Sécurité et VPN : Dispositifs de sécurité de la gamme Cisco PIX 500

Exemple de configuration d'un client matériel VPN sur un dispositif de sécurité de la gamme PIX 501/506 avec concentrateur VPN 3000

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit un exemple pas à pas de configuration pour les clients qui veulent déployer la caractéristique de client matériel de Cisco VPN sur une appliance de Sécurité de gamme 501/506 PIX. Cette caractéristique a été introduite avec la version de PIX 6.2 et est utilisée pour créer un tunnel d'IPSec avec un concentrateur VPN 3000, un routeur qui exécute le logiciel de½ du¿Â du Cisco IOSïÂ, ou un Pare-feu PIX.

La configuration du client matériel PIX 501/506 est identique pour le périphérique VPN de headend, si c'est un concentrateur VPN 3000, un routeur qui exécute le logiciel de Cisco IOS, ou un Pare-feu PIX. Les périphériques derrière le client matériel de Pare-feu PIX ne doivent plus avoir des clients vpn installés sur eux afin de communiquer sécurisé avec des périphériques derrière le périphérique de headend. Ceci tient compte du déploiement rapide et diminue le dépannage afin de prendre en charge des utilisateurs distants VPN.

Le client matériel VPN fonctionne dans le mode d'extension réseau (PAS MENTIONNÉ AILLEURS) ou le mode de client. Dans PAS MENTIONNÉ AILLEURS, l'administrateur réseau peut accéder aux périphériques derrière le client matériel du Pare-feu VPN PIX pour à télécommande et le dépannage. En mode de client, les périphériques de réseau derrière le PIX 501/506 ne sont pas accessibles du headend ou d'autres utilisateurs VPN. Ce comportement est identique dans le client matériel VPN 3002.

Remarque:  Les PIX 501 et PIX 506/506E sont des périphériques d'Easy VPN Remote et de serveur Easy VPN. Les PIX 515/515E, PIX 525, et PIX 535 agissent en tant que serveurs Easy VPN seulement.

Référez-vous configurent l'Easy VPN Remote PIX 501/506 à un routeur IOS dans le mode d'extension réseau avec l'authentification étendue pour plus d'informations sur un scénario semblable où le routeur Cisco IOS agit en tant que serveur Easy VPN.

Référez-vous PIX--PIX à 6.x : Exemple de configuration d'Easy VPN (PAS MENTIONNÉ AILLEURS) pour plus d'informations sur un scénario semblable où le PIX 506 6.x agit en tant que serveur Easy VPN.

Référez-vous à l'Easy VPN PIX/ASA 7.x avec une ASA 5500 en tant que serveur et PIX 506E comme exemple de configuration de client (PAS MENTIONNÉ AILLEURS) pour plus d'informations sur un scénario semblable où le PIX/ASA 7.x agit en tant que serveur Easy VPN.

Référez-vous à l'Easy VPN PIX/ASA 7.x avec une ASA 5500 en tant que le serveur et Cisco 871 comme exemple de configuration d'Easy VPN distant pour plus d'informations sur un scénario semblable où le routeur de Cisco 871 agit en tant qu'Easy VPN Remote.

Conditions préalables

Conditions requises

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 6.2 ou 6.3 de Pare-feu PIX

    Remarque: La version 7.x de Pare-feu PIX ne prend en charge pas PIX 501/506.

  • Routeur de Cisco 2600 qui exécute la version de logiciel 12.2.7b de Cisco IOS

  • Routeur de Cisco 3620 qui exécute la version de logiciel 12.2.7b de Cisco IOS

  • Concentrateur Cisco VPN 3000

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Dans cet exemple, le PIX 506 est configuré afin d'initier un tunnel VPN avec le concentrateur de Cisco VPN 3000 dedans PAS MENTIONNÉ AILLEURS. Tient compte PAS MENTIONNÉ AILLEURS de la visibilité et de la transmission avec ces périphériques derrière le PIX 506. Le concentrateur VPN 3000 exécute la version 2 de Protocole RIP (Routing Information Protocol) afin d'apprendre et annoncer des artères. L'Injection inversée de routes (RRI) est activé sur le concentrateur VPN 3000 tels qu'il annonce le réseau distant qui utilise le RIP, derrière le client matériel PIX 506 VPN, à un routeur de Cisco 2600 pendant que le trafic est initié du routeur de Cisco 3620.

