Коммутаторы : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.x и Позже: Фильтр VPN (Разрешают Определенный Порт или Протокол), Пример Конфигурации для L2L и Удаленного доступа

26 декабря 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (16 ноября 2010) | Английский (29 сентября 2014) | Отзыв


Содержание


Введение

Этот документ описывает процедуру для использования Cisco, ASA для формирования VPN просачиваются L2L и Удаленный доступ с Cisco Клиент VPN.

Фильтры состоят из правил, которые определяют, позволить ли или отклонить tunneled пакеты данных, которые проникают через прибор безопасности, основанный на критериях, таких как адрес источника, адрес получателя и протокол. Вы формируете ACLs, чтобы разрешить или отрицать различные типы движения для этой политики группы. Можно также формировать этот признак в способе имени пользователя, когда, стоимость, формируемая под именем пользователя, заменяет стоимость политики группы.

Примечание: Для тоннеля конфигурация изменяется для вступления в силу, необходимо выйти тоннель VPN и восстановить тоннель.

Предпосылки

Требования

Гарантируйте, чтобы вы ответили этим требованиям перед попыткой этой конфигурации:

Используемые компоненты

Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:

  • Программное обеспечение Cisco 5500 Series Adaptive Security Appliance (ASA), которое управляет версией 8.2 (1)

  • Cisco Адаптивная версия 6.3 (5) Диспетчера устройств безопасности

  • Cisco версия 4.x Клиента VPN и позже

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Связанные продукты

Эта конфигурация может также использоваться с Cisco PIX 500 Серийный Прибор безопасности, который управляет версией 7.x и позже.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Справочная информация

sysopt команда разрешения-ipsec на связь позволяет все движение, которое входит в прибор безопасности через тоннель VPN для обхода интерфейсных списков доступа. Политика группы и списки доступа разрешения в расчете на пользователя все еще относятся к движению. В PIX/ASA 7.1 и позже, sysopt команда разрешения-ipsec на связь изменена на sysopt разрешение-vpn на связь. Vpn-фильтр применен к пострасшифрованному движению после того, как это выходит из тоннеля и предварительно зашифрованного движения, прежде чем это войдет в тоннель.

ACL, который используется для vpn-фильтра, не должен также использоваться для интерфейсной группы доступа. Когда vpn-фильтр применен к способу имени group-policy/user, который управляет Удаленным доступом связи Клиента VPN, ACL должен формироваться с клиентом назначенные IP-адреса в src_ip положении ACL и местной сети в dest_ip положении ACL. Когда vpn-фильтр применен к политике группы, которая управляет связью L2L VPN, ACL должен формироваться с отдаленной сетью в src_ip положении ACL и местной сетью в dest_ip положении ACL.

access-list <acl-no> <permit/deny> ip <remote network> <local network>

Предостережение осуществления, когда вы строите ACLs для использования с особенностью vpn-фильтра. ACLs построены с пострасшифрованным движением (прибывающее движение VPN) в памяти. Однако они также применены к движению, порожденному в противоположном направлении.

Примечание: В конце каждого ACL существует неявное, ненаписанное правило, которое отрицает все движение, которое не разрешено. Если движение явно не разрешено входом управления доступом (ACE), оно отрицается. ACEs упоминается как правила в этой теме. В этом сценарии обратитесь к списку 103 доступа, формируемому в Конфигурации Фильтра L2L VPN.

Формировать

В этой секции вам дарят информацию для формирования особенностей, описанных в этом документе.

Примечание: Используйте Инструмент Поиска Команды (только зарегистрированные клиенты) для получения большей информации о командах, используемых в этой секции.

Диаграмма сети L2L

Этот документ использует эту сетевую установку для Фильтра L2L VPN:

/image/gif/paws/99103/pix-asa-vpn-filter-1.gif

Конфигурация фильтра L2L VPN

Этот документ использует эти конфигурации:

CiscoASA
CiscoASA# show running-config 

!

!--- Output suppressed

access-list 103 extended deny tcp host 172.16.1.2 host 172.22.1.2 eq 80

!--- Access list 103 is created for the VPN Filter. 
!--- This access list 103 filters/denies the request from the remote host(172.16.1.2)  
!--- to the local WEB Server (172.22.1.2).

access-list 103 extended permit ip any any

!

