Segurança : Dispositivos de segurança Cisco PIX 500 Series

Cliente da ferragem VPN em uma ferramenta de segurança do 501/506 Series PIX com exemplo de configuração do VPN 3000 concentrator

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece um exemplo de configuração passo a passo para os clientes que querem distribuir os recursos do cliente de hardware do Cisco VPN em uma ferramenta de segurança do 501/506 Series PIX. Esta característica foi introduzida com versão de PIX 6.2 e é usada para criar um túnel de IPsec com um VPN 3000 concentrator, um roteador que executasse o software do � do Cisco IOS, ou um PIX Firewall.

A configuração do cliente da ferragem PIX 501/506 é a mesma para o dispositivo do final do cabeçalho VPN, se é um VPN 3000 concentrator, um roteador que execute o Cisco IOS Software, ou um PIX Firewall. Os dispositivos atrás do cliente da ferragem do PIX Firewall já não precisam de ter os clientes VPN instalados neles a fim comunicar-se firmemente com os dispositivos atrás do dispositivo de fim de cabeçalho. Isto permite a distribuição rápida e diminui o Troubleshooting a fim apoiar usuários remotos VPN.

O cliente da ferragem VPN opera-se no modo de extensão de rede (NEM) ou no modo de cliente. No NEM, o administrador de rede pode alcançar os dispositivos atrás do cliente da ferragem do PIX Firewall VPN para o controle remoto e o Troubleshooting. No modo de cliente, os dispositivos de rede atrás do PIX 501/506 não são acessíveis do final do cabeçalho ou de outros usuários VPN. Este comportamento é o mesmo no VPN 3002 Hardware Client.

Nota:  O PIX 501 e o PIX 506/506E são dispositivos do Easy VPN Remote e do Easy VPN Server. O PIX 515/515E, PIX 525, e PIX 535 atua como servidores de VPN fáceis somente.

Consulte para configurar o Easy VPN Remote PIX 501/506 a um IOS Router no modo da extensão de rede com autenticação extendida para obter mais informações sobre de uma encenação similar onde o roteador do Cisco IOS atue como o Easy VPN Server.

Refira PIX-à-PIX 6.x: Exemplo de configuração fácil VPN (NEM) para obter mais informações sobre de uma encenação similar onde o PIX 506 6.x atue como o Easy VPN Server.

Refira PIX/ASA 7.x VPN fácil com um ASA 5500 como o server e o PIX 506E como o exemplo de configuração do cliente (NEM) para obter mais informações sobre de uma encenação similar onde o PIX/ASA 7.x atue como o Easy VPN Server.

Refira PIX/ASA 7.x VPN fácil com um ASA 5500 como o server e Cisco 871 como o exemplo de configuração do Easy VPN Remote para obter mais informações sobre de uma encenação similar onde o Cisco 871 Router atue como o Easy VPN Remote.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 6.2 ou 6.3 do PIX Firewall

    Nota: A versão 7.x do PIX Firewall não apoia PIX 501/506.

  • Cisco 2600 Router que executa a versão 12.2.7b do Cisco IOS Software

  • Cisco 3620 Router que executa a versão 12.2.7b do Cisco IOS Software

  • Cisco VPN 3000 Concentrator

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Informações de Apoio

Neste exemplo, o PIX 506 é configurado a fim iniciar um túnel VPN com o Cisco VPN 3000 Concentrator no NEM. Permissões NEM de visibilidade e comunicação com aqueles dispositivos atrás do PIX 506. O VPN 3000 concentrator executa a versão 2 do Routing Information Protocol (RIP) a fim aprender e anunciar rotas. O Reverse Route Injection (RRI) é permitido no VPN 3000 concentrator tais que anuncia a rede remota que usa o RASGO, atrás do cliente da ferragem do PIX 506 VPN, a um Cisco 2600 Router enquanto o tráfego é iniciado do Cisco 3620 Router.

O Split Tunneling não é permitido no VPN 3000 concentrator, assim que todos traficam originado do Cisco 3620 Router são cifrados e enviados ao VPN 3000 concentrator, que para a frente este tráfego baseou na informação de roteamento de política. A política é definida (e pode ser alterado baseou em requisitos de segurança dos individuais da empresa) no VPN 3000 concentrator somente e empurrada para o cliente da ferragem do PIX 506 VPN durante a negociação do túnel (exatamente como um cliente VPN em um PC).

