Безопасность : Устройства защиты Cisco PIX серии 500

Пример конфигурации туннеля IPSec LAN-LAN между концентратором Cisco VPN 3000 и брандмаэуром PIX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Задачей этой эталонной конфигурации является соединение частной сети за Cisco PIX Firewall с частной сетью за концентратором Cisco VPN 3000. Устройства в сети знают друг друга по частным адресам.

Документ IPsec: Устройство безопасности маршрутизатора к PIX 7.x и Позже или Пример конфигурации ASA для получения дополнительной информации о Конфигурации туннеля между локальными сетями между маршрутизатором и Устройствами безопасности PIX/ASA Cisco.

Обратитесь к Туннелю IPSec Между PIX 7.x и Примером настройки концентратора VPN 3000 для получения дополнительной информации, когда PIX будет иметь версию программного обеспечения 7. x .

Обратитесь к Туннелю IPSec между локальными сетями Между Cisco VPN 3000 Concentrator и Маршрутизатором с Примером конфигурации AES для получения дополнительной информации о конфигурации Туннеля IPSec L2L между Cisco VPN 3000 Concentrator и маршрутизатором со Стандартом шифрования усовершенствования (AES).

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Программное обеспечение PIX 6.3(1)

  • VPN 3000 Concentrator с 4.0.1

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/14100/ALTIGA_pix.gif

Конфигурации

Настройка PIX

Конфигурация межсетевого экрана PIX
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname sv2-11
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names

!--- Access control list (ACL) for interesting traffic
!--- to be encrypted over the tunnel.

access-list 101 permit ip 10.13.1.0 255.255.255.0 10.31.1.0 255.255.255.0 
pager lines 24
mtu outside 1500
mtu inside 1500

!--- IP addresses on the interfaces.

ip address outside 172.18.124.157 255.255.255.0
ip address inside 10.13.1.48 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover   
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400
global (outside) 1 interface

!--- Binding ACL 101 to the Network Address Translation (NAT) statement 
!--- to avoid NAT on the IPSec packet.

nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

!--- Default route to the Internet.

route outside 0.0.0.0 0.0.0.0 172.16.124.132 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- The sysopt command avoids conduit on 
!--- the IPSec-encrypted traffic.

sysopt connection permit-ipsec

!---- IPSec policies

crypto ipsec transform-set aptset esp-3des esp-md5-hmac 

!--- Setting up the tunnel peer, encryption ACL, and transform set.

crypto map aptmap 10 ipsec-isakmp
crypto map aptmap 10 match address 101
crypto map aptmap 10 set peer 172.18.124.132
crypto map aptmap 10 set transform-set aptset

!--- Applying the crypto map on the interface.

crypto map aptmap interface outside
isakmp enable outside

!--- Pre-shared key for the tunnel peer.

isakmp key ******** address 172.18.124.132 netmask 255.255.255.255 

!--- IKE policies

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:1209dc5ffed40ad7c999d655509260f5
: end
[OK]

Настройка концентратора VPN

Выполните эти шаги, чтобы настроить VPN Concentrator.

Примечание: Данный пример был выполнен в лабораторной среде путем доступа к Концентратору VPN через консольный порт и добавления минимальной настройки (см. шаги 1 и 2) так, чтобы дополнительная настройка была сделана через графический пользовательский интерфейс (GUI).

  1. Выберите пункт Go to Administration > System Reboot > Schedule reboot > Reboot with Factory/Default Configuration и перезагрузите компьютер.

  2. Когда Концентратор VPN подходит в Режиме быстрой конфигурации после того, как вы перезагрузите, настроите базовую информацию об устройстве:

    • Время/Дата

    • Пункт Interfaces/Masks в меню Configuration > Interfaces (public=172.18.124.132/24, private=10.31.1.80/24)

    • Шлюз по умолчанию в Configuration > System > IP routing > Default_Gateway > 172.18.124.157

    Концентратор VPN теперь доступен через графический интерфейс пользователя из внутренней сети.

    Примечание: Можно также управлять VPN Concentrator извне. Обратитесь к тому, Как Управлять VPN 3000 Concentrator от Открытой сети для получения дополнительной информации.

  3. Запустите GUI и перейдите к Configuration> Interfaces для подтверждения интерфейсов.

    Примечание: К интерфейсу, которым заканчивается туннель, следует применить фильтр. В этом случае на общем интерфейсе применен общий (по умолчанию) фильтр. Позже к примененному фильтру интерфейса IPSec автоматически добавляются правила.

    /image/gif/paws/14100/ALTIGA_pix_1.gif

  4. Перейдите Configuration> System> Tunneling Protocols> IPsec LAN-to-LAN> Modify или Добавляют для настройки IPSec-туннеля между локальными сетями. По окончании нажмите Apply.

    В данном примере заполнена необходимая информация для внешнего интерфейса PIX.

    ALTIGA_pix_2.gif

  5. На странице подтверждения, которая отображается автоматически настроенные параметры, нажмите OK для принятия конфигурации.

    Примечание: Не следует изменять эти настройки туннеля между сетями.

    /image/gif/paws/14100/ALTIGA_pix_3.gif

  6. Перейдите к Configuration> Policy Management> Traffic Management> Assign Rules to Filter, чтобы подтвердить, что правила были созданы и применены правильно.

    Создание и добавление правил к фильтрам, применяемым для интерфейса IPSec, выполняется автоматически. В этом случае общий (по умолчанию) фильтр, который применяется к общедоступному интерфейсу, имеет новые правила, добавленные к нему при конфигурации.

    /image/gif/paws/14100/ALTIGA_pix_4.gif

  7. На странице подтверждения, которая отображает автоматически настроенную информацию о группе, нажмите Apply для принятия параметров группы.

    Примечание: Эти настройки группы не следует изменять.

    /image/gif/paws/14100/ALTIGA_pix_5.gif

  8. На странице подтверждения, отображающей автоматически созданное сопоставление безопасности (SA), подтвердите, что SA появляется в списке сопоставлений безопасности IPSec.

    /image/gif/paws/14100/ALTIGA_pix_6.gif

  9. Перейдите к Configuration> System> Tunneling Protocols> IPsec> Предложения ike, чтобы подтвердить, что Предложения ike показывают как активные.

    /image/gif/paws/14100/ALTIGA_pix_6a.gif

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Команды поиска и устранения неисправностей расширения параллельного интерфейса

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  • debug crypto engine — отображает зашифрованный трафик.

  • debug crypto ipsec — используйте для просмотра сеансов согласования протокола IPSec в фазе 2.

  • debug crypto isakmp для наблюдения согласований Протокола ISAKMP фазы 1.

Устранение неполадок на концентраторе VPN

Эти параметры отладки индивидуально доступны, если вы переходите, Configuration> System> Events> Classes> Add.

  • IKE

  • IKEDBG

  • IKEDECODE

  • IPSEC

  • IPSECDBG

  • IPSECDECODE

Перейдите к Monitoring> Event Log и нажмите Get Log в заказе видеть фактическую отладку.

ALTIGA_pix_7.gif

Перейдите к Monitoring> Statistics> IPsec для наблюдения статуса IPSec.

ALTIGA_pix_8.gif

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 14100