Este documento describe cómo configurar Cisco 5500 Series Adaptive Security Appliance (ASA) para proporcionar la dirección IP estática al cliente VPN con Adaptive Security Device Manager (ASDM) o CLI. El ASDM ofrece administración de seguridad de talla mundial y monitoreo a través de una Interfaz de administración basada en la Web intuitiva, fácil de utilizar. Una vez completada la configuración de Cisco ASA, se puede verificar con Cisco VPN Client.
Consulte el Ejemplo de Configuración de Autenticación PIX/ASA 7.x y Cisco VPN Client 4.x con Windows 2003 IAS RADIUS (en comparación con Active Directory) para instalar la conexión VPN de acceso remoto entre Cisco VPN Client (4.x para Windows) y PIX 500 Series Security Appliance 7.x. El usuario de VPN Client remoto se autentica en Active Directory con un servidor RADIUS del Servicio de autenticación de Internet (IAS) de Microsoft Windows 2003.
Consulte Ejemplo de Configuración de Autenticación de PIX/ASA 7.x y Cisco VPN Client 4.x para Cisco Secure ACS para configurar una conexión VPN de acceso remoto entre un Cisco VPN Client (4.x para Windows) y el PIX 500 Series Security Appliance 7.x con un Cisco Secure Access Control Server (ACS versión 3.2) para la autenticación ampliada (Xauth).
Este documento asume que el ASA está completamente operativo y está configurado para permitir que el ASDM de Cisco o el CLI realice los cambios de configuración.
Nota: Refiérase a Cómo Permitir el Acceso HTTPS para ASDM o PIX/ASA 7.x: SSH en el Ejemplo de Configuración de la Interfaz Interna y Externa para permitir que el dispositivo sea configurado remotamente por ASDM o Secure Shell (SSH).
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Cisco Adaptive Security Appliance Software Version 7.x y posterior
Adaptive Security Device Manager Version 5.x y posterior
Cisco VPN Client Version 4.x y posterior
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Esta configuración también se puede usar con Cisco PIX Security Appliance Version 7.x y posterior.
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Use el Command Lookup Tool (únicamente clientes registrados) para obtener más información sobre los comandos que se utilizan en esta sección.
En este documento, se utiliza esta configuración de red:
Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son direcciones RFC 1918, que se utilizaron en un entorno de laboratorio.
Procedimiento ASDM
Complete estos pasos para configurar la VPN de acceso remoto:
Elija Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Policies > Add para crear una política ISAKMP.
Proporcione los detalles de la política ISAKMP.
Haga clic en Aceptar y Aplicar.
Elija Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Parameters para habilitar IKE en la interfaz externa.
Elija Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IPSec Transform Sets > Add para crear el conjunto de transformación ESP-DES-SHA, como se muestra.
Haga clic en Aceptar y Aplicar.
Elija Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > Crypto Maps > Add para crear un mapa criptográfico con política dinámica de prioridad 1, como se muestra.
Haga clic en Aceptar y Aplicar.
Elija Configuration > Remote Access VPN > AAA Setup > Local Users > Add para crear la cuenta de usuario (por ejemplo, username - cisco123 y Password - cisco123) para el acceso de cliente VPN.
Vaya a VPN Policy y agregue la dirección IP estática/dedicada para el usuario "cisco123", de la siguiente manera.
Elija Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools y haga clic en Add para agregar VPN Client para los usuarios de VPN Client.
Elija Configuration > Remote Access VPN > Network (Client) Access > IPSec Connection Profiles > Add para agregar un grupo de túnel (por ejemplo, TunnelGroup1 y la clave previamente compartida como cisco123), como se muestra.
En la pestaña Basic, elija el grupo de servidores como LOCAL para el campo User Authentication.
Elija vpnclient1 como los Pools de Direcciones de Cliente para los usuarios de VPN Client.
Click OK.
Elija Advanced > Client Addressing y marque la casilla de verificación Use address pool para asignar la dirección IP a los clientes VPN.
Nota: Asegúrese de desmarcar las casillas de verificación Use authentication server y Use DHCP.
Click OK.
Habilite la interfaz externa para el acceso IPSec. Haga clic en Apply para continuar.
Complete estos pasos para configurar el servidor DHCP para proporcionar direcciones IP a los clientes VPN desde la línea de comandos. Consulte Configuración de VPN de Acceso Remoto o Referencias de Comandos de Cisco ASA 5500 Series Adaptive Security Appliance para obtener más información sobre cada uno de los comandos.