La Segmentation de tunnel n'est pas activée sur le concentrateur VPN 3000, ainsi toute trafique originaire du routeur de Cisco 3620 est chiffrée et envoyée au concentrateur VPN 3000, qu'en avant ce trafic a basé sur les informations de routage de stratégie. La stratégie est définie (et peut être modifié a basé sur différentes conditions requises de sécurité d'entreprise) sur le concentrateur VPN 3000 seulement et est poussée au client matériel PIX 506 VPN pendant la négociation de tunnel (exactement comme un client vpn sur un PC).

Le PIX 506 est configuré en tant que clients de service dhcp d'un serveur du protocole DHCP (DHCP) sur l'interface d'Ethernets (E1). L'interface Fa0/1 sur le routeur de Cisco 3620 est configurée comme DHCP Client. La version RIP 2. de passages de routeur de Cisco 2621 se rapportent à IPsec avec le client vpn à l'exemple de configuration de concentrateur VPN 3000 afin de configurer le concentrateur VPN 3000.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez le Command Lookup Tool (clients enregistrés seulement) ou plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/22828/pix501506_vpn3k.gif

Remarque: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.

Configurations

Ce document utilise les configurations suivantes :

Routeur Cisco 3620
interface FastEthernet0/1
    ip address dhcp  

!--- The DHCP client requests an IP address from the PIX, 
!--- which is configured as a DHCP server.

Routeur Cisco 2621
Configuration of 2621 router 
2621#write terminal
! 
hostname 2621 
! 
interface FastEthernet0/1 
ip address 10.10.10.2 255.255.255.0 
ip rip send version 2

!--- Send only RIP version 2. 

ip rip receive version 2

!--- Receive only RIP version 2. 

! 
router rip 
version 2

!--- RIP version 2 enabled.
 
network 10.0.0.0 
no auto-summary 
!

Configuration PIX

Il n'est pas nécessaire de définir une liste de contrôle d'accès (ACL) ou un conduit afin de permettre le trafic parce que la connexion est initiée du PIX 506, plutôt que le concentrateur VPN 3000 ou le client vpn derrière le PIX 506. Par défaut, on permet de l'intérieur le trafic à l'extérieur.

PIX 506
506#write terminal 
Building configuration... 
: Saved 
: 
PIX Version 6.2(0)243 
nameif ethernet0 outside security0 

!--- On PIX 501/506, this is the default configuration. 

nameif ethernet1 inside security100 
enable password 2KFQnbNIdI.2KYOU encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
hostname 506 
fixup protocol ftp 21 
fixup protocol http 80 
fixup protocol h323 h225 1720 
fixup protocol h323 ras 1718-1719 
fixup protocol ils 389 
fixup protocol rsh 514 
fixup protocol rtsp 554 
fixup protocol smtp 25 
fixup protocol sqlnet 1521 
fixup protocol sip 5060 
fixup protocol skinny 2000 
names 
pager lines 24 
logging console debugging 
logging monitor debugging 
logging buffered debugging 
interface ethernet0 auto
interface ethernet1 auto 

!--- You should manually specify speed/duplex if your attached  
!--- devices do not support auto negotiation.

mtu outside 1500 
mtu inside 1500 
ip address outside 172.21.48.22 255.255.255.224 
ip address inside 172.16.1.1 255.255.255.0 
ip audit info action alarm 
ip audit attack action alarm 
pdm history enable 
arp timeout 14400 
route outside 0.0.0.0 0.0.0.0 172.21.48.25 1 
timeout xlate 3:00:00 
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 
0:30:00 sip_med 
ia 0:02:00 
timeout uauth 0:05:00 absolute 
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location 
no snmp-server contact 
snmp-server community public 
no snmp-server enable traps 
floodguard enable 
no sysopt route dnat 
telnet timeout 5 
ssh timeout 5 

dhcpd address 172.16.1.10-172.16.1.20 inside 

!--- This is the pool for the DHCP server to service local requests. 


dhcpd lease 3600 

!--- This is optional. 


dhcpd ping_timeout 750 

!--- This is optional.
 

dhcpd domain cisco.com 

dhcpd enable inside 

!--- You should enable this on the inside interface. 


vpnclient vpngroup beta password ******** 

!--- Group name and password must match, as defined on
!--- the VPN 3000 Concentrator (or on ACS, if you use
!--- ACS with a VPN 3000 Concentrator). 


vpnclient username cisco password ******** 

!--- User Name/Password must match as defined on
!--- the VPN 3000 Concentrator (or on ACS, if you use
!--- ACS with a VPN 3000 Concentrator). 


