Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x ou posterior: Exemplo de Configuração de VPN IPsec Site-to-Site (L2L) com NAT por Política (Sobreposição de Redes Privadas)

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (24 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Configuração
      Diagrama de Rede
      Configurações
Verificação
      Comandos Show do PIX-A
      Comandos Show do PIX-B
Troubleshooting
      Limpar Associações de Segurança
      Comandos para Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve os passos usados para converter (NAT) o tráfego de VPN de um ponto de extremidade que viaja em um túnel IPsec L2L (LAN a LAN) entre dois Security Appliances. Cada Security Appliance está a frente de uma rede privada protegida.

A rede 192.168.1.0 em PIX-A é convertida na rede 172.18.1.0 e envia o tráfego de VPN pelo túnel de IPsec. Este tipo de conversão no ponto de extremidade da VPN é útil para evitar o conflito das mesmas redes (redes com sobreposição) entre os Security Appliances local e remoto. Em uma VPN site-to-site, o túnel IPsec é estabelecido quando você inicia o tráfego de interesse em um dos pontos de extremidade do túnel. No entanto o túnel é iniciado somente pelo Security Appliance de PIX-A. Devido a configuração de NAT por política, o tráfego IPsec de interesse não chega até o ponto de extremidade em PIX-B. Mas, assim que o túnel é estabelecido, ambos os lados das redes internas se tornam acessíveis.

Pré-requisitos

Requisitos

Certifique-se de configurar o PIX Security Appliance com endereços IP nas interfaces e estabeleça uma conectividade básica antes de continuar com este exemplo de configuração.

Componentes Utilizados

As informações neste documento baseiam-se nestas versões de software e hardware:

  • Cisco PIX 500 Series Security Appliance com a versão 7.x ou posterior do software

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada com o Cisco 5500 Series Adaptive Security Appliance com a versão 7.x ou posterior do software.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

pixasa7x-vpn-nat-config.gif

Configurações

Este documento utiliza as seguintes configurações:

PIX-A

PIX-A#show running-config
: Saved
:
PIX Version 7.1(1)
!
hostname PIX-A
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.17.1.1 255.255.255.0

!--- Configura a interface externa.

!

interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0

!--- Configura a interface interna.


passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

access-list new extended permit ip 172.18.1.0 255.255.255.0 10.1.0.0 255.255.255.0

!--- Esta lista de acesso (new) é usada com o mapa de criptografia (outside_map)
!--- para determinar qual tráfego deve ser criptografado
!--- e enviado pelo túnel.

access-list policy-nat extended permit ip 192.168.1.0 255.255.255.0 10.1.0.0 255.255.255.0


!--- A ACL policy-na é usada com o comando static
!--- para corresponder ao tráfego VPN para conversão.

pager lines 24
mtu outside 1500
mtu inside 1500
no failover
asdm image flash:/asdm-511.bin
no asdm history enable
arp timeout 14400

static (inside,outside) 172.18.1.0  access-list policy-nat

!---É uma instrução de política de NAT.
!--- O comando static com a lista de acesso (policy-nat), a qual corresponde ao
!--- tráfego de VPN e converte a origem (192.168.1.0) em 172.18.1.0 para o tráfego VPN de saída.

route outside 0.0.0.0 0.0.0.0 172.17.1.2 1



!--- Saída suprimida.



!--- CONFIGURAÇÃO DA FASE 2 ---!
!--- Os tipos de criptografia da Fase 2 são definidos aqui.

crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac

!--- Define o conjunto de transformação da Fase 2.

crypto map outside_map 20 match address new

!--- Define o tráfego que deve ser enviado para o peer IPsec com a lista de acesso (new).


crypto map outside_map 20 set peer 172.16.1.2

!--- Define o peer IPsec (ponto de extremidade remoto)

crypto map outside_map 20 set transform-set ESP-AES-256-SHA

!--- Define o conjunto de transformação de IPsec "ESP-AES-256-SHA"
!--- para ser usado com a entrada de mapa de criptografia "outside_map".

crypto map outside_map interface outside

!--- Especifica a interface que será usada com
!--- as opções definidas nesta configuração.

!--- CONFIGURAÇÃO DA FASE 1 ---!

!--- Esta configuração usa a política 10 de isakmp.
!--- A política 65535 está incluída na configuração por padrão.
!--- Estes comandos de configuração definem os
!--- parâmetros da política da Fase 1 que serão usados.

isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 5
isakmp policy 10 lifetime 86400

isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400

tunnel-group 172.16.1.2 type ipsec-l2l

!--- Para criar e gerenciar o banco de dados de registros específicos de conexão records
!--- para túneis ipsec-l2l-IPsec (LAN a LAN), use o comando tunnel-group
!--- no modo de configuração global.
!--- Nas conexões L2L, o nome do grupo de túnel deve ser
!--- o endereço IP do peer IPsec (peer de extremidade remoto).

tunnel-group 172.16.1.2 ipsec-attributes
 pre-shared-key *

!--- Insira a chave pré-compartilhada para configurar o método de autenticação.



telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:33e1e37cd1280d908210dac0cc26e706
: end

PIX-B

PIX-B#show running-config
: Saved
:
PIX Version 8.0(2)
!
hostname PIX-B
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.0.1 255.255.255.0
!

