Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Creación de túnel redundante entre los Firewall usando el PDM

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe el procedimiento que usted utiliza para configurar los túneles entre dos Firewall PIX usando el Cisco PIX Device Manager (PDM). Los Firewall PIX se colocan en dos diversos sitios. En caso de un error alcanzar el trayecto principal, es deseable golpear apagado el túnel con el pie a través de un link redundante. El IPSec es una combinación de estándares abiertos que proporcionen la confidencialidad de los datos, la integridad de los datos, y la autenticación del origen de los datos entre los peeres IPSecs.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Firewall del Secure PIX de Cisco 515E con 6.x y el 3.0 del PDM versión

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

redundant-firewalls-pdm-10.gif

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

El IPSec Negotiation se puede analizar en cinco pasos, e incluye dos fases del Internet Key Exchange (IKE).

Un túnel IPsec es iniciado por el tráfico interesante. El tráfico se considera interesante cuando viaja entre los peeres IPSecs.

En la fase 1 IKE, los peeres IPSecs negocian la directiva establecida de la asociación de seguridad IKE (SA). Una vez que se autentican los pares, se crea un túnel seguro por medio de la Asociación de Seguridad en Internet y del Protocolo de administración de clave (ISAKMP).

En la fase 2 IKE, los peeres IPSecs utilizan el túnel seguro y autenticado para negociar IPSec SA transforman. La negociación de la política compartida determina cómo se establece el túnel IPsec.

Se crea el túnel IPsec y los datos se transfieren entre los peeres IPSecs basados en los parámetros de IPSec configurados en el IPSec transforman los conjuntos.

El túnel IPsec termina cuando se borra el SA de IPSec o cuando expira su curso de la vida.

Nota: El IPSec Negotiation entre los dos PIXes falla si los SA en ambas fases IKE no hacen juego en los pares.

Configuración

Este procedimiento le dirige con la configuración de uno de los Firewall PIX para accionar el túnel cuando existe el tráfico interesante. Esta configuración también le ayuda a establecer el túnel a través del link de backup con el router2 (r2), cuando no hay Conectividad entre el PIX-01 y el PIX-02 con el router1 (r1). Este documento muestra la configuración del PIX-01 usando el PDM. Usted puede configurar el PIX-02 en las líneas similares.

Este documento asume que usted ha configurado ya la encaminamiento.

Para que solamente un link esté encima de en un momento, haga que el r2 hace publicidad de métrico peor para la red de 192.168.1.0 así como para la red de 172.30.0.0. Por ejemplo, si usted utiliza el RIP para la encaminamiento, el r2 tiene esta configuración aparte de otros anuncios de red:

R2(config)#router rip
R2(config-router)#offset-list 1 out 2 s1 
R2(config-router)#offset-list 2 out 2 e0
R2(config-router)#exit 
R2(config)#access-list 1 permit 172.30.0.0 0.0.255.255
R2(config)#access-list 2 permit 192.168.1.0 0.0.0.255

Procedimiento de Configuración

Cuando usted teclea el <Inside_IP_Address_on_PIX> de https:// para iniciar el PDM y hacer clic la lengueta VPN por primera vez, información sobre las visualizaciones automáticas del Asistente VPN.

redundant-firewalls-pdm-1.gif

  1. Seleccione los Asisitente > al Asistente VPN.

    redundant-firewalls-pdm-2.gif

  2. El Asistente VPN le comienza y indica para el tipo de VPN que usted quiere configurar. Elija el VPN de sitio a sitio, seleccione la interfaz exterior como la interfaz en la cual el VPN será habilitado, y tecleo después.

    redundant-firewalls-pdm-3.gif

  3. Ingrese el IP Address de Peer, donde el túnel IPsec debe terminar. En este ejemplo, el túnel termina en la interfaz exterior del PIX-02. Haga clic en Next (Siguiente).

    redundant-firewalls-pdm-4.gif

  4. Ingrese los parámetros de la política IKE que usted elige utilizar y hacer clic después.

    redundant-firewalls-pdm-5.gif

  5. Proporcione el cifrado y los parámetros de autenticación para la transformación fijada y haga clic después.

    redundant-firewalls-pdm-6.gif

  6. Seleccione la red local y las redes remotas que usted necesita proteger usando el IPSec para seleccionar el tráfico interesante que usted necesita proteger.

    redundant-firewalls-pdm-7.gif

    redundant-firewalls-pdm-8.gif

Verificación

Si hay tráfico interesante al par, el túnel se establece entre el PIX-01 y el PIX-02.

Para verificar esto, apague la interfaz serial del r1 para la cual el túnel se establece entre el PIX-01 y el PIX-02 vía el r2 cuando existe el tráfico interesante.

Vea el estado del VPN bajo hogar en el PDM (resaltado en el rojo) para verificar la formación del túnel.

redundant-firewalls-pdm-9.gif

Usted puede también verificar la formación de túneles usando el CLI bajo las herramientas en el PDM. Publique el comando show crypto isakmp sa de marcar la formación de túneles y de publicar el comando show crypto ipsec sa de observar el número de paquetes encapsulado, cifrado, y así sucesivamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Refiera al 3.0 del Cisco PIX Device Manager para más información sobre la configuración del firewall PIX usando el PDM.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 66166