Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пример настройки туннеля IPsec в PIX/ASA 7.x через брандмауэр PIX с использованием NAT

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (26 сентября 2008) | Отзыв

Содержание

Общие сведения
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Настройка
      Схема сети
      Конфигурации
      Настройка брандмауэра PIX (версия 7.0)
Проверка
Поиск и устранение неисправностей
      Команды поиска и устранения неисправностей для маршрутизатора IPsec
      Очистка сопоставлений безопасности
      Команды поиска и устранения неисправностей для PIX
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Общие сведения

В этом примере конфигурации демонстрируется создание туннеля IPSec через брандмауэр, который выполняет преобразование сетевых адресов (NAT). Эта конфигурация не будет работать с преобразованием адресов портов (PAT), если используются выпуски программного обеспечения Cisco IOS®, предшествующие 12.2(13)T. Этот вид настройки можно использовать для туннелирования IP-трафика. Его нельзя использовать для шифрования трафика, который не идет через брандмауэр, такой как IPX или для обновлений маршрутов. Для этого вида настройки подходит туннелирование общей инкапсуляции маршрутов (GRE). В этом примере маршрутизаторы Cisco 2621 и 3660 являются конечными точками туннеля IPSec, соединяющими две частные сети с кондуитами или списками управления доступом (ACL) на PIX между ними для обеспечения трафика IPSec.

Примечание. NAT является преобразованием адресов "один-к-одному", его не следует путать с PAT, являющимся преобразованием "много (внутри брандмауэра)-к-одному". Дополнительные сведения о работе и настройке NAT см. в статье Проверка работы NAT и основные способы поиска и устранения неисправностей NAT или Принципы работы NAT.

Примечание. IPSec с PAT может работать неправильно, поскольку внешнее оконечное устройство туннеля не может управлять несколькими туннелями с одного IP-адреса. Свяжитесь со своим поставщиком для выяснения, работают ли оконечные устройства туннеля с PAT. Кроме того, в версиях ПО Cisco IOS начиная с Release 12.2(13)T для PAT также можно использовать функцию прозрачности NAT. Дополнительные сведения см. в статье Прозрачность NAT IPSec. Подробнее о данных функциях в версиях ПО Cisco IOS начиная с Release 12.2(13)T см. в статье Поддержка ESP IPSec через NAT.

Примечание. Перед созданием обращения в TAC также обратитесь к документу Ответы на вопросы по NAT, где есть ответы на многие общие вопросы.

Предварительные условия

Требования

Для данного документа нет особых требований.

Используемые компоненты

Сведения, содержащиеся в данном документе, приведены на основе следующих версий программного и аппаратного обеспечения:

  • Программное обеспечение Cisco IOS Release 12.0.7.T (до, но не включая, версии ПО Cisco IOS Release 12.2(13)T);

    Информацию о более новых версиях см. в документе Прозрачность NAT IPSec.

  • Маршрутизатор Cisco 2621;

  • Маршрутизатор Cisco 3660;

  • Брандмауэр Cisco PIX.

Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

В данном разделе приводятся сведения о настройке функций, описанных в этом документе.

Примечание. Для поиска дополнительной информации о командах из данного документа используйте утилиту Command Lookup Tool (только для зарегистрированных пользователей).

Схема сети

В данном документе используется следующая конфигурация сети:

ipsec-pix70-nat-01.gif

Конфигурации

В данном документе используются следующие конфигурации:

Cisco 2621

Current configuration: !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-2621
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 isdn voice-call-failure 0
 cns event-service server
 !

!--- Политика IKE.

