Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Túnel IPsec entre PIX 7.x y ejemplo de configuración concentrador VPN 3000

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido

PFS

Introducción

Este documento proporciona una configuración de muestra para que cómo establezca un túnel del IPSec VPN del LAN a LAN entre un firewall PIX 7.x y un Cisco VPN 3000 Concentrator.

Refiera al Spoke-a-cliente aumentado 7.x VPN del PIX/ASA con autenticación de TACACS+ el ejemplo de configuración para aprender más sobre el escenario donde el túnel de LAN a LAN entre el PIXes también permite para que un cliente VPN acceda el spoke PIX a través del eje de conexión PIX.

Refiera al dispositivo de seguridad del PIX/ASA 7.x a un ejemplo de configuración del router IOS túnel ipsec de LAN a LAN para aprender más sobre el escenario donde el túnel de LAN a LAN entre el PIX/ASA y un router IOS.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Dispositivo de seguridad de la serie del Cisco PIX 500 con la versión de software 7.1(1)

  • Concentrador Cisco VPN 3060 con la versión de software 4.7.2(B)

Nota: El PIX 506/506E no soporta 7.x.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Para configurar PIX 6.x, refiérase túnel ipsec de LAN a LAN entre el Cisco VPN 3000 Concentrator y el ejemplo de configuración del firewall PIX.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/69115/ipsec-pix7x-vpn-con-1.gif

Configure el PIX

PIX
PIX7#show running-config
: Saved
:
PIX Version 7.1(1)
!
hostname PIX7
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- Configures the outside interface of the PIX.


!--- By default, the security level for the outside interface is 0.

interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!

!--- Configures the inside interface of the PIX.


!--- By default, the security level for the inside interface is 100.

interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!

!--- Defines the IP addresses that should not be NATed.

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list outside extended permit icmp any any

!--- Defines the IP addresses that can communicate via the IPsec tunnel.

access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list OUT extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
asdm image flash:/asdm-504.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list nonat
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.2 1

!--- Output is suppressed.


!--- These are the IPsec parameters that are negotiated with the client.

crypto ipsec transform-set my-set esp-aes-256 esp-sha-hmac
crypto map mymap 20 match address 101
crypto map mymap 20 set peer 172.30.1.1
crypto map mymap 20 set transform-set my-set
crypto map mymap interface outside

!--- These are the Phase I parameters negotiated by the two peers.

isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

!--- A tunnel group consists of a set of records 
!--- that contain tunnel connection policies. The two attributes 
!--- are General and IPsec. Use the remote peer IP address as the 
!--- name of the Tunnel group. In this example 172.30.1.1 is the peer IP address. 
!--- Refer to Tunnel Group for more information.

tunnel-group 172.30.1.1 type ipsec-l2l
tunnel-group 172.30.1.1 ipsec-attributes
 pre-shared-key *

!--- Output is suppressed.

!
: end
PIX7#

Configurar el concentrador VPN 3000

Los concentradores VPN no se preprograman con los IP Addresses en sus configuraciones de fábrica. Usted tiene que utilizar el puerto de la consola para configurar las configuraciones iniciales que son comando line interface(cli) con un menú. Refiera a configurar los concentradores VPN a través de la consola para la información sobre cómo configurar a través de la consola.

Después de que usted configure la dirección IP en la interfaz del Ethernet1 (soldado), usted puede configurar el resto con el CLI o vía la interfaz del buscador. La interfaz del buscador soporta el HTTP y el HTTP sobre el Secure Socket Layer (SSL).

Estos parámetros se configuran a través de la consola:

  • Hora/fecha — La hora correcta y la fecha son muy importantes. Ayudan a asegurarse de que la registración y las entradas de contabilidad son exactas, y de que el sistema puede crear un Security Certificate válido.

  • Interfaz del Ethernet1 (soldado) — La dirección IP y la máscara (de la topología de red 172.16.5.100/16).

El concentrador VPN es accesible ahora a través de un buscador HTML de la red interna. Refiérase usando la interfaz de la línea de comandos para la configuración rápida para la información sobre cómo configurar el concentrador VPN en el modo CLI.

Teclee la dirección IP de la interfaz privada del buscador Web para habilitar la interfaz GUI.

Haga clic el icono necesario salvaguardia para salvar los cambios a la memoria. El nombre de usuario y contraseña del valor predeterminado de fábrica es el admin, que es con diferenciación entre mayúsculas y minúsculas.

  1. Inicie el GUI y seleccione el Configuration (Configuración) > Interfaces (Interfaces) para configurar la dirección IP para la interfaz pública y el default gateway.

    ipsec-pix7x-vpn-con-2.gif

  2. Seleccione el Configuration (Configuración) > Policy Management (Administración de políticas) > Traffic Management (Administración de tráfico) > Network Lists (Lista de redes) > Add o modifiqúese para crear las listas de red que definen el tráfico que se cifrará.

    Agregue ambos la red local y remota aquí. Los IP Addresses deben duplicar ésos en la lista de acceso configurada en el PIX remoto.

    En este ejemplo, las dos listas de red son LAN local del remote_network y del cliente VPN.

