15、思科安全设备上的NAC测试、监控与故障排查及思科安全访问控制服务器介绍

思科安全设备上的NAC测试、监控与故障排查及思科安全访问控制服务器介绍

1. 思科安全设备上NAC的测试场景

在思科安全设备上实施网络准入控制（NAC）解决方案时，有不同的测试场景非常有用，每个场景都有助于收集连接的统计信息，还能利用相关调试信息排查IPSec或NAC部署中的问题。具体测试场景如下：
1. 无NAC的远程访问IPSec隧道
2. 无客户端代理的远程访问IPSec隧道
3. 有CTA客户端的远程访问IPSec隧道

1.1 无NAC的远程访问IPSec隧道

若要在安全设备上设置一个新组来验证VPN客户端的状态，需先完成NAC配置步骤的前两个阶段。接着从测试VPN客户端机器建立VPN隧道，确保无配置错误。若IPSec隧道因某些原因无法工作，要开启适当的调试。以下两个调试命令最为重要：

debug crypto isakmp [debug-level]
debug crypto ipsec [debug-level]

默认调试级别为1，可将严重级别提高到255以获取详细日志，但多数情况下，设置为127就能提供足够信息来确定问题根源。例如：

CiscoASA# debug crypto isakmp 127
CiscoASA# debug crypto ipsec 127

隧道协商从交换ISAKMP提案开始。若开启ISAKMP调试，安全设备会显示VPN客户端尝试连接的隧道组。若提案可接受，调试