 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.2     
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/1
 

!--- Политика IPSec.

 
crypto map mymap 10 ipsec-isakmp   
  set peer 99.99.99.2
  set transform-set myset
 
 
!--- Включение трафика "из частной сети в частную сеть"
 !--- в процесс шифрования.
 
 
  match address 101
 !
 controller T1 1/0
 !
 interface FastEthernet0/0
  ip address 10.2.2.1 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 !
 interface FastEthernet0/1
  ip address 10.1.1.2 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 

!--- Применение к интерфейсу.

 
  crypto map mymap
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.1
 no ip http server
 
 
!--- Включение трафика "из частной сети в частную сеть"
 !--- в процесс шифрования.

 
 access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 no scheduler allocate
 end

Cisco 3660

version 12.0 service timestamps debug uptime service timestamps log uptime
 no service password-encryption
 !
 hostname goss-3660
 !
 ip subnet-zero
 !
 cns event-service server
 !
 

!--- Политика IKE.

 
 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.12    
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/0
 

!--- Политика IPSec.

 
 crypto map mymap 10 ipsec-isakmp   
  set peer 99.99.99.12
  set transform-set myset
 
 
!--- Включение трафика "из частной сети в частную сеть"
 !--- в процесс шифрования. 
 
 
  match address 101
 !
 interface FastEthernet0/0
  ip address 99.99.99.2 255.255.255.0
  no ip directed-broadcast
  ip nat outside
  duplex auto
  speed auto
 

!--- Применение к интерфейсу.

 
  crypto map mymap
 !
 interface FastEthernet0/1
  ip address 10.3.3.1 255.255.255.0
  no ip directed-broadcast
  ip nat inside
  duplex auto
  speed auto
 !
 interface Ethernet3/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface Serial3/0
  no ip address
  no ip directed-broadcast
  no ip mroute-cache
  shutdown
 !
 interface Ethernet3/1
  no ip address
  no ip directed-broadcast
 interface Ethernet4/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface TokenRing4/0
  no ip address
  no ip directed-broadcast
  shutdown
  ring-speed 16
 !
 
 
!--- Пул, из которого внутренние хосты преобразуются 
 !--- в глобально уникальную сеть 99.99.99.0/24.

 
 ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0
 

!--- Исключение частной сети из процесса NAT.

 
 ip nat inside source route-map nonat pool OUTSIDE
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.1
 no ip http server
 !
 
 
!--- Включение трафика "из частной сети в частную сеть"
 !--- в процесс шифрования. 

 
 access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 101 deny ip 10.3.3.0 0.0.0.255 any
 

!--- Исключение частной сети из процесса NAT.

 
 access-list 110 deny ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 110 permit ip 10.3.3.0 0.0.0.255 any
 route-map nonat permit 10
  match ip address 110
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 end

Настройка брандмауэра PIX (версия 7.0)

Настройка при помощи ASDM 5.0

Для настройки брандмауэра PIX версии 7.0 при помощи графического интерфейса пользователя ASDM выполните следующие действия.

  1. Войдите в консоль PIX. Из очищенной конфигурации используйте интерактивные запросы, позволяющие включить графический интерфейс Advanced Security Device Manager (ASDM) для управления PIX с рабочей станции 10.1.1.3.

    Начальная загрузка ASDM брандмауэра PIX

    Pre-configure Firewall now through interactive prompts [yes]? yesFirewall Mode [Routed]: 
    Enable password [<use current password>]: cisco
    Allow password recovery [yes]? 
    Clock (UTC):
      Year [2005]: 
      Month [Mar]: 
      Day [15]: 
      Time [05:40:35]: 14:45:00
    Inside IP address: 10.1.1.1
    Inside network mask: 255.255.255.0
    Host name: pix-firewall
    Domain name: cisco.com
    IP address of host running Device Manager: 10.1.1.3
    The following configuration will be used:
             Enable password: cisco
             Allow password recovery: yes
             Clock (UTC): 14:45:00 Mar 15 2005
             Firewall Mode: Routed
             Inside IP address: 10.1.1.1
             Inside network mask: 255.255.255.0
             Host name: OZ-PIX
             Domain name: cisco.com
             IP address of host running Device Manager: 10.1.1.3
    Use this configuration and write to flash? yes
             INFO: Security level for "inside" set to 100 by default.
             Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 
    965 bytes copied in 0.880 secs

  2. На рабочей станции 10.1.1.3 откройте веб-браузер, чтобы воспользоваться ADSM (в данном примере https://10.1.1.1).