O PIX 506 está configurado enquanto um server do protocolo de configuração dinâmica host (DHCP) a fim prestar serviços de manutenção a clientes DHCP nos Ethernet (E1) conecta. O Fa0/1 da relação no Cisco 3620 Router é configurado como um DHCP Client. O Cisco 2621 Router executa a versão RIP 2. Refira o IPsec com o cliente VPN ao exemplo de configuração do VPN 3000 concentrator a fim configurar o VPN 3000 concentrator.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a ferramenta de consulta de comandos (clientes registrados somente) ou mais informação nos comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/22828/pix501506_vpn3k.gif

Nota: Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São os endereços do RFC 1918 que foram usados em um ambiente de laboratório.

Configurações

Este documento utiliza as seguintes configurações:

Cisco 3620 Router
interface FastEthernet0/1
    ip address dhcp  

!--- The DHCP client requests an IP address from the PIX, 
!--- which is configured as a DHCP server.

Cisco 2621 Router
Configuration of 2621 router 
2621#write terminal
! 
hostname 2621 
! 
interface FastEthernet0/1 
ip address 10.10.10.2 255.255.255.0 
ip rip send version 2

!--- Send only RIP version 2. 

ip rip receive version 2

!--- Receive only RIP version 2. 

! 
router rip 
version 2

!--- RIP version 2 enabled.
 
network 10.0.0.0 
no auto-summary 
!

Configuração de PIX

Não é necessário definir um Access Control List (ACL) ou uma conduíte a fim permitir o tráfego porque a conexão é iniciada do PIX 506, um pouco do que o VPN 3000 concentrator ou o cliente VPN atrás do PIX 506. À revelia, o tráfego é permitido do interior à parte externa.

PIX 506
506#write terminal 
Building configuration... 
: Saved 
: 
PIX Version 6.2(0)243 
nameif ethernet0 outside security0 

!--- On PIX 501/506, this is the default configuration. 

nameif ethernet1 inside security100 
enable password 2KFQnbNIdI.2KYOU encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
hostname 506 
fixup protocol ftp 21 
fixup protocol http 80 
fixup protocol h323 h225 1720 
fixup protocol h323 ras 1718-1719 
fixup protocol ils 389 
fixup protocol rsh 514 
fixup protocol rtsp 554 
fixup protocol smtp 25 
fixup protocol sqlnet 1521 
fixup protocol sip 5060 
fixup protocol skinny 2000 
names 
pager lines 24 
logging console debugging 
logging monitor debugging 
logging buffered debugging 
interface ethernet0 auto
interface ethernet1 auto 

!--- You should manually specify speed/duplex if your attached  
!--- devices do not support auto negotiation.

mtu outside 1500 
mtu inside 1500 
ip address outside 172.21.48.22 255.255.255.224 
ip address inside 172.16.1.1 255.255.255.0 
ip audit info action alarm 
ip audit attack action alarm 
pdm history enable 
arp timeout 14400 
route outside 0.0.0.0 0.0.0.0 172.21.48.25 1 
timeout xlate 3:00:00 
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 
0:30:00 sip_med 
ia 0:02:00 
timeout uauth 0:05:00 absolute 
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location 
no snmp-server contact 
snmp-server community public 
no snmp-server enable traps 
floodguard enable 
no sysopt route dnat 
telnet timeout 5 
ssh timeout 5 

dhcpd address 172.16.1.10-172.16.1.20 inside 

!--- This is the pool for the DHCP server to service local requests. 


dhcpd lease 3600 

!--- This is optional. 


dhcpd ping_timeout 750 

!--- This is optional.
 

dhcpd domain cisco.com 

dhcpd enable inside 

!--- You should enable this on the inside interface. 


vpnclient vpngroup beta password ******** 

!--- Group name and password must match, as defined on
!--- the VPN 3000 Concentrator (or on ACS, if you use
!--- ACS with a VPN 3000 Concentrator). 


vpnclient username cisco password ******** 

!--- User Name/Password must match as defined on
!--- the VPN 3000 Concentrator (or on ACS, if you use
!--- ACS with a VPN 3000 Concentrator). 


