Este documento demuestra cómo configurar un túnel IPsec de PIX Security Appliance 7.x y posterior o de Adaptive Security Appliance (ASA) con una red interna a un router 2611 que ejecuta una imagen de criptografía. Las rutas estáticas se utilizan para simplificar.
Consulte Configuración de IPSec - Router a PIX para obtener más información sobre una configuración de túnel de LAN a LAN entre un router y el PIX.
Consulte Ejemplo de Configuración de IPSec de LAN a LAN entre el Concentrador VPN 3000 de Cisco y el Firewall PIX para obtener más información sobre una configuración de túnel de LAN a LAN entre el Firewall PIX y el Concentrador VPN 3000 de Cisco.
Consulte Ejemplo de Configuración del Túnel IPSec entre PIX 7.x y VPN 3000 Concentrator para obtener más información sobre el escenario donde el túnel de LAN a LAN está entre el PIX y el concentrador VPN.
Consulte Ejemplo de Configuración de PIX/ASA 7.x Enhanced Spoke-to-Client VPN con autenticación TACACS+ para obtener más información sobre el escenario en el que el túnel LAN-a-LAN entre los PIX también permite que un Cliente VPN acceda al PIX spoke a través del PIX hub.
Consulte SDM: Ejemplo de Configuración de VPN IPSec de Sitio a Sitio entre ASA/PIX y un Router IOS para obtener más información sobre el mismo escenario donde el Dispositivo de Seguridad PIX/ASA ejecuta la versión de software 8.x.
Consulte Configuration Professional: Ejemplo de Configuración de VPN IPSec de Sitio a Sitio entre ASA/PIX y un Router IOS para obtener más información sobre el mismo escenario en el que se muestra la configuración relacionada con ASA usando la GUI de ASDM y la configuración relacionada con el Router se muestra usando la GUI de Cisco CP.
No hay requisitos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
PIX-525 con la versión 7.0 del software PIX
Cisco 2611 Router con Cisco IOS® Software Release 12.2(15)T13
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
En el PIX, los comandos access-list y nat 0 funcionan de manera conjunta. Cuando un usuario de la red 10.1.1.0 va a la red 10.2.2.0, la lista de acceso se utiliza para permitir que el tráfico de red 10.1.1.0 se cifre sin la traducción de direcciones de red (NAT). En el router, los comandos route-map y access-list se utilizan para permitir que el tráfico de red 10.2.2.0 se cifre sin NAT. No obstante, cuando esos dos mismos usuarios se dirigen a cualquier otra parte, son traducidos a la dirección 172.17.63.230 mediante la traducción de dirección de puerto (PAT).
Estos son los comandos de configuración requeridos en el PIX Security Appliance para que el tráfico no se ejecute a través de PAT sobre el túnel, y el tráfico a Internet para ejecutarse a través de PAT
access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 nat (inside) 0 access-list nonat nat (inside) 1 10.1.1.0 255.255.255.0 0 0
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.
En este documento, se utiliza esta configuración de red:
Estos ejemplos de configuración son para la interfaz de línea de comandos. Consulte la sección Configuración mediante el Administrador adaptable de dispositivos de seguridad (ASDM) de este documento si prefiere configurar mediante ASDM.
PIX principal |
---|
HQPIX(config)#show run PIX Version 7.0(0)102 names ! interface Ethernet0 description WAN interface nameif outside security-level 0 ip address 172.17.63.229 255.255.255.240 ! interface Ethernet1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname HQPIX domain-name cisco.com ftp mode passive clock timezone AEST 10 access-list Ipsec-conn extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 access-list nonat extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 pager lines 24 logging enable logging buffered debugging mtu inside 1500 mtu outside 1500 no failover monitor-interface inside monitor-interface outside asdm image flash:/asdmfile.50073 no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (inside) 0 access-list nonat nat (inside) 1 10.1.1.0 255.255.255.0 access-group 100 in interface inside route outside 0.0.0.0 0.0.0.0 172.17.63.230 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server partner protocol tacacs+ username cisco password 3USUcOPFUiMCO4Jk encrypted http server enable http 10.1.1.2 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server community public snmp-server enable traps snmp crypto ipsec transform-set avalanche esp-des esp-md5-hmac crypto ipsec security-association lifetime seconds 3600 crypto ipsec df-bit clear-df outside crypto map forsberg 21 match address Ipsec-conn crypto map forsberg 21 set peer 172.17.63.230 crypto map forsberg 21 set transform-set avalanche crypto map forsberg interface outside isakmp identity address isakmp enable outside isakmp policy 1 authentication pre-share isakmp policy 1 encryption 3des isakmp policy 1 hash sha isakmp policy 1 group 2 isakmp policy 1 lifetime 86400 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 tunnel-group 172.17.63.230 type ipsec-l2l tunnel-group 172.17.63.230 ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map asa_global_fw_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect http ! service-policy asa_global_fw_policy global Cryptochecksum:3a5851f7310d14e82bdf17e64d638738 : end SV-2-8# |