  3. В запросе сертификата выберите Yes и войдите с паролем режима включения, настройка которого описана в разделе  Настройка начальной загрузки ASDM брандмауэра PIX.

  4. Если это первый запуск ASDM на ПК, будет выдан запрос на использование ASDM Launcher или использование ASDM в качестве Java-приложения.

    В данном примере выбирается и устанавливается ASDM Launcher.

  5. Перейдите на страницу Home ASDM и выберите вкладку Configuration.

    ipsec-pix70-nat-02.gif

  6. Чтобы настроить внешний интерфейс, выберите интерфейс Ethernet 0 и нажмите кнопку Edit.

    ipsec-pix70-nat-03.gif

  7. В запросе Editing interface нажмите кнопку OK.

    ipsec-pix70-nat-04.gif

  8. Введите все данные интерфейса и после завершения нажмите кнопку OK.

    ipsec-pix70-nat-05.gif

  9. В запросе Changing an Interface нажмите кнопку OK.

    ipsec-pix70-nat-06.gif

  10. Чтобы сохранить конфигурацию интерфейса, нажмите кнопку Apply. При этом конфигурация загружается в PIX. В этом примере используются статические маршруты.

    ipsec-pix70-nat-07.gif

  11. На вкладке Features нажмите кнопку Routing выберите Static Route и нажмите кнопку Add.

    ipsec-pix70-nat-08.gif

  12. Настройте шлюз по умолчанию и нажмите кнопку OK.

    ipsec-pix70-nat-09.gif

  13. Нажмите кнопку Add и добавьте маршруты к внутренним сетям.

    ipsec-pix70-nat-10.gif

  14. Подтвердите правильность настройки маршрутов и нажмите кнопку Apply.

    ipsec-pix70-nat-11.gif

  15. В данном примере используется NAT. Чтобы настроить правило NAT, снимите флажок Enable traffic through the firewall without address translation и нажмите кнопку Add.

    ipsec-pix70-nat-12.gif

  16. Настройте Source Network (сеть-источник, используется только в данном примере). Чтобы задать PAT, нажмите кнопку Manage Pools.

    ipsec-pix70-nat-13.gif

  17. Выберите интерфейс outside и нажмите кнопку Add.

    ipsec-pix70-nat-14.gif

    В данном примере прменяется PAT, использующее IP-адрес интерфейса.

    ipsec-pix70-nat-15.gif

  18. Настроив PAT, нажмите кнопку OK.

    ipsec-pix70-nat-16.gif

  19. Для настройки статического преобразования нажмите кнопку OK.

    ipsec-pix70-nat-17.gif

  20. В выпадающем списке интерфейсов выберите inside, введите IP-адрес 10.1.1.2, маску подсети 255.255.255.255, выберите Static, а в поле IP-адреса введите внешний адрес 99.99.99.12. Закончив все действия, нажмите кнопку OK.

    ipsec-pix70-nat-18.gif

  21. Чтобы сохранить конфигурацию интерфейса, нажмите кнопку Apply. При этом конфигурация загружается в PIX.

    ipsec-pix70-nat-19.gif

  22. Во вкладке Features выберите Security Policy, чтобы настроить правило политики безопасности.

    ipsec-pix70-nat-20.gif

  23. Чтобы разрешить трафик esp, нажмите кнопку Add. Для продолжения нажмите кнопку OK.

    ipsec-pix70-nat-21.gif

  24. Чтобы разрешить трафик ISAKMP, нажмите кнопку Add. Для продолжения нажмите кнопку OK.

    ipsec-pix70-nat-22.gif

  25. Чтобы разрешить трафик UDP на порт 4500 для NAT-T, нажмите кнопку Add. Для продолжения нажмите кнопку OK.

    ipsec-pix70-nat-22-ext.gif

  26. Чтобы сохранить конфигурацию интерфейса, нажмите кнопку Apply. При этом конфигурация загружается в PIX.

    ipsec-pix70-nat-23.gif

  27. Настройка завершена.

