Безопасность : Устройства защиты Cisco PIX серии 500

Пример настройки туннеля IPsec между концентратором Cisco VPN 3000 и брандмауэром PIX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (28 июля 2008) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Данный документ содержит пример конфигурации по установке VPN-туннеля LAN-LAN IPsec между межсетевым экраном PIX 7.x и концентратором Cisco VPN 3000.

Дополнительные сведения о туннелях LAN-LAN между устройствами PIX, которые позволяют клиентам VPN получать доступ к промежуточным PIX через концентратор PIX, см. документ Пример настройки усовершенствованной связи оконечных PIX/ASA 7.x с клиентами через VPN с использованием аутентификации TACACS+.

Дополнительные сведения о LAN-LAN туннелях между PIX/ASA и маршрутизатором IOS, см. документ Пример конфигурации IPsec-туннеля LAN-LAN от устройства защиты PIX/ASA 7.x к маршрутизатору Cisco IOS.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Устройство защиты Cisco PIX 500 версии 7.1(1)

  • Концентратор Cisco VPN 3060 с программным обеспечением версии 4.7.2(B)

Примечание: PIX 506/506E не поддерживает версию 7.x.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Дополнительные сведения о настройке PIX 6.x, см. Пример настройки туннеля IPsec LAN-LAN между концентратором Cisco VPN 3000 и межсетевым экраном PIX.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/69115/ipsec-pix7x-vpn-con-1.gif

Настройка PIX

PIX
PIX7#show running-config
: Saved
:
PIX Version 7.1(1)
!
hostname PIX7
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- Configures the outside interface of the PIX.


!--- By default, the security level for the outside interface is 0.

interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!

!--- Configures the inside interface of the PIX.


!--- By default, the security level for the inside interface is 100.

interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!

!--- Defines the IP addresses that should not be NATed.

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list outside extended permit icmp any any

!--- Defines the IP addresses that can communicate via the IPsec tunnel.

access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list OUT extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
asdm image flash:/asdm-504.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list nonat
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.2 1

!--- Output is suppressed.


!--- These are the IPsec parameters that are negotiated with the client.

crypto ipsec transform-set my-set esp-aes-256 esp-sha-hmac
crypto map mymap 20 match address 101
crypto map mymap 20 set peer 172.30.1.1
crypto map mymap 20 set transform-set my-set
crypto map mymap interface outside

!--- These are the Phase I parameters negotiated by the two peers.

isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

!--- A tunnel group consists of a set of records 
!--- that contain tunnel connection policies. The two attributes 
!--- are General and IPsec. Use the remote peer IP address as the 
!--- name of the Tunnel group. In this example 172.30.1.1 is the peer IP address. 
!--- Refer to Tunnel Group for more information.

tunnel-group 172.30.1.1 type ipsec-l2l
tunnel-group 172.30.1.1 ipsec-attributes
 pre-shared-key *

!--- Output is suppressed.

!
: end
PIX7#

Настройка концентратора VPN 3000

Заводские настройки концентраторов VPN не имеют предварительно запрограммированных IP-адресов. Чтобы настроить начальную конфигурацию на основе меню интерфейса командной строки, необходимо использовать порт консоли (CLI). Дополнительные сведения о настройке через консоль см. Настройка концентраторов VPN через консоль.

После настройки IP-адреса на (частном) интерфейсе Ethernet с помощью CLI или интерфейса браузера можно настроить остальное. Интерфейс браузера поддерживает HTTP и HTTP через Secure Socket Layer (уровень защищенных соединений (SSL)).

Данные параметры настраиваются через консоль:

  • Дата и время - правильное время и дата имеют большое значение. Это позволяет убедиться в правильности записей журнала и учета, а также, что система способна создавать допустимый сертификат безопасности.

  • Интерфейс Ethernet 1 (частный) - IP-адрес и маска (с сетевой топологией 172.16.5.100/16).

Концентратор VPN теперь доступен через HTML браузер из внутренней сети. Дополнительные сведения о настройке концентратора VPN в режиме CLI, см. Использование CLI для быстрой конфигурации.

Чтобы включить графический интерфейс пользователя (GUI), введите IP-адрес частного интерфейса из веб-браузера.

Чтобы сохранить изменения, нажмите значок save needed. Заводское имя пользователя и пароль по умолчанию admin (чувствительно к регистру).

  1. Чтобы настроить IP-адрес для общего интерфейса и шлюза по умолчанию, запустите GUI и выберите Configuration > Interfaces.

    ipsec-pix7x-vpn-con-2.gif

  2. Чтобы создать список сетей, который определяет необходимый для шифрования трафик, выберите Configuration > Policy Management > Traffic Management > Network Lists > Add или Modify.

    Введите местную и удаленную сети. IP-адреса должны отражать указанные адреса в списке доступа, настроенные на удаленном PIX.

    В данном примере два списка сети remote_network и VPN Client Local LAN.