Router de sucursal |
---|
BranchRouter#show run Building configuration... Current configuration : 1719 bytes ! ! Last configuration change at 13:03:25 AEST Tue Apr 5 2005 ! NVRAM config last updated at 13:03:44 AEST Tue Apr 5 2005 ! version 12.2 service timestamps debug datetime msec service timestamps log uptime no service password-encryption ! hostname BranchRouter ! logging queue-limit 100 logging buffered 4096 debugging ! username cisco privilege 15 password 0 cisco memory-size iomem 15 clock timezone AEST 10 ip subnet-zero ! ! ! ip audit notify log ip audit po max-events 100 ! ! ! crypto isakmp policy 11 encr 3des authentication pre-share group 2 crypto isakmp key cisco123 address 172.17.63.229 ! ! crypto ipsec transform-set sharks esp-des esp-md5-hmac ! crypto map nolan 11 ipsec-isakmp set peer 172.17.63.229 set transform-set sharks match address 120 ! ! ! ! ! ! ! ! ! ! no voice hpi capture buffer no voice hpi capture destination ! ! mta receive maximum-recipients 0 ! ! ! ! interface Ethernet0/0 ip address 172.17.63.230 255.255.255.240 ip nat outside no ip route-cache no ip mroute-cache half-duplex crypto map nolan ! interface Ethernet0/1 ip address 10.2.2.1 255.255.255.0 ip nat inside half-duplex ! ip nat pool branch 172.17.63.230 172.17.63.230 netmask 255.255.255.0 ip nat inside source route-map nonat pool branch overload no ip http server no ip http secure-server ip classless ip route 10.1.1.0 255.255.255.0 172.17.63.229 ! ! ! access-list 120 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 130 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 130 permit ip 10.2.2.0 0.0.0.255 any ! route-map nonat permit 10 match ip address 130 ! call rsvp-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! ! end |
Este ejemplo muestra cómo configurar el PIX usando la GUI de ASDM. Una PC con un navegador y la dirección IP 10.1.1.2 está conectada a la interfaz interna e1 del PIX. Asegúrese de que http esté habilitado en el PIX.
Este procedimiento ilustra la configuración ASDM del PIX de la Sede central.
Conecte el PC al PIX y elija un método de descarga.
ASDM carga la configuración existente desde el PIX.
Esta ventana proporciona instrumentos de supervisión y menús.
Seleccione Configuration > Features > Interfaces y seleccione Add para interfaces nuevas o Edit para una configuración existente.
Seleccione las opciones de seguridad para la interfaz interna.
En la configuración de NAT, el tráfico cifrado está exento de NAT y el resto del tráfico es NAT/PAT hacia la interfaz externa.
Seleccione VPN >General > Tunnel Group y habilite un Tunnel Group
Seleccione VPN > IKE > Global Parameters y habilite IKE en la interfaz exterior.
Seleccione VPN > IKE > Policies y elija las políticas IKE.
Seleccione VPN > IPSec > Reglas IPSec y elija IPSec para el túnel local y el direccionamiento remoto.
Seleccione VPN > IPsec > Tunnel Policy y elija la política de túnel.
Seleccione VPN > IPsec > Conjuntos de transformación y elija un conjunto de transformación.
Seleccione Routing > Routing > Static Route y elija una ruta estática al router de gateway. En este ejemplo, la ruta estática apunta al peer VPN remoto para mayor simplicidad.
Use esta sección para confirmar que su configuración funciona correctamente.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
show crypto ipsec sa: muestra las asociaciones de seguridad de la fase 2.
show crypto isakmp sa — Muestra las asociaciones de seguridad de la fase 1.
Puede utilizar ASDM para habilitar el registro y ver los registros.
Seleccione Configuration > Properties > Logging > Logging Setup, elija Enable Logging y haga clic en Apply para habilitar el registro.
Seleccione Monitoring > Logging > Log Buffer > On Logging Level, elija Logging Buffer y haga clic en View para ver los registros.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.
depuración crypto ipsec — Muestra los IPSec Negotiations de la Fase 2.
debug crypto isakmp — muestra las negociaciones ISAKMP para la fase 1.
debug crypto engine — muestra el tráfico codificado.
clear crypto isakmp â€'' Borra las asociaciones de seguridad relacionadas con la fase 1.
clear crypto sa: borra las asociaciones de seguridad relacionadas con la fase 2.
debug icmp trace: muestra si las solicitudes ICMP de los hosts llegan al PIX. Debe agregar el comando access-list para permitir el ICMP en su configuración para ejecutar este debug.
logging buffer debugging—Muestra las conexiones que se establecen y las que se deniegan a los hosts que atraviesan el PIX. La información se almacena en el búfer de registro PIX y puede ver el resultado con el comando show log.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
07-Feb-2014 |
Versión inicial |