Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

PIX/ASA 7.x: пример конфигурации модуля ASA, разрешающей раздельное туннелирование для клиентов VPN

24 мая 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (10 января 2008) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Схема сети
      Родственные продукты
      Условные обозначения
Общие сведения
Настройка раздельного туннелирования в ASA
      Настройка ASA с помощью Adaptive Security Device Manager (ASDM)
      Настройка ASA с помощью CLI
Проверка
      Подключение с помощью клиента VPN
      Просмотр журнала клиента VPN
      Проверка доступа к локальной сети с помощью эхо-запроса
Устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В этом документе приведены пошаговые инструкции, как разрешить клиентам VPN доступ в Интернет в то время, как их трафик туннелируется в модуль Cisco Adaptive Security Appliance (ASA) 5500. Эта конфигурация обеспечивает клиентам VPN безопасный доступ к корпоративным ресурсам по протоколу IPsec и небезопасный доступ в Интернет.

warning Предупреждение: Раздельное туннелирование может представлять угрозу безопасности. Поскольку клиенты VPN получают небезопасный доступ в Интернет, они могут подвергаться атакам. И в случае успешной атаки злоумышленник сможет получить доступ к корпоративной сети через туннель IPsec. В качестве компромисса между полным и раздельным туннелированием можно разрешить клиентам VPN только доступ к локальной сети. См. статью PIX/ASA 7.x: пример конфигурации, разрешающей клиентам VPN доступ к локальной сети, содержащую дополнительные сведения по этой теме.

Предварительные условия

Требования

В этом документе предполагается, что на устройстве ASA уже есть действующая конфигурация VPN для удаленного доступа. Если такой конфигурации еще нет, см. статью Пример настройки PIX/ASA 7.x в качестве удаленного сервера VPN с помощью ASDM.

Используемые компоненты

Сведения, представленные в этом документе, относятся к следующим версиям программного и аппаратного обеспечения.

  • Программное обеспечение Cisco ASA 5500 Series Security Appliance версии 7.2

  • Cisco Systems VPN Client версии 4.0.5

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, начинали работу с чистой (стандартной) конфигурацией. При работе в действующей сети необходимо изучить все возможные последствия каждой команды.

Схема сети

Клиент VPN расположен в обычной сети SOHO и подключается через Интернет к главному офису.

asa-split-tunnel-vpn-client-1.gif

Дополнительные продукты

Эту конфигурацию также можно использовать с ПО Cisco PIX 500 Series Security Appliance версии 7.x.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Общие сведения

В базовом сценарии "клиент VPN – ASA" весь трафик от клиента VPN шифруется и отправляется на устройство ASA независимо от конечного пункта назначения трафика. В зависимости от конфигурации и поддерживаемого количества пользователей, такая настройка может потреблять значительную пропускную способность. Раздельное туннелирование может уменьшить эту проблему, так как оно позволяет пользователям отправлять по туннелю только трафик, предназначенный для корпоративной сети. Весь прочий трафик, например обмен мгновенными сообщениями, электронная почта и просмотр веб-страниц отправляется в Интернет через локальную сеть клиента VPN.

Настройка раздельного туннелирования в ASA

Настройка ASA с помощью Adaptive Security Device Manager (ASDM)

Выполните следующие действия для настройки туннельной группы, чтобы разрешить раздельное туннелирование пользователям в этой группе.

  1. Щелкните Configuration > VPN > General > Group Policy и выберите групповую политику, в которой будет включен доступ к локальной сети. Затем нажмите кнопку Edit.

    asa-split-tunnel-vpn-client-2.gif

  2. Перейдите на вкладку "Client Configuration".

    asa-split-tunnel-vpn-client-3.gif

  3. Снимите флажок Inherit для политики раздельных туннелей (Split Tunnel Policy) и выберите Tunnel Network List Below.

    asa-split-tunnel-vpn-client-4.gif

  4. Снимите флажок Inherit для списка сетей для раздельного туннелирования (Split Tunnel Network List ) и нажмите кнопку Manage, чтобы запустить ACL Manager.

    asa-split-tunnel-vpn-client-5.gif

  5. В ACL Manager выберите Add > Add ACL..., чтобы создать новый список доступа.

    asa-split-tunnel-vpn-client-6.gif

  6. Введите имя ACL и нажмите кнопку ОК.

    asa-split-tunnel-vpn-client-7.gif

  7. Создав ACL, выберите Add > Add ACE..., чтобы добавить запись управления доступом (Access Control Entry, ACE).

    asa-split-tunnel-vpn-client-8.gif

  8. Задайте запись ACE, соответствующую локальной сети, расположенной за модулем ASA. В нашем случае это сеть 10.0.1.0/24.

    1. Выберите Permit.

    2. Выберите IP-адрес 10.0.1.0

    3. Выберите сетевую маску 255.255.255.0.

