Leaflet
10-68
思科 ASA 系列命令参考,A 至 H 命令
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令
cts import-pac
命令历史
使用指南 将 PAC 文件导入到 ASA 可与 ISE 建立连接。在通道建立后,ASA 将发起与 ISE 的安全 RADIUS
事务,并且下载思科 TrustSec 环境数据;具体而言,ASA 会下载安全组表。该安全组表将 SGT
映射到安全组名称。安全组名称创建于 ISE 上,为安全组提供便于用户使用的名称。在 RADIUS
事务之前未建立任何通道。ASA 使用 PAC 进行身份验证,发起与 ISE 的 RADIUS 事务。
提示 PAC 文件包含共享密钥,允许 ASA 和 ISE 保护它们之间发生的 RADIUS 事务。鉴于此密钥的敏
感性,必须将其安全地存储在 ASA 中。
在成功导入该文件后,ASA 无需 ISE 中配置的设备密码即可从 ISE 下载思科 TrustSec 环境数据。
ASA 将 PAC 文件存储在 NVRAM 区域(通过用户界面无法访问该区域)。
必备条件
• ASA 必须先配置为 ISE 中识别的思科 TrustSec 网络设备,然后 ASA 才可生成 PAC 文件。ASA
可以导入任何 PAC 文件,但仅当该文件是由配置正确的 ISE 生成时才可在 ASA 上运行。
• 获取解密在 ISE 上生成的 PAC 文件的密码。
ASA 需要此密码来导入和解密 PAC 文件。
• 访问 ISE 生成的 PAC 文件。ASA 可以从闪存或者通过 TFTP、FTP、HTTP、HTTPS 或 SMB
从远程服务器导入 PAC 文件。(PAC 文件不在 ASA 闪存中时也可以导入。)
• 已为 ASA 配置服务器组。
限制
• 当 ASA 是 HA 配置的一部分时,必须将 PAC 文件导入到主要 ASA 设备。
• 当 ASA 是集群配置的一部分时,必须将 PAC 文件导入到主设备。
示例 以下示例从 ISE 导入 PAC:
ciscoasa(config)# cts import pac disk0:/pac123.pac password hideme
PAC file successfully imported
相关命令
版本 修改
9.0(1)
引入了此命令。
命令 说明
cts refresh
environment-data
当 ASA 与思科 TrustSec 集成时,更新来自 ISE 的思科 TrustSec 环
境数据
cts sxp enable
在 ASA 中启用 SXP 协议。