Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пример конфигурации PIX/ASA и клиента VPN для каскадной сети VPN с открытым выходом в Интернет

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (23 марта 2008) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как установить Устройство обеспечения безопасности ASA 7.2 и позже выполнить IPsec на палке. Данная процедура настройки относится к особому случаю, когда устройство ASA запрещает раздельное туннелирование и когда пользователи подключаются напрямую к ASA еще до того, как им будет предоставлено разрешение на выход в Интернет.

Примечание: В версии 7.2 PIX/ASA и позже, внутриинтерфейсное ключевое слово позволяет всему трафику вводить и выходить из того же интерфейса, и не просто Трафика IPSec.

Для того чтобы выполнить подобную настройку на маршрутизаторе центрального узла, обратитесь к документу Пример настройки маршрутизатора и клиента VPN для сети VPN, организованной в общедоступной части Интернета и имеющей один внешний интерфейс.

Более подробно о случае, когда концентратор PIX перенаправляет трафик от клиента VPN к спицевому PIX (spoke PIX), см. в документе Пример настройки PIX/ASA 7.x для улучшенной VPN "клиент-спица", использующей аутентификацию TACACS+ .

Примечание: Во избежание наложения IP-адресов в сети необходимо назначить VPN-клиенту полностью отличный пул IP-адресов (например, 10.x.x.x, 172.16.x.x и 192.168.x.x). Эта схема IP-адресации полезна для устранения проблем в сети.

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию:

  • Межсетевой экран (PIX) концентратора / УСТРОЙСТВО ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ASA должен выполнить версию 7.2 или позже

  • Версия клиентской части Cisco VPN 5. x

Используемые компоненты

Сведения в этом документе основываются на PIX или версии 8.0.2 Устройства обеспечения безопасности ASA и Версии клиентской части Cisco VPN 5.0.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эта конфигурация может также использоваться с версией 7.2 Cisco PIX Security Appliance и позже.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Hairpinning (возврат) или U-turn (разворот)

Эта функция полезна для трафика VPN, который входит по интерфейсу и маршрутизируется на выход из этого же интерфейса. Например, если у вас есть осевая сеть VPN, где устройство безопасности является концентратором, и удаленные сети VPN являются лучами для одного луча для передачи с другим лучом, трафик должен войти в устройство безопасности и затем снова к другому лучу.

Используйте команду same-security-traffic, чтобы разрешить трафику поступать и выходить из одного и того же интерфейса.

securityappliance(config)#
same-security-traffic permit intra-interface

Примечание: Прикрепление или Разворот применимы для Клиента VPN к связи Клиента VPN, также.

Конфигурации

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/67986/pix7x-asa-client-stick-6a.gif

Конфигурация интерфейса командой строки PIX/ASA

Выполните конфигурацию на PIX/ASA
PIX Version 8.0(2)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 172.16.3.101 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
ftp mode passive

!--- Command that permits IPsec traffic 
   to enter and exit the same interface.

same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500

ip local pool vpnpool 
   192.168.10.1-192.168.10.254 mask 255.255.255.0

no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control
!--- The address pool 
   for the VPN Clients.



!--- The global address for Internet 
   access used by VPN Clients. 
!--- Note: Uses an RFC 1918 range for lab setup. 
!--- Apply an address from your public range provided by your ISP.


global (outside) 1 172.18.124.166


!--- The NAT statement to define what to 
   encrypt (the addresses from the vpn-pool).
 

nat (outside) 1 192.168.10.0 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.3.102 172.16.3.102 
   netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.98 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- The configuration of 
   group-policy for VPN Clients.


group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20


!--- Forces VPN Clients over 
   the tunnel for Internet access.


split-tunnel-policy tunnelall


no snmp-server location
no snmp-server contact
snmp-server enable traps snmp


!--- Configuration of IPsec Phase 2.


crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Crypto map configuration for 
   VPN Clients that connect to this PIX.


crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Binds the dynamic map 
   to the crypto map process.


crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Crypto map applied to the outside interface.


crypto map mymap interface outside


!--- Enable ISAKMP on the outside interface.


isakmp identity address
isakmp enable outside


!--- Configuration of ISAKMP policy.


isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Configuration of tunnel-group 
   with group information for VPN Clients.


tunnel-group rtptacvpn type ipsec-ra


!--- Configuration of group 
   parameters for the VPN Clients.


tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Disable user authentication.


authentication-server-group none



!--- Bind group-policy parameters 
   to the tunnel-group for VPN Clients.


default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect dns maximum-length 512
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect netbios
 inspect rsh
 inspect rtsp
 inspect skinny
 inspect esmtp
 inspect sqlnet
 inspect sunrpc
 inspect tftp
 inspect sip
 inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end

Конфигурация ASA/PIX с помощью ASDM

Выполните эти шаги для настройки Cisco ASA как удаленного VPN-сервера с ASDM:

  1. Выберите Wizards> IPsec VPN Wizard из окна Home.

    /image/gif/paws/67986/pix7x-asa-client-stick-7.gif

  2. Выберите тип туннеля VPN для удаленного доступа и гарантируйте, что Интерфейс VPN-туннеля установлен, как желаемый.

    /image/gif/paws/67986/pix7x-asa-client-stick-8.gif

  3. Единственный доступный Тип Клиента VPN уже выбран. Нажмите кнопку Next.

    pix7x-asa-client-stick-9.gif

  4. Введите имя группы туннеля. Предоставьте информацию для аутентификации для использования.

    Предварительный общий ключ выбран в данном примере.

    /image/gif/paws/67986/pix7x-asa-client-stick-10a.gif

    Примечание: Нет способа скрываться/шифровать предварительный общий ключ на ASDM. Причина состоит в том, что ASDM должен только использоваться людьми, которые настраивают ASA или людьми, которые помогают клиенту с этой конфигурацией.

  5. Выберите, хотите ли вы, чтобы удаленные пользователи аутентифицировались на базе локальных пользователей или на внешней группе AAA-серверов.

    Примечание: Вы добавляете пользователей к базе локальных пользователей в шаге 6.

    Примечание: См. PIX/ASA 7.x Группы серверов Проверки подлинности и авторизация для Пользователей VPN через Пример конфигурации ASDM для получения информации о том, как настроить внешнюю группу AAA-серверов через ASDM.

    pix7x-asa-client-stick-11a.gif

  6. Добавьте пользователей к локальной базе данных, при необходимости.

    Примечание: Не удаляйте текущих пользователей из этого окна. Выберите Configuration> Device Administration> Administration> User Accounts в главном окне ASDM, чтобы отредактировать существующие записи в базе данных или удалить их из базы данных.

    pix7x-asa-client-stick-12a.gif

  7. Определите пул локальных адресов, которые будут динамично назначены на удаленных клиентов VPN, когда они соединятся.

    pix7x-asa-client-stick-13a.gif

  8. Дополнительно: Задайте DNS и информацию сервера WINS и Название Домена по умолчанию, которое будет выдвинуто к удаленным клиентам VPN.

    /image/gif/paws/67986/pix7x-asa-client-stick-14a.gif

  9. Задайте параметры для IKE, также известного как 1-ая фаза протокола IKE.

    Конфигурации с обеих сторон туннеля должны совпасть точно, но Cisco VPN Client автоматически выбирает правильную конфигурацию для себя. Никакая конфигурация IKE не необходима на клиентском компьютере.

    /image/gif/paws/67986/pix7x-asa-client-stick-15.gif

  10. Задайте параметры для IPSec, также известного как 2-ая фаза протокола IKE.

    Конфигурации с обеих сторон туннеля должны совпасть точно, но Cisco VPN Client автоматически выбирает правильную конфигурацию для себя. Никакая конфигурация IKE не необходима на клиентском компьютере.

    /image/gif/paws/67986/pix7x-asa-client-stick-16.gif

  11. Задайте, который, если таковые имеются, внутренние хосты или сети могут быть представлены удаленным пользователям VPN.

    При отъезде этого списка пустым он позволяет удаленным пользователям VPN обращаться ко всей внутренней сети ASA.

    Можно также включить разделенное туннелирование на этом окне. Разделенное туннелирование шифрует трафик к ресурсам, определенным ранее в этой процедуре, и предоставляет дешифрованный доступ к Интернету в целом, не туннелируя тот трафик. Если разделенное туннелирование не включено, весь трафик от удаленных пользователей VPN туннелирован к ASA. Это может стать очень пропускной способностью и сом интенсивной загрузкой процессора, на основе вашей конфигурации.

