Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 7.X : Adicionar um Novo Túnel ou Acesso Remoto a Uma VPN L2L Existente

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (6 Março 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
      Diagrama de Rede
Informações de Apoio
Adição de um Túnel L2L Extra à Configuração
      Instruções Passo a Passo
      Exemplo de Configuração
Adição de Uma VPN de Acesso Remoto à Configuração
      Instruções Passo a Passo
      Exemplo de Configuração
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta os passos necessários para adicionar um novo túnel VPN ou VPN de acesso remoto à uma configuração de VPN L2L existente. Consulte Cisco ASA 5500 Series Adaptive Security Appliances - Exemplos de Configuração e Notas Técnicas para obter informações sobre como criar os túneis VPN IPSec iniciais e para obter mais exemplos de configuração.

Pré-requisitos

Requisitos

Certifique-se de configurar corretamente o túnel VPN IPSec L2L em operação no momento antes de tentar esta configuração.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Dois ASA Security Appliances com código 7.x.

  • Um PIX Security Appliance com código 7.x.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

addnetworkvpn1.gif

Esta saída é a configuração em execução atual do Security Appliance de NY (HUB). Nessa configuração, há um túnel L2L IPSec configurado entre NY (EC) e TN.

Configuração atual do firewall de NY (EC)

ASA-NY-HQ#show running-config

: Saved
:
ASA Version 7.2(2)
!
hostname ASA-NY-HQ
domain-name corp2.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.11.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp2.com
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0
10.10.10.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 172.16.1.0 255.255.255.0
10.10.10.0 255.255.255.0


!--- Saída suprimida.


nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.16.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.11.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 192.168.10.10
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *
telnet timeout 1440
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a3aa2afb37dcad447031b7b0c8ea65d3
: end
ASA-NY-HQ#

Informações de Apoio

No momento, há um túnel L2L configurado entre o escritório de NY (EC) e o escritório do TN. A sua empresa recentemente abriu um novo escritório no TX. Esse novo escritório necessita de conectividade com os recursos locais dos escritórios de NY e TN. Além disso, há outros requisitos para oferecer aos funcionários a oportunidade de trabalharem de casa e acessarem remotamente com segurança recursos localizados na rede interna. Neste exemplo, um novo túnel VPN é configurado, bem como um servidor VPN de acesso remoto localizado no escritório de NY.

Ainda no exemplo, dois comandos são usados para permitir a comunicação entre as redes VPN e identificar o tráfego que deve ser encapsulado ou criptografado. Isso permite acessar a Internet sem que seja necessário enviar o tráfego por meio do túnel VPN. Para configurar essas duas opções, execute os comandos split-tunnel e same-security-traffic.

A separação dos túneis permite que um cliente IPSec de acesso remoto direcione condicionalmente os pacotes para um túnel IPSec de forma criptografada ou para uma interface de rede sem criptografia. Com a separação dos túneis habilitada, os pacotes não vinculados a destinos no outro lado do túnel IPSec não precisam ser criptografados, enviados pelo túnel, descriptografados e roteados para um destino final. Este comando aplica esta política de separação de túneis para uma rede especificada. O padrão é encapsular todo o tráfego. Para definir uma política de separação de túneis, execute o comando split-tunnel-policy no modo de configuração da política de grupo. Para remover a política de separação de túneis da configuração, execute a forma no desse comando.

O Security Appliance inclui um recurso que permite que um cliente VPN envie tráfego protegido por IPSec para outros usuários da VPN ao permitir a entrada e saída desse tráfego da mesma interface. Também chamado de hairpinning, este recurso pode ser compreendido como pontos de VPN (clientes) que se conectam por meio de um hub de VPN (Security Appliance). Em outro aplicativo, este recurso pode redirecionar o tráfego de VPN recebido de volta pela mesma interface que o tráfego não criptografado. Isso é útil, por exemplo, para um cliente VPN que não possui separação de túneis e precisa acessar uma VPN e navegar na Web. Para configurar esse recurso, execute o comando same-security-traffic intra-interface no modo de configuração global.

