1.20 192.168.1.30
vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
default-domain value weithenn.org
username vpnuser password I6nJr5tTLhr4X1lA encrypted
username vpnuser attributes
memberof DefaultRAGroup
 tunnel-group DefaultRAGroup general-attributes
  address-pool VPN_Client_IP_Pool
  default-group-policy Weithenn_Policy
 tunnel-group DefaultRAGroup ipsec-attributes
  trust-point Weithenn_VPN


7、參考


8、MeFAQ

Q1.因為 Cisco ASA 的 CA 憑證到期,但是更換後 VPN Client 無法連接成功?

Error Message:
因為 Cisco ASA 的 CA 憑證到期,但是更換 Cisco ASA 的 CA 後 VPN Client 卻無法連接成功了?

Ans:
雖然更新了 Cisco ASA CA 憑證,但是記得要指定與 VPN Client 溝通時的設定 (IPsec Connection Profiles),請依下列步驟將新匯入的 Cisco ASA CA 憑證進行套用。

【Configuration】 >> 【Remote Access VPN】 >> 【Network (Client) Access】 >> 【IPsec Connection Profiles】 >> 【Edit】,於 IKE Peer Authentication 區塊中的 【Identity Certificates】項目按下「Manage」鍵,選擇您新套用的 Cisco ASA CA 憑證即可。