Протокол IP : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.x и более поздние: Пример конфигурации фильтра VPN (разрешение определенного порта или протокола) для L2L и удаленного доступа

16 ноября 2010 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (21 февраля 2011) | Отзыв

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Устройство защиты Cisco PIX серии 500, на котором установлено ПО версии 7.x или более поздней версии.

  • Клиент Cisco VPN версии 4.x или выше

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Родственные продукты

Данную конфигурацию можно также использовать с устройством адаптивной защиты (ASA) Cisco серии 5500 под управлением ПО версии 7.x или выше.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Команда sysopt connection permit-ipsec разрешает пропускать весь трафик, входящий в устройство защиты по туннелю сети VPN, без проверки списков контроля доступа интерфейса. К трафику продолжают применяться групповые политики и списки авторизации доступа на уровне отдельных пользователей. В PIX версии 7.1 и более поздних версиях команда 1sysopt connection permit-ipsec заменена на sysopt connection permit-vpn. Команда vpn-filter применяется к расшифрованному трафику на выходе из туннеля и трафику до шифрования на входе в туннель.

Список контроля доступа, используемый для фильтра VPN, не должен одновременно использоваться для группы контроля доступа (access-group) интерфейса. При задании фильтра VPN для групповой политики / имени пользователя с целью управления подключениями через VPN-клиент удаленного доступа необходимо настроить список контроля доступа, указав назначаемые клиенту IP-адреса в части списка src_ip и локальную сеть в части списка dest_ip. При задании фильтра VPN для групповой политики с целью управления подключением к сети L2L VPN необходимо настроить список контроля доступа, указав удаленную сеть в части списка src_ip и локальную сеть в части списка dest_ip.

access-list <acl-no> <permit/deny> ip <remote network> <local network>

Создание списков ACL для использования с функцией фильтра VPN требует внимательного подхода. Списки ACL создаются исходя из обработки трафика после расшифровки (входящего трафика сети VPN). Однако они также действуют и для трафика, исходящего в противоположном направлении.

Примечание. Каждый список контроля доступа заканчивается неявным, не записываемым правилом, которое отклоняет весь неразрешенный трафик. Если трафик не разрешен записью управления доступом (ACE) в явном виде, то он отклоняется. Записи ACE в этом разделе именуются правилами. В этом сценарии используется список контроля доступа 103, настраиваемый в разделе Конфигурация фильтра L2L VPN.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание. Для поиска дополнительной информации о командах, приведенных в данном разделе, используйте инструмент Command Lookup Tool (только для зарегистрированных заказчиков).

Схема сети L2L

В настоящем документе для фильтра L2L VPN используется следующая схема сети.

/image/gif/paws/99103/pix-asa-vpn-filter-1.gif

Конфигурация фильтра L2L VPN

В этом документе используются следующие конфигурации:

PIX515-704

PIX515-704# show running-config 


access-list 103 extended deny tcp host 172.16.1.2 host 172.22.1.2 eq 80

!--- Access list 103 is created for the VPN Filter. 
!--- This access list 103 filters/denies the request from the remote host(172.16.1.2)  
!--- to the local WEB Server (172.22.1.2).

access-list 103 extended permit ip any any

group-policy filter internal
group-policy filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn filter command.


tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

Конфигурация двустороннего фильтра VPN

Фильтр VPN работает в двустороннем режиме с одним списком контроля доступа. Удаленный хост/сеть всегда определяется в начале записи ACE, независимо от направления, в котором действует запись (входящее/исходящее).

Это иллюстрируется следующим примером конфигурации.

Поскольку список контроля доступа является динамическим, то при разрешении трафика в одном направлении автоматически разрешается и обратный трафик.

Примечание. Если в списке контроля доступа не используются порты TCP/UDP, то обе стороны могут получать доступ друг к другу. Пример.

access-list 103 permit ip 172.16.1.2 host 172.22.1.1 

Примечание. Этот список контроля доступа разрешает трафик от 172.16.1.2 к 172.22.1.1, а также от 172.22.1.1 к 172.16.1.2, поскольку список контроля доступа действует в обоих направлениях.

PIX515-704

PIX515-704# show running-config 




!--- This access list allows the traffic for the remote network 172.16.1.0 
!--- to the local web server on port 80. 


access-list 103 permit tcp 172.16.1.0 255.255.255.0 host 172.22.1.1 eq 80


!--- This access list allows the traffic in the reverse direction,
!--- from 172.22.1.0 to 172.16.1.3 (ftp server). The remote host/network 
!--- is always defined as the first entry in the ACE regardless of the direction.


access-list 103 permit tcp host 172.16.1.3 eq 21 172.22.1.0 255.255.255.0


!--- Implicit deny. Denies all other traffic other than permitted traffic.


group-policy filter internal
group-policy filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn filter command.


tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.


Схема сети для удаленного доступа

В настоящем документе для фильтра VPN для удаленного доступа используется следующая схема сети.

/image/gif/paws/99103/pix-asa-vpn-filter-2.gif

Конфигурация фильтра VPN для удаленного доступа

В данном документе используется следующая конфигурация:

PIX

PIX# show running-config 


ip local pool vpnclient 10.16.20.1-10.16.20.5

!--- Create a pool of addresses from which IP addresses are assigned 
!--- dynamically to the remote VPN Clients.


access-list 103 extended permit udp 10.16.20.0 255.0.0.0 host 172.16.1.1 eq 53

!--- Access list 103 is created for the VPN Filter for the group policy(filter).
 
!--- Access list 103 allows the access for the DNS Server(172.16.1.1)



!--- Implicit deny. Denies all traffic other than permitted traffic.


access-list 104 extended permit ip 10.16.20.0 255.0.0.0 172.16.1.0 255.255.255.0

!--- Access list 104 is created for the VPN Filter for the user(vpn3000). 

!--- This access list 103 allows the access for the netowrk 172.16.1.0/24



!--- Implicit deny. Denies all traffic other than permitted traffic.


username vpn3000 password nPtKy7KDCerzhKeX encrypted

!--- In order to identify remote access users to the Security Appliance, 
!--- you can also configure usernames and passwords on the device
!--- in addition to the use of AAA. 


username vpn3000 attributes
 vpn-filter value 104

!--- Apply the VPN Filter ACL 104 in the username mode. This filter is 
!--- applicable to a particular user (vpn3000) only. The username mode VPN Filter (acl 104)
!--- overrides the vpn filter policy (acl 103)applied in the group policy(filter) 
!--- mode for this user(vpn3000) alone.


group-policy filter internal
group-policy filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn-filter command.


tunnel-group vpn3000 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group(vpn3000).


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 99103