Réseaux de stockage : Dispositifs de sécurité de la gamme Cisco PIX 500

Exemple de configuration d'un tunnel VPN LAN à LAN entre deux PIX à l'aide de PDM

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit la procédure pour configurer des tunnels VPN entre deux Pare-feu PIX utilisant le Cisco PIX Device Manager (PDM). PDM est un outil de configuration basé sur navigateur conçu pour vous aider à installer, configurer, et surveiller votre Pare-feu PIX avec un GUI. Les pare-feux PIX sont placés à deux endroits différents.

Un tunnel est formé utilisant IPsec. IPSec est une combinaison de normes ouvertes qui fournissent la confidentialité des données, l'intégrité des données et l'authentification de l'origine des données entre des homologues IPSec.

Conditions préalables

Conditions requises

Il n'y a aucune condition requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur des Pare-feu Cisco Secures PIX 515E avec 6.x et version 3.0 PDM.

Référez-vous à configurer un simple PIX--PIX au tunnel VPN utilisant IPsec pour un exemple de configuration sur la configuration d'un tunnel VPN entre deux périphériques PIX utilisant l'interface de ligne de commande (CLI).

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

l2l-tunnel-using-pdm-a.gif

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

La négociation IPSec peut être décomposée en cinq étapes et inclut deux phases d'échange de clés Internet (IKE).

  1. Un tunnel IPSec est lancé par un trafic intéressant. Le trafic est considéré intéressant quand il voyage entre les pairs d'IPsec.

  2. Dans la phase 1 d'IKE, les homologues IPSec négocient la stratégie d'association de sécurité IKE. Une fois que les homologues sont authentifiés, un tunnel sécurisé est créé en utilisant Internet Security Association and Key Management Protocol (ISAKMP).

  3. Dans la phase 2 d'IKE, les homologues IPSec utilisent le tunnel authentifié et sécurisé pour négocier des transformations d'association de sécurité IPSec. La négociation de la stratégie partagée détermine comment le tunnel IPSec est établi.

  4. Le tunnel d'IPsec est créé et des données sont transférées entre les pairs d'IPsec basés sur les paramètres d'IPsec configurés dans les jeux de transformations d'IPsec.

  5. Le tunnel IPSec se termine quand les associations de sécurité IPSec sont supprimées ou quand leur durée de vie expire.

    Remarque: La négociation IPSec entre les deux PIX échoue si les associations de sécurité sur les deux phases d'IKE ne correspondent pas sur les homologues.

Procédure de configuration

Indépendamment de l'autre configuration générale sur le CLI de PIX pour l'accéder à par les Ethernet 0 reliez, utilisez le <interface> de <mask> de <local_ip> d'enable de serveur de HTTP de commandes et de serveur de HTTP où le <local_ip> et le <mask> est l'adresse IP et le masque du poste de travail sur lequel PDM est installé. La configuration dans ce document est pour PIX-01. PIX-02 peut être configuré utilisant les mêmes étapes avec différentes adresses.

Procédez comme suit :

  1. Ouvrez votre navigateur et tapez le <Inside_IP_Address_of_PIX> de https:// pour accéder au PIX dans PDM.

  2. Cliquez sur la configuration et allez à l'onglet VPN.

    l2l-tunnel-using-pdm-1.gif

  3. Cliquez sur les jeux de transformations sous IPSec pour créer un jeu de transformations.

    l2l-tunnel-using-pdm-2.gif

  4. Cliquez sur Add, sélectionnez toute l'option appropriée, et cliquez sur OK pour créer un nouveau jeu de transformations.

    l2l-tunnel-using-pdm-3.gif

  5. Cliquez sur les clés pré-partagées sous l'IKE pour configurer des clés pré-partagées.

    l2l-tunnel-using-pdm-5.gif

  6. Cliquez sur Add pour ajouter une nouvelle clé pré-partagée.

    l2l-tunnel-using-pdm-6.gif

    Cette fenêtre affiche la clé, qui est le mot de passe pour l'association de tunnel. Ceci doit s'assortir des deux côtés du tunnel.

    l2l-tunnel-using-pdm-7.gif

  7. Stratégies de clic sous l'IKE pour configurer des stratégies.

    l2l-tunnel-using-pdm-8.gif

  8. Cliquez sur Add et complétez les champs appropriés.

    l2l-tunnel-using-pdm-9.gif

  9. Cliquez sur OK pour ajouter une nouvelle stratégie.

    l2l-tunnel-using-pdm-10.gif

  10. Sélectionnez l'interface extérieure, enable de clic, et de l'adresse choisie de vers le bas-menu de traction d'identité.

    l2l-tunnel-using-pdm-11.gif

  11. Cliquez sur les règles IPSecs sous IPSec de créer des règles d'IPsec.

    l2l-tunnel-using-pdm-12.gif

  12. Complétez les champs appropriés.

    l2l-tunnel-using-pdm-14.gif

  13. Cliquez sur New dans la stratégie de tunnel. Une fenêtre de stratégie de tunnel apparaît. Complétez les champs appropriés.

    l2l-tunnel-using-pdm-15.gif

  14. Cliquez sur OK pour voir l'IPsec configuré ordonner.

  15. Les options de systèmes du clic VPN et l'accès de contournement de contrôle vérifient tout le trafic d'IPSec.

    l2l-tunnel-using-pdm-16.gif

Vérifiez

S'il y a du trafic intéressant au pair, le tunnel est établi entre PIX-01 et PIX-02.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Visualisez l'état VPN sous la maison dans le PDM (mis en valeur en rouge) afin de vérifier la formation du tunnel.

l2l-tunnel-using-pdm-17.gif

Vous pouvez également vérifier la formation des tunnels utilisant le CLI sous des outils dans le PDM. Exécutez la commande show crypto isakmp sa pour vérifier la formation des tunnels et exécutez la commande show crypto ipsec sa pour observer le nombre de paquets encapsulés, chiffrés, etc.

Remarque: L'interface interne du PIX ne peut pas être cinglée pour la formation du tunnel à moins que la commande de Gestion-Access soit configurée en mode de configuration globale.

PIX-02(config)#management-access inside
PIX-02(config)#show management-access
management-access inside

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


Informations connexes


Document ID: 67929