!--- Output suppressed

group-policy filter internal
group-policy filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list 
!--- number in the vpn filter command.


!

!--- Output suppressed

tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

!
!

!--- Output suppressed

L2L VPN пропускает конфигурацию через ASDM

Закончите эти шаги для формирования L2L VPN, проникают в Адаптивный диспетчер устройств безопасности (ASDM) Cisco:

  1. Добавьте список доступа:

    1. В ASDM выберите Конфигурацию> Брандмауэр> Продвинутый> менеджер по ACL.

      L2L-VPN-Filter-1.gif
    2. Нажмите Add и выберите, Добавляют ACL.

      Диалоговое окно Add ACL появляется.

      L2L-VPN-Filter-2.gif
    3. Войдите 103 в область Имени ACL и нажмите OK.

      Новый ACL появляется в списке ACL.

  2. Добавьте ACE:

    1. Щелкните правой кнопкой мыши по новому ACL и выберите, Добавляет ACE.

      /image/gif/paws/99103/L2L-VPN-Filter-3.gif

      Диалоговое окно Add ACE появляется.

      L2L-VPN-Filter-4.gif
    2. Нажмите кнопку выбора Deny, войдите в исходный IP-адрес и IP-адрес назначения, и затем щелкните кнопкой просмотра (...) расположенной рядом с Сервисной областью.

      Диалоговое окно Browse Service появляется.

      /image/gif/paws/99103/L2L-VPN-Filter-5.gif
    3. Выберите порт TCP 80 и нажмите OK для возвращения к диалоговому окну Edit ACE.

      /image/gif/paws/99103/L2L-VPN-Filter-6.gif
    4. Нажать OK.

      Новый вход ACE появляется в списке ACL.

    5. Щелкните правой кнопкой мыши по новому входу ACE и выберите Вставку После.

      /image/gif/paws/99103/L2L-VPN-Filter-7.gif

      Диалоговое окно Insert After ACE появляется.

      /image/gif/paws/99103/L2L-VPN-Filter-8.gif
    6. Добавьте ACE, который разрешает any-any движение:

      1. Щелкните выбором Разрешения.

      2. Выберите любого в Исходных и областях Назначения и выберите IP в Сервисной области.

      3. Нажать OK.

      Примечание: Добавление ACE, который разрешает any-any движение, предотвращает Неявное, Отрицают правило в конце списка доступа.

      Это изображение показывает 103 списка доступа с двумя записями управления доступом:

      /image/gif/paws/99103/L2L-VPN-Filter-9.gif
  3. Формируйте политику группы:

    1. В ASDM выберите Конфигурацию> От места к месту VPN> политика Группы для формирования политики группы.

      /image/gif/paws/99103/L2L-VPN-Filter-10.gif
    2. Нажмите Add и выберите политику Internal Group.

      Диалоговое окно Add Internal Group Policy появляется.

      /image/gif/paws/99103/L2L-VPN-Filter-13.gif
    3. Введите имя для политики группы в области Имени и выберите 103 из выпадающего списка Filter.

      Наконечник: можно также использовать кнопку Manage, расположенную рядом с выпадающим списком Filter для отбора фильтра.

    4. Нажать OK.

  4. Добавьте внутреннюю политику группы к туннельной группе от места к месту.

    1. В ASDM выберите Конфигурацию> От места к месту VPN> Профили Связи.

    2. Выберите необходимую туннельную группу и кнопку Edit щелчка для изменения туннельных параметров группы.

      /image/gif/paws/99103/L2L-VPN-Filter-16.gif
    3. Выберите vpn-фильтр из выпадающего списка Group Policy.

      Наконечник: можно также использовать кнопку Manage, расположенную рядом с выпадающим списком Group Policy для отбора фильтра.

Двунаправленная конфигурация фильтра VPN

Фильтр VPN работает двунаправлено с единственным ACL. Отдаленный хозяин/сеть всегда определяется в начале ACE, независимо от направления ACE (прибывающий или за границу).

Эта конфигурация описана в этой типовой конфигурации.