vpnclient server 172.21.48.25
 

!--- This is the IP address of the headend
!--- VPN 3000 Concentrator. There can be from 1 to 10 secondary
!--- Cisco Easy  VPN Servers (backup VPN headends) configured.
!--- However, check your platform-specific documentation for 
!--- applicable peer limits on your PIX Firewall platform. 


vpnclient mode network-extension-mode 

!--- Using NEM. 


vpnclient enable 

terminal width 80 
Cryptochecksum:f719695f4d56b84be0c944975caf9f12 
: end 
[OK]

Configuration du concentrateur de Cisco VPN 3000

Référez-vous à IPsec avec le client vpn à l'exemple et à configurer de configuration de concentrateur VPN 3000 le client d'EzVPN de Cisco sur le Cisco IOS avec le concentrateur VPN 3000 pour des configurations d'échantillon.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

  • Des artères après Cisco 3620 est configurées

    3620#show ip route 
    Gateway of last resort is 172.16.1.1 to network 0.0.0.0 
    
    172.16.0.0/24 is subnetted, 1 subnets 
    C  172.16.1.0 is directly connected, FastEthernet0/1 
    S* 0.0.0.0/0 [254/0] via 172.16.1.1
    
    !--- Point default to PIX as received with DHCP. 
    
    
  • Les informations de bail DHCP sur Cisco 3620

    3620#show dhcp lease
    Temp IP addr: 172.16.1.10 for peer on Interface: FastEthernet0/1 
    Temp sub net mask: 255.255.255.0 
    DHCP Lease server: 172.16.1.1, state: 3 Bound 
    DHCP transaction id: 11CD 
    Lease: 3600 secs, Renewal: 1800 secs, Rebind: 3150 secs 
    Temp default-gateway addr: 172.16.1.1 
    Next timer fires after: 00:14:39 
    Retry count: 0 Client-ID: cisco-0008.215d.7be2-Fa0/1
  • Des artères après Cisco 2621 est configurées

    2621#show ip route 
    172.16.0.0/24 is subnetted, 1 subnets 
    R 172.16.1.0 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    
    !--- This is the remote network connected to the 
    !--- private interface of the PIX 506 VPN Hardware Client. 
    !--- As RRI is configured on the VPN 3000 Concentrator, it uses 
    !--- RIP in order to advertise this remote network after it sees 
    !--- traffic from the remote end.
    
    172.21.0.0/27 is subnetted, 1 subnets 
    R 172.21.48.0 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    R 192.168.201.0/24 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    10.0.0.0/24 is subnetted, 1 subnets 
    C 10.10.10.0 is directly connected, FastEthernet0/1

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Exemple de sortie

Cette sortie témoin affiche que l'état actuel avant le trafic est initié entre Cisco 3620 et Cisco 2621 Routeurs.

506#show crypto isakmp sa 
Total : 1 
Embryonic : 0 
    dst            src        state   pending   created 
 172.21.48.25  172.21.48.22  QM_IDLE     0         0 


506#show crypto ipsec sa 
interface: outside 
Crypto map tag: _vpnc_cm, local addr. 172.21.48.22 

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) 
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) 

!--- Proxy information exchange is complete as defined on the headend, 
!--- although no interesting traffic has been initiated. In Cisco IOS 
!--- this exchange occurs only when there is interesting traffic. 

current_peer: 172.21.48.25 
PERMIT, flags={origin_is_acl,} 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 
#pkts compressed: 0, #pkts decompressed: 0 
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 
#send errors 0, #recv errors 0 

local crypto endpt.: 172.21.48.22, remote crypto endpt.: 172.21.48.25 
path mtu 1500, ipsec overhead 0, media mtu 1500 
current outbound spi: 0 

!--- Security Parameter Index (SPI) is created thus far. 


inbound esp sas:

!--- No inbound Security Association (SA) is created thus far.



inbound ah sas: 


inbound pcp sas: 


outbound esp sas:

!--- No outbound SA is created thus far.



outbound ah sas: 


outbound pcp sas:

Cette sortie témoin affiche que l'état après un ping est initié entre Cisco 3620 et Cisco 2621 Routeurs.

3620#ping 10.10.10.2 

Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds: 
..!!! 

!--- The initial ping failed because the SAs were created after the PIX 
!--- detected interesting traffic. 

