Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Hardware cliente VPN en un dispositivo de seguridad de las 501/506 Series PIX con el ejemplo de configuración concentrador VPN 3000

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona un ejemplo de configuración paso a paso para aquellos clientes que deseen implementar la función Cisco VPN Hardware Client en un PIX 501/506 Series Security Appliance. Esta característica fue introducida con la versión de PIX 6.2 y se utiliza para crear un túnel IPsec con un concentrador VPN 3000, un router que funciona con el software del½ del¿Â del Cisco IOSïÂ, o un firewall PIX.

La configuración del hardware cliente PIX 501/506 es lo mismo para el dispositivo VPN de cabecera, si es un concentrador VPN 3000, un router que funciona con el Cisco IOS Software, o un firewall PIX. Los dispositivos detrás del hardware cliente del firewall PIX necesitan no más tener los clientes VPN instalados en ellos para comunicar con seguridad con los dispositivos detrás del dispositivo de cabecera. Esto permite la instrumentación rápida y disminuye el troubleshooting para apoyar a los usuarios remotos VPN.

El hardware cliente VPN actúa en el Modo de ampliación de la red (NEM) o el modo cliente. En el NEM, el administrador de la red puede acceder los dispositivos detrás del hardware cliente del firewall PIX VPN para el Control remoto y el troubleshooting. En el modo cliente, los dispositivos de red detrás del PIX 501/506 no son accesibles del headend o de otros usuarios de VPN. Este comportamiento es lo mismo en el VPN 3002 Hardware Client.

Nota:  El PIX 501 y el PIX 506/506E son dispositivos del Easy VPN Remote y del Easy VPN Server. El PIX 515/515E, PIX 525, y PIX 535 actúa como servidores VPN fáciles solamente.

Refiera a la configuración el Easy VPN Remote PIX 501/506 a un router IOS en el modo de ampliación de la red con la autenticación ampliada para más información sobre un escenario similar donde el router del Cisco IOS actúa como el Easy VPN Server.

Refiera a PIX-a-PIX 6.x: Ejemplo de configuración fácil VPN (NEM) para más información sobre un escenario similar donde el PIX 506 6.x actúa como el Easy VPN Server.

Refiera al PIX/ASA 7.x VPN fácil con un ASA 5500 como el servidor y el PIX 506E como el ejemplo de configuración del cliente (NEM) para más información sobre un escenario similar donde el PIX/ASA 7.x actúa como el Easy VPN Server.

Refiera al PIX/ASA 7.x VPN fácil con un ASA 5500 como el servidor y Cisco 871 como el ejemplo de la configuración VNP remota sencilla para más información sobre un escenario similar donde el Cisco 871 Router actúa como el Easy VPN Remote.

prerrequisitos

Requisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 6.2 o 6.3 del firewall PIX

    Nota: La versión 7.x del firewall PIX no soporta PIX 501/506.

  • Cisco 2600 Router que funciona con la versión del Cisco IOS Software 12.2.7b

  • Cisco 3620 Router que funciona con la versión del Cisco IOS Software 12.2.7b

  • Concentrador Cisco VPN 3000

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

Antecedentes

En este ejemplo, el PIX 506 se configura para iniciar un túnel VPN con el Cisco VPN 3000 Concentrator en el NEM. NEM permitidos para visibilidad y comunicación con esos dispositivos detrás del PIX 506. El concentrador VPN 3000 funciona con la versión 2 del Routing Information Protocol (RIP) para aprender y hacer publicidad de las rutas. El Reverse Route Injection (RRI) se habilita en el concentrador VPN 3000 tales que hace publicidad de la red remota que utiliza el RIP, detrás del hardware cliente del PIX 506 VPN, a un Cisco 2600 Router mientras que el tráfico se inicia del Cisco 3620 Router.

El Túnel dividido no se habilita en el concentrador VPN 3000, así que todo trafica originado del Cisco 3620 Router se cifra y se envía al concentrador VPN 3000, que adelante este tráfico basó en la información de Policy Routing. La directiva se define (y puede ser modificado basó en los requerimientos de seguridad de las individuales de la empresa) en el concentrador VPN 3000 solamente y se avanza al hardware cliente del PIX 506 VPN durante la negociación de túnel (exactamente como un cliente VPN en un PC).

