Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Фильтры VPN на Cisco пример конфигурации ASA

25 декабря 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (30 сентября 2014) | Отзыв

Введение

Этот документ описывает фильтры VPN подробно и относится к ОТ LAN К LAN (L2L), Cisco Клиент VPN и Cisco AnyConnect Безопасный Клиент Подвижности.

Фильтры состоят из правил, которые определяют, позволить ли или отклонить tunneled пакеты данных, которые проникают через прибор безопасности, основанный на критериях, таких как адрес источника, адрес получателя и протокол. Вы формируете Списки контроля доступа (ACLs), чтобы разрешить или отрицать различные типы движения. Фильтр может формироваться на политике группы, признаках имени пользователя или Динамической политике доступа (DAP).

DAP заменяет стоимость, формируемую и под признаками имени пользователя и под политикой группы. Значение атрибута имени пользователя заменяет стратегическую стоимость группы в случае, если DAP не назначает фильтра. 

Внесенный Густаво Мединой, Yamil Gazel, Олегом Типисовым, Cisco инженеры TAC.

Предпосылки

Требования

Cisco рекомендует иметь знание этих тем:

  • Туннельная конфигурация L2L VPN.
  • Конфигурация Удаленного доступа (RA) Клиента VPN
  • Конфигурация AnyConnect RA.

Используемые компоненты

Информация в этом документе основана на Cisco 5500-X Серийная Версия 9.1 (2) Адаптивного прибора безопасности (ASA).

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Справочная информация

sysopt команда разрешения-vpn на связь позволяет все движение, которое входит в прибор безопасности через тоннель VPN для обхода интерфейсных списков доступа. Политика группы и списки доступа разрешения в расчете на пользователя все еще относятся к движению. 

Vpn-фильтр применен к пострасшифрованному движению после того, как это выходит из тоннеля и к предварительно зашифрованному движению, прежде чем это войдет в тоннель. ACL, что isused для vpn-фильтра не должен также использоваться для интерфейсной группы доступа.


Когда vpn-фильтр применен к политике группы, которая управляет Удаленным доступом связи клиента VPN, ACL должен формироваться с клиентом назначенные IP-адреса в src_ip положении ACL и местной сети в dest_ip положении ACL. Когда vpn-фильтр применен к политике группы , которая управляет связью L2L VPN, ACL должен формироваться с отдаленной сетью в src_ip положении ACL и местной сетью в dest_ip положении ACL. 

Формировать

Фильтры VPN должны формироваться в прибывающем направлении, хотя правила все еще применены двунаправлено. CSCsf99428 улучшения был открыт для поддержки однонаправленных правил, но он еще не был намечен/передан для внедрения.

Пример 1. vpn-фильтр с AnyConnect или Клиентом VPN

Предположите, что назначенный клиентами IP-адрес является 10.10.10.1/24, и местная сеть является 192.168.1.0/24.

Этот Вход управления доступом (ACE) позволяет клиенту AnyConnect TELNET к местной сети:

access-list vpnfilt-ra permit tcp
10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23

Примечание: vpnfilt-Ра списка доступа ACE разрешает tcp 10.10.10.1, 255.255.255.255 192.168.1.0 255.255.255.0 eq 23 также позволяют местной сети начинать связь с клиентом RA на любом порту TCP, если это использует исходный порт 23.

Этот ACE позволяет местную сеть TELNET клиенту AnyConnect:

access-list vpnfilt-ra permit tcp 10.10.10.1 255.255.255.255
eq 23 192.168.1.0 255.255.255.0

Примечание: vpnfilt-Ра списка доступа ACE разрешает tcp 10.10.10.1, 255.255.255.255 eq 23 192.168.1.0 255.255.255.0 также позволяют клиенту RA начинать связь с местной сетью на любом порту TCP, если это использует исходный порт 23.

Предостережение: особенность vpn-фильтра допускает движение, которое будет фильтровано в прибывающем направлении только, и правило за границу автоматически собрано. Поэтому при создании списка доступа Интернет-протокола сообщения контроля (ICMP) не определяйте тип ICMP в форматировании списка доступа, если вы хотите направленные фильтры.

Пример 2. vpn-фильтр со связью L2L VPN

Предположите, что отдаленная сеть является 10.0.0.0/24, и местная сеть является 192.168.1.0/24.

Этот ACE позволяет отдаленную сеть TELNET к местной сети:

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 192.168.1.0
255.255.255.0 eq 23

Примечание:  tcp 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 23 разрешения списка доступа vpnfilt-l2l ACE также позволяет местной сети начинать связь с отдаленной сетью на любом порту TCP, если это использует исходный порт 23. 

Этот ACE позволяет местную сеть TELNET к отдаленной сети:

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 eq 23
192.168.1.0 255.255.255.0 

Примечание:  tcp 10.0.0.0 255.255.255.0 eq 23 192.168.1.0 255.255.255.0 разрешения списка доступа vpnfilt-l2l ACE также позволяет отдаленной сети начинать связь с местной сетью на любом порту TCP, если это использует исходный порт 23. 

Предостережение: особенность vpn-фильтра допускает движение, которое будет фильтровано в прибывающем направлении только, и правило за границу автоматически собрано. Поэтому при создании списка доступа ICMP не определяйте тип ICMP в форматировании списка доступа, если вы хотите направленные фильтры.