Success rate is 60 percent (3/5), round-trip min/avg/max = 4/4/4 ms 
3620# 

506#show crypto isakmp sa 
Total: 1 
Embryonic: 0 
    dst             src       state  pending  created 
172.21.48.25   172.21.48.22  QM_IDLE    0       1 

506#show crypto ipsec sa 
interface: outside 
Crypto map tag: _vpnc_cm, local addr. 172.21.48.22 

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) 
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) 
current_peer: 172.21.48.25 
PERMIT, flags={origin_is_acl,} 
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3 

!--- This shows the number of packets encrypted.

#pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3 
#pkts compressed: 0, #pkts decompressed: 0 
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 
#send errors 1, #recv errors 0 

local crypto endpt.: 172.21.48.22, remote crypto endpt.: 172.21.48.25 
path mtu 1500, ipsec overhead 56, media mtu 1500 
current outbound spi: 5c5b2a9 

!--- SPI is created now. 


inbound esp sas: 

!--- One inbound SA is created after interesting traffic is detected.

spi: 0x3db858ad(1035491501) 
transform: esp-3des esp-md5-hmac , 
in use settings ={Tunnel, } 
slot: 0, conn id: 2, crypto map: _vpnc_cm 
sa timing: remaining key lifetime (k/sec): (4607999/28499) 
IV size: 8 bytes 
replay detection support: Y 

inbound ah sas: 

!--- Authentication Header (AH) was not an option on the headend. 

 

inbound pcp sas: 

!--- Payload Compression Protocol (PCP) was not an option on the headend.  

 

outbound esp sas:

!--- One outbound SA is created after interesting traffic is detected. 

spi: 0x5c5b2a9(96842409) 
transform: esp-3des esp-md5-hmac , 
in use settings ={Tunnel, } 
slot: 0, conn id: 1, crypto map: _vpnc_cm 
sa timing: remaining key lifetime (k/sec): (4607999/28499) 
IV size: 8 bytes 
replay detection support: Y 


outbound ah sas: 

!--- AH was not an option on the headend. 



outbound pcp sas: 

!--- PCP was not an option on the headend.

Les informations de journalisation sur le concentrateur de Cisco VPN 3000

54 04/02/2002 15:14:45.560 SEV=4 IKE/52 RPT=19 172.21.48.22 
Group [beta] User [cisco] 
User (cisco) authenticated. 
!--- Group/User authentication is successful.


55 04/02/2002 15:14:46.630 SEV=4 AUTH/22 RPT=2 
User cisco connected 

56 04/02/2002 15:14:46.630 SEV=4 IKE/119 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
PHASE 1 COMPLETED 

!--- Phase I is successful. 


57 04/02/2002 15:14:46.630 SEV=5 IKE/35 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Received remote IP Proxy Subnet data in ID Payload: 

!--- Proxy info exchange.
 
Address 172.16.1.0, Mask 255.255.255.0, Protocol 0, Port 0 

60 04/02/2002 15:14:46.630 SEV=5 IKE/34 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Received local IP Proxy Subnet data in ID Payload: 

!--- Proxy info exchange.
 
Address 0.0.0.0, Mask 0.0.0.0, Protocol 0, Port 0 

63 04/02/2002 15:14:46.630 SEV=5 IKE/66 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
IKE Remote Peer configured for SA: ESP-3DES-MD5: 

!--- Transform set being used.
 

64 04/02/2002 15:14:46.640 SEV=4 IKE/49 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Security negotiation complete for User (cisco) 
Responder, Inbound SPI = 0x05c5b2a9, Outbound SPI = 0x3db858ad 

!--- Both inbound and outbound SPIs are created. These numbers will be the 
!--- same, but swapped, on the other end.


67 04/02/2002 15:14:46.640 SEV=4 IKE/120 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
PHASE 2 COMPLETED (msgid=017e9e02) 

!--- Phase II is successful.

Effacez les sessions VPN et retirez les ordres de client vpn

Effacez la session VPN

Pas les vpnclient se connectent et les commandes de déconnexion vpnclient déconnectent les sessions VPN en cours, mais n'empêchent pas l'initiation de nouveaux tunnels VPN.

Remarque: L'aucune commande vpnclient d'enable ne ferme tous les tunnels VPN établis et empêche l'initiation de nouveaux tunnels VPN jusqu'à ce que vous sélectionniez une commande vpnclient d'enable.

Retirez les ordres de client vpn

La commande vpnclient claire efface la configuration d'Easy VPN distant et la stratégie de sécurité enregistrées dans la mémoire flash.


Informations connexes


Document ID: 22828