    /image/gif/paws/69115/ipsec-pix7x-vpn-con-3.gif

  3. Чтобы настроить IPsec-туннель LAN-LAN, выберите Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN > Add. По окончании нажмите Apply.

    Введите IP-адрес однорангового узла; списки сети, созданные в шаге 2; параметры IPsec и ISAKMP и предварительно заданный ключ.

    В данном примере IP-адрес однорангового узла 10.1.1.1, списки сети remote_network и VPN Client Local LAN, а cisco является предварительно заданным ключом.

    /image/gif/paws/69115/ipsec-pix7x-vpn-con-4.gif

  4. Чтобы просмотреть автоматически сгенерированные сведения группы, выберите Configuration > User Management > Groups > Modify 10.1.1.1.

    Примечание: Эти настройки группы не следует изменять.

    /image/gif/paws/69115/ipsec-pix7x-vpn-con-5.gif

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Проверка PIX

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show isakmp sa – отображает все текущие сопоставления безопасности (SA) IKE для однорангового узла. Состояние MM_ACTIVE обозначает, что для настройки IPsec-туннеля VPN используется основной режим.

    В данном примере межсетевой экран PIX инициирует соединения IPsec. IP-адрес однорангового узла 172.30.1.1, а для установления соединения использует основной режим.

    PIX7#show isakmp sa
    
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1
    
    1   IKE Peer: 172.30.1.1
        Type    : L2L             Role    : initiator
        Rekey   : no              State   : MM_ACTIVE
    
  • show ipsec sa – отображает настройки используемые текущими SA. Проверьте наличие IP-адресов для однорангового узла, доступность сетей как местную, так и удаленную, а также используемый набор преобразования. Есть две SA ESP, по одной в каждом направлении.

    PIX7#show ipsec sa
    interface: outside
        Crypto map tag: mymap, seq num: 20, local addr: 10.1.1.1
    
          access-list 101 permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
    
          local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)
          current_peer: 172.30.1.1
    
          #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
          #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
          #send errors: 0, #recv errors: 0
    
          local crypto endpt.: 10.1.1.1, remote crypto endpt.: 172.30.1.1
    
          path mtu 1500, ipsec overhead 76, media mtu 1500
          current outbound spi: 136580F6
    
        inbound esp sas:
          spi: 0xF24F4675 (4065281653)
             transform: esp-aes-256 esp-sha-hmac
             in use settings ={L2L, Tunnel,}
             slot: 0, conn_id: 1, crypto-map: mymap
             sa timing: remaining key lifetime (kB/sec): (3824999/28747)
             IV size: 16 bytes
             replay detection support: Y
        outbound esp sas:
          spi: 0x136580F6 (325419254)
             transform: esp-aes-256 esp-sha-hmac
             in use settings ={L2L, Tunnel,}
             slot: 0, conn_id: 1, crypto-map: mymap
             sa timing: remaining key lifetime (kB/sec): (3824999/28745)
             IV size: 16 bytes
             replay detection support: Y

    Чтобы сбросить туннель, используйте команды clear ipsec sa и clear isakmp sa.

Проверка концентратора VPN 3000

Чтобы проверить соединение туннеля концентратора VPN 3000, выберите Monitoring > Statistics > IPsec. Здесь содержатся статистические данные параметров IKE и IPsec.

ipsec-pix7x-vpn-con-6.gif

В Monitoring > Sessions можно отслеживать сессию в активном режиме. Здесь можно сбросить IPsec-туннель.

/image/gif/paws/69115/ipsec-pix7x-vpn-con-7.gif

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Поиск и устранение неполадок PIX

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Команды PIX debug для туннелей VPN:

Поиск и устранение неполадок в концентраторе VPN 3000

По аналогии с командами debug маршрутизаторов Cisco можно настроить классы событий для просмотра всех аварийных сигнал. Чтобы включить запись в журнал классов событий, выберите Configuration > System > Events > Classes > Add.

Чтобы управлять включенными событиями, выберите Monitoring > Filterable Event Log.

ipsec-pix7x-vpn-con-8.gif

БЕЗОПАСНАЯ ПЕРЕСЫЛКА (PFS)

При согласовании IPsec безопасная пересылка (PFS) позволяет гарантировать отсутствие связи нового ключа шифрования со всеми предыдущими ключами. Необходимо либо включить, либо отключить PFS для обеих одноранговых точек туннеля. В противном случае вам не удастся создать IPsec-туннель LAN-LAN на PIX/ASA.

По умолчанию безопасная пересылка (PFS)отключена. Для включения PFS используйте команду pfs с ключевым словом enable в режиме настройки групповой политики. Чтобы отключить PFS, введите ключевое слово disable.

hostname(config-group-policy)#pfs {enable | disable}

Чтобы удалить атрибут PFS из текущей конфигурации, введите эту команду с ключом no. Групповая политика может наследовать значение для безопасной пересылки (PFS) от другой групповой политики. Введите эту команду с ключом no, чтобы предотвратить наследование значения.

hostname(config-group-policy)#no pfs 

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 69115