Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Exemple de configuration de tunnel IPSec LAN à LAN entre le concentrateur Cisco VPN 3000 et un pare-feu PIX

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Le but de cette configuration d'échantillon est de connecter un réseau privé derrière un Pare-feu de Cisco PIX à un réseau privé derrière le concentrateur de Cisco VPN 3000. Les périphériques sur les réseaux se connaissent par leurs adresses privées.

Référez-vous à IPsec : Routeur--PIX aux dispositifs de sécurité 7.x et plus tard ou exemple de configuration ASA pour plus d'informations sur la configuration de tunnel entre réseaux locaux entre un routeur et les dispositifs de sécurité de Cisco PIX/ASA.

Référez-vous au tunnel d'IPsec entre PIX 7.x et pour en savoir plus d'exemple de configuration de concentrateur VPN 3000 quand le PIX a la version de logiciel 7.x.

Référez-vous au tunnel d'IPsec d'entre réseaux locaux entre un concentrateur de Cisco VPN 3000 et un routeur avec l'exemple de configuration AES pour plus d'informations sur la configuration de tunnel L2L IPSec entre un concentrateur de Cisco VPN 3000 et un routeur avec la norme de chiffrement anticipée (AES).

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Logiciel PIX 6.3(1)

  • Concentrateur VPN 3000 avec 4.0.1

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/14100/ALTIGA_pix.gif

Configurations

Configurez le PIX

Configuration de Pare-feu PIX
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname sv2-11
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names

!--- Access control list (ACL) for interesting traffic
!--- to be encrypted over the tunnel.

access-list 101 permit ip 10.13.1.0 255.255.255.0 10.31.1.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500

!--- IP addresses on the interfaces.

ip address outside 172.18.124.157 255.255.255.0
ip address inside 10.13.1.48 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover   
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400
global (outside) 1 interface

!--- Binding ACL 101 to the Network Address Translation (NAT) statement 
!--- to avoid NAT on the IPSec packet.

nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

!--- Default route to the Internet.

route outside 0.0.0.0 0.0.0.0 172.16.124.132 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- The sysopt command avoids conduit on 
!--- the IPSec-encrypted traffic.

sysopt connection permit-ipsec

!---- IPSec policies

crypto ipsec transform-set aptset esp-3des esp-md5-hmac 

!--- Setting up the tunnel peer, encryption ACL, and transform set.

crypto map aptmap 10 ipsec-isakmp
crypto map aptmap 10 match address 101
crypto map aptmap 10 set peer 172.18.124.132
crypto map aptmap 10 set transform-set aptset

!--- Applying the crypto map on the interface.

crypto map aptmap interface outside
isakmp enable outside

!--- Pre-shared key for the tunnel peer.

isakmp key ******** address 172.18.124.132 netmask 255.255.255.255 

!--- IKE policies

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:1209dc5ffed40ad7c999d655509260f5
: end
[OK]

Configurez le concentrateur VPN

Terminez-vous ces étapes afin de configurer le concentrateur VPN.

Remarque: Cet exemple a été exécuté dans un environnement de travaux pratiques en accédant au concentrateur VPN par le port de console et en ajoutant une configuration minimale (voir les étapes 1 et 2) de sorte que la configuration supplémentaire soit faite par l'interface utilisateur graphique (GUI).

  1. Allez à la gestion > à la réinitialisation > à la réinitialisation planification > à la réinitialisation de système avec l'usine/configuration par défaut et redémarrez.

  2. Quand le concentrateur VPN monte dans le mode de configuration rapide après que vous redémarriez, configurez l'information sur le périphérique de base :

    • Heure/date

    • Interfaces/masques dans le Configuration > Interfaces (public=172.18.124.132/24, private=10.31.1.80/24)

    • Passerelle par défaut dans la configuration > le système > le Routage IP > le Default_Gateway > le 172.18.124.157

    Le concentrateur VPN est maintenant accessible par le GUI du réseau intérieur.

    Remarque: Vous pouvez également gérer le concentrateur VPN de l'extérieur. Référez-vous à comment gérer le concentrateur VPN 3000 du pour en savoir plus de réseau public.

  3. Lancez le GUI et allez au Configuration > Interfaces afin de confirmer les interfaces.

    Remarque:  L'interface qui termine le tunnel devrait avoir un filtre appliqué à elle. Dans ce cas, l'interface publique a le filtre (par défaut) public appliqué. Des règles sont automatiquement ajoutées plus tard au filtre appliqué sur l'interface d'IPSec.

    /image/gif/paws/14100/ALTIGA_pix_1.gif

  4. Allez à la configuration > aux protocoles de système > de Tunnellisation > à l'entre réseaux locaux d'IPSec > modifient ou ajoutent afin de configurer le tunnel entre réseaux locaux d'IPSec. Cliquez sur Apply quand vous êtes de finition.

    Dans cet exemple, les informations nécessaires pour l'interface extérieure du PIX sont remplies.

    ALTIGA_pix_2.gif

  5. À la page de confirmation qui affiche les paramètres automatiquement configurés, cliquez sur OK afin de recevoir la configuration.

    Remarque: Ne modifiez pas ces configurations d'entre réseaux locaux.

    /image/gif/paws/14100/ALTIGA_pix_3.gif

  6. Allez à la configuration > à la Gestion des stratégies > à la gestion de trafic > assignent des règles de filtrer afin de confirmer que les règles ont été créées et appliquées correctement.

    Des règles sont automatiquement créées et ajoutées au filtre appliqué à l'interface d'IPSec. Dans ce cas, le filtre (par défaut) public qui est appliqué à l'interface publique a de nouvelles règles ajoutées à lui par la configuration.

    /image/gif/paws/14100/ALTIGA_pix_4.gif

  7. À la page de confirmation qui affiche l'information du groupe automatiquement configurée, cliquez sur Apply afin de recevoir les configurations de groupe.

    Remarque: Ne modifiez pas ces configurations de groupe.

    /image/gif/paws/14100/ALTIGA_pix_5.gif

  8. À la page de confirmation qui affiche l'association de sécurité automatiquement créée (SA), confirmez que SA apparaît dans la liste d'IPSec SAS.

    /image/gif/paws/14100/ALTIGA_pix_6.gif

  9. Allez à la configuration > aux protocoles de système > de Tunnellisation > à l'IPSec > aux propositions d'IKE afin de confirmer que les propositions d'IKE sont affichées en tant qu'active.

    /image/gif/paws/14100/ALTIGA_pix_6a.gif

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Commandes de dépannage sur le PIX

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

  • debug crypto engine - Montre le trafic crypté.

  • debug crypto ipsec - Permet de consulter les négociations d'IPSec de la phase 2.

  • debug crypto isakmp — L'utilisez pour voir les négociations de Protocole ISAKMP (Internet Security Association and Key Management Protocol) de la phase 1.

Dépannage sur le concentrateur VPN

Ceux-ci mettent au point des options sont individuellement disponibles si vous allez à la configuration > au système > aux événements > aux classes > ajoutez.

  • IKE

  • IKEDBG

  • IKEDECODE

  • IPSEC

  • IPSECDBG

  • IPSECDECODE

Allez à la surveillance > journal d'événements et le clic obtiennent la commande de procédure de connexion pour voir l'effectif mettre au point.

ALTIGA_pix_7.gif

Allez à la surveillance > des statistiques > IPSec afin de voir l'état d'IPSec.

ALTIGA_pix_8.gif


Informations connexes


Document ID: 14100