安全 : Cisco PIX 500 系列安全设备

配置在两个PIXes之间的IPSec使用VPN客户端4.x访问

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文档说明在使用 IPSec 的公共网络上运行从 PIX 1 到 PIX 2 的简单 VPN 隧道的两个 Cisco 安全 PIX 防火墙设备 。Cisco VPN 客户端 4.x 连接到 PIX 1。配置使用预共享密钥(客户端IP的通配符)客户端模式配置。

注意: VPN 客户端可访问配有 PIX 1 的 LAN,但无法访问配有 PIX 2 的 LAN。PIX 不会重定向流量。

先决条件

要求

对于要工作的IPSec,在开始此配置之前,您必须建立隧道终点到隧道终点的连接。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • PIX 防火墙版本 6.3 (1)

    注意: show version命令必须显示加密启用。

  • VPN 客户端版本 4.0.2 (A)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分说明如何配置 PIX 到 PIX 和 VPN 客户端 4.x。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

/image/gif/paws/14092/pixpixvpn-01.gif

配置 PIX

本文档使用以下配置:

PIX1 配置
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix-1
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names

!--- Except traffic from the Network Address Translation (NAT) process.

access-list 100 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0
access-list 100 permit ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0

!--- Include traffic in the encryption process.

access-list 110 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.154 255.255.255.0
ip address inside 10.2.2.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool test 192.168.1.1-192.168.1.25
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400

!--- Except traffic from the NAT process.

nat (inside) 0 access-list 100
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00timeout conn 1:00:00 
   half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto dynamic-map dynmap 30 set transform-set myset

!--- Use the crypto-map sequence 10 command for PIX to PIX.

crypto map newmap 10 ipsec-isakmp
crypto map newmap 10 match address 110
crypto map newmap 10 set peer 172.18.124.153
crypto map newmap 10 set transform-set myset

!--- Use the crypto-map sequence 65000 command for PIX to VPN Client.

crypto map newmap 65000 ipsec-isakmp dynamic dynmap
crypto map newmap interface outside
isakmp enable outside
isakmp key ******** address 172.18.124.153 netmask 255.255.255.255 
   no-xauth no-config-mode
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5

!--- Internet Security Association and Key Management Protocol (ISAKMP) policy
!--- for a VPN Client running 3.x code and later needs to be Diffie-Hellman (DH)
!--- group 2 or above (group 1 is default).

isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

!--- IPSec group configuration for VPN Client.

vpngroup vpn3000 address-pool test
vpngroup vpn3000 dns-server 10.2.2.2
vpngroup vpn3000 wins-server 10.2.2.2
vpngroup vpn3000 default-domain cisco.com
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:0527568558f8f0a4017a2db377a36cc2
: end
[OK]

PIX2 配置
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix-2
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names

!--- Except traffic from the NAT process.

access-list 100 permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.153 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400

!--- Except traffic from the NAT process.

nat (inside) 0 access-list 100
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map newmap 10 ipsec-isakmp

!--- Include traffic in the encryption process.

crypto map newmap 10 match address 100
crypto map newmap 10 set peer 172.18.124.154
crypto map newmap 10 set transform-set myset
crypto map newmap interface outside
isakmp enable outside
isakmp key ******** address 172.18.124.154 netmask 255.255.255.255 
   no-xauth no-config-mode
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:6d2f51a85d4f8a7991b62183fcc2836c
: end
[OK]

配置 VPN 客户端

执行以下步骤以配置 VPN Client:

  1. 启动 VPN 客户端,然后单击 New 以创建新连接。

  2. 输入条目的初始信息,如名称、主机和口令。

    • 在 Connection Entry 字段中,为您的条目指定名称。

    • 在“Host”字段中,输入 PIX 的公共接口的 IP 地址以实现连接。

    • 在“Group Authentication”下,输入组名和组口令,然后再次输入口令以进行确认。

    完成后单击 Save(保存)。

    /image/gif/paws/14092/pixpixvpn-02.gif

  3. 选择您创建的连接条目,然后单击 Connect 以连接到 PIX。

    /image/gif/paws/14092/pixpixvpn-03.gif

验证

使用本部分可确认配置能否正常运行。

验证加密映射序列号

如果在同一加密映射中配置了静态和动态对等体,则加密映射条目的顺序非常重要。动态加密映射条目的序列号必须高于其他所有静态加密映射条目。如果静态条目编号高于动态条目,则与这些对等体的连接将发生故障。

下面是一个正确编号的加密映射的示例,其中包含一个静态条目和一个动态条目。请注意,动态条目具有最高的序列号,并且已留下空间以便添加其他静态条目:

crypto dynamic-map dynmap 30 set transform-set myset
crypto map newmap 10 ipsec-isakmp
crypto map newmap 10 match address 110
crypto map newmap 10 set peer 172.18.124.153
crypto map newmap 10 set transform-set myset
crypto map newmap 65000 ipsec-isakmp dynamic dynmap

故障排除

本部分提供的信息可用于对配置进行故障排除。

故障排除命令

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

您可以在运行 logging monitor debugginglogging console debugging 命令的 PIX 上使用以下命令:

  • debug crypto ipsec — 调试 IPSec 处理。

  • debug crypto isakmp — 调试 ISAKMP处理。

在 VPN 客户端上,启动位于窗口左下角的日志窗口。

清除安全关联 (SA)

在 PIX 的配置模式下,使用以下命令:

  • clear [crypto] ipsec sa — 删除活动的 IPSec 安全关联。关键字 crypto 是可选的。

  • clear [crypto] isakmp sa — 删除活动的 IKE 安全关联。关键字 crypto 是可选的。

在 VPN 客户端上,您可以选择“Log”选项卡以查看日志条目。

注意: 对于要工作的IPSec,在开始此配置之前,您必须建立隧道终点到隧道终点的连接。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 14092