Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Exemplo de Configuração do PIX/ASA 7.x Security Appliance para um Túnel IPsec LAN a LAN do IOS Router

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (28 Novembro 2011) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Informações de Apoio
Configuração
      Diagrama de Rede
      Configurações
Configuração Usando o ASDM
Verificação
Troubleshooting
      Comandos de Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento demonstra como configurar um túnel IPsec do PIX Security Appliance 7.x e posterior ou o Adaptive Security Appliance (ASA) com uma rede interna para um roteador 2611 que executa uma imagem de criptografia. Rotas estáticas são usadas para simplicidade.

Consulte Configurando o IPsec - Roteador para PIX para obter mais informações sobre uma configuração de túnel LAN a LAN entre um roteador e o PIX.

Consulte Exemplo de Configuração de Túnel IPsec LAN a LAN entre o Cisco VPN 3000 Concentrator e o PIX Firewall para obter mais informações sobre uma configuração de túnel LAN a LAN entre o PIX Firewall e o Cisco VPN 3000 Concentrator.

Consulte Exemplo de Configuração de Túnel IPsec Entre o PIX 7.x e o VPN 3000 para obter mais informações sobre o cenário onde o túnel LAN a LAN está localizado entre o PIX e o VPN Concentrator.

Consulte Exemplo de Configuração de VPN Spoke-to-Client Avançada com Autenticação TACACS+ do PIX/ASA 7.x para obter mais informações sobre o cenário onde o túnel LAN a LAN entre os PIXes também permite que um cliente VPN acesse o PIX spoke a partir do PIX hub.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX-525 com PIX Software versão 7.0

  • Roteador Cisco 2611 com Cisco IOS® Software Release 12.2(15)T13

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

No PIX, os comandos access-list e nat 0 funcionam juntos. Quando um usuário na rede 10.1.1.0 vai para a rede 10.2.2.0, a lista de acessos é utilizada para permitir que o tráfego da rede 10.1.1.0 seja criptografado sem Tradução de Endereço de Rede (NAT). No roteador, os comandos route-map e access-list são usados para permitir que o tráfego da rede 10.2.2.0 seja criptografado sem NAT. No entanto, quando esses mesmos usuários vão para algum outro lugar, eles são convertidos para o endereço 172.17.63.230 através da Tradução de Endereço de Porta (PAT).

A seguir estão os comandos de configuração necessários no PIX Security Appliance para que o tráfego não seja transmitido pelo PAT sobre o túnel, e o tráfego para a Internet seja transmitido pelo PAT.

access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento usa esta configuração de rede:

ipsec-rtr-2-pix-asa-1.gif

Configurações

Estes exemplos de configuração destinam-se à interface de linha de comando. Consulte a seção Configuração Usando o Adaptive Security Device Manager (ASDM) neste documento se você preferir configurar usando o ASDM.

PIX da Matriz

HQPIX(config)#show run
PIX Version 7.0(0)102
names
!
interface Ethernet0
description WAN interface
nameif outside
security-level 0
ip address 172.17.63.229 255.255.255.240
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname HQPIX
domain-name cisco.com
ftp mode passive
clock timezone AEST 10
access-list 100 extended permit ip any any
access-list 150 extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
access-list nonat extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
pager lines 24
logging enable
logging buffered debugging
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0
access-group 100 in interface inside
route outside 0.0.0.0 0.0.0.0 172.17.63.230 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server partner protocol tacacs+
username cisco password 3USUcOPFUiMCO4Jk encrypted
http server enable
http 10.1.1.2 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp

crypto ipsec transform-set avalanche esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 3600
crypto ipsec df-bit clear-df outside
crypto map forsberg 21 match address nonat
crypto map forsberg 21 set peer 172.17.63.230
crypto map forsberg 21 set transform-set avalanche
crypto map forsberg interface outside
isakmp identity address
isakmp enable outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash sha
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
tunnel-group 172.17.63.230 type ipsec-l2l
tunnel-group 172.17.63.230 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect http
!
service-policy asa_global_fw_policy global
Cryptochecksum:3a5851f7310d14e82bdf17e64d638738
: end
SV-2-8# 

Roteador da Filial

BranchRouter#show run
Building configuration...