Поскольку ACL является stateful, если движение позволено в одном направлении, то движение возвращения для того потока автоматически позволено.

Примечание: Если порты TCP/UDP не используются со списком доступа, обе стороны могут получить доступ друг к другу. Например:

access-list 103 permit ip 172.16.1.2 host 172.22.1.1 

Примечание: Этот ACL позволяет движению быть порожденным от 172.16.1.2 до 172.22.1.1 и также от 172.22.1.1 до 172.16.1.2, поскольку ACL применен двунаправлено.

CiscoASA
CiscoASA# show running-config 


!
!--- Output suppressed



!--- This access list allows the traffic for the remote network 172.16.1.0 
!--- to the local web server on port 80. 


access-list 105 extended permit tcp 172.16.1.0 255.255.255.0 host 172.22.1.1 eq www


!--- This access list allows the traffic in the reverse direction,
!--- from 172.22.1.0 to 172.16.1.3 (ftp server). The remote host/network 
!--- is always defined as the first entry in 
!--- the ACE regardless of the direction.


access-list 105 extended permit tcp host 172.16.1.3 eq ftp 172.22.1.0 255.255.255.0


!--- Implicit deny. 
!--- Denies all other traffic other than permitted traffic.


!
!--- Output suppressed

group-policy filter internal
group-policy filter attributes
 vpn-filter value 105

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn filter command.


!
!--- Output suppressed

tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

!
!--- Output suppressed

Двунаправленные VPN пропускают конфигурацию через ASDM

Закончите эти шаги для формирования двунаправленного VPN, проникают в ASDM:

  1. Добавьте список доступа:

    1. В ASDM выберите Конфигурацию> Брандмауэр> Продвинутый> менеджер по ACL.

      L2L-VPN-Filter-1.gif
    2. Нажмите Add и выберите, Добавляют ACL.

    3. Войдите 105 в область Имени ACL и нажмите OK.

      Новый ACL появляется в списке ACL.

  2. Добавьте ACE:

    1. В списке ACL щелкните правой кнопкой мыши по 105 входам и выберите, Добавляет ACE.

      L2L-VPN-Filter-Bidirectional-1.gif

      Диалоговое окно Add ACE появляется.

      L2L-VPN-Filter-Bidirectional-4.gif
    2. Щелкните кнопкой выбора Разрешения.

    3. Войдите в 172.16.1.0 сети в Исходную область и войдите 172.22.1.1 в область Назначения.

    4. Щелкните Сервисной кнопкой просмотра (...) и выберите tcp/http.

    5. Нажать OK.

    6. В списке ACL щелкните правой кнопкой мыши по новому входу ACE и выберите Вставку После ACE.

      Диалоговое окно Insert After ACE появляется.

      L2L-VPN-Filter-Bidirectional-7.gif
    7. Щелкните выбором Разрешения.

    8. Войдите 172.16.1.3 в Исходную область и выберите 172.22.1.0/24 для Места назначения.

    9. В Большем количестве области Вариантов щелкните флажком Enable Rule, и затем щелкните кнопкой просмотра (...) расположенной рядом с Исходной Сервисной областью.

    10. Диалоговое окно Browse Source Service появляется.

      L2L-VPN-Filter-Bidirectional-8.gif
    11. Выберите ftp и нажмите OK для возвращения к диалоговому окну Insert After ACE.

      L2L-VPN-Filter-Bidirectional-9.gif
  3. Добавьте внутреннюю политику группы:

    1. В ASDM выберите Конфигурацию> От места к месту VPN> политика Группы для формирования политики группы.

      /image/gif/paws/99103/L2L-VPN-Filter-10.gif
    2. Нажмите Add и выберите политику Internal Group.

      Диалоговое окно Add Internal Group Policy появляется.

      L2L-VPN-Filter-Bidirectional-11.gif
    3. Введите имя для политики группы в области Имени и выберите 105 из выпадающего списка Filter.

      Наконечник: можно также использовать кнопку Manage, расположенную рядом с выпадающим списком Filter для отбора фильтра.

    4. Нажать OK.

  4. Добавьте внутреннюю политику группы к туннельной группе от места к месту:

    1. В ASDM выберите Конфигурацию> От места к месту VPN> Профили Связи.