Adição de um Túnel L2L Extra à Configuração

Este é o diagrama de rede para esta configuração:

addnetworkvpn2.gif

Instruções Passo a Passo

Esta seção apresenta os procedimentos necessários que devem ser executados no Security Appliance HUB (firewall de NY). Consulte o PIX/ASA 7.x: Exemplo de Configuração de Túnel VPN PIX a PIX Simples para obter mais informações sobre como configurar o cliente pontual (firewall do TX).

Execute estes passos:

  1. Crie estas duas novas lista de acesso que serão usadas no mapa de criptografia para definir o tráfego de interesse:

    • ASA-NY-HQ(config)#access-list outside_30_cryptomap
      			 extended permit ip 172.16.1.0 255.255.255.0
          20.20.20.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list outside_30_cryptomap
      			 extended permit ip 10.10.10.0 255.255.255.0
          20.20.20.0 255.255.255.0

    aviso Aviso: Para que a comunicação seja estabelecida, o outro lado do túnel deverá possuir o oposto desta entrada de lista de controle de acesso (ACL) para aquela rede específica.

  2. Adicione estas entradas à instrução no nat para não aplicar o NAT entre essas redes:

    • ASA-NY-HQ(config)#access-list inside_nat0_outbound
      			 extended permit ip 172.16.1.0 255.255.255.0
          20.20.20.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list inside_nat0_outbound
      			 extended permit ip 10.10.10.0 255.255.255.0
          20.20.20.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list inside_nat0_outbound
      			 extended permit ip 20.20.20.0 255.255.255.0
          10.10.10.0 255.255.255.0

    aviso Aviso: Para que a comunicação seja estabelecida, o outro lado do túnel deverá possuir o oposto desta entrada de ACL para aquela rede específica.

  3. Execute este comando para permitir que um host na rede VPN do TX tenha acesso ao túnel VPN do TN:

    • ASA-NY-HQ(config)#same-security-traffic permit
      			 intra-interface

    Isso permite que os peers VPN se comuniquem diretamente uns com os outros.

  4. Crie a configuração de mapa de criptografia para o novo túnel VPN. Use o mesmo conjunto de transformação que foi usado na configuração da primeira VPN, já que todas as configurações da fase 2 são as mesmas.

    • ASA-NY-HQ(config)#crypto map outside_map 30 match
      			 address outside_30_cryptomap
    • ASA-NY-HQ(config)#crypto map outside_map 30 set
      			 peer 192.168.12.2
    • ASA-NY-HQ(config)#crypto map outside_map 30 set
      			 transform-set
      			 ESP-3DES-SHA
  5. Crie o grupo de túnel especificado para este túnel juntamente com os atributos necessários para a conexão com o host remoto.

    • ASA-NY-HQ(config)#tunnel-group 192.168.12.2 type
      			 ipsec-l2l
    • ASA-NY-HQ(config)#tunnel-group 192.168.12.2
      			 ipsec-attributes
      • ASA-NY-HQ(config-tunnel-ipsec)#pre-shared-key
        				cisco123

        Nota: A chave compartilhada deverá ser idêntica nos dois lados do túnel.

  6. Agora que configurou o novo túnel, você deverá enviar o tráfego de interesse pelo túnel para ativá-lo. Para fazer isso, execute o comando source ping para enviar um ping para um host na rede interna do túnel remoto.

    Neste exemplo, o ping é enviado para uma estação de trabalho com endereço 20.20.20.16 no outro lado do túnel. Isso ativa o túnel entre NY e TX. Agora há dois túneis conectados ao escritório central. Se você não tiver acesso a um sistema do outro lado do túnel, consulte Soluções de Troubleshooting de VPN IPSec Mais Comuns para encontrar uma solução alternativa para o uso de management-access.