vpnclient server 172.21.48.25
 

!--- This is the IP address of the headend
!--- VPN 3000 Concentrator. There can be from 1 to 10 secondary
!--- Cisco Easy  VPN Servers (backup VPN headends) configured.
!--- However, check your platform-specific documentation for 
!--- applicable peer limits on your PIX Firewall platform. 


vpnclient mode network-extension-mode 

!--- Using NEM. 


vpnclient enable 

terminal width 80 
Cryptochecksum:f719695f4d56b84be0c944975caf9f12 
: end 
[OK]

Configuração do Cisco VPN 3000 Concentrator

Refira o IPsec com o cliente VPN ao exemplo de configuração e a configurar do VPN 3000 concentrator o cliente ezvpn de Cisco no Cisco IOS com o VPN 3000 concentrator para configurações de amostra.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • As rotas após o Cisco 3620 são configuradas

    3620#show ip route 
    Gateway of last resort is 172.16.1.1 to network 0.0.0.0 
    
    172.16.0.0/24 is subnetted, 1 subnets 
    C  172.16.1.0 is directly connected, FastEthernet0/1 
    S* 0.0.0.0/0 [254/0] via 172.16.1.1
    
    !--- Point default to PIX as received with DHCP. 
    
    
  • Informação do aluguel de DHCP no Cisco 3620

    3620#show dhcp lease
    Temp IP addr: 172.16.1.10 for peer on Interface: FastEthernet0/1 
    Temp sub net mask: 255.255.255.0 
    DHCP Lease server: 172.16.1.1, state: 3 Bound 
    DHCP transaction id: 11CD 
    Lease: 3600 secs, Renewal: 1800 secs, Rebind: 3150 secs 
    Temp default-gateway addr: 172.16.1.1 
    Next timer fires after: 00:14:39 
    Retry count: 0 Client-ID: cisco-0008.215d.7be2-Fa0/1
  • As rotas após o Cisco 2621 são configuradas

    2621#show ip route 
    172.16.0.0/24 is subnetted, 1 subnets 
    R 172.16.1.0 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    
    !--- This is the remote network connected to the 
    !--- private interface of the PIX 506 VPN Hardware Client. 
    !--- As RRI is configured on the VPN 3000 Concentrator, it uses 
    !--- RIP in order to advertise this remote network after it sees 
    !--- traffic from the remote end.
    
    172.21.0.0/27 is subnetted, 1 subnets 
    R 172.21.48.0 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    R 192.168.201.0/24 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    10.0.0.0/24 is subnetted, 1 subnets 
    C 10.10.10.0 is directly connected, FastEthernet0/1

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Saída de exemplo

Este exemplo de saída mostra o estado atual antes que o tráfego esteja iniciado entre o Roteadores de Cisco 3620 e Cisco 2621.

506#show crypto isakmp sa 
Total : 1 
Embryonic : 0 
    dst            src        state   pending   created 
 172.21.48.25  172.21.48.22  QM_IDLE     0         0 


506#show crypto ipsec sa 
interface: outside 
Crypto map tag: _vpnc_cm, local addr. 172.21.48.22 

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) 
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) 

!--- Proxy information exchange is complete as defined on the headend, 
!--- although no interesting traffic has been initiated. In Cisco IOS 
!--- this exchange occurs only when there is interesting traffic. 

current_peer: 172.21.48.25 
PERMIT, flags={origin_is_acl,} 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 
#pkts compressed: 0, #pkts decompressed: 0 
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 
#send errors 0, #recv errors 0 

local crypto endpt.: 172.21.48.22, remote crypto endpt.: 172.21.48.25 
path mtu 1500, ipsec overhead 0, media mtu 1500 
current outbound spi: 0 

!--- Security Parameter Index (SPI) is created thus far. 


inbound esp sas:

!--- No inbound Security Association (SA) is created thus far.



inbound ah sas: 


inbound pcp sas: 


outbound esp sas:

!--- No outbound SA is created thus far.



outbound ah sas: 


outbound pcp sas:

Este exemplo de saída mostra o estado depois que um sibilo é iniciado entre o Roteadores de Cisco 3620 e Cisco 2621.

3620#ping 10.10.10.2 

Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds: 
..!!! 

!--- The initial ping failed because the SAs were created after the PIX 
!--- detected interesting traffic. 