    Чтобы просмотреть конфигурацию интерфейса командной строки, выберите File > Show Running Configuration in New Window.

    ipsec-pix70-nat-24.gif

Конфигурация брандмауэра PIX

Брандмауэр PIX

pixfirewall# show run: Saved
:
PIX Version 7.0(0)102 
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 99.99.99.1 255.255.255.0 
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name cisco.com
ftp mode passive

access-list outside_access_in remark Access Rule to Allow ESP traffic
access-list outside_access_in extended permit esp host 99.99.99.2 host 99.99.99.12 

access-list outside_access_in remark Access Rule to allow ISAKMP to host 99.99.99.12
access-list outside_access_in extended permit udp host 99.99.99.2 eq isakmp host 99.99.99.12  


access-list outside_access_in remark Access Rule to allow port 4500 (NAT-T) to host 99.99.99.12
access-list outside_access_in extended permit udp host 99.99.99.2 eq 4500 host 99.99.99.12
 
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 0.0.0.0 0.0.0.0
static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 
access-group outside_access_in in interface outside
route inside 10.2.2.0 255.255.255.0 10.1.1.2 1
route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.1.3 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy asa_global_fw_policy global
Cryptochecksum:0a12956036ce4e7a97f351cde61fba7e
: end

Проверка

В данном разделе содержатся сведения о проверке правильности работы конфигурации.

Некоторые команды show поддерживаются утилитой Output Interpreter Tool (только для зарегистрированных пользователей), что позволяет выполнять анализ выходных данных команды show.

  • show crypto ipsec sa — отображает связи безопасности, соответствующие второму этапу.

  • show crypto isakmp sa — отображает связи безопасности, соответствующие первому этапу.

  • show crypto engine connections active — отображает зашифрованные и расшифрованные пакеты.

Поиск и устранение неисправностей

В данном разделе описывается процесс поиска устранения неисправностей конфигурации.

Команды поиска и устранения неисправностей для маршрутизатора IPsec

Примечание. Перед использованием команд debug ознакомьтесь со статьей Важная информация о командах отладки.

  • debug crypto engine — отображает зашифрованный трафик.

  • debug crypto ipsec — отображает согласования IPSec на этапе 2.

  • debug crypto isakmp — отображает согласования первой фазы протокола ISAKMP (Протокол управления ключами Ассоциации безопасности Интернет).

Очистка сопоставлений безопасности

  • clear crypto isakmp — удаляет связи безопасности политики обмена ключами в Интернете (IKE).

  • clear crypto ipsec sa — удаляет сопоставления безопасности IPSec.

Команды поиска и устранения неисправностей для PIX

Некоторые команды show поддерживаются утилитой Output Interpreter Tool (только для зарегистрированных пользователей), что позволяет выполнять анализ выходных данных команды show.

Примечание. Перед использованием команд debug ознакомьтесь со статьей Важная информация о командах отладки.

  • logging buffer debugging — отображает установленные соединения и отказы в подключении к хостам, которые используют PIX. Информация хранится в буфере журнала PIX. Его можно просмотреть при помощи команды show log.

  • Для включения регистрации, а также для просмотра журналов можно использовать ASDM.

  1. Выберите Configuration > Properties > Logging > Logging Setup> Enable Logging и нажмите кнопку Apply.

    ipsec-pix70-nat-25.gif

  2. Выберите Monitoring > Logging > Log Buffer > On Logging Level> Logging Buffer а затем нажмите кнопку View.

    ipsec-pix70-nat-26.gif

    Ниже приведен пример буфера журнала:

    ipsec-pix70-nat-27.gif

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 63881