    2. Выберите необходимую туннельную группу и кнопку Edit щелчка для изменения туннельных параметров группы.

      /image/gif/paws/99103/L2L-VPN-Filter-16.gif
    3. Выберите vpn-фильтр из выпадающего списка Group Policy.

      Наконечник: можно также использовать кнопку Manage, расположенную рядом с выпадающим списком Group Policy для отбора фильтра.

Диаграмма сети удаленного доступа

Этот документ использует эту сетевую установку для Удаленного доступа Фильтр VPN:

/image/gif/paws/99103/pix-asa-vpn-filter-2.gif

Удаленный доступ конфигурация фильтра VPN

Этот документ использует эту конфигурацию:

CiscoASA
CiscoASA# show running-config 


!
!--- Output suppressed

ip local pool vpnclient 10.16.20.1-10.16.20.5

!--- Create a pool of addresses from which IP addresses are assigned 
!--- dynamically to the remote VPN Clients.


access-list 103 extended permit udp 10.16.20.0 255.0.0.0 host 172.16.1.1 eq 53

!--- Access list 103 is created for the VPN Filter for the group policy(filter).
 
!--- Access list 103 allows the access for the DNS Server(172.16.1.1)



!--- Implicit deny. Denies all traffic other than permitted traffic.


access-list 104 extended permit ip 10.16.20.0 255.0.0.0 172.16.1.0 255.255.255.0

!--- Access list 104 is created for the VPN Filter for the user(vpn3000). 

!--- This access list 103 allows the access for the network 172.16.1.0/24



!--- Implicit deny. Denies all traffic other than permitted traffic.



!
!--- Output suppressed

username vpn3000 password xaI3t+nY5wjYQ2thSKJfoQ== nt-encrypted

!--- In order to identify remote access users to the Security
!---  Appliance, you can also configure usernames and passwords 
!--- on the device in addition to the use of AAA. 


username vpn3000 attributes
 vpn-filter value 104

!--- Apply the VPN Filter ACL 104 in the username mode. 
!--- This filter is applicable to a particular user (vpn3000) only. 
!--- The username mode VPN Filter (acl 104) overrides
!--- the vpn filter policy (acl 103)applied in the group 
!--- policy(filter) mode for this user(vpn3000) alone.


!
!--- Output suppressed

group-policy vpn-filter internal
group-policy vpn-filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn-filter command.


!
!--- Output suppressed

tunnel-group vpn3000 general-attributes
 default-group-policy vpn-filter

!--- Associate the group policy (filter) with the tunnel group(vpn3000).

Примечание: Определенные изменения конфигурации вступают в силу только во время переговоров последующего SAs. Если вы хотите, чтобы новые параметры настройки немедленно вступили в силу, очистили существующий SAs, для восстановления их с измененной конфигурацией. Если прибор безопасности активно обрабатывает движение IPSec, желательно очистить только часть базы данных SA, которую затронули бы изменения конфигурации. Запас, очищающий полную базу данных SA для крупномасштабных изменений, или когда прибор безопасности обрабатывает небольшое количество движения IPSec.

Примечание: можно использовать эти данные команды, чтобы очистить и повторно инициализировать SAs.

  • ясный ipsec sa — Удаляет весь SAs IPSec от прибора безопасности.

  • ясный пэр ipsec 10.1.1.1 — Удаляет SAs IPSec с IP-адресом пэра 10.1.1.1.

  • ясный isakmp sa — Удаляет всю базу данных SA времени выполнения IKE.

Удаленный доступ VPN пропускает конфигурацию через ASDM

Закончите эти шаги для формирования удаленного доступа, VPN проникают в ASDM:

  1. Создайте бассейн адреса:

    1. В ASDM выберите Конфигурацию> Удаленный доступ VPN> Сеть (Клиент) Доступ> Назначение Адреса> Бассейны Адреса.

      Remote-Access-VPN-Filter-1.gif
    2. Нажмите Add.

      Диалоговое окно Add IP Pool появляется.

      Remote-Access-VPN-Filter-2.gif
    3. Введите имя для бассейна IP. Этот пример использует vpnclient.