    4. Укажите описание (необязательно)

    5. Нажмите кнопку ОК.

      asa-split-tunnel-vpn-client-9.gif

  9. Нажмите кнопку ОК, чтобы выйти из ACL Manager.

    asa-split-tunnel-vpn-client-10.gif

  10. Убедитесь, что только что созданный список ACL выбран в списке сетей для раздельного туннелирования.

    asa-split-tunnel-vpn-client-11.gif

  11. Нажмите кнопку ОК, чтобы вернуться к конфигурации групповой политики.

    asa-split-tunnel-vpn-client-12.gif

  12. Нажмите кнопку Apply и затем (если потребуется) Send, чтобы отправить эти команды в модуль ASA.

    asa-split-tunnel-vpn-client-13.gif

Настройка ASA с помощью CLI

Чтобы разрешить раздельное туннелирование в ASA, можно не использовать приложение ASDM, а воспользоваться интерфейсом командной строки (CLI) модуля ASA, выполнив следующие действия:

  1. Войдите в режим конфигурации.

    ciscoasa>enable
    Password: ********
    ciscoasa#configure terminal
    ciscoasa(config)#
  2. Создайте список доступа, определяющий сеть за модулем ASA.

    ciscoasa(config)#access-list Split_Tunnel_List remark The corporate network behind the ASA.
    ciscoasa(config)#access-list Split_Tunnel_List standard permit 10.0.1.0 255.255.255.0
    
  3. Войдите в режим конфигурации групповой политики, которую нужно изменить.

    ciscoasa(config)#group-policy hillvalleyvpn attributes
    ciscoasa(config-group-policy)#
  4. Укажите политику раздельных туннелей. В этом случае политика указывается как tunnelspecified.

    ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
    
  5. Укажите список доступа для раздельных туннелей. В этом случае список указывается как Split_Tunnel_List.

    ciscoasa(config-group-policy)#split-tunnel-network-list value Split_Tunnel_List
    
  6. Выйдите из обоих режимов конфигурации.

    ciscoasa(config-group-policy)#exit
    ciscoasa(config)#exit
    ciscoasa#
  7. Сохраните конфигурацию в энергонезависимой памяти (NVRAM) и нажмите клавишу ВВОД, когда будет предложено указать имя файла источника.

    ciscoasa#copy running-config startup-config
    
    Source filename [running-config]?
    Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
    
    3847 bytes copied in 3.470 secs (1282 bytes/sec)
    ciscoasa#

Проверка

Выполните шаги, описанные в следующих разделах, чтобы проверить конфигурацию.

Подключение с помощью клиента VPN

Подключите клиент VPN к концентратору VPN, чтобы проверить конфигурацию.

  1. Выберите подключение из списка и нажмите кнопку Connect.

    asa-split-tunnel-vpn-client-14.gif

  2. Введите учетные данные.

    asa-split-tunnel-vpn-client-15.gif

  3. Выберите Status > Statistics..., чтобы отобразить окно "Tunnel Details", в котором можно узнать подробные данные о туннеле и увидеть потоки трафика.

    asa-split-tunnel-vpn-client-16.gif

  4. Перейдите на вкладку "Route Details", чтобы увидеть маршруты к ASA, защищенные клиентом VPN.

    В этом примере клиент VPN защищает доступ к сети 10.0.1.0/24, а весь остальной трафик не шифруется и не отправляется по туннелю.

    asa-split-tunnel-vpn-client-17.gif

Просмотр журнала клиента VPN

В журнале клиента VPN, можно увидеть, задан параметр, определяющий раздельное туннелирование, или нет. Чтобы просмотреть журнал, перейдите на вкладку "Log" в клиенте VPN. Затем щелкните Настройки журнала , чтобы определить, какие событиях регистрируются в журнале. В этом примере для IKE задано значение 3 - High, а для других элементов журнала – значение 1 - Low.

asa-split-tunnel-vpn-client-18.gif

Cisco Systems VPN Client Version 4.0.5 (Rel)
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2

1      14:20:09.532  07/27/06  Sev=Info/6	IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- Выходные данные сокращены


18     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005D
Client sending a firewall request to concentrator

19     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client, 
Capability= (Centralized Protection Policy).

20     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent, 
Capability= (Are you There?).

21     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, 
Inc ASA5510 Version 7.2(1) built by root on Wed 31-May-06 14:45

!--- Разрешено раздельное туннелирование и определена локальная сеть.

29     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), 
value = 0x00000001

30     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000F
SPLIT_NET #1
	subnet = 10.0.1.0 
	mask = 255.255.255.0
	protocol = 0
	src port = 0
	dest port=0

!--- Выходные данные сокращены.

Проверка доступа к локальной сети с помощью эхо-запроса

Дополнительный способ убедиться, что клиент VPN настроен для раздельного туннелирования в то время, как его трафик туннелируется в ASA, — использовать команду ping в командной строке Windows. Локальная сеть клиента VPN — 192.168.0.0/24, и в сети присутствует другой узел с IP-адресом 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Устранение неполадок

Для этой конфигурации отсутствуют сведения об устранении неполадок.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 70917