セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

VPN 3000 コンセントレータを搭載した PIX 501/506 シリーズセキュリティ アプライアンス上の VPN ハードウェア クライアントの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、PIX 501/506 シリーズのセキュリティ アプライアンスで Cisco VPN ハードウェア クライアント機能を導入するお客様向けに、設定例を紹介します。 PIXバージョン 6.2 とこの機能が導入され、VPN 3000 コンセントレータで IPSecトンネルを作成するのに Cisco IOS を実行するルータ使用されていますか。 ソフトウェア、か PIXファイアウォール。

PIX 501/506 ハードウェアクライアントの設定はヘッドエンド VPN デバイスのためそれが VPN 3000 コンセントレータ、Cisco IOSソフトウェアを実行する、または PIXファイアウォールであるルータかどうか、同じです。 安全に ヘッドエンド デバイスの背後にあるデバイスと交信を行うためにそれらでインストールされる PIXファイアウォール ハードウェアクライアントの後ろのデバイスはもはや VPN クライアントがある必要がありません。 これは VPN リモートユーザをサポートするために解決する急速 な 展開および低下を可能にします。

VPN ハードウェアクライアントはネットワーク拡張モード (NEM)かクライアントモードで動作します。 NEM では、ネットワーク管理者は遠隔制御装置およびトラブルシューティングのための PIXファイアウォール VPN ハードウェアクライアントの後ろでデバイスにアクセスできます。 クライアントモードでは、PIX 501/506 の背後にあるネットワークデバイスはヘッドエンドか他の VPN ユーザからアクセスが不可能です。 この動作は VPN 3002 Hardware Client に同じです。

注:  PIX 501 および PIX 506/506E は Easy VPN Remote および Easy VPN Server デバイスです。 PIX 515/515E、PIX 525 および PIX 535 は Easy VPN サーバだけとして機能します。

設定します Cisco IOS ルータが Easy VPN Server として機能する同じようなシナリオに関する詳細については拡張認証でネットワーク拡張モードの IOSルータに PIX 501/506 Easy VPN Remote を参照して下さい。

Pix-to-pix 6.x を参照して下さい: PIX 506 6.x が Easy VPN Server として機能する同じようなシナリオに関する詳細については Easy VPN (NEM)設定例

サーバとして ASA 5500 および PIX/ASA 7.x が Easy VPN Server として機能する同じようなシナリオに関する詳細についてはクライアント(NEM)設定例として PIX 506E との PIX/ASA 7.x Easy VPN を参照して下さい。

サーバとして ASA 5500 および Cisco 871 ルータが Easy VPN Remote として機能する同じようなシナリオに関する詳細については Easy VPN リモート設定例として Cisco 871 との PIX/ASA 7.x Easy VPN を参照して下さい。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIXファイアウォール バージョン 6.2 または 6.3

    注: PIXファイアウォール バージョン 7.x は PIX 501/506 をサポートしません。

  • Cisco 2600 ルータ Cisco IOS ソフトウェア バージョン 12.2.7b を実行する

  • Cisco 3620 ルータ Cisco IOS ソフトウェア バージョン 12.2.7b を実行する

  • Cisco VPN 3000 コンセントレータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

この例では NEM の Cisco VPN 3000 コンセントレータとの VPN トンネルを開始するために、PIX 506 は設定されます。 NEM は PIX 506 の背後にあるそれらのデバイスが付いている表示および通信を可能にします。 VPN 3000 コンセントレータはルートを学習し、アドバタイズするためにルーティング情報プロトコル (RIP) バージョン 2 を実行します。 Reverse Route Injection (RRI)は VPN 3000 コンセントレータでトラフィックが Cisco 3620 ルータから初期化されると同時に Cisco 2600 ルータに RIP を、PIX 506 VPN ハードウェアクライアントの後ろで、使用するリモートネットワークをアドバタイズすることそのような物有効に なります。

ポリシー ルーティング 情報に基づいてこのトラフィックを転送する分割トンネリングは VPN 3000 コンセントレータで有効に なりません、従って Cisco 3620 ルータから送信されるすべてのトラフィックは VPN 3000 コンセントレータに暗号化され、送信 されます。 ポリシーは VPN 3000 コンセントレータだけで(基づいていました個々の会社 セキュリティ要件に修正することができます)定義され、PIX 506 VPN ハードウェアクライアントにトンネルネゴシエーションの間に押されます(PC の VPN クライアントとそっくりに)。

