Avez-vous un compte?
Ce document fournit une configuration d'échantillon pour que la façon ajoute un nouveau réseau à un tunnel VPN existant.
Assurez-vous que vous avez des dispositifs de sécurité PIX/ASA qui exécutent le code 7.x avant que vous tentiez cette configuration.
Les informations dans ce document sont basées sur deux Cisco 5500 périphériques de dispositifs de sécurité.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Cette configuration peut également être utilisée avec les dispositifs de sécurité PIX 500.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Il y a actuellement un tunnel VPN de l'entre réseaux locaux (L2L) qui est entre le bureau NY et TN. Le bureau NY a juste ajouté un nouveau réseau à utiliser par le groupe de développement de CSI. Ce groupe a besoin de l'accès aux ressources qui résident dans le bureau TN. La tâche actuelle est d'ajouter le nouveau réseau au tunnel VPN déjà existant.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Ce document utilise la configuration réseau suivante :
Ce document utilise la configuration suivante :
Config de Pare-feu NY (QG) |
---|
ASA-NY-HQ#show running-config : Saved : ASA Version 7.2(2) ! hostname ASA-NY-HQ domain-name corp2.com enable password WwXYvtKrnjXqGbu1 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 192.168.11.2 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 nameif Cisco security-level 70 ip address 172.16.40.2 255.255.255.0 ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name corp2.com access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0 !--- You must be sure that you configure the !--- opposite of these access control lists !--- on the other end of the VPN tunnel. access-list inside_nat0_outbound extended permit ip 172.16.40.0 255.255.255.0 10.10.10.0 255.255.255.0 access-list outside_20_cryptomap extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0 !--- You must be sure that you configure the !--- opposite of these access control lists !--- on the other end of the VPN tunnel. access-list outside_20_cryptomap extended permit ip 172.16.40.0 255.255.255.0 10.10.10.0 255.255.255.0 !--- Output is suppressed. nat-control global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 172.16.1.0 255.255.255.0 !--- The new network is also required to have access to the Internet. !--- So enter an entry into the NAT statement for this new network. nat (inside) 1 172.16.40.0 255.255.255.0 route outside 0.0.0.0 0.0.0.0 192.168.11.100 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map outside_map 20 match address outside_20_cryptomap crypto map outside_map 20 set peer 192.168.10.10 crypto map outside_map 20 set transform-set ESP-3DES-SHA crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp nat-traversal 20 tunnel-group 192.168.10.10 type ipsec-l2l tunnel-group 192.168.10.10 ipsec-attributes pre-shared-key * !--- Output is suppressed. : end ASA-NY-HQ# |
Utilisez ceci fait un pas pour retirer le réseau de la configuration de tunnel d'IPSec. Ici, considérez que le réseau 172.16.40.0/24 a été retiré de la configuration d'appareils NY (QG) Secuirty.
Avant retirez le réseau du tunnel, démolissent la connexion d'IPSec, qui autorise également les associations de sécurité liées à la phase 2.
ASA-NY-HQ# clear crypto ipsec sa
Autorise les associations de sécurité liées à la phase 1 comme suit
ASA-NY-HQ# clear crypto isakmp sa
Retirez l'ACL du trafic intéressant pour le tunnel d'IPSec.
ASA-NY-HQ(config)# no access-list outside_20_cryptomap extended permit ip 172.16.40.0 255.255.255.0 10.10.10.0 255.255.255.0
Retirez l'ACL (inside_nat0_outbound), puisque le trafic est exclu du nat.
ASA-NY-HQ(config)# no access-list inside_nat0_outbound extended permit ip 172.16.40.0 255.255.255.0 10.10.10.0 255.255.255.0
Effacez la traduction NAT comme affichée
ASA-NY-HQ# clear xlate
Quand jamais vous modifiez la configuration de tunnel, retirez et réappliquez ce les cryptos commandes de prendre la configuration la plus récente dans l'interface extérieure
ASA-NY-HQ(config)# crypto map outside_map interface outside ASA-NY-HQ(config)# crypto isakmp enable outside
Sauvegardez la configuration active à la « write memory » instantanée.
Suivez la même procédure pour l'autre extrémité - des dispositifs de sécurité TN pour retirer les configurations.
Initiez le tunnel d'IPSec et vérifiez la connexion.
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
ping 172.16.40.20 intérieur
Référez-vous à ces documents pour plus d'information de dépannage :
Dépannage des connexions via PIX et ASA