Exemplo de Configuração

Exemplo de Configuração 1

ASA-NY-HQ#show running-config

 : Saved
:
ASA Version 7.2(2)
!
hostname ASA-NY-HQ
domain-name corp2.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.11.1 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp2.com
same-security-traffic permit intra-interface
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_20_cryptomap extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_20_cryptomap extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_30_cryptomap extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list outside_30_cryptomap extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0
255.255.255.0
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu man 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.16.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.11.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username sidney password 3xsopMX9gN5Wnf1W encrypted privilege 15
aaa authentication telnet console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 192.168.10.10
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 30 match address outside_30_cryptomap
crypto map outside_map 30 set peer 192.168.12.2
crypto map outside_map 30 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *
tunnel-group 192.168.12.2 type ipsec-l2l
tunnel-group 192.168.12.2 ipsec-attributes
 pre-shared-key *
telnet timeout 1440
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:5a184c8e5e6aa30d4108a55ac0ead3ae
: end
ASA-NY-HQ#

Adição de Uma VPN de Acesso Remoto à Configuração

Este é o diagrama de rede para esta configuração:

addnetworkvpn3.gif

Instruções Passo a Passo

Esta seção apresenta os procedimentos necessários para adicionar recursos de acesso remoto e permitir que usuários remotos acessem todos os sites. Consulte PIX/ASA 7.x ASDM: Restringir o Acesso de Rede dos Usuários da VPN de Acesso Remoto para obter mais informações sobre como configurar o servidor de acesso remoto e restringir o acesso.

Execute estes passos:

  1. Crie um pool de endereços IP para ser usado pelos clientes que se conectarem via túnel VPN. Crie também um usuário básico para acessar a VPN assim que a configuração for concluída.

    • ASA-NY-HQ(config)#ip local pool Hill-V-IP
      			 10.10.120.10-10.10.120.100 mask 255.255.255.0
    • ASA-NY-HQ(config)#username cisco password
      			 cisco111
  2. Exclua o tráfego específico do NAT.

    • ASA-NY-HQ(config)#access-list
      			 inside_nat0_outbound extended permit ip 172.16.1.0
          255.255.255.0 10.10.120.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list
      			 inside_nat0_outbound extended permit ip 10.10.120.0
          255.255.255.0 10.10.10.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list
      			 inside_nat0_outbound extended permit ip 10.10.120.0
          255.255.255.0 20.20.20.0 255.255.255.0

    Observe que a comunicação entre os túneis VPN é excluída neste exemplo.

  3. Permita a comunicação entre os túneis L2L que já foram criados.

    • ASA-NY-HQ(config)#access-list
      			 outside_20_cryptomap extended permit ip 10.10.120.0
          255.255.255.0 10.10.10.0 255.255.255.0
    • ASA-NY-HQ(config)#access-list
      			 outside_30_cryptomap extended permit ip 10.10.120.0
          255.255.255.0 20.20.20.0 255.255.255.0

    Isso permite que os usuários de acesso remoto se comuniquem com as redes do outro lado dos túneis especificados.

    aviso Aviso: Para que a comunicação seja estabelecida, o outro lado do túnel deverá possuir o oposto desta entrada de ACL para aquela rede específica.

  4. Configure o tráfego que será criptografado e enviado pelo túnel VPN.

    • ASA-NY-HQ(config)#access-list
      			 Hillvalley_splitunnel standard permit 172.16.1.0
          255.255.255.0
    • ASA-NY-HQ(config)#access-list
      			 Hillvalley_splitunnel standard permit 10.10.10.0
          255.255.255.0
    • ASA-NY-HQ(config)#access-list
      			 Hillvalley_splitunnel standard permit 20.20.20.0
          255.255.255.0
  5. Configure a autenticação local e as informações de política, como WINS, DNS e os protocolos IPSec, para os clientes VPN.

    • ASA-NY-HQ(config)#group-policy Hillvalley
      			 internal
    • ASA-NY-HQ(config)#group-policy Hillvalley
      			 attributes
      • ASA-NY-HQ(config-group-policy)#wins-server
        				value 10.10.10.20
      • ASA-NY-HQ(config-group-policy)#dns-server value
        				10.10.10.20
      • ASA-NY-HQ(config-group-policy)#vpn-tunnel-protocol
        				IPSec
  6. Defina os atributos gerais e de IPSec, como chaves pré-compartilhadas e pools de endereços IP, que serão usados pelo túnel VPN de Hillvalley.

