Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Création de tunnels redondants entre pare-feu à l'aide de PDM

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit la procédure que vous utilisez pour configurer des tunnels entre deux Pare-feu PIX utilisant le Cisco PIX Device Manager (PDM). Des Pare-feu PIX sont placés à deux sites différents. En cas de manque d'atteindre le chemin primaire, il est desirable de donner un coup de pied hors fonction le tunnel par un lien redondant. IPSec est une combinaison de normes ouvertes qui fournissent la confidentialité des données, l'intégrité des données et l'authentification de l'origine des données entre des homologues IPSec.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Pare-feu Cisco Secures PIX 515E avec 6.x et version 3.0 PDM

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

redundant-firewalls-pdm-10.gif

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

La négociation IPSec peut être décomposée en cinq étapes et inclut deux phases d'échange de clés Internet (IKE).

Un tunnel IPSec est lancé par un trafic intéressant. Le trafic est considéré intéressant quand il voyage entre les pairs d'IPsec.

Dans la phase 1 d'IKE, les homologues IPSec négocient la stratégie d'association de sécurité IKE. Une fois que les homologues sont authentifiés, un tunnel sécurisé est créé en utilisant Internet Security Association and Key Management Protocol (ISAKMP).

Dans la phase 2 d'IKE, les homologues IPSec utilisent le tunnel authentifié et sécurisé pour négocier des transformations d'association de sécurité IPSec. La négociation de la stratégie partagée détermine comment le tunnel IPSec est établi.

Le tunnel d'IPsec est créé et des données sont transférées entre les pairs d'IPsec basés sur les paramètres d'IPsec configurés dans les jeux de transformations d'IPsec.

Le tunnel IPSec se termine quand les associations de sécurité IPSec sont supprimées ou quand leur durée de vie expire.

Remarque: La négociation IPSec entre les deux PIX échoue si les associations de sécurité sur les deux phases d'IKE ne correspondent pas sur les homologues.

Configuration

Cette procédure vous guide par la configuration d'un des Pare-feu PIX pour déclencher le tunnel quand le trafic intéressant existe. Cette configuration vous aide également à établir le tunnel par la liaison de sauvegarde par le routeur 2 (R2), quand il n'y a aucune Connectivité entre le PIX-01 et le PIX-02 par le routeur 1 (R1). Ce document affiche la configuration de PIX-01 utilisant PDM. Vous pouvez configurer PIX-02 sur les lignes semblables.

Ce document suppose que vous avez déjà configuré le routage.

Pour que seulement un lien soit à la fois, faites R2 annoncer une plus mauvaise mesure pour le réseau de 192.168.1.0 aussi bien que pour le réseau de 172.30.0.0. Par exemple, si vous utilisez le RIP pour le routage, R2 a cette configuration indépendamment d'autres annonces de réseau :

R2(config)#router rip
R2(config-router)#offset-list 1 out 2 s1 
R2(config-router)#offset-list 2 out 2 e0
R2(config-router)#exit 
R2(config)#access-list 1 permit 172.30.0.0 0.0.255.255
R2(config)#access-list 2 permit 192.168.1.0 0.0.0.255

Procédure de configuration

Quand vous tapez le <Inside_IP_Address_on_PIX> de https:// afin de lancer PDM et cliquer sur l'onglet VPN pour la première fois, des informations sur les affichages automatiques d'assistant VPN.

redundant-firewalls-pdm-1.gif

  1. Assistants choisis > assistant VPN.

    redundant-firewalls-pdm-2.gif

  2. L'assistant VPN vous commence et incite pour le type de VPN que vous voulez configurer. Choisissez le site à site VPN, sélectionnez l'interface extérieure comme interface sur laquelle le VPN sera activé, et cliquez sur Next.

    redundant-firewalls-pdm-3.gif

  3. Écrivez l'adresse IP de pair, où le tunnel d'IPsec devrait finir. Dans cet exemple, le tunnel finit sur l'interface extérieure de PIX-02. Cliquez sur Next (Suivant).

    redundant-firewalls-pdm-4.gif

  4. Entrez les paramètres de stratégie IKE que vous choisissez à utiliser-et cliquez sur Next.

    redundant-firewalls-pdm-5.gif

  5. Fournissez les paramètres de cryptage et d'authentification pour le jeu de transformations et cliquez sur Next.

    redundant-firewalls-pdm-6.gif

  6. Sélectionnez le réseau local et les réseaux distants que vous devez se protéger utilisant IPsec afin de sélectionner le trafic intéressant que vous devez protéger.

    redundant-firewalls-pdm-7.gif

    redundant-firewalls-pdm-8.gif

Vérifiez

S'il y a du trafic intéressant au pair, le tunnel est établi entre PIX-01 et PIX-02.

Afin de vérifier ceci, arrêtez l'interface série R1 pour laquelle le tunnel est établi entre PIX-01 et PIX-02 par l'intermédiaire de R2 quand le trafic intéressant existe.

Visualisez l'état VPN sous la maison dans le PDM (mis en valeur en rouge) afin de vérifier la formation du tunnel.

redundant-firewalls-pdm-9.gif

Vous pouvez également vérifier la formation des tunnels utilisant le CLI sous des outils dans le PDM. Exécutez la commande show crypto isakmp sa pour vérifier la formation des tunnels et exécutez la commande show crypto ipsec sa pour observer le nombre de paquets encapsulés, chiffrés, etc.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Référez-vous au Cisco PIX Device Manager 3.0 pour plus d'informations sur la configuration du Pare-feu PIX utilisant PDM.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 66166