IP : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x e mais tarde: Exemplo de configuração do filtro VPN (porta específica ou protocolo da licença) para o L2L e o Acesso remoto

29 Julho 2013 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (17 Julho 2008) | Inglês (21 Fevereiro 2011) | Feedback


Índice


Introdução

Este documento descreve o procedimento para usar Cisco ASA para configurar o filtro VPN no L2L e o Acesso remoto com Cisco VPN Client.

Os filtros consistem nas regras que determinam se permitir ou rejeitar os pacotes de dados em túnel que vêm através da ferramenta de segurança, com base em critérios tais como o endereço de origem, o endereço de destino, e o protocolo. Você configura ACL aos vários tipos de tráfego do permit or deny para esta política do grupo. Você pode igualmente configurar este atributo no modo username, neste caso, o valor configurado sob o username substitui o valor da grupo-política.

Nota: Para que as mudanças de configuração de túnel tomem o efeito, você deve terminar o túnel VPN e restabelecer o túnel.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Software adaptável da ferramenta de segurança do Cisco 5500 Series (ASA) que executa a versão 8.2(1)

  • Versão 6.3(5) do Cisco Adaptive Security Device Manager

  • Versão Cliente VPN Cisco 4.x e mais tarde

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com a ferramenta de segurança da série do Cisco PIX 500 que executa a versão 7.x e mais recente.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O comando sysopt connection permit-ipsec permite todo o tráfego que entra na ferramenta de segurança através de um túnel VPN para contornear Listas de acesso da relação. A política do grupo e por usuário Listas de acesso da autorização ainda aplica-se ao tráfego. Em PIX/ASA 7,1 e mais atrasado, o comando sysopt connection permit-ipsec é mudado à conexão licença-VPN do sysopt. O vpn-filtro está aplicado ao tráfego cargo-decifrado depois que retira um túnel e um tráfego PRE-cifrado antes que entre em um túnel.

Um ACL que seja usado para um VPN-filtro não deve igualmente ser usado para um acesso-grupo da relação. Quando um VPN-filtro é aplicado a um modo da grupo-política/nome de usuário que governe conexões do cliente VPN de acesso remoto, o ACL deve ser configurado com os endereços IP atribuídos do cliente na posição do src_ip do ACL e a rede local na posição do dest_ip do ACL. Quando um VPN-filtro é aplicado a uma grupo-política que governe uma conexão de VPN L2L, o ACL deve ser configurado com a rede remota na posição do src_ip do ACL e a rede local na posição do dest_ip do ACL.

access-list <acl-no> <permit/deny> ip <remote network> <local network>

Exercite o cuidado quando você constrói os ACL para o uso com a característica do VPN-filtro. Os ACL são construídos com o tráfego cargo-decifrado (tráfego de entrada VPN) na mente. Contudo, são aplicados igualmente ao tráfego originado na direção oposta.

Nota: No fim de cada ACL, há uma regra implícita, não-escrito que negue todo o tráfego que não é permitido. Se o tráfego não é permitido explicitamente por uma entrada de controle de acesso (ACE), nega-se. Os ACE são referidos como regras neste assunto. Nesta encenação, refira a lista de acessos 103 configurada na configuração de filtro L2L VPN.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama da rede L2L

Este documento usa esta instalação de rede para o filtro L2L VPN:

/image/gif/paws/99103/pix-asa-vpn-filter-1.gif

Configuração de filtro L2L VPN

Este documento utiliza as seguintes configurações:

CiscoASA
CiscoASA# show running-config 

!

!--- Output suppressed

access-list 103 extended deny tcp host 172.16.1.2 host 172.22.1.2 eq 80

!--- Access list 103 is created for the VPN Filter. 
!--- This access list 103 filters/denies the request from the remote host(172.16.1.2)  
!--- to the local WEB Server (172.22.1.2).

access-list 103 extended permit ip any any

!

!--- Output suppressed

group-policy filter internal
group-policy filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list 
!--- number in the vpn filter command.


!

!--- Output suppressed

tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

!
!