Success rate is 60 percent (3/5), round-trip min/avg/max = 4/4/4 ms 
3620# 

506#show crypto isakmp sa 
Total: 1 
Embryonic: 0 
    dst             src       state  pending  created 
172.21.48.25   172.21.48.22  QM_IDLE    0       1 

506#show crypto ipsec sa 
interface: outside 
Crypto map tag: _vpnc_cm, local addr. 172.21.48.22 

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) 
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) 
current_peer: 172.21.48.25 
PERMIT, flags={origin_is_acl,} 
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3 

!--- This shows the number of packets encrypted.

#pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3 
#pkts compressed: 0, #pkts decompressed: 0 
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 
#send errors 1, #recv errors 0 

local crypto endpt.: 172.21.48.22, remote crypto endpt.: 172.21.48.25 
path mtu 1500, ipsec overhead 56, media mtu 1500 
current outbound spi: 5c5b2a9 

!--- SPI is created now. 


inbound esp sas: 

!--- One inbound SA is created after interesting traffic is detected.

spi: 0x3db858ad(1035491501) 
transform: esp-3des esp-md5-hmac , 
in use settings ={Tunnel, } 
slot: 0, conn id: 2, crypto map: _vpnc_cm 
sa timing: remaining key lifetime (k/sec): (4607999/28499) 
IV size: 8 bytes 
replay detection support: Y 

inbound ah sas: 

!--- Authentication Header (AH) was not an option on the headend. 

 

inbound pcp sas: 

!--- Payload Compression Protocol (PCP) was not an option on the headend.  

 

outbound esp sas:

!--- One outbound SA is created after interesting traffic is detected. 

spi: 0x5c5b2a9(96842409) 
transform: esp-3des esp-md5-hmac , 
in use settings ={Tunnel, } 
slot: 0, conn id: 1, crypto map: _vpnc_cm 
sa timing: remaining key lifetime (k/sec): (4607999/28499) 
IV size: 8 bytes 
replay detection support: Y 


outbound ah sas: 

!--- AH was not an option on the headend. 



outbound pcp sas: 

!--- PCP was not an option on the headend.

Informação de registro no Cisco VPN 3000 Concentrator

54 04/02/2002 15:14:45.560 SEV=4 IKE/52 RPT=19 172.21.48.22 
Group [beta] User [cisco] 
User (cisco) authenticated. 
!--- Group/User authentication is successful.


55 04/02/2002 15:14:46.630 SEV=4 AUTH/22 RPT=2 
User cisco connected 

56 04/02/2002 15:14:46.630 SEV=4 IKE/119 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
PHASE 1 COMPLETED 

!--- Phase I is successful. 


57 04/02/2002 15:14:46.630 SEV=5 IKE/35 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Received remote IP Proxy Subnet data in ID Payload: 

!--- Proxy info exchange.
 
Address 172.16.1.0, Mask 255.255.255.0, Protocol 0, Port 0 

60 04/02/2002 15:14:46.630 SEV=5 IKE/34 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Received local IP Proxy Subnet data in ID Payload: 

!--- Proxy info exchange.
 
Address 0.0.0.0, Mask 0.0.0.0, Protocol 0, Port 0 

63 04/02/2002 15:14:46.630 SEV=5 IKE/66 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
IKE Remote Peer configured for SA: ESP-3DES-MD5: 

!--- Transform set being used.
 

64 04/02/2002 15:14:46.640 SEV=4 IKE/49 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Security negotiation complete for User (cisco) 
Responder, Inbound SPI = 0x05c5b2a9, Outbound SPI = 0x3db858ad 

!--- Both inbound and outbound SPIs are created. These numbers will be the 
!--- same, but swapped, on the other end.


67 04/02/2002 15:14:46.640 SEV=4 IKE/120 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
PHASE 2 COMPLETED (msgid=017e9e02) 

!--- Phase II is successful.

Cancele sessões de VPN e remova os comandos do cliente VPN

Cancele a sessão de VPN

O não vpnclient conectam e os comandos disconnect vpnclient desligam sessões de VPN atuais, mas não impedem a iniciação de túneis novos VPN.

Nota: Nenhum comando vpnclient enable fecha todos os túneis estabelecidos VPN e impede a iniciação de túneis novos VPN até que você inscreva um comando vpnclient enable.

Remova os comandos do cliente VPN

O comando vpnclient claro cancela a configuração e a política de segurança do Easy VPN Remote armazenadas na memória Flash.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 22828