!--- Saída suprimida.


access-list 102 extended permit ip 10.1.0.0 255.255.255.0 172.18.1.0 255.255.255.0

!--- Esta lista de acesso (102) é usada com o mapa de criptografia
!--- outside_map para determinar qual tráfego deve ser criptografado
!--- e enviado pelo túnel.

access-list no-nat extended permit ip 10.1.0.0 255.255.255.0 172.18.1.0 255.255.255.0

!--- Esta lista de acesso (no-nat) é usada com o comando nat zero.
!--- Isso impede que o tráfego com correspondência à lista de acesso passe
!--- pelo NAT.


nat (inside) 0 access-list no-nat


!--- NAT 0 impede a aplicação do NAT para as redes especificadas na ACL (no-nat).


route outside 0.0.0.0 0.0.0.0 172.16.1.1 1

!--- CONFIGURAÇÃO DA FASE 2 ---!
!--- Os tipos de criptografia da Fase 2 são definidos aqui.

crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac

!--- Define o conjunto de transformação da Fase 2.


crypto map outside_map 20 match address 102

!--- Define o tráfego que será enviado para o peer IPsec.


crypto map outside_map 20 set peer 172.17.1.1

!--- Define o peer IPsec


crypto map outside_map 20 set transform-set ESP-AES-256-SHA

!--- Define o conjunto de transformação de IPsec "ESP-AES-256-SHA"
!--- para ser usado com a entrada de mapa de criptografia "outside_map".


crypto map outside_map interface outside

!--- Especifica a interface que será usada com
!--- as opções definidas nesta configuração.

!--- CONFIGURAÇÃO DA FASE 1 ---!

!--- Esta configuração usa a política 10 de isakmp.
!--- A política 65535 está incluída na configuração por padrão.
!--- Estes comandos de configuração definem os
!--- parâmetros da política da Fase 1 que serão usados.




crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption aes-256
 hash sha
 group 5
 lifetime 86400

crypto isakmp policy 65535
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
no crypto isakmp nat-traversal

!--- Saída suprimida.



!--- Para criar e gerenciar o banco de dados de registros específicos de conexão
!--- para túneis ipsec-l2l-IPsec (LAN a LAN), use o comando
!--- tunnel-group no modo de configuração global.
!--- Nas conexões L2L, o nome do grupo de túnel deve ser
!--- o endereço IP do peer IPsec.


tunnel-group 172.17.1.1 type ipsec-l2l
tunnel-group 172.17.1.1 ipsec-attributes
 pre-shared-key *

!--- Insira a chave pré-compartilhada para configurar o método de autenticação.



prompt hostname context
Cryptochecksum:6b505b4a05c1aee96a71e67c23e71865
: end

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show crypto isakmp sa — Mostra todas as associações de segurança atuais do IKE em um peer.

  • show crypto ipsec sa — Mostra as configurações usadas pelas associações de segurança atuais.

Exemplo

Comandos Show do PIX-A

PIX-A#show crypto isakmp sa

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 172.16.1.2
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE
PIX-A#show crypto ipsec sa
interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: 172.17.1.1

      access-list new permit ip 172.18.1.0 255.255.255.0 10.1.0.0 255.255.255.0
      local ident (addr/mask/prot/port): (172.18.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.1.0.0/255.255.255.0/0/0)
      current_peer: 172.16.1.2

      #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
      #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 9, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.17.1.1, remote crypto endpt.: 172.16.1.2

      path mtu 1500, ipsec overhead 76, media mtu 1500
      current outbound spi: 95D66663

    inbound esp sas:
      spi: 0x9A4CB431 (2588718129)
         transform: esp-aes-256 esp-sha-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274999/28758)
         IV size: 16 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x95D66663 (2513856099)
         transform: esp-aes-256 esp-sha-hmac
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274999/28756)
         IV size: 16 bytes
         replay detection support: Y
PIX-A#show nat

NAT policies on Interface inside:
  match ip inside 192.168.1.0 255.255.255.0 outside 10.1.0.0 255.255.255.0
    static translation to 172.18.1.0
    translate_hits = 5, untranslate_hits = 5
PIX-A#show xlate
1 in use, 2 most used
Global 172.18.1.0 Local 192.168.1.0

Comandos Show do PIX-B

PIX-B#show crypto ipsec sa
interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: 172.16.1.2

      access-list 102 permit ip 10.1.0.0 255.255.255.0 172.18.1.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.1.0.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (172.18.1.0/255.255.255.0/0/0)
      current_peer: 172.17.1.1

      #pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14
      #pkts decaps: 14, #pkts decrypt: 14, #pkts verify: 14
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 14, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.16.1.2, remote crypto endpt.: 172.17.1.1

      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: 9A4CB431

    inbound esp sas:
      spi: 0x95D66663 (2513856099)
         transform: esp-aes-256 esp-sha-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (3824998/28712)
         IV size: 16 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x9A4CB431 (2588718129)
         transform: esp-aes-256 esp-sha-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 16384, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (3824998/28712)
         IV size: 16 bytes
         replay detection support: Y
PIX-B#show crypto isakmp sa

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 172.17.1.1
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE

Troubleshooting

Limpar Associações de Segurança

Ao fazer o troubleshooting, certifique-se de limpar as associações de segurança existentes após efetuar uma alteração. No modo privilegiado do PIX, use os seguintes comandos:

  • clear crypto ipsec sa — Exclui as associações de segurança ativas do IPsec.

  • clear crypto isakmp sa — Exclui as associações de segurança ativas do IKE.

Comandos para Troubleshooting

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota:  Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug .

  • debug crypto ipsec — Exibe as negociações de IPSec da Fase 2.

  • debug crypto isakmp — Exibe as negociações de ISAKMP da Fase 1.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 99122