Seguridad y VPN : Negociación IPSec/Protocolos IKE

Configuración de IPSec dinámico a estático de PIX a router con NAT

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (26 Septiembre 2008) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Configuración
     Diagrama de la red
     Configuraciones
Verificación
Resolución de problemas
     Comandos para resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona un ejemplo de configuración de cómo habilitar PIX para que acepte conexiones IPSec dinámicas. El router remoto realiza la traducción de direcciones de red (NAT) si la red privada 10.1.1.x tiene acceso a Internet. El tráfico desde 10.1.1.x hacia la red privada 192.168.1.x detrás del PIX se excluye del proceso NAT. El router puede iniciar conexiones hacia el PIX, pero este dispositivo no puede iniciar conexiones hacia el router.

Consulte Ejemplo de configuración de IPSec dinámico a estático de router a PIX con NAT para obtener más información sobre un escenario donde el router acepta conexiones IPSec dinámicas de un dispositivo de seguridad PIX que ejecuta la versión 6.x.

Consulte Ejemplo de configuración de IPSec entre un router de IOS estático y un PIX/ASA 7.x dinámico con NAT para obtener más información sobre un escenario donde el router acepta conexiones IPSec dinámicas de un dispositivo de seguridad PIX/ASA que ejecuta la versión 7.x del software.

Requisitos previos

Requisitos

No hay requisitos específicos para este documento.

Componentes utilizados

La información de este documento se basa en estas versiones de software y hardware:

  • Versión 12.2.(8)T, 12.2.(15)T2 y 12.3(1) del software Cisco IOS

  • Versión 6.1.3 y 6.3.1 del software de Cisco PIX Firewall

  • Cisco Secure PIX Firewall 515E

  • Router Cisco 7206

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Configuración

En esta sección se presenta la información para configurar las funciones descritas en este documento.

Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para buscar más información sobre los comandos utilizados en este documento.

Diagrama de la red

Este documento utiliza esta configuración de red.

pix_router_dyn_01.gif

Configuraciones

Este documento usa las siguientes configuraciones.

Elf (PIX)

Building configuration...
: Saved
:
PIX Version 6.3(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname elf
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

                     !--- Lista de control de acceso (ACL) para evitar la traducción NAT en paquetes IPSec.
                  

                  access-list nonat permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0
pager lines 24
logging on
logging buffered debugging
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 172.18.124.2 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 interface

                     !-- Vincula nonat de ACL a la sentencia NAT para evitar realizar NAT en los paquetes IPSec
                  

                  nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

                  
                     !--- Permite el tráfico de Protocolo de mensajes de control de Internet (ICMP) para verificación.
!--- No debe habilitarlo en una red activa.
                  

                  conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00
h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol tacacs+
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat

                     !--- Configuración de IPSec
                  

                  crypto ipsec transform-set router-set esp-des esp-md5-hmac
crypto dynamic-map cisco 1 set transform-set router-set
crypto map dyn-map 10 ipsec-isakmp dynamic cisco
crypto map dyn-map interface outside
isakmp enable outside

                  
                     !--- Política del Protocolo de asociación de seguridad en Internet y administración
!--- de claves (ISAKMP) para la habilitación de conexiones dinámicas para PIX remoto.
!--- Nota: en el resultado de ejecución de show real, la clave previamente compartida aparece como *******.
                  

                  isakmp key cisco123 address 0.0.0.0 netmask 0.0.0.0
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:eeb67d5df47045f7e6ac4aa090aab683
: end
[OK]
elf#

Mop (router Cisco 7204)

mop#show running-configuration
Building configuration...

Current configuration : 1916 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname mop
!
!
ip subnet-zero
!
!
no ip domain-lookup
!
ip cef
ip audit notify log
ip audit po max-events 100
!

                     !--- Políticas de intercambio de claves de Internet (IKE). 
                  

                  crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 172.18.124.2
!
!

                     !--- Políticas IPSec:
                  

                  crypto ipsec transform-set pix-set esp-des esp-md5-hmac
!
crypto map pix 10 ipsec-isakmp
 set peer 172.18.124.2
 set transform-set pix-set
 match address 101
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex half
!
interface Ethernet1/0

                  ip address dhcp

                  ip nat outside
duplex half
crypto map pix
!
interface Ethernet1/1
ip address 10.1.1.1 255.255.255.0
ip nat inside
duplex half
!

                     !--- Excluya la red privada del proceso NAT.
                  

                  ip nat inside source route-map nonat interface Ethernet1/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet1/0
no ip http server
ip pim bidir-enable
!

                     !--- Incluya el tráfico entre redes privadas
!--- en el proceso de cifrado.
                  

                  access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

                  
                     !--- Excluya la red privada del proceso NAT.
                  

                  access-list 110 deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 10.1.1.0 0.0.0.255 any
!
route-map nonat permit 10
 match ip address 110
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
!
end

Verificación

Utilice esta sección para confirmar que la configuración funciona de manera adecuada.

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

Puede ejecutar estos comandos show en el PIX y en el router.

  • show crypto isakmp sa: muestra todas las asociaciones de seguridad (SA) IKE actuales de un par.

  • show crypto ipsec sa: muestra la configuración utilizada por las SA actuales (IPSec).

  • show crypto engine connections active: muestra información y conexiones actuales sobre paquetes cifrados y descifrados (router únicamente).

Debe verificar las asociaciones de seguridad en ambos pares.

  • Los comandos del PIX se ejecutan en el modo de configuración.

    • clear crypto isakmp sa: borra las SA de fase 1.

    • clear crypto ipsec sa: borra las SA de fase 2.

  • Los comandos del router se ejecutan en el modo habilitar.

    • clear crypto isakmp: borra las SA de fase 1.

    • clear crypto sa: borra las SA de fase 2.

Resolución de problemas

En esta sección encontrará información que puede utilizar para solucionar problemas sobre la configuración.

Comandos para resolución de problemas

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

Nota: consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de utilizar los comandos debug.

  • show crypto isakmp sa: muestra todas las asociaciones de seguridad (SA) IKE actuales en un par.

  • show crypto ipsec sa: muestra la configuración utilizada por las SA actuales (IPSec).

  • show crypto engine connections active: muestra información y conexiones actuales sobre paquetes cifrados y descifrados (router únicamente).


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 23102