Se configura El PIX 506 mientras que un servidor del Protocolo de configuración dinámica de host (DHCP) para mantener a los clientes DHCP en los Ethernetes (e1) interconecta. El Fa0/1 de la interfaz en el Cisco 3620 Router se configura como Cliente de DHCP. El Cisco 2621 Router funciona con la versión de RIP 2. refiere al IPSec con el cliente VPN al ejemplo de configuración concentrador VPN 3000 para configurar el concentrador VPN 3000.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta de búsqueda de comandos (clientes registrados solamente) o más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/22828/pix501506_vpn3k.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que se han utilizado en un entorno de laboratorio.

Configuraciones

En este documento, se utilizan estas configuraciones:

Cisco 3620 Router
interface FastEthernet0/1
    ip address dhcp  

!--- The DHCP client requests an IP address from the PIX, 
!--- which is configured as a DHCP server.

Cisco 2621 Router
Configuration of 2621 router 
2621#write terminal
! 
hostname 2621 
! 
interface FastEthernet0/1 
ip address 10.10.10.2 255.255.255.0 
ip rip send version 2

!--- Send only RIP version 2. 

ip rip receive version 2

!--- Receive only RIP version 2. 

! 
router rip 
version 2

!--- RIP version 2 enabled.
 
network 10.0.0.0 
no auto-summary 
!

Configuración de PIX

No es necesario definir una lista de control de acceso (ACL) o un conducto para permitir el tráfico porque la conexión se inicia del PIX 506, bastante que el concentrador VPN 3000 o el cliente VPN detrás del PIX 506. Por abandono, el tráfico se permite desde adentro al exterior.

PIX 506
506#write terminal 
Building configuration... 
: Saved 
: 
PIX Version 6.2(0)243 
nameif ethernet0 outside security0 

!--- On PIX 501/506, this is the default configuration. 

nameif ethernet1 inside security100 
enable password 2KFQnbNIdI.2KYOU encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
hostname 506 
fixup protocol ftp 21 
fixup protocol http 80 
fixup protocol h323 h225 1720 
fixup protocol h323 ras 1718-1719 
fixup protocol ils 389 
fixup protocol rsh 514 
fixup protocol rtsp 554 
fixup protocol smtp 25 
fixup protocol sqlnet 1521 
fixup protocol sip 5060 
fixup protocol skinny 2000 
names 
pager lines 24 
logging console debugging 
logging monitor debugging 
logging buffered debugging 
interface ethernet0 auto
interface ethernet1 auto 

!--- You should manually specify speed/duplex if your attached  
!--- devices do not support auto negotiation.

mtu outside 1500 
mtu inside 1500 
ip address outside 172.21.48.22 255.255.255.224 
ip address inside 172.16.1.1 255.255.255.0 
ip audit info action alarm 
ip audit attack action alarm 
pdm history enable 
arp timeout 14400 
route outside 0.0.0.0 0.0.0.0 172.21.48.25 1 
timeout xlate 3:00:00 
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 
0:30:00 sip_med 
ia 0:02:00 
timeout uauth 0:05:00 absolute 
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location 
no snmp-server contact 
snmp-server community public 
no snmp-server enable traps 
floodguard enable 
no sysopt route dnat 
telnet timeout 5 
ssh timeout 5 

dhcpd address 172.16.1.10-172.16.1.20 inside 

!--- This is the pool for the DHCP server to service local requests. 


dhcpd lease 3600 

!--- This is optional. 


dhcpd ping_timeout 750 

!--- This is optional.
 

dhcpd domain cisco.com 

dhcpd enable inside 

!--- You should enable this on the inside interface. 


vpnclient vpngroup beta password ******** 

!--- Group name and password must match, as defined on
!--- the VPN 3000 Concentrator (or on ACS, if you use
!--- ACS with a VPN 3000 Concentrator). 


vpnclient username cisco password ******** 

!--- User Name/Password must match as defined on
!--- the VPN 3000 Concentrator (or on ACS, if you use
!--- ACS with a VPN 3000 Concentrator). 


vpnclient server 172.21.48.25
 

!--- This is the IP address of the headend
!--- VPN 3000 Concentrator. There can be from 1 to 10 secondary
!--- Cisco Easy  VPN Servers (backup VPN headends) configured.
!--- However, check your platform-specific documentation for 
!--- applicable peer limits on your PIX Firewall platform. 