!--- Output suppressed

Configuração de filtro L2L VPN com o ASDM

Termine estas etapas a fim configurar um filtro L2L VPN através do Cisco Adaptive Security Device Manager (ASDM):

  1. Adicionar uma lista de acessos:

    1. No ASDM, escolha a configuração > o Firewall > avançou > gerente ACL.

      L2L-VPN-Filter-1.gif
    2. O clique adiciona, e escolhe adiciona o ACL.

      A caixa de diálogo adicionar ACL aparece.

      L2L-VPN-Filter-2.gif
    3. Incorpore 103 ao campo de nome ACL, e clique a APROVAÇÃO.

      O ACL novo aparece na lista ACL.

  2. Adicionar um ACE:

    1. Clicar com o botão direito o ACL novo, e escolha-o adicionam o ACE.

      /image/gif/paws/99103/L2L-VPN-Filter-3.gif

      A caixa de diálogo adicionar ACE aparece.

      L2L-VPN-Filter-4.gif
    2. Clique o botão Option Button da negação, incorpore o endereço IP de origem e o endereço IP de destino, e clique então o botão Browse () localizado ao lado do campo do serviço.

      A caixa de diálogo do serviço da consultação aparece.

      /image/gif/paws/99103/L2L-VPN-Filter-5.gif
    3. Escolha a porta TCP 80, e clique a APROVAÇÃO para retornar à caixa de diálogo da edição ACE.

      /image/gif/paws/99103/L2L-VPN-Filter-6.gif
    4. Clique em OK.

      A entrada nova ACE aparece na lista ACL.

    5. Clicar com o botão direito a entrada nova ACE, e escolha a inserção em seguida.

      /image/gif/paws/99103/L2L-VPN-Filter-7.gif

      A inserção após a caixa de diálogo ACE aparece.

      /image/gif/paws/99103/L2L-VPN-Filter-8.gif
    6. Adicionar um ACE que permita algum-à-algum tráfego:

      1. Clique a opção da licença.

      2. Escolha alguns na fonte e nos campos de destino, e escolha o IP no campo do serviço.

      3. Clique em OK.

      Nota: Adicionar um ACE que permita algum-à-algum tráfego impede o implícito nega a regra na extremidade da lista de acessos.

      Esta imagem mostra a lista de acessos 103 com as duas entradas de controle de acesso:

      /image/gif/paws/99103/L2L-VPN-Filter-9.gif
  3. Configurar a política do grupo:

    1. No ASDM, escolha políticas da configuração > do VPN de Site-para-Site > do grupo a fim configurar a política do grupo.

      /image/gif/paws/99103/L2L-VPN-Filter-10.gif
    2. Clique adicionam, e escolhem a Política interna de grupo.

      A caixa de diálogo da Política interna de grupo adicionar aparece.

      /image/gif/paws/99103/L2L-VPN-Filter-13.gif
    3. Dê entrada com um nome para a política do grupo no campo de nome, e escolha 103 da lista de drop-down do filtro.

      Dica: Você pode igualmente usar o botão Manage Button posicionado ao lado da lista de drop-down do filtro a fim selecionar o filtro.

    4. Clique em OK.

  4. Adicionar a política interna do grupo ao grupo de túneis de site para site.

    1. No ASDM, escolha a configuração > o VPN de Site-para-Site > os perfis de conexão.

    2. Escolha o grupo de túneis exigido, e clique o botão Edit a fim alterar os parâmetros do grupo de túneis.

      /image/gif/paws/99103/L2L-VPN-Filter-16.gif
    3. Escolha o VPN-filtro da lista de drop-down da política do grupo.

      Dica: Você pode igualmente usar o botão Manage Button posicionado ao lado da lista de drop-down da política do grupo a fim selecionar o filtro.

Configuração de filtro bidirecional VPN

O filtro VPN funciona bidirecional com um único ACL. O host remoto/rede é definido sempre no início do ACE, apesar do sentido do ACE (de entrada ou de partida).

Esta configuração é descrita nesta configuração de exemplo.

Porque o ACL é stateful, se o tráfego é permitido em um sentido, a seguir o tráfego de retorno para esse fluxo está permitido automaticamente.

