Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пример настройки PIX/ASA 7.x и клиента VPN для сети VPN, организованной в общедоступной части Интернета и имеющей один внешний интерфейс

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (26 сентября 2008) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Настройка
      Схема сети
      Настройки
Проверка
      Проверка клиента VPN
Устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В настоящем документе описывается процедура настройки брандмауэра PIX Firewall версии 7.0.1 и выше с целью реализации протокола IPSec на внешнем интерфейсе. Данная процедура настройки относится к особому случаю, когда устройство PIX запрещает расщепленное туннелирование (split tunneling) и когда пользователи подключаются напрямую к PIX еще до того, как им будет предоставлено разрешение на выход в Интернет.

Примечание: в PIX версии 7.2 и выше ключевое слово intra-interface позволяет всему трафику (а не только трафику IPSec) поступать и уходить с одного и того же интерфейса.

Для того чтобы выполнить подобную настройку на маршрутизаторе центрального узла, обратитесь к документу Пример настройки маршрутизатора и клиента VPN для сети VPN, организованной в общедоступной части Интернета и имеющей один внешний интерфейс.

Более подробно о случае, когда концентратор PIX перенаправляет трафик от клиента VPN к спицевому PIX (spoke PIX), см. в документе Пример настройки PIX/ASA 7.x для улучшенной VPN "клиент-спица", использующей аутентификацию TACACS+ .

Предварительные условия

Требования

Перед выполнением настройки убедитесь, что выполняются следующие условия:

  • Устройство обеспечения безопасности концентратора PIX (hub PIX Security Appliance) должно использовать ПО версии 7.0.1 или выше

  • Cisco VPN Client version 4.x

Используемые компоненты

Информация, представленная в настоящем документе, получена с устройства обеспечения безопасности PIX или ASA версии 7.0.1.

Данная информация была получена при использовании устройств в специальных лабораторных условиях. При написании данного документа использовались только устройства с "чистой" (стандартной) конфигурацией. При работе в условиях реальной сети оператор должен понимать последствия использования любой команды.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в разделе "Условные обозначения для практических рекомендаций компании Cisco".

Настройка

В этом разделе приводятся сведения о настройке функций, описанных в данном документе.

Примечание: для поиска дополнительной информации о командах, упоминающихся в данном разделе, используйте утилиту Command Lookup Tool (только для зарегистрированных пользователей).

Схема сети

В данном документе используется следующая схема сети:

pix7x-asa-client-stick-1.gif

Настройки

В данном документе используются следующие конфигурации:

PIX/ASA

PIX версии 7.0(1)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname W2N-5.6-PIX515-A
ftp mode passive

!--- Команда, которая позволяет направлять IPsec-трафик через один и тот же интерфейс.

same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500

!--- Пул адресов для клиентов VPN.

ip local pool vpnpool 192.168.10.1-192.168.10.254

no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control


!--- Глобальный адрес для доступа в Интернет, используемый клиентами VPN. 
!--- Примечание: в лабораторных условиях адресный диапазон выделяется в соответствии с документом RFC 1918. 
!--- Используйте адрес из блока общедоступных адресов, предоставленных поставщиком Интернет-услуг.


global (outside) 1 172.18.124.166


!--- Инструкция NAT, в которой определяется, что будет шифроваться (адреса из VPN-пула).
 

nat (outside) 1 192.168.10.0 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 10.10.10.2 10.10.10.2 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- Конфигурация групповой политики для клиентов VPN.


group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20


!--- Для доступа в Интернет клиенты VPN принудительно направляются через туннель.


split-tunnel-policy tunnelall


no snmp-server location
no snmp-server contact
snmp-server enable traps snmp


!--- Конфигурация IPSec в фазе 2 .


crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Конфигурация криптокарты для клиентов VPN, которые подключаются к данному PIX.


crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Выполняется привязка динамической карты к процессу криптокарты.


crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Криптокарта применяется к внешнему интерфейсу.


crypto map mymap interface outside


!--- Включается ISAKMP на внешнем интерфейсе.


isakmp identity address
isakmp enable outside


!--- Настройка политики ISAKMP.


isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Настройка туннельной группы при помощи групповой информации для клиентов VPN.


tunnel-group rtptacvpn type ipsec-ra


!--- Настройка групповых параметров для клиентов VPN.


tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Отключение механизма аутентификации пользователя.


authentication-server-group none
authorization-server-group LOCAL


!--- Привязка параметров групповой политике к туннельной группе для клиентов VPN.


default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect dns maximum-length 512
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect netbios
 inspect rsh
 inspect rtsp
 inspect skinny
 inspect esmtp
 inspect sqlnet
 inspect sunrpc
 inspect tftp
 inspect sip
 inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end

Примечание 1: необходимо настроить команду sysopt connection permit-ipsec. Чтобы проверить, была ли настроена эта команда, используйте команду show running-config sysopt.

Примечание 2: Добавьте данные из этого листинга в дополнительный UDP-транспорт:

group-policy clientgroup attributes
vpn-idle-timeout 20
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel

Примечание 3: чтобы клиенты VPN могли подключаться через IPSec поверх TCP, в режиме глобального конфигурирования устройства PIX необходимо настроить данную команду:

isakmp ipsec-over-tcp port 10000

Клиент VPN

Чтобы настроить клиента VPN, выполните следующие действия:

  1. Выберите Connection Entries > New.

    pix7x-asa-client-stick-2.gif

  2. Введите информацию о PIX и группе.

    pix7x-asa-client-stick-3.gif

  3. (Дополнительно) Во вкладке "Transport" выберите Enable Transparent Tunneling. (данная операция является дополнительной и для ее выполнения необходимо выполнить настройки PIX/ASA, указанные в примечании 2.)

    pix7x-asa-client-stick-4.gif

  4. Сохраните созданный профиль.

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Output Interpreter Tool (только для зарегистрированных клиентов) (OIT) поддерживает определенные команды show. Используйте OIT для просмотра и анализа выходных данных команды show.

  • show crypto isakmp sa показывает все текущие сопоставления безопасности (SA) IKE на одноранговом узле.

  • show crypto ipsec sa показывает все текущие сопоставления безопасности. Проверьте наличие зашифрованных и дешифрованных пакетов в SA, которая определяет трафик клиента VPN.

Выполните ping - тестирование или используя клиента попробуйте зайти на публичный IP-адрес (например, www.cisco.com).

Примечание: для внутреннего интерфейса PIX ping-тестирование (на предмет наличия туннеля) можно выполнить только в том случае, если команда management-access была настроена в режиме глобальной конфигурации.

PIX1(config)#management-access inside
PIX1(config)#show management-access
management-access inside

Проверка клиента VPN

Чтобы выполнить проверку для клиента VPN, выполните следующие действия:

  1. После успешного соединения в панели задач Windows щелкните правой клавишей мышки на пиктограмме клиента VPN, выполненной в виде замочка. Затем, чтобы посмотреть зашифрованные и дешифрованные пакеты, в контекстном меню выберите опцию statistics.

  2. Чтобы убедиться в том, что с устройства не распространяются никакие списки расщепленных туннелей, щелкните вкладку "Route Details".

Устранение неполадок

Для этой конфигурации отсутствуют сведения об устранении неполадок.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 67986