Фильтры VPN и per-user-override группы доступа

Движение VPN не фильтровано интерфейсом ACLs. Команда никакое sysopt разрешение-vpn на связь не может использоваться для изменения поведения по умолчанию. В этом случае два ACLs могут быть применены к пользовательскому трафику: интерфейс ACL проверен сначала и затем vpn-фильтр.

Per-user-override ключевое слово (только для прибывающего ACLs) позволяет динамическому пользователю ACLs, которые загружены для пользовательского разрешения для отвержения ACL, назначенного на интерфейс. Например, если интерфейс ACL отрицает все движение от 10.0.0.0, но динамический ACL разрешает все движение от 10.0.0.0, то динамический ACL отвергает интерфейс ACL для того пользователя, и движение разрешено.

Примеры (когда никакое sysopt разрешение-vpn на связь не формируется):

  • никакой per-user-override, никакой vpn-фильтр - движение подобрано против интерфейса ACL

  • никакой per-user-override, vpn-фильтр - движение подобрано сначала против интерфейса ACL, затем против vpn-фильтра

  • per-user-override, vpn-фильтр - движение подобрано против vpn-фильтра только.

Проверить

Используйте эту секцию, чтобы подтвердить, что ваша конфигурация работает должным образом.

Переводчик Продукции Тул (только зарегистрированные клиенты) поддерживает определенные выставочные команды. Используйте переводчика Продукции Тула для просмотра анализа выставочной продукции команды.

  • покажите фильтр стола гадюки [список доступа <acl-имя>] [хиты]

    Для отладки ускоренных столов фильтра пути безопасности используйте выставочную команду фильтра стола гадюки в привилегированном способе EXEC. Когда фильтр был применен к тоннелю VPN, правила фильтра установлены в стол фильтра. Если тоннелю определили фильтр, то стол фильтра проверен до шифрования и после декодирования, чтобы определить, должен ли внутренний пакет разрешаться или отрицаться.

     USAGE
    show asp table filter [access-list <acl-name>] [hits]


     SYNTAX <acl-name>      Show installed filter for access-list <acl-name>
    hits Show filter rules which have non-zero hits values


  • ясный фильтр стола гадюки [список доступа <acl-имя>]

    Эта команда очищает счетчики посетителей для записей в таблице фильтра ASP.

     USAGE
    clear asp table filter [access-list <acl-name>]


     SYNTAX
    <acl-name> Clear hit counters only for specified access-list <acl-name>

Расследовать

Эта секция предоставляет информацию, которую можно использовать для поиска неисправностей конфигурации.

Переводчик Продукции Тул ( только зарегистрированные клиенты) поддерживает определенные выставочные команды. Используйте переводчика Продукции Тула для просмотра анализа выставочной продукции команды.

Примечание: Обратитесь к Важной информации о Командах Отладки перед использованием команд отладки.

  • отладьте фильтр acl

    Эта команда позволяет отладку фильтра VPN. Это может использоваться для помощи установкам/удалению поиска неисправностей фильтров VPN в стол Фильтра ASP. Для Примера 1. vpn-фильтр с AnyConnect или Клиентом VPN

    Продукция отладки, когда соединяется user1:

     ACL FILTER INFO: first reference to inbound filter vpnfilt-ra(2): Installing
    rule into NP.
    ACL FILTER INFO: first reference to outbound filter vpnfilt-ra(2): Installing
    rule into NP.


    Продукция отладки, когда user2 соединяется (после того, как user1 и тот же самый фильтр):

     ACL FILTER INFO: adding another reference to outbound filter vpnfilt-ra(2): refCnt=2
    ACL FILTER INFO: adding another reference to inbound filter vpnfilt-ra(2): refCnt=2


    Продукция отладки, когда user2 разъединяет:

     ACL FILTER INFO: removing a reference from inbound filter vpnfilt-ra(2): remaining
    refCnt=1
    ACL FILTER INFO: removing a reference from outbound filter vpnfilt-ra(2): remaining
    refCnt=1


    Продукция отладки, когда user1 разъединяет:

     ACL FILTER INFO: releasing last reference from inbound filter vpnfilt-ra(2): Removing
    rule into NP.
    ACL FILTER INFO: releasing last reference from outbound filter vpnfilt-ra(2): Removing rule into NP.


  • покажите стол гадюки

    Вот продукция выставочного фильтра стола гадюки до того, когда соединяется user1. Только неявные отрицают, что правила установлены для IPv4 и IPv6 и в в и в направления.

     Global Filter Table:
    in id=0xd616ef20, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd613ea60, filter_id=0x0(-implicit deny-), protocol=0
    src ip=0.0.0.0, mask=0.0.0.0, port=0
    dst ip=0.0.0.0, mask=0.0.0.0, port=0
    in id=0xd616f420, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd615ef70, filter_id=0x0(-implicit deny-), protocol=0
    src ip=::/0, port=0
    dst ip=::/0, port=0
    out id=0xd616f1a0, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd614d900, filter_id=0x0(-implicit deny-), protocol=0
    src ip=0.0.0.0, mask=0.0.0.0, port=0
    dst ip=0.0.0.0, mask=0.0.0.0, port=0
    out id=0xd616f6d0, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd6161638, filter_id=0x0(-implicit deny-), protocol=0
    src ip=::/0, port=0
    dst ip=::/0, port=0

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118029