    • ASA-NY-HQ(config)#tunnel-group Hillvalley
      			 ipsec-attributes
      • ASA-NY-HQ(config-tunnel-ipsec)#pre-shared-key
        				cisco1234
    • ASA-NY-HQ(config)#tunnel-group Hillvalley
      			 general-attributes
      • ASA-NY-HQ(config-tunnel-general)#address-pool
        				Hill-V-IP
      • ASA-NY-HQ(config-tunnel-general)#default-group-policy
        				Hillvalley
  7. Crie a política de separação de túneis que usará a ACL criada no passo 4 para especificar o tráfego que será criptografado e transmitido pelo túnel.

    • ASA-NY-HQ(config)#split-tunnel-policy
      			 tunnelspecified
    • ASA-NY-HQ(config)#split-tunnel-network-list value
      			 Hillvalley_splitunnel
  8. Configure as informações do mapa de criptografia necessárias para a criação do túnel VPN.

    • ASA-NY-HQ(config)#crypto ipsec transform-set
      			 Hill-trans esp-3des esp-sha-hmac
    • ASA-NY-HQ(config)#crypto dynamic-map
      			 outside_dyn_map 20 set transform-set
      			 Hill-trans
    • ASA-NY-HQ(config)#crypto dynamic-map dyn_map 20
      			 set reverse-route
    • ASA-NY-HQ(config)#crypto map outside_map 65535
      			 ipsec-isakmp dynamic
      			 outside_dyn_map

Exemplo de Configuração

Exemplo de Configuração 2

ASA-NY-HQ#show running-config

 : Saved

hostname ASA-NY-HQ
ASA Version 7.2(2)

enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.11.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp2.com
same-security-traffic permit intra-interface


!--- Necessário para a comunicação entre peers de VPN.


access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.120.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 10.10.120.0
255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.120.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_20_cryptomap extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_20_cryptomap extended permit ip 20.20.20.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list outside_20_cryptomap extended permit ip 10.10.120.0 255.255.255.0 10.10.10.0
255.255.255.0
access-list Hillvalley_splitunnel standard permit 172.16.1.0 255.255.255.0
access-list Hillvalley_splitunnel standard permit 10.10.10.0 255.255.255.0
access-list Hillvalley_splitunnel standard permit 20.20.20.0 255.255.255.0 
access-list outside_30_cryptomap extended permit ip 172.16.1.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list outside_30_cryptomap extended permit ip 10.10.10.0 255.255.255.0 20.20.20.0
255.255.255.0
access-list outside_30_cryptomap extended permit ip 10.10.120.0 255.255.255.0 20.20.20.0
255.255.255.0
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu man 1500
ip local pool Hill-V-IP 10.10.120.10-10.10.120.100 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.16.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.11.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy Hillvalley internal
group-policy Hillvalley attributes
 wins-server value 10.10.10.20
 dns-server value 10.10.10.20
 vpn-tunnel-protocol IPSec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value Hillvalley_splitunnel
 default-domain value corp.com
username cisco password dZBmhhbNIN5q6rGK encrypted 
aaa authentication telnet console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set Hill-trans esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set Hill-trans
crypto dynamic-map dyn_map 20 set reverse-route
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 192.168.10.10
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 30 match address outside_30_cryptomap
crypto map outside_map 30 set peer 192.168.12.1
crypto map outside_map 30 set transform-set ESP-3DES-SHA

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *
tunnel-group 192.168.12.2 type ipsec-l2l
tunnel-group 192.168.12.2 ipsec-attributes
 pre-shared-key *
tunnel-group Hillvalley type ipsec-ra
tunnel-group Hillvalley general-attributes
 address-pool Hill-V-IP
 default-group-policy Hillvalley
tunnel-group Hillvalley ipsec-attributes
 pre-shared-key *
telnet timeout 1440
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:62dc631d157fb7e91217cb82dc161a48
ASA-NY-HQ#

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • ping inside x.x.x.x (IP address of host on opposite side of tunnel) — Este comando permite enviar tráfego pelo túnel usando um endereço de origem da interface interna.

Troubleshooting

Consulte estes documentos para obter informações que podem ser usadas para o troubleshooting da sua configuração:


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 82020