    /image/gif/paws/67986/pix7x-asa-client-stick-17.gif

  12. В этом окне показана сводка выполненных действий. Нажмите Завершить, если настройка выполнена правильно.

    /image/gif/paws/67986/pix7x-asa-client-stick-18.gif

  13. Настройте команду same-security-traffic для включения трафика между двумя или больше хостами, связанными с тем же интерфейсом при нажатии флажка как показано:

    /image/gif/paws/67986/pix7x-asa-client-stick-19.gif

  14. Выберите Configuration> Firewall> NAT Rules и нажмите Add Правило динамического преобразования сетевых адресов (NAT) для создания этого динамического преобразования с использованием ASDM.

    pix7x-asa-client-stick-20.gif

  15. В качестве исходного интерфейса (Source Interface) выберите Inside (Внутренний) и введите диапазон адресов, для которых следует применять NAT. Для Преобразовывают Адрес на Интерфейсе, выбирают снаружи и нажимают OK.

    pix7x-asa-client-stick-21.gif

  16. Выберите снаружи как исходный интерфейс и введите адреса, которые вы хотите к NAT. Для Преобразовывают Адрес на Интерфейсе, выбирают снаружи и нажимают OK.

    pix7x-asa-client-stick-22.gif

  17. Трансляция появляется в Правилах трансляции в Конфигурации> Межсетевой экран> Правила NAT.

    pix7x-asa-client-stick-5a.gif

Примечание 1: Команда sysopt connection permit-vpn должна быть настроена. Чтобы проверить, была ли настроена эта команда, используйте команду show running-config sysopt.

Примечание 2: Добавьте данные из этого листинга в дополнительный UDP-транспорт:

group-policy clientgroup attributes
vpn-idle-timeout 20

udp ipsec включает
udp-port ipsec 10000

политика раздельных туннелей tunnelspecified
split-tunnel-network-list оценивают splittunnel

Примечание 3: чтобы клиенты VPN могли подключаться через IPSec поверх TCP, в режиме глобального конфигурирования устройства PIX необходимо настроить данную команду:


порт 10000 ipsec по tcp isakmp

Примечание: См. Прикрепление на видео Cisco ASA для получения дополнительной информации о других сценариях, где может использоваться прикрепление.

Конфигурация клиента VPN

Для настройки VPN-клиента выполните следующие шаги:

  1. Выберите New.

    pix7x-asa-client-stick-23.gif

  2. Введите IP-адрес внешнего интерфейса PIX и имя группы туннелей наряду с паролем для аутентификации.

    pix7x-asa-client-stick-24.gif

  3. (Дополнительно) Во вкладке "Transport" выберите Enable Transparent Tunneling. (данная операция является дополнительной и для ее выполнения необходимо выполнить настройки PIX/ASA, указанные впримечании 2.).)

    /image/gif/paws/67986/pix7x-asa-client-stick-25.gif

  4. Сохраните созданный профиль.

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Выполните ping-тестирование или используя клиента попробуйте зайти на публичный IP-адрес (например, www.cisco.com).

Примечание: Внутренний интерфейс PIX не может быть пропингован для формирования туннеля, пока команда management-access не настроена в глобальном confirguration режим.

PIX1(config)#management-access inside
PIX1(config)#
show management-access

management-access inside

Проверка клиента VPN

Выполните эти шаги для проверки Клиента VPN.

  1. После успешного соединения в панели задач Windows щелкните правой клавишей мышки на пиктограмме клиента VPN, выполненной в виде замочка. Затем, чтобы посмотреть зашифрованные и дешифрованные пакеты, в контекстном меню выберите опцию statistics.

  2. Чтобы убедиться в том, что с устройства не распространяются никакие списки расщепленных туннелей, щелкните вкладку "Route Details".

Устранение неполадок

Примечание: Для получения дополнительной информации о том, как устранить неполадки вопросов сетей VPN, обратитесь к Решениям для Устранения проблем VPN .


Дополнительные сведения


Document ID: 67986