    4. Войдите в старт и окончание IP-адресов, и затем выберите маску подсети.

    5. Нажать OK.

  2. Добавьте список доступа для разрешения доступа к серверу области:

    1. В ASDM выберите Конфигурацию> Брандмауэр> Продвинутый> менеджер по ACL.

      L2L-VPN-Filter-1.gif
    2. Нажмите Add и выберите, Добавляют ACL.

      Диалоговое окно Add ACL появляется.

      Remote-Access-VPN-Filter-3.gif
    3. Войдите 103 в область Имени ACL и нажмите OK.

  3. Добавьте ACE:

    1. В списке ACL щелкните правой кнопкой мыши по 103 входам и выберите, Добавляет ACE.

      Диалоговое окно Add ACE появляется.

      Remote-Access-VPN-Filter-7.gif
    2. Щелкните кнопкой выбора Разрешения.

    3. Войдите в 10.16.20.0/24 сеть в Исходную область и войдите 172.16.1.1 в область Назначения.

    4. Щелкните кнопкой просмотра (...) расположенной рядом с Сервисной областью.

      Диалоговое окно Browse Service появляется.

      Remote-Access-VPN-Filter-8.gif
    5. Выберите udp протокол, названный областью, и нажмите OK для возвращения к диалоговому окну Add ACE.

      Remote-Access-VPN-Filter-9.gif
    6. Нажать OK.

  4. Добавьте нового пользователя:

    1. В ASDM выберите Конфигурацию> Удаленный доступ VPN> Пользователи AAA/Local> Местные Пользователи.

      Remote-Access-VPN-Filter-12.gif
    2. Щелкните кнопкой Add.

      Диалоговое окно Add User Account появляется.

      Remote-Access-VPN-Filter-13.gif
    3. Войдите в имя пользователя и пароль. Этот пример использует vpn3000 в качестве имени пользователя.

    4. Нажать OK.

  5. Создайте список доступа для ограничения доступа для vpn3000 пользователя:

    1. В ASDM выберите Конфигурацию> Брандмауэр> Продвинутый> менеджер по ACL.

      L2L-VPN-Filter-1.gif
    2. Нажмите Add и выберите, Добавляют ACL.

      Диалоговое окно Add ACL появляется.

      Remote-Access-VPN-Filter-10.gif
  6. Добавьте ACE:

    1. В списке ACL щелкните правой кнопкой мыши по 104 входам и выберите, Добавляет ACE.

      Диалоговое окно Add ACE появляется.

      Remote-Access-VPN-Filter-11.gif
    2. Щелкните кнопкой выбора Разрешения.

    3. Войдите в 10.16.20.0/24 сеть в Исходную область и войдите в 172.16.1.0/24 в область Назначения.

    4. Нажать OK.

  7. Добавьте 104 списка доступа как правило фильтрации для vpn3000 пользователя:

    1. В ASDM выберите Конфигурацию> Удаленный доступ VPN> Пользователи AAA/Local> Местные Пользователи.

    2. Выберите vpn3000 пользователя и нажмите Edit.

      Диалоговое окно Edit User Account появляется.

      Remote-Access-VPN-Filter-14.gif
    3. Выберите 104 из выпадающего списка IPv4 Filter и нажмите OK.

  8. Добавьте 103 списка доступа к политике группы vpn-фильтра:

    1. В ASDM выберите Конфигурацию> Удаленный доступ VPN> Сеть (Клиент) Доступ> политика Группы, и затем нажмите Add.

      Диалоговое окно Add Internal Group Policy появляется.

      Remote-Access-VPN-Filter-15.gif
    2. Войдите vpn-просачиваются область Имени и выбирают 103 из выпадающего списка IPv4 Filter.

    3. Нажать OK.

  9. Добавьте политику группы vpn-фильтра как значение по умолчанию для vpn3000 профиля связи:

    1. В ASDM выберите Конфигурацию> Удаленный доступ VPN> Сеть (Клиент) Доступ> Профили Связи IPsec, выберите необходимую туннельную группу и нажмите Edit.

      Remote-Access-VPN-Filter-17.gif
    2. Выберите vpn-фильтр из выпадающего списка Group Policy и нажмите OK.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 99103