Current configuration : 1719 bytes
!
! Last configuration change at 13:03:25 AEST Tue Apr 5 2005
! NVRAM config last updated at 13:03:44 AEST Tue Apr 5 2005
!
version 12.2
service timestamps debug datetime msec
service timestamps log uptime
no service password-encryption
!
hostname BranchRouter
!
logging queue-limit 100
logging buffered 4096 debugging
!
username cisco privilege 15 password 0 cisco
memory-size iomem 15
clock timezone AEST 10
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!
!
!
crypto isakmp policy 11
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 172.17.63.229
!
!
crypto ipsec transform-set sharks esp-des esp-md5-hmac
!
crypto map nolan 11 ipsec-isakmp
set peer 172.17.63.229
set transform-set sharks
match address 120
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Ethernet0/0
ip address 172.17.63.230 255.255.255.240
ip nat outside
no ip route-cache
no ip mroute-cache
half-duplex
crypto map nolan
!
interface Ethernet0/1
ip address 10.2.2.1 255.255.255.0
ip nat inside
half-duplex
!
ip nat pool branch 172.17.63.230 172.17.63.230 netmask 255.255.255.0
ip nat inside source route-map nonat pool branch overload
no ip http server
no ip http secure-server
ip classless
ip route 10.1.1.0 255.255.255.0 172.17.63.229
!
!
!
access-list 120 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 130 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 130 permit ip 10.2.2.0 0.0.0.255 any
!
route-map nonat permit 10
match ip address 130
!
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end

Configuração Usando o ASDM

Este exemplo demonstra como configurar o PIX usando a GUI do ASDM. Um PC com um navegador e endereço IP 10.1.1.2 está conectado à interface interna e do PIX. Verifique se o http está ativado no PIX.

Este procedimento ilustra a configuração do ASDM do PIX da Matriz.

  1. Conecte o PC ao PIX e escolha um método de download.

    ipsec-rtr-2-pix-asa-2.gif

    O ASDM carrega a configuração existente do PIX.

    ipsec-rtr-2-pix-asa-3.gif

    Esta janela fornece instrumentos e menus de monitoração.

    ipsec-rtr-2-pix-asa-4.gif

  2. Selecione Configuration > Features > Interfaces e Add para novas interfaces ou Edit para uma configuração existente.

    ipsec-rtr-2-pix-asa-5.gif

  3. Selecione as opções de segurança para a interface interna.

    ipsec-rtr-2-pix-asa-6.gif

  4. Na configuração do NAT, o tráfego criptografado é isento de NAT e todo o tráfego restante é convertido por NAT/PAT para a interface externa.

    ipsec-rtr-2-pix-asa-7.gif

  5. Selecione VPN >General > Tunnel Group e ative um Grupo de Túneis

    ipsec-rtr-2-pix-asa-8.gif

  6. Selecione VPN > IKE > Global Parameters e ative IKE na interface externa.

    ipsec-rtr-2-pix-asa-9.gif

  7. Selecione VPN > IKE > Policies e escolha as políticas de IKE.

    ipsec-rtr-2-pix-asa-10.gif

  8. Selecione VPN > IPsec > IPsec Rules e escolha IPsec para o túnel local e endereçamento remoto.

    ipsec-rtr-2-pix-asa-11.gif

  9. Selecione VPN > IPsec > Tunnel Policy e escolha a política de túnel.

    ipsec-rtr-2-pix-asa-12.gif

  10. Selecione VPN > IPsec > Transform Sets e escolha um conjunto de transformação.

    ipsec-rtr-2-pix-asa-13.gif

  11. Selecione Routing > Routing > Static Route e escolha uma rota estática para o roteador do gateway. Neste exemplo, a rota estática aponta para o peer de VPN remoto para simplicidade.

    ipsec-rtr-2-pix-asa-14.gif

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show crypto ipsec sa — Mostra associações de segurança da fase 2.

  • show crypto isakmp sa — Mostra associações de segurança da fase 1.

Troubleshooting

Você pode utilizar o ASDM para ativar o registro em log e exibir os logs.

  • Selecione Configuration > Properties > Logging > Logging Setup, escolha Enable Logging e clique em Apply para ativar o log.

  • Selecione Monitoring > Logging > Log Buffer > On Logging Level, escolha Logging Buffer e clique em View para exibir os logs.

Comandos de Troubleshooting

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug crypto ipsec — Mostra as negociações de IPSec da fase 2.

  • debug crypto isakmp — Mostra as negociações de ISAKMP da fase 1.

  • debug crypto engine — Mostra o tráfego que está criptografado.

  • clear crypto isakmp — Limpa as associações de segurança relacionadas à fase 1.

  • clear crypto sa — Limpa as associações de segurança relacionadas à fase 2.

  • debug icmp trace — Mostra se as requisições de ICMP dos hosts alcançam o PIX. Você deve adicionar o comando access-list para permitir ICMP na sua configuração de forma a executar esta depuração.

  • logging buffer debugging — Mostra as conexões estabelecidas e negadas aos hosts que passam pelo PIX. As informações são armazenadas no buffer de log do PIX e você pode ver a saída com o comando show log.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 63883