Segurança e VPN : WebVPN / SSL VPN

Tráfego dos sem clientes SSL VPN ASA sobre o exemplo de configuração do túnel de LAN para LAN de IPSec

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como conectar a um portal adaptável dos sem clientes SSLVPN da ferramenta de segurança de Cisco (ASA) e alcançar um server que seja ficado situado em uma posição remota conectada sobre um túnel de LAN para LAN de IPSec.

Contribuído por engenheiros da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Componentes Utilizados

A informação neste documento é baseada no 5500-X Series ASA que executa a versão 9.2(1), mas aplica-se a todas as versões ASA.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Assegure-se de que você compreenda o impacto potencial do comando any antes que você faça mudanças em uma rede viva.

Informações de Apoio 

Quando o tráfego de uma sessão dos sem clientes SSLVPN atravessa um túnel de LAN para LAN, note que há duas conexões:

  • Do cliente ao ASA
  • Do ASA ao host de destino.

Para a conexão do host do ASA-à-destino, o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação ASA “a mais próxima” ao host de destino é usado. Consequentemente, o tráfego interessante do LAN para LAN deve incluir uma identidade de proxy desse endereço da relação à rede remota.

Nota:  Se o Smart-túnel é usado para um endereço da Internet, o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação ASA a mais próxima ao destino está usado ainda. 

Configurar

Neste diagrama, há um túnel de LAN para LAN entre dois ASA que permita que o tráfego passe de 192.168.10.x a 192.168.20.x.

A lista de acesso que determina o tráfego interessante para esse túnel:

ASA1

access-list l2l-list extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0
255.255.255.0

ASA2

access-list l2l-list extended permit ip 192.168.20.0 255.255.255.0 192.168.10.0
255.255.255.0

  

Se o usuário dos sem clientes SSLVPN tenta se comunicar com um host na rede 192.168.20.x, ASA1 usa o endereço de 209.165.200.225 como a fonte para esse tráfego. Porque o Access Control List do LAN para LAN (ACL) não contém 209.168.200.225 como uma identidade de proxy, o tráfego não é enviado sobre o túnel de LAN para LAN.

A fim enviar o tráfego sobre o túnel de LAN para LAN, uma entrada de controle de acesso (ACE) nova deve ser adicionada ao tráfego interessante ACL.

ASA1

access-list l2l-list extended permit ip host 209.165.200.225 192.168.20.0
255.255.255.0

ASA2

access-list l2l-list extended permit ip 192.168.20.0 255.255.255.0 host
209.165.200.225

Este mesmo princípio aplica-se às configurações onde o tráfego dos sem clientes SSLVPN precisa a inversão de marcha para fora a mesma relação que entrou sobre, mesmo se não se supõe para atravessar um túnel de LAN para LAN.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Tipicamente, ASA2 conduz a tradução de endereço de porta (PAT) para os 192.168.20.0/24 a fim fornecer o acesso ao Internet. Nesse caso, trafique então de 192.168.20.0/24 em ASA 2 deve ser excluído do processo da PANCADINHA quando vai a 209.165.200.225. Se não, a resposta não atravessaria o túnel de LAN para LAN. Por exemplo:   

ASA2

nat (inside,outside) source static obj-192.168.20.0 obj-
192.168.20.0 destination
static obj-209.165.200.225 obj-209.165.200.225
!
object network obj-192.168.20.0
nat (inside,outside) dynamic interface

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

  • o IPsec cripto da mostra sa-verifica com este comando que uma associação de segurança (SA) entre o IP address do proxy ASA1 e a rede remota esteve criada. Verifique se os contadores cifrados e decifrados aumentarem quando os acessos de usuário dos sem clientes SSLVPN que server.

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

Se a associação de segurança não é construída, você pode usar o ipsec debugging à causa da falha:

  •  <level> do IPsec do debug crypto

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.



Document ID: 117739