Segurança : Dispositivos de segurança Cisco PIX 500 Series

Criação de túnel redundante entre Firewall usando o PDM

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve o procedimento que você se usa para configurar túneis entre dois Firewall PIX usando o Cisco PIX Device Manager (PDM). Os Firewall PIX são colocados em dois locais diferentes. Em caso de uma falha alcançar o caminho principal, é desejável retroceder fora o túnel através de um enlace redundante. O IPsec é uma combinação de padrões abertos que fornecem a confidencialidade de dados, a integridade de dados, e a autenticação de origem de dados entre ipsec peer.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Firewall do PIX seguro Cisco 515E com 6.x e 3.0 da versão de PDM

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

redundant-firewalls-pdm-10.gif

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

A negociação de IPSec pode ser dividida em cinco etapas, e inclui duas fases de intercâmbio de chave de Internet (IKE).

Um túnel de IPsec é iniciado pelo tráfego interessante. O tráfego está considerado interessante quando viaja entre os ipsec peer.

Na fase 1 IKE, os ipsec peer negociam a política estabelecida da associação de segurança IKE (SA). Quando os correspondentes forem autenticados, um túnel seguro é criado, com uso da associação de segurança da Internet e protocolo de gerenciamento chave (ISAKMP).

Na fase 2 IKE, os ipsec peer usam o túnel seguro e autenticado para negociar IPsec SA transformam. A negociação da política compartilhada determina como o túnel de IPsec é estabelecido.

O túnel de IPsec é criado e os dados são transferidos entre os ipsec peer baseados nos parâmetros IPSec configurados no IPsec transformam grupos.

O túnel de IPsec termina quando o sas de IPSec é suprimido ou quando sua vida expira.

Nota: A negociação de IPSec entre as duas PIXes falha se os SA em ambas as fases IKE não combinam nos pares.

Configuração

Este procedimento guia-o com a configuração de um dos Firewall PIX para provocar o túnel quando o tráfego interessante existe. Esta configuração igualmente ajuda-o a estabelecer o túnel através do link de backup com o roteador2 (R2), quando não há nenhuma Conectividade entre o PIX-01 e o PIX-02 com o roteador1 (r1). Este documento mostra a configuração do PIX-01 usando o PDM. Você pode configurar o PIX-02 em linhas similares.

Este documento supõe que você tem configurado já o roteamento.

Para que somente um link esteja acima em um momento, faça o R2 anunciar uma métrica mais ruim para a rede de 192.168.1.0 assim como para a rede de 172.30.0.0. Por exemplo, se você usa o RASGO para o roteamento, o R2 tem esta configuração independentemente de outros anúncios de rede:

R2(config)#router rip
R2(config-router)#offset-list 1 out 2 s1 
R2(config-router)#offset-list 2 out 2 e0
R2(config-router)#exit 
R2(config)#access-list 1 permit 172.30.0.0 0.0.255.255
R2(config)#access-list 2 permit 192.168.1.0 0.0.0.255

Procedimento de configuração

Quando você datilografar o <Inside_IP_Address_on_PIX> de https:// a fim lançar o PDM e clicar pela primeira vez a aba VPN, informação sobre os indicadores automáticos do wizard VPN.

redundant-firewalls-pdm-1.gif

  1. Selecione assistentes > wizard VPN.

    redundant-firewalls-pdm-2.gif

  2. Os começos do wizard VPN e alertam-no para o tipo de VPN que você quer configurar. Escolha o VPN de Site-para-Site, selecione a interface externa como a relação em que o VPN será permitido, e o clique em seguida.

    redundant-firewalls-pdm-3.gif

  3. Incorpore o endereço IP do peer, onde o túnel de IPsec deve terminar. Neste exemplo, o túnel termina na interface externa do PIX-02. Clique em Next.

    redundant-firewalls-pdm-4.gif

  4. Incorpore os parâmetros da política de IKE que você escolhe se usar em seguida e clicar.

    redundant-firewalls-pdm-5.gif

  5. Forneça a criptografia e os parâmetros de autenticação para a transformação ajustada e clique-os em seguida.

    redundant-firewalls-pdm-6.gif

  6. Selecione a rede local e as redes remotas que você precisa de proteger usando o IPsec a fim selecionar o tráfego interessante que você precisa de proteger.

    redundant-firewalls-pdm-7.gif

    redundant-firewalls-pdm-8.gif

Verificar

Se há um tráfego interessante ao par, o túnel está estabelecido entre o PIX-01 e o PIX-02.

A fim verificar isto, feche a interface serial do r1 para que o túnel está estabelecido entre o PIX-01 e o PIX-02 através do R2 quando o tráfego interessante existe.

Veja o status VPN sob a HOME no PDM (destacado no vermelho) a fim verificar a formação do túnel.

redundant-firewalls-pdm-9.gif

Você pode igualmente verificar a formação de túneis usando o CLI sob ferramentas no PDM. Emita o comando show crypto isakmp sa verificar a formação de túneis e emitir o comando show crypto ipsec sa observar o número de pacotes encapsulados, cifrado, e assim por diante.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Refira o 3.0 do Cisco PIX Device Manager para obter mais informações sobre da configuração do PIX Firewall usando o PDM.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 66166