Безопасность : Устройства защиты Cisco PIX серии 500

Пример конфигурации PIX/ASA 7.x для поддержки IPsec по TCP на любом порте

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает способ настройки сеансов VNP удаленного доступа между клиентами межсетевого экрана PIX и аппаратными средствами виртуальной частной сети. Этот пример конфигурации демонстрирует конфигурацию для IPSec по TCP на любом порту. Эта функция представлена в Версии PIX 7. x .

Команда порта ipsec по tcp isakmp позволяет PIX соединиться с программным обеспечением Сisco VPN и Аппаратным клиентом на любом порту для IPSec по TCP.

Обратитесь к аппаратному клиенту VPN 3002 к PIX 6.x Пример конфигурации для узнавания больше о том же сценарии, где Устройство безопасности PIX работает под управлением ПО версии 6. x .

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Межсетевой экран PIX должен выполнить версию кода 7.0 или позже.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия 7.0.4 PIX 515

  • Аппаратный клиент Cisco VPN 3002 4.7.2

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Этот документ может также использоваться с Устройством адаптивной защиты (ASA) серии 5500 Cisco, которое работает под управлением ПО версии 7.0 и позже.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/68326/pix7x-ipsec-tcp-anyport-1.gif

Конфигурации

Эти конфигурации используются в данном документе:

PIX 7.X
PIX Version 7.0(4)
!
hostname pix
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 speed 10
 nameif outside
 security-level 0
 ip address 172.30.200.1 255.255.0.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.16.5.10 255.255.0.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
!
access-list nonat extended permit ip 172.16.0.0 255.255.0.0 any
access-list outside extended permit icmp any any
access-list OUT extended permit ip any any
!
nat (inside) 0 access-list nonat
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 172.30.200.2 1
!

!--- Output is suppressed.

group-policy DfltGrpPolicy attributes
 banner none
 wins-server none
 dns-server none
 dhcp-network-scope none
 vpn-access-hours none
 vpn-simultaneous-logins 3
 vpn-idle-timeout 30
 vpn-session-timeout none
 vpn-filter none
 vpn-tunnel-protocol IPSec

!--- This specifies the VPN protocol used by this group. 
!--- The two options are IPsec and WebVPN. IPsec is configured for this example. 

 password-storage enable

!--- This allows the users to store passwords on VPN Client devices. 
!--- Password storage is disabled by default for security reasons. 
!--- Enable password storage only on systems that you know to be in secure sites.

 ip-comp disable
 re-xauth disable
 group-lock none
 pfs disable
 ipsec-udp disable
 ipsec-udp-port 10000
 split-tunnel-policy tunnelall
 split-tunnel-network-list none
 default-domain none
 split-dns none
 secure-unit-authentication disable
 user-authentication disable
 user-authentication-idle-timeout 30
 ip-phone-bypass disable
 leap-bypass disable
 nem enable

!--- Enter the nem command with the enable keyword in 
!--- group-policy configuration mode to enable network 
!--- extension mode for hardware clients. 
!--- This is disabled by default.

 backup-servers keep-client-config
 client-firewall none
 client-access-rule none
 
!--- Refer to Group Policies for more information.

!
crypto ipsec transform-set my-set esp-3des esp-md5-hmac
crypto dynamic-map dyn_outside 20 set transform-set my-set
crypto map mymap 20 ipsec-isakmp dynamic dyn_outside
crypto map mymap interface outside

!--- These are the IPsec parameters that are 
!--- negotiated with the client. In this example, dynamic maps are 
!--- used since the client IP address is not known.

isakmp enable outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400

!--- These are the Phase 1 parameters negotiated by the two peers.

isakmp ipsec-over-tcp port 10000

!--- Use the isakmp ipsec-over-tcp command 
!--- in global configuration mode to enable IPsec over TCP.

tunnel-group DefaultRAGroup general-attributes

!--- A tunnel group consists of a set of records that 
!--- contain tunnel connection policies. The two attributes 
!--- are General and IPsec. 

 authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *
: end 

Аппаратный клиент Cisco VPN 3002

Выполните следующие действия:

  1. Выберите Configuration> Interfaces для настройки IP-адреса для обоих интерфейсов.

    В данном примере открытый интерфейс имеет динамично назначенный адрес:

    /image/gif/paws/68326/pix7x-ipsec-tcp-anyport-2.gif

  2. Выберите Configuration> System> Tunneling Protocols> IPsec для настройки параметров, относящихся к Туннелю IPSec.

    Удостоверьтесь, что вы выбираете IPsec Over TCP и настраиваете количество того же порта, подобное тому, настроенному на PIX. Данный пример использует порт 10000.