PIX 506 はでイーサネット(E1)インターフェイスのダイナミック ホスト コンフィギュレーション プロトコル サーバ service dhcp クライアント設定されます。 Cisco 3620 ルータのインターフェイス Fa0/1 は DHCP クライアントで設定されます。 Cisco 2621 ルータは VPN 3000 コンセントレータ 設定例に Rip バージョン 2.を示します VPN 3000 コンセントレータを設定するために VPN クライアントの IPsec を実行します。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: Command Lookup Tool登録ユーザのみ)またはこのセクションで使用されるコマンドに関する詳細を使用して下さい。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/22828/pix501506_vpn3k.gif

注: この設定で使用している IP アドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。 これらは RFC 1918 で使用されているアドレスであり、ラボ環境で使用されたものです。

設定

このドキュメントでは、次の設定を使用します。

Cisco 3620 ルータ
interface FastEthernet0/1
    ip address dhcp  

!--- The DHCP client requests an IP address from the PIX, 
!--- which is configured as a DHCP server.

Cisco 2621 ルータ
Configuration of 2621 router 
2621#write terminal
! 
hostname 2621 
! 
interface FastEthernet0/1 
ip address 10.10.10.2 255.255.255.0 
ip rip send version 2

!--- Send only RIP version 2. 

ip rip receive version 2

!--- Receive only RIP version 2. 

! 
router rip 
version 2

!--- RIP version 2 enabled.
 
network 10.0.0.0 
no auto-summary 
!

PIX の設定

接続は PIX 506 から開始されるので PIX 506 の背後にある VPN 3000 コンセントレータか VPN クライアントよりもむしろ Access Control List (ACL)かコンジット割り当てトラフィックを、定義することは必要ではないです。 デフォルトで、トラフィックは内部から外部へ許可されます。

PIX 506
506#write terminal 
Building configuration... 
: Saved 
: 
PIX Version 6.2(0)243 
nameif ethernet0 outside security0 

!--- On PIX 501/506, this is the default configuration. 

nameif ethernet1 inside security100 
enable password 2KFQnbNIdI.2KYOU encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
hostname 506 
fixup protocol ftp 21 
fixup protocol http 80 
fixup protocol h323 h225 1720 
fixup protocol h323 ras 1718-1719 
fixup protocol ils 389 
fixup protocol rsh 514 
fixup protocol rtsp 554 
fixup protocol smtp 25 
fixup protocol sqlnet 1521 
fixup protocol sip 5060 
fixup protocol skinny 2000 
names 
pager lines 24 
logging console debugging 
logging monitor debugging 
logging buffered debugging 
interface ethernet0 auto
interface ethernet1 auto 

!--- You should manually specify speed/duplex if your attached  
!--- devices do not support auto negotiation.

mtu outside 1500 
mtu inside 1500 
ip address outside 172.21.48.22 255.255.255.224 
ip address inside 172.16.1.1 255.255.255.0 
ip audit info action alarm 
ip audit attack action alarm 
pdm history enable 
arp timeout 14400 
route outside 0.0.0.0 0.0.0.0 172.21.48.25 1 
timeout xlate 3:00:00 
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 
0:30:00 sip_med 
ia 0:02:00 
timeout uauth 0:05:00 absolute 
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location 
no snmp-server contact 
snmp-server community public 
no snmp-server enable traps 
floodguard enable 
no sysopt route dnat 
telnet timeout 5 
ssh timeout 5 

dhcpd address 172.16.1.10-172.16.1.20 inside 

!--- This is the pool for the DHCP server to service local requests. 


dhcpd lease 3600 

!--- This is optional. 


dhcpd ping_timeout 750 

!--- This is optional.
 

dhcpd domain cisco.com 

dhcpd enable inside 

!--- You should enable this on the inside interface. 


vpnclient vpngroup beta password ******** 

!--- Group name and password must match, as defined on
!--- the VPN 3000 Concentrator (or on ACS, if you use
!--- ACS with a VPN 3000 Concentrator). 


vpnclient username cisco password ******** 

!--- User Name/Password must match as defined on
!--- the VPN 3000 Concentrator (or on ACS, if you use
!--- ACS with a VPN 3000 Concentrator). 


