Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.x: ejemplo de configuración para agregar o eliminar una red en un túnel de VPN L2L existente

18 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (9 Abril 2007) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Productos relacionados
      Convenciones
Antecedentes
Configuración
      Diagrama de la red
      Adición de una red al túnel IPSec
      Eliminación de una red del túnel IPSec
Verificación
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona un ejemplo de configuración de cómo agregar una nueva red a un túnel de VPN existente.

Requisitos previos

Requerimientos

Asegúrese de tener un dispositivo de seguridad PIX/ASA que ejecute código 7.x antes de intentar esta configuración.

Componentes utilizados

La información de este documento se basa en dos dispositivos de seguridad 5500 de Cisco.

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos relacionados

Se puede aplicar la misma configuración al dispositivo de seguridad PIX 500.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

Hay actualmente un túnel de VPN de LAN a LAN (L2L) que está entre las oficinas NY y TN. La oficina NY acaba de agregar una nueva red que va a utilizar el grupo de desarrollo CSI. Este grupo requiere acceso a los recursos que residen en la oficina TN. La tarea actual es agregar la nueva red al túnel de VPN ya existente.

Configuración

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (sólo para clientes registrados) para obtener más información acerca de los comandos utilizados en esta sección.

Diagrama de la red

En este documento se utiliza la siguiente configuración de red:

pix-asa7x-add-ntwk-l2lvpnt-1.gif

Adición de una red al túnel IPSec

En este documento se utiliza la siguiente configuración:

Configuración de NY (HQ) Firewall

ASA-NY-HQ#show running-config

: Saved
:
ASA Version 7.2(2)
!
hostname ASA-NY-HQ
domain-name corp2.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.11.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
 nameif Cisco
 security-level 70
 ip address 172.16.40.2 255.255.255.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp2.com
access-list inside_nat0_outbound extended permit ip 172.16.1.0
 255.255.255.0 10.10.10.0 255.255.255.0


!--- You must be sure that you configure the
!--- opposite of these access control lists
!--- on the other end of the VPN tunnel.  


access-list inside_nat0_outbound extended permit ip 172.16.40.0
 255.255.255.0 10.10.10.0 255.255.255.0

access-list outside_20_cryptomap extended permit ip 172.16.1.0
 255.255.255.0 10.10.10.0 255.255.255.0


!--- You must be sure that you configure the
!--- opposite of these access control lists
!--- on the other end of the VPN tunnel.  


access-list outside_20_cryptomap extended permit ip 172.16.40.0
 255.255.255.0 10.10.10.0 255.255.255.0 


!--- Output is suppressed.


nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.16.1.0 255.255.255.0


!--- The new network is also required to have access to the Internet.
!--- So enter an entry into the NAT statement for this new network.


nat (inside) 1 172.16.40.0 255.255.255.0

route outside 0.0.0.0 0.0.0.0 192.168.11.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 192.168.10.10
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *

!--- Output is suppressed.

: end
ASA-NY-HQ#  

Eliminación de una red del túnel IPSec

Siga estos pasos para eliminar la red de la configuración del túnel IPSec. En este documento, considere que la red 172.16.40.0/24 se ha eliminado de la configuración del dispositivo de seguridad de NY (HQ).

  1. Antes de eliminar la red del túnel, cierre la conexión IPSec, lo que borrará también las asociaciones de seguridad relacionadas con la fase 2.

    ASA-NY-HQ# clear crypto ipsec sa
    

    Borra las asociaciones de seguridad relacionadas con la fase 1 como se indica:

    ASA-NY-HQ# clear crypto isakmp sa
    
  2. Elimine la ACL del tráfico interesante del túnel IPSec.

    ASA-NY-HQ(config)# no access-list outside_20_cryptomap extended permit ip 172.16.40.0
     255.255.255.0 10.10.10.0 255.255.255.0 
  3. Elimine la ACL (inside_nat0_outbound), puesto que el tráfico está excluido de nat.

    ASA-NY-HQ(config)# no access-list inside_nat0_outbound extended permit ip 172.16.40.0
     255.255.255.0 10.10.10.0 255.255.255.0
    
  4. Borre la traducción NAT como se muestra a continuación.

    ASA-NY-HQ# clear xlate
    
  5. Siempre que modifique la configuración del túnel, elimine y vuelva a aplicar estos comandos de cifrado para adoptar la configuración más reciente de la interfaz externa.

    ASA-NY-HQ(config)# crypto map outside_map interface outside
    ASA-NY-HQ(config)# crypto isakmp enable outside
    
  6. Guarde la configuración activa en la memoria Flash "write memory".

  7. Siga el mismo procedimiento con el dispositivo de seguridad TN del otro extremo, para eliminar las configuraciones.

  8. Inicie el túnel IPSec y verifique la conexión.

Verificación

Utilice esta sección para confirmar que la configuración funciona correctamente.

La herramienta Output Interpreter (Intérprete de resultados) (OIT) (sólo para clientes registrados) admite determinados comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • ping inside 172.16.40.20

    pix-asa7x-add-ntwk-l2lvpnt-2.gif

  • show crypto isakmp sa

    pix-asa7x-add-ntwk-l2lvpnt-3.gif

  • show crypto ipsec sa

    pix-asa7x-add-ntwk-l2lvpnt-4.gif

Resolución de problemas

Consulte estos documentos para obtener más información acerca de la resolución de problemas:


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 82209