Безопасность : Устройства защиты Cisco PIX серии 500

Пример настройки аппаратного клиента VPN на устройстве обеспечения безопасности серии PIX 501/506 с концентратором VPN 3000

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет пошаговый пример конфигурации для клиентов, которые хотят развернуть Функцию оборудование клиента VPN Cisco на PIX 501/506 Устройство безопасности Серии. Эта функция была начата с Версии PIX 6.2 и использована для создания Туннеля IPSec с VPN 3000 Concentrator, маршрутизатор, который выполняет Cisco программное обеспечение IOS� или межсетевой экран PIX.

Конфигурация PIX 501/506 Аппаратный клиент является тем же для устройства VPN головного узла, является ли это VPN 3000 Concentrator, маршрутизатор, который выполняет программное обеспечение Cisco IOS или межсетевой экран PIX. Устройствам позади Аппаратного клиента межсетевого экрана PIX больше нельзя было устанавливать Клиенты VPN на них для безопасной передачи с устройствами позади устройства головной станции. Это обеспечивает быстрое развертывание и устранение проблем уменьшений для поддержки удаленных пользователей VPN.

Клиент Аппаратных средств виртуальной частной сети действует или в режиме расширения сети (NEM) или в клиентском режиме. В NEM администратор сети в состоянии обратиться к устройствам позади Клиента Аппаратных средств виртуальной частной сети межсетевого экрана PIX для дистанционного управления и устранения проблем. В клиентском режиме сетевые устройства позади PIX 501/506 не доступны от головного узла или других пользователей VPN. Это поведение является тем же в аппаратном клиенте VPN 3002.

Примечание: PIX 501 и PIX 506/506E являются устройствами Easy VPN Remote и Сервера Easy VPN. PIX 515/515E, PIX 525 и PIX 535 действуют как Серверы Easy VPN только.

Отнеситесь для Настройки PIX 501/506 Easy VPN Remote к Маршрутизатору IOS в Режиме расширения сети с Расширенной проверкой подлинности для получения дополнительной информации о подобном сценарии, где маршрутизатор Cisco IOS действует как Сервер Easy VPN.

Описание аналогичного сценария, в котором PIX 506 6.x служит в качестве сервера Easy VPN, см. в документе PIX – PIX 6.x: Пример настройки Easy VPN (NEM).

Описание аналогичного сценария, в котором PIX/ASA 7.x выступает в качестве сервера Easy VPN, см. в документе Пример конфигурации Easy VPN в PIX/ASA 7.x с устройством ASA 5500 в качестве сервера и PIX 506E в качестве клиента (NEM).

Описание аналогичного сценария, в котором маршрутизатор Cisco 871 играет роль удаленной стороны Easy VPN, см. в документе Пример настройки Easy VPN с PIX/ASA 7.x с ASA 5500 в качестве сервера и Cisco 871 в качестве удаленной стороны Easy VPN.

Предварительные условия

Требования

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия 6.2 или 6.3 Межсетевого экрана PIX

    Примечание: Версия 7.x Межсетевого экрана PIX не поддерживает PIX 501/506.

  • Маршрутизатор Cisco 2600, который выполняет версию программного обеспечения Cisco IOS 12.2.7b

  • Маршрутизатор Cisco 3620, который выполняет версию программного обеспечения Cisco IOS 12.2.7b

  • Концентратор Cisco VPN 3000

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

В данном примере PIX 506 настроен для инициирования VPN-туннеля с Cisco VPN 3000 Concentrator в NEM. Разрешения NEM для возможности просмотра и связь с теми устройствами позади PIX 506. VPN 3000 Concentrator выполняет версию 2 Протокола RIP, чтобы изучить и объявить маршруты. Включение ввода обратной маршрутизации (RRI) включено на VPN 3000 Concentrator так, что, это объявляет удаленную сеть, которая использует RIP, позади Клиента Аппаратных средств виртуальной частной сети PIX 506, к Маршрутизатору Cisco 2600, поскольку трафик инициируется от маршрутизатора Cisco 3620.

Разделенное туннелирование не включено на VPN 3000 Concentrator, таким образом, весь трафик, полученный от маршрутизатора Cisco 3620, зашифрован и передан VPN 3000 Concentrator, который передает этот трафик на основе информации о маршрутизации в соответствии с политикой. Политика определена (и может модифицироваться на основе требований безопасности отдельной компании) на VPN 3000 Concentrator только, и выдвинут Клиенту Аппаратных средств виртуальной частной сети PIX 506 во время согласования туннеля (точно как Клиент VPN на ПК).