Nota: Se as portas TCP/UDP não são usadas com a lista de acessos, os ambos os lados podem alcançar-se. Por exemplo:

access-list 103 permit ip 172.16.1.2 host 172.22.1.1 

Nota: Este ACL permite que o tráfego seja originado de 172.16.1.2 a 172.22.1.1 e igualmente de 172.22.1.1 a 172.16.1.2, porque o ACL é aplicado bidirecional.

CiscoASA
CiscoASA# show running-config 


!
!--- Output suppressed



!--- This access list allows the traffic for the remote network 172.16.1.0 
!--- to the local web server on port 80. 


access-list 105 extended permit tcp 172.16.1.0 255.255.255.0 host 172.22.1.1 eq www


!--- This access list allows the traffic in the reverse direction,
!--- from 172.22.1.0 to 172.16.1.3 (ftp server). The remote host/network 
!--- is always defined as the first entry in 
!--- the ACE regardless of the direction.


access-list 105 extended permit tcp host 172.16.1.3 eq ftp 172.22.1.0 255.255.255.0


!--- Implicit deny. 
!--- Denies all other traffic other than permitted traffic.


!
!--- Output suppressed

group-policy filter internal
group-policy filter attributes
 vpn-filter value 105

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn filter command.


!
!--- Output suppressed

tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

!
!--- Output suppressed

Configuração de filtro bidirecional VPN com o ASDM

Termine estas etapas a fim configurar um filtro bidirecional VPN com o ASDM:

  1. Adicionar uma lista de acessos:

    1. No ASDM, escolha a configuração > o Firewall > avançou > gerente ACL.

      L2L-VPN-Filter-1.gif
    2. O clique adiciona, e escolhe adiciona o ACL.

    3. Incorpore 105 ao campo de nome ACL, e clique a APROVAÇÃO.

      O ACL novo aparece na lista ACL.

  2. Adicionar um ACE:

    1. Na lista ACL, clicar com o botão direito a entrada 105, e escolha-a adicionam o ACE.

      L2L-VPN-Filter-Bidirectional-1.gif

      A caixa de diálogo adicionar ACE aparece.

      L2L-VPN-Filter-Bidirectional-4.gif
    2. Clique o botão Option Button da licença.

    3. Incorpore a rede de 172.16.1.0 ao campo de fonte, e inscreva 172.22.1.1 no campo de destino.

    4. Clique o botão Browse do serviço (), e escolha o tcp/HTTP.

    5. Clique em OK.

    6. Na lista ACL, clicar com o botão direito a entrada nova ACE, e escolha a inserção após o ACE.

      A inserção após a caixa de diálogo ACE aparece.

      L2L-VPN-Filter-Bidirectional-7.gif
    7. Clique a opção da licença.

    8. Inscreva 172.16.1.3 no campo de fonte, e escolha 172.22.1.0/24 para o destino.

    9. Em mais área das opções, clique a caixa de verificação da regra da possibilidade, e clique então o botão Browse () localizado ao lado do campo do serviço da fonte.

    10. A caixa de diálogo do serviço da fonte da consultação aparece.

      L2L-VPN-Filter-Bidirectional-8.gif
    11. Selecione o ftp, e clique a APROVAÇÃO para retornar à inserção após a caixa de diálogo ACE.

      L2L-VPN-Filter-Bidirectional-9.gif
  3. Adicionar uma política interna do grupo:

    1. No ASDM, escolha políticas da configuração > do VPN de Site-para-Site > do grupo a fim configurar a política do grupo.

      /image/gif/paws/99103/L2L-VPN-Filter-10.gif
    2. Clique adicionam, e escolhem a Política interna de grupo.

      A caixa de diálogo da Política interna de grupo adicionar aparece.

      L2L-VPN-Filter-Bidirectional-11.gif
    3. Dê entrada com um nome para a política do grupo no campo de nome, e escolha 105 da lista de drop-down do filtro.

      Dica: Você pode igualmente usar o botão Manage Button posicionado ao lado da lista de drop-down do filtro a fim selecionar o filtro.

    4. Clique em OK.

  4. Adicionar a política interna do grupo ao grupo de túneis de site para site:

    1. No ASDM, escolha a configuração > o VPN de Site-para-Site > os perfis de conexão.

    2. Escolha o grupo de túneis exigido, e clique o botão Edit a fim alterar os parâmetros do grupo de túneis.

      /image/gif/paws/99103/L2L-VPN-Filter-16.gif
    3. Escolha o VPN-filtro da lista de drop-down da política do grupo.

