Видео и доставка контента : Устройства защиты Cisco PIX серии 500

Создание резервных туннелей между брандмауэрами с помощью PDM

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает процедуру, которую вы используете для настройки туннелей между двумя межсетевыми экранами PIX с помощью Cisco PIX Device Manager (PDM). Межсетевые экраны PIX размещаются на двух разных территориальных объектах. В случае сбоя для достижения основного пути выбираемо начать туннель через избыточное соединение. IPsec является комбинацией открытых стандартов, которые предоставляют конфиденциальность данных, целостность данных и проверку подлинности источника данных между узлами IPsec.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco Secure PIX 515E Межсетевые экраны с 6.x и версия PDM 3.0

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Схема сети

В настоящем документе используется следующая схема сети:

redundant-firewalls-pdm-10.gif

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Согласование IPsec может быть разделено на пять этапов и включает две фазы Протокола IKE.

Туннель IPSec инициирован содержательным трафиком. Трафик считается содержательным при передаче между двумя одноранговыми узлами IPsec.

На втором этапе обмена ключами (IKE) для равноправных пользователей протокола IPSec выполняется согласование установленной политики сопоставлений безопасности (SA) IKE. По завершении аутентификации одноранговых узлов создается защищенный туннель с применением протокола ISAKMP.

На втором этапе обмена ключами (IKE) одноранговые узлы IPsec используют проверенный и безопасный туннель для согласования преобразований IPSec SA. Согласование общей политики определяет то, как будет установлен туннель IPSec.

Туннель IPSec создан, и данные передаются между узлами IPSec на основании параметров IPSec, настроенных в наборах преобразования IPSec.

Разъединение туннеля IPSec выполняется при удалении сопоставлений безопасности (IPSec SA) или по истечении срока их действия.

Примечание: Если SA на обеих из фаз IKE не совпадают на узлах, согласование IPsec между этими двумя PIX отказывает.

!--- конфигурацию

Когда представляющий интерес трафик существует, эта процедура ведет вас через конфигурацию одного из межсетевых экранов PIX для инициирования туннеля. Когда нет никакого подключения между PIX-01 и PIX-02 через маршрутизатор 1 (R1), эта конфигурация также помогает вам устанавливать туннель через резервное соединение через маршрутизатор 2 (R2). Этот документ показывает конфигурацию PIX-01 с помощью PDM. Можно настроить PIX-02 на подобных линиях.

Этот документ предполагает, что вы уже настроили маршрутизацию.

Только для одной ссылки, чтобы быть подключенными за один раз, заставьте R2 распространить худшую метрику для 192.168.1.0 сетей, а также для 172.30.0.0 сетей. Например, при использовании RIP для маршрутизации R2 имеет эту конфигурацию кроме других сетевых объявлений:

R2(config)#router rip
R2(config-router)#offset-list 1 out 2 s1 
R2(config-router)#offset-list 2 out 2 e0
R2(config-router)#exit 
R2(config)#access-list 1 permit 172.30.0.0 0.0.255.255
R2(config)#access-list 2 permit 192.168.1.0 0.0.0.255

Процедура конфигурации

При вводе https://<Inside_IP_Address_on_PIX>, чтобы запустить PDM и нажать вкладку VPN впервые, информацию об автоматических показах Мастера VPN.

redundant-firewalls-pdm-1.gif

  1. Выберите Wizards> VPN Wizard.

    redundant-firewalls-pdm-2.gif

  2. Мастер VPN запускает и побуждает вас для типа VPN, которую вы хотите настроить. Выберите Site-to-Site VPN, выберите внешний интерфейс как интерфейс, на котором VPN будет включена, и нажимать Next.

    redundant-firewalls-pdm-3.gif

  3. Введите IP - адрес адресуемой точки, где должен закончиться Туннель IPSec. В данном примере туннель заканчивается на внешнем интерфейсе PIX-02. Нажмите кнопку Next.

    redundant-firewalls-pdm-4.gif

  4. Введите параметры Набора правил IKE, что вы принимаете решение использовать и нажать Next.

    redundant-firewalls-pdm-5.gif

  5. Предоставьте Шифрование и Параметры аутентификации для Набора преобразований и нажмите Next.

    redundant-firewalls-pdm-6.gif

  6. Выберите локальную сеть и удаленные сети, необходимо защитить IPsec использования для выбора представляющего интерес трафика, который необходимо защитить.

    redundant-firewalls-pdm-7.gif

    redundant-firewalls-pdm-8.gif

Проверка

Если существует представляющий интерес трафик к узлу, туннель установлен между PIX-01 и PIX-02.

Для проверки этого завершите работу последовательного интерфейса R1, для которого туннель установлен между PIX-01 и PIX-02 через R2, когда существует представляющий интерес трафик.

Просмотрите Состояние VPN под Дом в PDM (выделенный в красном) для проверки формирования туннеля.

redundant-firewalls-pdm-9.gif

Можно также проверить формирование туннелей с помощью CLI под Программными средствами в PDM. Задайте команду show crypto isakmp sa, чтобы проверить формирование туннелей, и выполните команду show crypto ipsec sa, чтобы узнать количество инкапсулированных, шифрованных и т. д. пакетов.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

См. Cisco PIX Device Manager 3.0 для получения дополнительной информации о конфигурации Межсетевого экрана PIX с помощью PDM.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Дополнительные сведения


Document ID: 66166