PIX 506 настроен как сервер протокола динамической конфигурации узла (DHCP) чтобы клиентам service DHCP на Ethernet (E1) интерфейс. Интерфейсный Fa0/1 на маршрутизаторе Cisco 3620 настроен как клиент DHCP. Маршрутизатор Cisco 2621 выполняет Версию RIP 2. Обратитесь к IPSec с Клиентом VPN к Примеру настройки концентратора VPN 3000 для настройки VPN 3000 Concentrator.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте Средство поиска команд Command Lookup Tool (только зарегистрированные клиенты) или дополнительные сведения о командах, используемых в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/22828/pix501506_vpn3k.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918, которые использовались в лабораторной среде.

Конфигурации

Эти конфигурации используются в данном документе:

Маршрутизатор Cisco 3620
interface FastEthernet0/1
    ip address dhcp  

!--- The DHCP client requests an IP address from the PIX, 
!--- which is configured as a DHCP server.

Маршрутизатор Cisco 2621
Configuration of 2621 router 
2621#write terminal
! 
hostname 2621 
! 
interface FastEthernet0/1 
ip address 10.10.10.2 255.255.255.0 
ip rip send version 2

!--- Send only RIP version 2. 

ip rip receive version 2

!--- Receive only RIP version 2. 

! 
router rip 
version 2

!--- RIP version 2 enabled.
 
network 10.0.0.0 
no auto-summary 
!

Конфигурация PIX

Важно определить список управления доступом (ACL) или проводник, для того чтобы разрешить трафик, поскольку соединение, проведенное от PIX 506, предпочтительнее, чем от концентратора VPN 3000 или VPN Client после PIX 506. . По умолчанию трафик разрешен изнутри к внешней стороне.

PIX 506
506#write terminal 
Building configuration... 
: Saved 
: 
PIX Version 6.2(0)243 
nameif ethernet0 outside security0 

!--- On PIX 501/506, this is the default configuration. 

nameif ethernet1 inside security100 
enable password 2KFQnbNIdI.2KYOU encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
hostname 506 
fixup protocol ftp 21 
fixup protocol http 80 
fixup protocol h323 h225 1720 
fixup protocol h323 ras 1718-1719 
fixup protocol ils 389 
fixup protocol rsh 514 
fixup protocol rtsp 554 
fixup protocol smtp 25 
fixup protocol sqlnet 1521 
fixup protocol sip 5060 
fixup protocol skinny 2000 
names 
pager lines 24 
logging console debugging 
logging monitor debugging 
logging buffered debugging 
interface ethernet0 auto
interface ethernet1 auto 

!--- You should manually specify speed/duplex if your attached  
!--- devices do not support auto negotiation.

mtu outside 1500 
mtu inside 1500 
ip address outside 172.21.48.22 255.255.255.224 
ip address inside 172.16.1.1 255.255.255.0 
ip audit info action alarm 
ip audit attack action alarm 
pdm history enable 
arp timeout 14400 
route outside 0.0.0.0 0.0.0.0 172.21.48.25 1 
timeout xlate 3:00:00 
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 
0:30:00 sip_med 
ia 0:02:00 
timeout uauth 0:05:00 absolute 
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location 
no snmp-server contact 
snmp-server community public 
no snmp-server enable traps 
floodguard enable 
no sysopt route dnat 
telnet timeout 5 
ssh timeout 5 

dhcpd address 172.16.1.10-172.16.1.20 inside 

!--- This is the pool for the DHCP server to service local requests. 


dhcpd lease 3600 

!--- This is optional. 


dhcpd ping_timeout 750 

!--- This is optional.
 

dhcpd domain cisco.com 

dhcpd enable inside 

!--- You should enable this on the inside interface. 


vpnclient vpngroup beta password ******** 

!--- Group name and password must match, as defined on
!--- the VPN 3000 Concentrator (or on ACS, if you use
!--- ACS with a VPN 3000 Concentrator). 


vpnclient username cisco password ******** 

!--- User Name/Password must match as defined on
!--- the VPN 3000 Concentrator (or on ACS, if you use
!--- ACS with a VPN 3000 Concentrator). 


vpnclient server 172.21.48.25
 

!--- This is the IP address of the headend
!--- VPN 3000 Concentrator. There can be from 1 to 10 secondary
!--- Cisco Easy  VPN Servers (backup VPN headends) configured.
!--- However, check your platform-specific documentation for 
!--- applicable peer limits on your PIX Firewall platform. 


vpnclient mode network-extension-mode 

!--- Using NEM. 


vpnclient enable 

terminal width 80 
Cryptochecksum:f719695f4d56b84be0c944975caf9f12 
: end 
[OK]

Конфигурация концентратора Cisco VPN 3000

Обратитесь к IPSec с Клиентом VPN к Примеру настройки концентратора VPN 3000 и Настройке Клиент EzVPN Cisco на Cisco IOS с VPN 3000 Concentrator для примеров конфигурации.