      Dica: Você pode igualmente usar o botão Manage Button posicionado ao lado da lista de drop-down da política do grupo a fim selecionar o filtro.

Diagrama de rede de acesso remota

Este documento usa esta instalação de rede para o filtro do acesso remoto VPN:

/image/gif/paws/99103/pix-asa-vpn-filter-2.gif

Configuração de filtro do acesso remoto VPN

Este documento utiliza esta configuração:

CiscoASA
CiscoASA# show running-config 


!
!--- Output suppressed

ip local pool vpnclient 10.16.20.1-10.16.20.5

!--- Create a pool of addresses from which IP addresses are assigned 
!--- dynamically to the remote VPN Clients.


access-list 103 extended permit udp 10.16.20.0 255.0.0.0 host 172.16.1.1 eq 53

!--- Access list 103 is created for the VPN Filter for the group policy(filter).
 
!--- Access list 103 allows the access for the DNS Server(172.16.1.1)



!--- Implicit deny. Denies all traffic other than permitted traffic.


access-list 104 extended permit ip 10.16.20.0 255.0.0.0 172.16.1.0 255.255.255.0

!--- Access list 104 is created for the VPN Filter for the user(vpn3000). 

!--- This access list 103 allows the access for the network 172.16.1.0/24



!--- Implicit deny. Denies all traffic other than permitted traffic.



!
!--- Output suppressed

username vpn3000 password xaI3t+nY5wjYQ2thSKJfoQ== nt-encrypted

!--- In order to identify remote access users to the Security
!---  Appliance, you can also configure usernames and passwords 
!--- on the device in addition to the use of AAA. 


username vpn3000 attributes
 vpn-filter value 104

!--- Apply the VPN Filter ACL 104 in the username mode. 
!--- This filter is applicable to a particular user (vpn3000) only. 
!--- The username mode VPN Filter (acl 104) overrides
!--- the vpn filter policy (acl 103)applied in the group 
!--- policy(filter) mode for this user(vpn3000) alone.


!
!--- Output suppressed

group-policy vpn-filter internal
group-policy vpn-filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn-filter command.


!
!--- Output suppressed

tunnel-group vpn3000 general-attributes
 default-group-policy vpn-filter

!--- Associate the group policy (filter) with the tunnel group(vpn3000).

Nota: Determinadas alterações de configuração tomam o efeito somente durante a negociação de SA subseqüentes. Se você quer os ajustes novos tomar imediatamente o efeito, cancele os SA existentes a fim restabelecê-los com a configuração alterada. Se a ferramenta de segurança está processando ativamente o tráfego de IPSec, é desejável cancelar somente a parcela da base de dados SA que as alterações de configuração afetariam. Reserve o cancelamento da base de dados completa SA para mudanças em grande escala, ou quando a ferramenta de segurança processar uma quantidade pequena de tráfego de IPSec.

Nota: Você pode usar estes comandos dados a fim cancelar e re-inicializar os SA.

  • cancele IPsec sa — Remove todo o sas de IPSec da ferramenta de segurança.

  • cancele o ipsec peer 10.1.1.1 — Sas de IPSec das supressões com um endereço IP do peer de 10.1.1.1.

  • cancele isakmp sa — Remove toda a base de dados tempo de execução SA IKE.

Configuração de filtro do acesso remoto VPN com o ASDM

Termine estas etapas a fim configurar um filtro do acesso remoto VPN com o ASDM:

  1. Crie um conjunto de endereços:

    1. No ASDM, escolha a configuração > o acesso remoto VPN > o acesso > a atribuição de endereço > os conjuntos de endereços da rede (cliente).

      Remote-Access-VPN-Filter-1.gif
    2. Clique em Add.

      A caixa de diálogo do IP pool adicionar aparece.

      Remote-Access-VPN-Filter-2.gif
    3. Dê entrada com um nome para o IP pool. Este exemplo usa vpnclient.

    4. Incorpore os endereços IP de Um ou Mais Servidores Cisco ICM NT começando e de término, e escolha então a máscara de sub-rede.