vpnclient mode network-extension-mode 

!--- Using NEM. 


vpnclient enable 

terminal width 80 
Cryptochecksum:f719695f4d56b84be0c944975caf9f12 
: end 
[OK]

Configuración del concentrador VPN 3000 de Cisco

Refiera al IPSec con el cliente VPN al ejemplo de configuración concentrador VPN 3000 y a configurar al cliente EzVPN de Cisco en el Cisco IOS con el concentrador VPN 3000 para las configuraciones de muestra.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • Las rutas después del Cisco 3620 se configuran

    3620#show ip route 
    Gateway of last resort is 172.16.1.1 to network 0.0.0.0 
    
    172.16.0.0/24 is subnetted, 1 subnets 
    C  172.16.1.0 is directly connected, FastEthernet0/1 
    S* 0.0.0.0/0 [254/0] via 172.16.1.1
    
    !--- Point default to PIX as received with DHCP. 
    
    
  • Información sobre arrendamiento del DHCP en el Cisco 3620

    3620#show dhcp lease
    Temp IP addr: 172.16.1.10 for peer on Interface: FastEthernet0/1 
    Temp sub net mask: 255.255.255.0 
    DHCP Lease server: 172.16.1.1, state: 3 Bound 
    DHCP transaction id: 11CD 
    Lease: 3600 secs, Renewal: 1800 secs, Rebind: 3150 secs 
    Temp default-gateway addr: 172.16.1.1 
    Next timer fires after: 00:14:39 
    Retry count: 0 Client-ID: cisco-0008.215d.7be2-Fa0/1
  • Las rutas después del Cisco 2621 se configuran

    2621#show ip route 
    172.16.0.0/24 is subnetted, 1 subnets 
    R 172.16.1.0 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    
    !--- This is the remote network connected to the 
    !--- private interface of the PIX 506 VPN Hardware Client. 
    !--- As RRI is configured on the VPN 3000 Concentrator, it uses 
    !--- RIP in order to advertise this remote network after it sees 
    !--- traffic from the remote end.
    
    172.21.0.0/27 is subnetted, 1 subnets 
    R 172.21.48.0 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    R 192.168.201.0/24 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    10.0.0.0/24 is subnetted, 1 subnets 
    C 10.10.10.0 is directly connected, FastEthernet0/1

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Ejemplo de Salida

Esta salida de muestra muestra al estado actual antes de que el tráfico se inicie entre el Routers del 3620 y 2621 de Cisco.

506#show crypto isakmp sa 
Total : 1 
Embryonic : 0 
    dst            src        state   pending   created 
 172.21.48.25  172.21.48.22  QM_IDLE     0         0 


506#show crypto ipsec sa 
interface: outside 
Crypto map tag: _vpnc_cm, local addr. 172.21.48.22 

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) 
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) 

!--- Proxy information exchange is complete as defined on the headend, 
!--- although no interesting traffic has been initiated. In Cisco IOS 
!--- this exchange occurs only when there is interesting traffic. 

current_peer: 172.21.48.25 
PERMIT, flags={origin_is_acl,} 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 
#pkts compressed: 0, #pkts decompressed: 0 
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 
#send errors 0, #recv errors 0 

local crypto endpt.: 172.21.48.22, remote crypto endpt.: 172.21.48.25 
path mtu 1500, ipsec overhead 0, media mtu 1500 
current outbound spi: 0 

!--- Security Parameter Index (SPI) is created thus far. 


inbound esp sas:

!--- No inbound Security Association (SA) is created thus far.



inbound ah sas: 


inbound pcp sas: 


outbound esp sas:

!--- No outbound SA is created thus far.



outbound ah sas: 


outbound pcp sas:

Esta salida de muestra muestra el estado después de que un ping se inicie entre el Routers del 3620 y 2621 de Cisco.

3620#ping 10.10.10.2 

Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds: 
..!!! 

!--- The initial ping failed because the SAs were created after the PIX 
!--- detected interesting traffic. 