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • Маршруты После Cisco 3620 Настроены

    3620#show ip route 
    Gateway of last resort is 172.16.1.1 to network 0.0.0.0 
    
    172.16.0.0/24 is subnetted, 1 subnets 
    C  172.16.1.0 is directly connected, FastEthernet0/1 
    S* 0.0.0.0/0 [254/0] via 172.16.1.1
    
    !--- Point default to PIX as received with DHCP. 
    
    
  • Информация об аренде DHCP о Cisco 3620

    3620#show dhcp lease
    Temp IP addr: 172.16.1.10 for peer on Interface: FastEthernet0/1 
    Temp sub net mask: 255.255.255.0 
    DHCP Lease server: 172.16.1.1, state: 3 Bound 
    DHCP transaction id: 11CD 
    Lease: 3600 secs, Renewal: 1800 secs, Rebind: 3150 secs 
    Temp default-gateway addr: 172.16.1.1 
    Next timer fires after: 00:14:39 
    Retry count: 0 Client-ID: cisco-0008.215d.7be2-Fa0/1
  • Маршруты После Cisco 2621 Настроены

    2621#show ip route 
    172.16.0.0/24 is subnetted, 1 subnets 
    R 172.16.1.0 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    
    !--- This is the remote network connected to the 
    !--- private interface of the PIX 506 VPN Hardware Client. 
    !--- As RRI is configured on the VPN 3000 Concentrator, it uses 
    !--- RIP in order to advertise this remote network after it sees 
    !--- traffic from the remote end.
    
    172.21.0.0/27 is subnetted, 1 subnets 
    R 172.21.48.0 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    R 192.168.201.0/24 [120/1] via 10.10.10.1, 00:00:06, FastEthernet0/1 
    10.0.0.0/24 is subnetted, 1 subnets 
    C 10.10.10.0 is directly connected, FastEthernet0/1

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Образец выходных данных

Этот пример выходных данных показывает текущее состояние, прежде чем трафик будет инициироваться между маршрутизаторами Cisco 3620 и Cisco 2621.

506#show crypto isakmp sa 
Total : 1 
Embryonic : 0 
    dst            src        state   pending   created 
 172.21.48.25  172.21.48.22  QM_IDLE     0         0 


506#show crypto ipsec sa 
interface: outside 
Crypto map tag: _vpnc_cm, local addr. 172.21.48.22 

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) 
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) 

!--- Proxy information exchange is complete as defined on the headend, 
!--- although no interesting traffic has been initiated. In Cisco IOS 
!--- this exchange occurs only when there is interesting traffic. 

current_peer: 172.21.48.25 
PERMIT, flags={origin_is_acl,} 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 
#pkts compressed: 0, #pkts decompressed: 0 
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 
#send errors 0, #recv errors 0 

local crypto endpt.: 172.21.48.22, remote crypto endpt.: 172.21.48.25 
path mtu 1500, ipsec overhead 0, media mtu 1500 
current outbound spi: 0 

!--- Security Parameter Index (SPI) is created thus far. 


inbound esp sas:

!--- No inbound Security Association (SA) is created thus far.



inbound ah sas: 


inbound pcp sas: 


outbound esp sas:

!--- No outbound SA is created thus far.



outbound ah sas: 


outbound pcp sas:

Этот пример выходных данных показывает состояние после того, как эхо-запрос будет инициироваться между маршрутизаторами Cisco 3620 и Cisco 2621.

3620#ping 10.10.10.2 

Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds: 
..!!! 

!--- The initial ping failed because the SAs were created after the PIX 
!--- detected interesting traffic. 