    5. Clique em OK.

  2. Adicionar uma lista de acessos para permitir o acesso ao servidor de domínio:

    1. No ASDM, escolha a configuração > o Firewall > avançou > gerente ACL.

      L2L-VPN-Filter-1.gif
    2. O clique adiciona, e escolhe adiciona o ACL.

      A caixa de diálogo adicionar ACL aparece.

      Remote-Access-VPN-Filter-3.gif
    3. Incorpore 103 ao campo de nome ACL, e clique a APROVAÇÃO.

  3. Adicionar um ACE:

    1. Na lista ACL, clicar com o botão direito a entrada 103, e escolha-a adicionam o ACE.

      A caixa de diálogo adicionar ACE aparece.

      Remote-Access-VPN-Filter-7.gif
    2. Clique o botão Option Button da licença.

    3. Incorpore a rede 10.16.20.0/24 ao campo de fonte, e inscreva 172.16.1.1 no campo de destino.

    4. Clique o botão Browse () localizado ao lado do campo do serviço.

      A caixa de diálogo do serviço da consultação aparece.

      Remote-Access-VPN-Filter-8.gif
    5. Selecione o protocolo UDP nomeado domínio, e clique a APROVAÇÃO para retornar à caixa de diálogo adicionar ACE.

      Remote-Access-VPN-Filter-9.gif
    6. Clique em OK.

  4. Adicionar um novo usuário:

    1. No ASDM, escolha a configuração > o acesso remoto VPN > os usuários > os usuários locais AAA/Local.

      Remote-Access-VPN-Filter-12.gif
    2. Clique no botão Adicionar.

      A caixa de diálogo da conta de usuário adicionar aparece.

      Remote-Access-VPN-Filter-13.gif
    3. Incorpore um nome de usuário e uma senha. Este exemplo usa o VPN3000 como o nome de usuário.

    4. Clique em OK.

  5. Crie uma lista de acessos para restringir o acesso para o usuário do VPN3000:

    1. No ASDM, escolha a configuração > o Firewall > avançou > gerente ACL.

      L2L-VPN-Filter-1.gif
    2. O clique adiciona, e escolhe adiciona o ACL.

      A caixa de diálogo adicionar ACL aparece.

      Remote-Access-VPN-Filter-10.gif
  6. Adicionar um ACE:

    1. Na lista ACL, clicar com o botão direito a entrada 104, e escolha-a adicionam o ACE.

      A caixa de diálogo adicionar ACE aparece.

      Remote-Access-VPN-Filter-11.gif
    2. Clique o botão Option Button da licença.

    3. Incorpore a rede 10.16.20.0/24 ao campo de fonte, e incorpore 172.16.1.0/24 ao campo de destino.

    4. Clique em OK.

  7. Adicionar a lista de acessos 104 como uma regra de filtragem para o usuário do VPN3000:

    1. No ASDM, escolha a configuração > o acesso remoto VPN > os usuários > os usuários locais AAA/Local.

    2. Escolha o usuário do VPN3000, e o clique edita.

      A caixa de diálogo da conta de usuário da edição aparece.

      Remote-Access-VPN-Filter-14.gif
    3. Escolha 104 da lista de drop-down do filtro do IPv4, e clique a APROVAÇÃO.

  8. Adicionar a lista de acessos 103 à política do grupo do VPN-filtro:

    1. No ASDM, escolha a configuração > o acesso remoto VPN > do acesso > do grupo da rede (cliente) políticas, e clique-os então adicionam.

      A caixa de diálogo da Política interna de grupo adicionar aparece.

      Remote-Access-VPN-Filter-15.gif
    2. Inscreva o VPN-filtro no campo de nome, e escolha 103 da lista de drop-down do filtro do IPv4.

    3. Clique em OK.

  9. Adicionar a política do grupo do VPN-filtro como o valor padrão para o perfil de conexão do VPN3000:

    1. No ASDM, escolha a configuração > o acesso remoto VPN > do acesso > da conexão IPSec da rede (cliente) perfis, selecionam o grupo de túneis exigido, e o clique edita.

      Remote-Access-VPN-Filter-17.gif
    2. Escolha o VPN-filtro da lista de drop-down da política do grupo, e clique a APROVAÇÃO.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 99103