Configuración en ejecución en el dispositivo ASA |
---|
ASA# sh run ASA Version 8.0(2) ! !--- Specify the hostname for the Security Appliance. hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted names ! !--- Configure the outside and inside interfaces. interface Ethernet0/0 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! interface Ethernet0/1 nameif outside security-level 0 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/2 nameif DMZ security-level 50 ip address 192.168.10.2 255.255.255.0 !--- Output is suppressed. passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa802-k8.bin ftp mode passive access-list 101 extended permit ip 10.1.1.0 255.255.255.0 192.168.5.0 255.255.255.0 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 mtu dmz 1500 ip local pool vpnclient1 192.168.5.10-192.168.5.100 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 !--- Specify the location of the ASDM image for ASA to fetch the image for ASDM access. asdm image disk0:/asdm-613.bin no asdm history enable arp timeout 14400 global (outside) 1 192.168.1.5 nat (inside) 0 access-list 101 nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 192.168.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto dynamic-map outside_dyn_map 1 set transform-set ESP-DES-SHA crypto map outside_map 1 ipsec-isakmp dynamic outside_dyn_map !--- Specifies the interface to be used with !--- the settings defined in this configuration. crypto map outside_map interface outside !--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policy 2. !--- The configuration commands here define the Phase !--- 1 policy parameters that are used. crypto isakmp enable outside crypto isakmp policy 2 authentication pre-share encryption des hash sha group 2 lifetime 86400 no crypto isakmp nat-traversal !--- Specifies that the IP address to the vpn clients are assigned by the local and not by AAA or dhcp. The CLI vpn-addr-assign local for VPN address assignment through ASA is hidden in the CLI provided by show run command. no vpn-addr-assign aaa no vpn-addr-assign dhcp telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global ! group-policy DfltGrpPolicy attributes vpn-tunnel-protocol IPSec webvpn group-policy GroupPolicy1 internal !--- In order to identify remote access users to the Security Appliance, !--- you can also configure usernames and passwords on the device. !--- specify the IP address to assign to a particular user, use the vpn-framed-ip-address command !--- in username mode username cisco123 password ffIRPGpDSOJh9YLq encrypted username cisco123 attributes vpn-framed-ip-address 192.168.5.1 255.255.255.0 !--- Create a new tunnel group and set the connection !--- type to remote-access. tunnel-group TunnelGroup1 type remote-access tunnel-group TunnelGroup1 general-attributes address-pool vpnclient1 !--- Enter the pre-shared-key to configure the authentication method. tunnel-group TunnelGroup1 ipsec-attributes pre-shared-key * prompt hostname context Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d : end ASA# |
Intente conectarse a Cisco ASA con Cisco VPN Client para verificar que ASA se haya configurado correctamente.
Elija Inicio > Programas > Cisco Systems VPN Client > VPN Client.
Haga clic en New para iniciar la ventana Create New VPN Connection Entry.
Complete la información de su nueva conexión.
Introduzca el nombre de la entrada de conexión junto con una descripción. Ingrese la dirección IP externa del ASA en el cuadro Host. A continuación, introduzca el nombre del grupo de túnel VPN (TunnelGroup1) y la contraseña (Pre-shared Key - cisco123), tal y como se configuran en ASA. Click Save.
Haga clic en la conexión que desea utilizar y haga clic en Connect en la ventana principal de VPN Client.
Cuando se le solicite, ingrese el Nombre de usuario : cisco123 y la Contraseña : cisco123 como se configuró en el ASA para Xauth, y haga clic en Aceptar para conectarse a la red remota.
El cliente VPN está conectado con el ASA en el sitio central.
Una vez establecida correctamente la conexión, elija Statistics en el menú Status (Estado) para verificar los detalles del túnel.
Use esta sección para confirmar que su configuración funciona correctamente.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
show crypto isakmp sa—Muestra todas las asociaciones de seguridad (SA) IKE actuales en un par.
show crypto ipsec sa: muestra la configuración utilizada por las SA actuales.
En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. También se muestra un ejemplo de salida del debug .
Nota: Para obtener más información sobre la resolución de problemas de VPN IPSec de acceso remoto, consulte Soluciones de resolución de problemas de VPN IPSec de acceso remoto y L2L más comunes.
Cuando resuelva problemas, asegúrese de borrar las asociaciones de seguridad existentes después de realizar un cambio. En el modo privilegiado de PIX, utilice estos comandos:
clear [crypto] ipsec sa: elimina las SA IPSec activas. La palabra clave crypto es opcional.
clear [crypto] isakmp sa: elimina las IKE SA activas. La palabra clave crypto es opcional.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.
debug crypto ipsec 7 — Muestra negociaciones IPsec de la Fase 2.
debug crypto isakmp 7 — Muestra negociaciones ISAKMP de la Fase 1.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
16-Feb-2009 |
Versión inicial |