    /image/gif/paws/69115/ipsec-pix7x-vpn-con-3.gif

  3. Seleccione el Configuration (Configuración) > System (Sistema) > Tunneling Protocols (Protocolos de tunelización) > IPSec LAN-to-LAN (IPSec de LAN a LAN) > Add (Agregar) para configurar el túnel ipsec de LAN a LAN. Haga clic en Apply (Aplicar) cuando termine.

    Ingrese el IP Address de Peer, las listas de red creadas en el paso 2, el IPSec y los parámetros ISAKMP, y la clave previamente compartida.

    En este ejemplo el IP Address de Peer es 10.1.1.1, las listas de red son LAN local del remote_network y del cliente VPN, y Cisco es la clave previamente compartida.

    /image/gif/paws/69115/ipsec-pix7x-vpn-con-4.gif

  4. Seleccione el Configuration (Configuración)>User Management (Administración del usuario) >Groups (Grupos) > Modify 10.1.1.1 para ver la información automáticamente generada del grupo.

    Nota: No modifique estas configuraciones de grupo.

    /image/gif/paws/69115/ipsec-pix7x-vpn-con-5.gif

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Verifique el PIX

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • muestre isakmp sa — Visualiza a todas las asociaciones de seguridad actuales IKE (SA) en un par. El estado MM_ACTIVE denota que utilizan al modo principal para configurar el túnel del IPSec VPN.

    En este ejemplo el firewall PIX inicia conexión IPSec. El IP Address de Peer es 172.30.1.1 y utiliza al modo principal para establecer la conexión.

    PIX7#show isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 172.30.1.1
        Type    : L2L             Role    : initiator
        Rekey   : no              State   : MM_ACTIVE
    
  • show ipsec sa: muestra las configuraciones utilizadas por las SAs actuales. Verifique la dirección IP par, las redes accesibles en los extremos remotos y locales y la transformación fijada que se utiliza. Hay dos ESP SA, uno en cada dirección.

    PIX7#show ipsec sa
    interface: outside
        Crypto map tag: mymap, seq num: 20, local addr: 10.1.1.1
    
          access-list 101 permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
    
          local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)
          current_peer: 172.30.1.1
    
          #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
          #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.1.1.1, remote crypto endpt.: 172.30.1.1
    
          path mtu 1500, ipsec overhead 76, media mtu 1500
          current outbound spi: 136580F6
    
        inbound esp sas:
          spi: 0xF24F4675 (4065281653)
             transform: esp-aes-256 esp-sha-hmac
             in use settings ={L2L, Tunnel,}
             slot: 0, conn_id: 1, crypto-map: mymap
             sa timing: remaining key lifetime (kB/sec): (3824999/28747)
             IV size: 16 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x136580F6 (325419254)
             transform: esp-aes-256 esp-sha-hmac
             in use settings ={L2L, Tunnel,}
             slot: 0, conn_id: 1, crypto-map: mymap
             sa timing: remaining key lifetime (kB/sec): (3824999/28745)
             IV size: 16 bytes
             replay detection support: Y

    Utilice IPSec claro sa y comandos clear isakmp sa de reajustar el túnel.

Verifique el concentrador VPN 3000

Seleccione el Monitoring (Monitoreo) > Statistics (Estadísticas) > IPSec para verificar si el túnel ha subido en el concentrador VPN 3000. Esto contiene las estadísticas para el IKE y los parámetros de IPSec.

ipsec-pix7x-vpn-con-6.gif

Usted puede monitorea activamente la sesión en el Monitoring (Monitoreo) > Sessions (Sesiones). Usted puede reajustar el túnel IPsec aquí.

/image/gif/paws/69115/ipsec-pix7x-vpn-con-7.gif

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Resolver problemas el PIX

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Los comandos debug en el PIX para los túneles VPN son:

Resolver problemas el concentrador VPN 3000

Similar a los comandos debug en los routeres Cisco, usted puede configurar las clases de evento para ver todas las alarmas. Seleccione el Configuration (Configuración) > System (Sistema) > Event (Eventos) > Classes (Clases) > Add (Agregar) para girar el registro de las clases de evento.

Seleccione el Monitoring (Monitoreo) > Filterable Event Log (Registro de eventos filtrables) para monitorear los eventos habilitados.

ipsec-pix7x-vpn-con-8.gif

PFS

En las negociaciones de IPSec, Perfect Forward Secrecy (PFS) garantiza que cada clave criptográfica nueva no esté relacionada a cualquier clave anterior. El permiso o la neutralización PFS en ambos los peeres de túnel, si no el túnel IPsec del LAN a LAN (L2L) no se establece en el PIX/ASA.

PFS se inhabilita de forma predeterminada. Para habilitar el PFS utilice los pfs ordenan con la palabra clave del permiso en el modo de configuración de la grupo-directiva. Para inhabilitar PFS, ingrese la palabra clave disable (inhabilitar).

hostname(config-group-policy)#pfs {enable | disable}

Para quitar el atributo PFS de la configuración en ejecución, ingrese la forma no de este comando. Una política de grupo puede heredar un valor para PFS de otra política de grupo. Ingrese la forma no de este comando para evitar heredar un valor.

hostname(config-group-policy)#no pfs 

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 69115