Success rate is 60 percent (3/5), round-trip min/avg/max = 4/4/4 ms 
3620# 

506#show crypto isakmp sa 
Total: 1 
Embryonic: 0 
    dst             src       state  pending  created 
172.21.48.25   172.21.48.22  QM_IDLE    0       1 

506#show crypto ipsec sa 
interface: outside 
Crypto map tag: _vpnc_cm, local addr. 172.21.48.22 

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) 
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) 
current_peer: 172.21.48.25 
PERMIT, flags={origin_is_acl,} 
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3 

!--- This shows the number of packets encrypted.

#pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3 
#pkts compressed: 0, #pkts decompressed: 0 
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 
#send errors 1, #recv errors 0 

local crypto endpt.: 172.21.48.22, remote crypto endpt.: 172.21.48.25 
path mtu 1500, ipsec overhead 56, media mtu 1500 
current outbound spi: 5c5b2a9 

!--- SPI is created now. 


inbound esp sas: 

!--- One inbound SA is created after interesting traffic is detected.

spi: 0x3db858ad(1035491501) 
transform: esp-3des esp-md5-hmac , 
in use settings ={Tunnel, } 
slot: 0, conn id: 2, crypto map: _vpnc_cm 
sa timing: remaining key lifetime (k/sec): (4607999/28499) 
IV size: 8 bytes 
replay detection support: Y 

inbound ah sas: 

!--- Authentication Header (AH) was not an option on the headend. 

 

inbound pcp sas: 

!--- Payload Compression Protocol (PCP) was not an option on the headend.  

 

outbound esp sas:

!--- One outbound SA is created after interesting traffic is detected. 

spi: 0x5c5b2a9(96842409) 
transform: esp-3des esp-md5-hmac , 
in use settings ={Tunnel, } 
slot: 0, conn id: 1, crypto map: _vpnc_cm 
sa timing: remaining key lifetime (k/sec): (4607999/28499) 
IV size: 8 bytes 
replay detection support: Y 


outbound ah sas: 

!--- AH was not an option on the headend. 



outbound pcp sas: 

!--- PCP was not an option on the headend.

Información de ingreso al sistema en el Cisco VPN 3000 Concentrator

54 04/02/2002 15:14:45.560 SEV=4 IKE/52 RPT=19 172.21.48.22 
Group [beta] User [cisco] 
User (cisco) authenticated. 
!--- Group/User authentication is successful.


55 04/02/2002 15:14:46.630 SEV=4 AUTH/22 RPT=2 
User cisco connected 

56 04/02/2002 15:14:46.630 SEV=4 IKE/119 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
PHASE 1 COMPLETED 

!--- Phase I is successful. 


57 04/02/2002 15:14:46.630 SEV=5 IKE/35 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Received remote IP Proxy Subnet data in ID Payload: 

!--- Proxy info exchange.
 
Address 172.16.1.0, Mask 255.255.255.0, Protocol 0, Port 0 

60 04/02/2002 15:14:46.630 SEV=5 IKE/34 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Received local IP Proxy Subnet data in ID Payload: 

!--- Proxy info exchange.
 
Address 0.0.0.0, Mask 0.0.0.0, Protocol 0, Port 0 

63 04/02/2002 15:14:46.630 SEV=5 IKE/66 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
IKE Remote Peer configured for SA: ESP-3DES-MD5: 

!--- Transform set being used.
 

64 04/02/2002 15:14:46.640 SEV=4 IKE/49 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Security negotiation complete for User (cisco) 
Responder, Inbound SPI = 0x05c5b2a9, Outbound SPI = 0x3db858ad 

!--- Both inbound and outbound SPIs are created. These numbers will be the 
!--- same, but swapped, on the other end.


67 04/02/2002 15:14:46.640 SEV=4 IKE/120 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
PHASE 2 COMPLETED (msgid=017e9e02) 

!--- Phase II is successful.

Borre a las sesiones de VPN y quite los comandos del cliente VPN

Borre a la sesión de VPN

El no vpnclient conectan y los comandos disconnect vpnclient desconectan a las sesiones de VPN actuales, pero no previenen el lanzamiento de los nuevos túneles VPN.

Nota: El ningún comando vpnclient enable cierra todos los túneles establecidos VPN y previene el lanzamiento de los nuevos túneles VPN hasta que usted ingrese un comando vpnclient enable.

Quite los comandos del cliente VPN

El comando vpnclient claro borra la configuración VNP remota sencilla y la política de seguridad salvadas en memoria flash.


Información Relacionada


Document ID: 22828