vpnclient server 172.21.48.25
 

!--- This is the IP address of the headend
!--- VPN 3000 Concentrator. There can be from 1 to 10 secondary
!--- Cisco Easy  VPN Servers (backup VPN headends) configured.
!--- However, check your platform-specific documentation for 
!--- applicable peer limits on your PIX Firewall platform. 


vpnclient mode network-extension-mode 

!--- Using NEM. 


vpnclient enable 

terminal width 80 
Cryptochecksum:f719695f4d56b84be0c944975caf9f12 
: end 
[OK]

Cisco VPN 3000 コンセントレータの設定

VPN 3000 コンセントレータ 設定例に VPN クライアントの IPsec および設定 例のための VPN 3000 コンセントレータに接続する Cisco IOS での Cisco EzVPN クライアントの設定を参照して下さい。

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • Cisco 3620 の後のルーティングは設定されます

    3620#show ip route 
    Gateway of last resort is 172.16.1.1 to network 0.0.0.0 
    
    172.16.0.0/24 is subnetted, 1 subnets 
    C  172.16.1.0 is directly connected, FastEthernet0/1 
    S* 0.0.0.0/0 [254/0] via 172.16.1.1
    
    !--- Point default to PIX as received with DHCP. 
    
    
  • Cisco 3620 の DHCPリース 情報

    3620#show dhcp lease
    Temp IP addr: 172.16.1.10 for peer on Interface: FastEthernet0/1 
    Temp sub net mask: 255.255.255.0 
    DHCP Lease server: 172.16.1.1, state: 3 Bound 
    DHCP transaction id: 11CD 
    Lease: 3600 secs, Renewal: 1800 secs, Rebind: 3150 secs 
    Temp default-gateway addr: 172.16.1.1 
    Next timer fires after: 00:14:39 
    Retry count: 0 Client-ID: cisco-0008.215d.7be2-Fa0/1
  • Cisco 2621 の後のルーティングは設定されます

    2621#show ip route 
    172.16.0.0/24 is subnetted, 1 subnets 
    R 172.16.1.0 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    
    !--- This is the remote network connected to the 
    !--- private interface of the PIX 506 VPN Hardware Client. 
    !--- As RRI is configured on the VPN 3000 Concentrator, it uses 
    !--- RIP in order to advertise this remote network after it sees 
    !--- traffic from the remote end.
    
    172.21.0.0/27 is subnetted, 1 subnets 
    R 172.21.48.0 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    R 192.168.201.0/24 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    10.0.0.0/24 is subnetted, 1 subnets 
    C 10.10.10.0 is directly connected, FastEthernet0/1

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

出力例

この出力例はトラフィックが Cisco 3620 および Cisco 2621 ルータの間で初期化される前に現在のステートを示します。

506#show crypto isakmp sa 
Total : 1 
Embryonic : 0 
    dst            src        state   pending   created 
 172.21.48.25  172.21.48.22  QM_IDLE     0         0 


506#show crypto ipsec sa 
interface: outside 
Crypto map tag: _vpnc_cm, local addr. 172.21.48.22 

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) 
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) 

!--- Proxy information exchange is complete as defined on the headend, 
!--- although no interesting traffic has been initiated. In Cisco IOS 
!--- this exchange occurs only when there is interesting traffic. 

current_peer: 172.21.48.25 
PERMIT, flags={origin_is_acl,} 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 
#pkts compressed: 0, #pkts decompressed: 0 
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 
#send errors 0, #recv errors 0 

local crypto endpt.: 172.21.48.22, remote crypto endpt.: 172.21.48.25 
path mtu 1500, ipsec overhead 0, media mtu 1500 
current outbound spi: 0 

!--- Security Parameter Index (SPI) is created thus far. 


inbound esp sas:

!--- No inbound Security Association (SA) is created thus far.



inbound ah sas: 


inbound pcp sas: 


outbound esp sas:

!--- No outbound SA is created thus far.



outbound ah sas: 


outbound pcp sas:

この出力例は PING が Cisco 3620 および Cisco 2621 ルータの間で始められた後状態を示します。

3620#ping 10.10.10.2 

Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds: 
..!!! 

!--- The initial ping failed because the SAs were created after the PIX 
!--- detected interesting traffic. 