    Имя группы туннеля и пароля также настроено в данном примере. Это требуется только в случае предварительных общих ключей, это не требуется при использовании сертификатов. Именем группы является DefaultRAGroup в данном примере.

    pix7x-ipsec-tcp-anyport-3.gif

  3. Отключите PAT для настройки Туннеля IPSec в Режиме расширения сети (NEM). Выберите Configuration> Policy Management> Traffic Management> PAT> Enable.

    NEM позволяет аппаратным клиентам представлять сингл, маршрутизируемую сеть к удаленной частной сети по VPN-туннелю. IPSec инкапсулирует весь трафик от частной сети позади аппаратного клиента к сетям позади устройства безопасности.

    pix7x-ipsec-tcp-anyport-4.gif

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Проверьте PIX 7.x конфигурация

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show crypto isakmp sa — отображает все текущие сопоставления безопасности IKE (SA) на одноранговом узле. Состояние AM_ACTIVE обозначает, что Агрессивный режим использовался для устанавливания VPN-туннеля IPSec.

    pix#show crypto isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 10.1.1.5
        Type    : user            Role    : responder
        Rekey   : no              State   : AM_ACTIVE
    
  • show crypto ipsec sa — отображает настройки, используемые текущими SA. Проверьте наличие IP-адресов для однорангового узла, доступность сетей как местную, так и удаленную, а также используемый набор преобразования. Есть две SA ESP, по одной в каждом направлении.

    pix#show crypto ipsec sa
    interface: outside
        Crypto map tag: dyn_outside, seq num: 20, local addr: 172.30.200.1
    
          local ident (addr/mask/prot/port): (172.30.200.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (10.1.1.5/255.255.255.255/0/0)
          current_peer: 10.1.1.5, username: DefaultRAGroup
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.30.200.1/10000, remote crypto endpt.: 10.1.1.5/19
    007
          path mtu 1500, ipsec overhead 96, media mtu 1500
          current outbound spi: 3B091B02
    
        inbound esp sas:
          spi: 0x4B73C095 (1265877141)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28607
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x3B091B02 (990452482)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28605
             IV size: 8 bytes
             replay detection support: Y
    
        Crypto map tag: dyn_outside, seq num: 20, local addr: 172.30.200.1
    
          local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
          remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
          current_peer: 10.1.1.5, username: DefaultRAGroup
          dynamic allocated peer ip: 0.0.0.0
    
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 15, #pkts decrypt: 15, #pkts verify: 15
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 172.30.200.1/10000, remote crypto endpt.: 10.1.1.5/19
    007
          path mtu 1500, ipsec overhead 96, media mtu 1500
          current outbound spi: 02E893BC
    
        inbound esp sas:
          spi: 0x67593523 (1733899555)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28609
             IV size: 8 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x02E893BC (48796604)
             transform: esp-3des esp-md5-hmac
             in use settings ={RA, Tunnel,  TCP-Encaps, }
             slot: 0, conn_id: 3, crypto-map: dyn_outside
             sa timing: remaining key lifetime (sec): 28609
             IV size: 8 bytes
             replay detection support: Y
  • покажите крипто-статистику ipsec по tcp isakmp — Использование эта команда для проверки IPSec по параметрам TCP.

    pix#show crypto isakmp ipsec-over-tcp stat
    
    Global IPSec over TCP Statistics
    --------------------------------
    Embryonic connections: 0
    Active connections: 1
    Previous connections: 80
    Inbound packets: 803
    Inbound dropped packets: 0
    Outbound packets: 540
    Outbound dropped packets: 0
    RST packets: 87
    Recevied ACK heart-beat packets: 7
    Bad headers: 0
    Bad trailers: 0
    Timer failures: 0
    Checksum errors: 0
    Internal errors: 0

Проверьте конфигурацию аппаратного клиента Cisco VPN 3002

Выберите Monitoring> Statistics> IPsec, чтобы проверить, подошел ли туннель в аппаратном клиенте Cisco VPN 3002. Это окно показывает статистику и для IKE и для Параметров IPSec:

/image/gif/paws/68326/pix7x-ipsec-tcp-anyport-5.gif

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Порт IKE 10000 для UDP IPSec, уже зарезервированного на интерфейсе снаружи

Полученный сообщение журнала %ASA-6-713905: IKE port 10000 for IPSec UDP already reserved on interface outside.

Решение

Это - информационное сообщение, которое может быть безопасно проигнорировано. Это информационное сообщение используется для отслеживания события, которые произошли. Для получения дополнительной информации относительно этого сообщения, обратитесь к 713905.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Команды отладки на PIX для VPN-туннелей:

  • debug crypto isakmp sa – для отладки согласований SA ISAKMP.

  • debug crypto ipsec sa – для отладки согласований SA IPSec.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 68326