Success rate is 60 percent (3/5), round-trip min/avg/max = 4/4/4 ms 
3620# 

506#show crypto isakmp sa 
Total: 1 
Embryonic: 0 
    dst             src       state  pending  created 
172.21.48.25   172.21.48.22  QM_IDLE    0       1 

506#show crypto ipsec sa 
interface: outside 
Crypto map tag: _vpnc_cm, local addr. 172.21.48.22 

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0) 
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) 
current_peer: 172.21.48.25 
PERMIT, flags={origin_is_acl,} 
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest 3 

!--- This shows the number of packets encrypted.

#pkts decaps: 3, #pkts decrypt: 3, #pkts verify 3 
#pkts compressed: 0, #pkts decompressed: 0 
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 
#send errors 1, #recv errors 0 

local crypto endpt.: 172.21.48.22, remote crypto endpt.: 172.21.48.25 
path mtu 1500, ipsec overhead 56, media mtu 1500 
current outbound spi: 5c5b2a9 

!--- SPI is created now. 


inbound esp sas: 

!--- One inbound SA is created after interesting traffic is detected.

spi: 0x3db858ad(1035491501) 
transform: esp-3des esp-md5-hmac , 
in use settings ={Tunnel, } 
slot: 0, conn id: 2, crypto map: _vpnc_cm 
sa timing: remaining key lifetime (k/sec): (4607999/28499) 
IV size: 8 bytes 
replay detection support: Y 

inbound ah sas: 

!--- Authentication Header (AH) was not an option on the headend. 

 

inbound pcp sas: 

!--- Payload Compression Protocol (PCP) was not an option on the headend.  

 

outbound esp sas:

!--- One outbound SA is created after interesting traffic is detected. 

spi: 0x5c5b2a9(96842409) 
transform: esp-3des esp-md5-hmac , 
in use settings ={Tunnel, } 
slot: 0, conn id: 1, crypto map: _vpnc_cm 
sa timing: remaining key lifetime (k/sec): (4607999/28499) 
IV size: 8 bytes 
replay detection support: Y 


outbound ah sas: 

!--- AH was not an option on the headend. 



outbound pcp sas: 

!--- PCP was not an option on the headend.

Регистрационная информация на Cisco VPN 3000 Concentrator

54 04/02/2002 15:14:45.560 SEV=4 IKE/52 RPT=19 172.21.48.22 
Group [beta] User [cisco] 
User (cisco) authenticated. 
!--- Group/User authentication is successful.


55 04/02/2002 15:14:46.630 SEV=4 AUTH/22 RPT=2 
User cisco connected 

56 04/02/2002 15:14:46.630 SEV=4 IKE/119 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
PHASE 1 COMPLETED 

!--- Phase I is successful. 


57 04/02/2002 15:14:46.630 SEV=5 IKE/35 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Received remote IP Proxy Subnet data in ID Payload: 

!--- Proxy info exchange.
 
Address 172.16.1.0, Mask 255.255.255.0, Protocol 0, Port 0 

60 04/02/2002 15:14:46.630 SEV=5 IKE/34 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Received local IP Proxy Subnet data in ID Payload: 

!--- Proxy info exchange.
 
Address 0.0.0.0, Mask 0.0.0.0, Protocol 0, Port 0 

63 04/02/2002 15:14:46.630 SEV=5 IKE/66 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
IKE Remote Peer configured for SA: ESP-3DES-MD5: 

!--- Transform set being used.
 

64 04/02/2002 15:14:46.640 SEV=4 IKE/49 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
Security negotiation complete for User (cisco) 
Responder, Inbound SPI = 0x05c5b2a9, Outbound SPI = 0x3db858ad 

!--- Both inbound and outbound SPIs are created. These numbers will be the 
!--- same, but swapped, on the other end.


67 04/02/2002 15:14:46.640 SEV=4 IKE/120 RPT=2 172.21.48.22 
Group [beta] User [cisco] 
PHASE 2 COMPLETED (msgid=017e9e02) 

!--- Phase II is successful.

Очистите Сеансы VPN и Удалите Команды клиента VPN

Очистите сеанс VPN

no vpnclient connect и команды vpnclient disconnect разъединяют текущие сеансы VPN, но не предотвращают инициирование новых VPN-туннелей.

Примечание:  Никакая команда vpnclient enable не закрывает все установленные VPN-туннели и предотвращает инициирование новых VPN-туннелей, пока вы не вводите команду vpnclient enable.

Удалите команды Клиента VPN

Команда clear vpnclient очищает Простую удаленную настройку VPN и политику безопасности, сохраненную во флэш-памяти.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 22828