Success rate is 60 percent (3/5), round-trip min/avg/max = 4/4/4 ms 
3620# 

506#show crypto isakmp sa 
Total: 1 
Embryonic: 0 
    dst             src       state  pending  created 
172.21.48.25   172.21.48.22  QM_IDLE    0       1 

506#show crypto ipsec sa 
interface: outside 
Crypto map tag: _vpnc_cm, local addr. 172.21.48.22 

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) 
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) 
current_peer: 172.21.48.25 
PERMIT, flags={origin_is_acl,} 
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3 

!--- This shows the number of packets encrypted.

#pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3 
#pkts compressed: 0, #pkts decompressed: 0 
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 
#send errors 1, #recv errors 0 

local crypto endpt.: 172.21.48.22, remote crypto endpt.: 172.21.48.25 
path mtu 1500, ipsec overhead 56, media mtu 1500 
current outbound spi: 5c5b2a9 

!--- SPI is created now. 


inbound esp sas: 

!--- One inbound SA is created after interesting traffic is detected.

spi: 0x3db858ad(1035491501) 
transform: esp-3des esp-md5-hmac , 
in use settings ={Tunnel, } 
slot: 0, conn id: 2, crypto map: _vpnc_cm 
sa timing: remaining key lifetime (k/sec): (4607999/28499) 
IV size: 8 bytes 
replay detection support: Y 

inbound ah sas: 

!--- Authentication Header (AH) was not an option on the headend. 

 

inbound pcp sas: 

!--- Payload Compression Protocol (PCP) was not an option on the headend.  

 

outbound esp sas:

!--- One outbound SA is created after interesting traffic is detected. 

spi: 0x5c5b2a9(96842409) 
transform: esp-3des esp-md5-hmac , 
in use settings ={Tunnel, } 
slot: 0, conn id: 1, crypto map: _vpnc_cm 
sa timing: remaining key lifetime (k/sec): (4607999/28499) 
IV size: 8 bytes 
replay detection support: Y 


outbound ah sas: 

!--- AH was not an option on the headend. 



outbound pcp sas: 

!--- PCP was not an option on the headend.

Cisco VPN 3000 コンセントレータのログ情報

54 04/02/2002 15:14:45.560 SEV=4 IKE/52 RPT=19 172.21.48.22 
Group [beta] User [cisco] 
User (cisco) authenticated. 
!--- Group/User authentication is successful.


55 04/02/2002 15:14:46.630 SEV=4 AUTH/22 RPT=2 
User cisco connected 

56 04/02/2002 15:14:46.630 SEV=4 IKE/119 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
PHASE 1 COMPLETED 

!--- Phase I is successful. 


57 04/02/2002 15:14:46.630 SEV=5 IKE/35 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Received remote IP Proxy Subnet data in ID Payload: 

!--- Proxy info exchange.
 
Address 172.16.1.0, Mask 255.255.255.0, Protocol 0, Port 0 

60 04/02/2002 15:14:46.630 SEV=5 IKE/34 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Received local IP Proxy Subnet data in ID Payload: 

!--- Proxy info exchange.
 
Address 0.0.0.0, Mask 0.0.0.0, Protocol 0, Port 0 

63 04/02/2002 15:14:46.630 SEV=5 IKE/66 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
IKE Remote Peer configured for SA: ESP-3DES-MD5: 

!--- Transform set being used.
 

64 04/02/2002 15:14:46.640 SEV=4 IKE/49 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Security negotiation complete for User (cisco) 
Responder, Inbound SPI = 0x05c5b2a9, Outbound SPI = 0x3db858ad 

!--- Both inbound and outbound SPIs are created. These numbers will be the 
!--- same, but swapped, on the other end.


67 04/02/2002 15:14:46.640 SEV=4 IKE/120 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
PHASE 2 COMPLETED (msgid=017e9e02) 

!--- Phase II is successful.

クリア VPN セッションは VPN クライアント コマンドを削除し、

クリア VPN セッション

vpnclient は接続しないし、vpnclient disconnect コマンドは現在の VPN セッションを切断しますが、新しい VPN トンネルの開始を防ぎません。

注: vpnclient enable コマンドはすべての確立された VPN トンネルを閉じないし、vpnclient enable コマンドを入力するまで新しい VPN トンネルの開始を防ぎます。

VPN クライアント コマンドを削除して下さい

クリア vpnclient コマンドはフラッシュ メモリで保存される Easy VPN リモート設定およびセキュリティポリシーをクリアします。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 22828