Беспроводные сети : Устройства защиты Cisco PIX серии 500

Пример конфигурации туннеля VPN LAN-LAN между двумя PIX, использующего PDM

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает процедуру для настройки VPN-туннелей между двумя Межсетевыми экранами PIX с помощью Cisco PIX Device Manager (PDM). PDM на основе браузера средство конфигурации, разработанное, чтобы помочь вам устанавливать, настраивать и контролировать свой Межсетевой экран PIX с GUI. Межсетевые экраны PIX размещаются на двух разных территориальных объектах.

Туннель сформирован с помощью IPsec. IPsec является комбинацией открытых стандартов, которые предоставляют конфиденциальность данных, целостность данных и проверку подлинности источника данных между узлами IPsec.

Предварительные условия

Требования

Нет никаких требований для этого документа.

Используемые компоненты

Сведения в этом документе основываются на Cisco Secure PIX 515E Межсетевые экраны с 6.x и версия PDM 3.0.

См. Настройку Простой VPN - туннель PIX-PIX Использование IPsec для примера конфигурации на конфигурации VPN-туннеля между двумя устройствами PIX с помощью Интерфейса командной строки (CLI).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Схема сети

В настоящем документе используется следующая схема сети:

l2l-tunnel-using-pdm-a.gif

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Согласование IPsec может быть разделено на пять этапов и включает две фазы Протокола IKE.

  1. Туннель IPSec инициирован содержательным трафиком. Трафик считается содержательным при передаче между двумя одноранговыми узлами IPsec.

  2. На втором этапе обмена ключами (IKE) для равноправных пользователей протокола IPSec выполняется согласование установленной политики сопоставлений безопасности (SA) IKE. По завершении аутентификации одноранговых узлов создается защищенный туннель с применением протокола ISAKMP.

  3. На втором этапе обмена ключами (IKE) одноранговые узлы IPsec используют проверенный и безопасный туннель для согласования преобразований IPSec SA. Согласование общей политики определяет то, как будет установлен туннель IPSec.

  4. Туннель IPSec создан, и данные передаются между узлами IPSec на основании параметров IPSec, настроенных в наборах преобразования IPSec.

  5. Разъединение туннеля IPSec выполняется при удалении сопоставлений безопасности (IPSec SA) или по истечении срока их действия.

    Примечание: Если SA на обеих из фаз IKE не совпадают на узлах, согласование IPsec между этими двумя PIX отказывает.

Процедура конфигурации

Кроме другой обычной конфигурации на CLI PIX для доступа к нему через Ethernet 0 интерфейсов использование http server команд включает и http server <local_ip> <interface> <mask>, где <local_ip> и <mask> является IP-адрес и маска рабочей станции, на которой установлен PDM. Конфигурация в этом документе для PIX-01. PIX-02 может быть настроен с помощью тех же шагов с другими адресами.

Выполните следующие действия:

  1. Откройте свой браузер и введите https://<Внутренний_IP-адрес_PIX> для доступа к PIX в PDM.

  2. Нажмите Configuration и перейдите к вкладке VPN.

    l2l-tunnel-using-pdm-1.gif

  3. Нажмите Transform Sets под IPSec для создания Набора преобразований.

    l2l-tunnel-using-pdm-2.gif

  4. Нажмите Add, выберите все нужные варианты и нажмите OK для создания нового Набора преобразований.

    l2l-tunnel-using-pdm-3.gif

  5. Нажмите Pre-Shared Keys под IKE для настройки предварительных общих ключей.

    l2l-tunnel-using-pdm-5.gif

  6. Нажмите Add для добавления нового предварительного общего ключа.

    l2l-tunnel-using-pdm-6.gif

    Это окно показывает ключ, который является паролем для туннельной ассоциации. Это должно совпасть с обеих сторон туннеля.

    l2l-tunnel-using-pdm-7.gif

  7. Нажмите Policies под IKE для настройки политики.

    l2l-tunnel-using-pdm-8.gif

  8. Нажмите Add и заполните соответствующие поля.

    l2l-tunnel-using-pdm-9.gif

  9. Нажмите OK для добавления новой политики.

    l2l-tunnel-using-pdm-10.gif

  10. Выберите внешний интерфейс, нажмите Enable, и от Идентичности выпадающее меню выбирает адрес.

    l2l-tunnel-using-pdm-11.gif

  11. Нажмите IPSec Rules под IPSec для создания правил IPsec.

    l2l-tunnel-using-pdm-12.gif

  12. Заполните соответствующие поля.

    l2l-tunnel-using-pdm-14.gif

  13. Нажмите New в Туннельной Политике. Окно политики Tunnel появляется. Заполните соответствующие поля.

    l2l-tunnel-using-pdm-15.gif

  14. Нажмите OK, чтобы видеть, что управляет настроенный IPsec.

  15. Нажмите VPN Systems Options и проверьте Обходную проверку доступа для всего Трафика IPSec.

    l2l-tunnel-using-pdm-16.gif

Проверка

Если существует представляющий интерес трафик к узлу, туннель установлен между PIX-01 и PIX-02.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Просмотрите Состояние VPN под Дом в PDM (выделенный в красном) для проверки формирования туннеля.

l2l-tunnel-using-pdm-17.gif

Можно также проверить формирование туннелей с помощью CLI под Программными средствами в PDM. Задайте команду show crypto isakmp sa, чтобы проверить формирование туннелей, и выполните команду show crypto ipsec sa, чтобы узнать количество инкапсулированных, шифрованных и т. д. пакетов.

Примечание: Внутренний интерфейс PIX не может быть пропингован для формирования туннеля, пока команда management-access не настроена в глобальном confirguration режим.

PIX-02(config)#management-access inside
PIX-02(config)#show management-access
management-access inside

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Дополнительные сведения


Document ID: 67929