Exemple de configuration d'un tunnel IPSec entre PIX 7.x et un concentrateur VPN 3000

Introduction

Ce document fournit un exemple de configuration pour établir un tunnel VPN IPsec LAN à LAN entre un pare-feu PIX 7.x et un concentrateur VPN Cisco 3000.

Référez-vous à Exemple de configuration de VPN satellite à client amélioré avec authentification TACACS+ PIX/ASA 7.x afin d'en savoir plus sur le scénario où le tunnel LAN à LAN entre les PIX permet également à un client VPN d'accéder au PIX satellite via le PIX concentrateur.

Référez-vous à Exemple de configuration de tunnel IPsec LAN à LAN du dispositif de sécurité PIX/ASA 7.x d'un routeur IOS afin d'en savoir plus sur le scénario où le tunnel LAN à LAN entre le PIX/ASA et un routeur IOS.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

• Ce document exige une connaissance de base du protocole IPSec. Consultez la section Introduction au chiffrement IPSec pour de plus amples renseignements sur IPSec.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Dispositif de sécurité de la gamme Cisco PIX 500 avec version logicielle 7.1(1)

• Concentrateur VPN Cisco 3060 avec version logicielle 4.7.2(B)

Remarque : PIX 506/506E ne prend pas en charge 7.x.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Afin de configurer PIX 6.x, référez-vous à Exemple de configuration du tunnel IPSec LAN à LAN entre le concentrateur VPN 3000 de Cisco et le pare-feu PIX.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

• Configurer le PIX

• Configurer le concentrateur VPN 3000

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Configurer le PIX

PIX7#show running-config
: Saved
:
PIX Version 7.1(1)
!
hostname PIX7
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- Configures the outside interface of the PIX.


!--- By default, the security level for the outside interface is 0.

interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!

!--- Configures the inside interface of the PIX.


!--- By default, the security level for the inside interface is 100.

interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!

!--- Defines the IP addresses that should not be NATed.

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list outside extended permit icmp any any

!--- Defines the IP addresses that can communicate via the IPsec tunnel.

access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list OUT extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
asdm image flash:/asdm-504.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list nonat
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.2 1

!--- Output is suppressed.


!--- These are the IPsec parameters that are negotiated with the client.

crypto ipsec transform-set my-set esp-aes-256 esp-sha-hmac
crypto map mymap 20 match address 101
crypto map mymap 20 set peer 172.30.1.1
crypto map mymap 20 set transform-set my-set
crypto map mymap interface outside

!--- These are the Phase I parameters negotiated by the two peers.

isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

!--- A tunnel group consists of a set of records !--- that contain tunnel connection policies. The two attributes !--- are General and IPsec. Use the remote peer IP address as the !--- name of the Tunnel group. In this example 172.30.1.1 is the peer IP address. !--- Refer to Tunnel Group for more information.

tunnel-group 172.30.1.1 type ipsec-l2l
tunnel-group 172.30.1.1 ipsec-attributes
 pre-shared-key *

!--- Output is suppressed.

!
: end
PIX7#

Configurer le concentrateur VPN 3000

Dans leurs paramètres d’usine, les concentrateurs VPN préprogrammés ne comportent aucune adresse IP. Vous devez utiliser le port de console afin de configurer les configurations initiales qui sont une interface de ligne de commande (CLI) basée sur des menus. Pour en savoir plus sur la configuration des concentrateurs VPN par la console, consultez la section correspondante.

Après avoir configuré l'adresse IP sur l'interface Ethernet 1 (privée), vous pouvez configurer le reste avec l'interface de ligne de commande ou via l'interface du navigateur. L’interface du navigateur prend en charge les protocoles HTTP et HTTP sur SSL (Secure Socket Layer).

Les paramètres suivants sont configurés par la console :

• Heure/Date : l'heure et la date correctes sont très importantes. Elles permettent l’exactitude des entrées de journalisation et de gestion des comptes et la création par le système d’un certificat de sécurité valide.

• Interface Ethernet 1 (privée) : adresse IP et masque (de la topologie réseau 172.16.5.100/16).

Le concentrateur VPN est désormais accessible via un navigateur HTML à partir du réseau interne. Référez-vous à Utilisation de l'interface de ligne de commande pour la configuration rapide pour plus d'informations sur la façon de configurer le concentrateur VPN en mode CLI.

Tapez l'adresse IP de l'interface privée à partir du navigateur Web afin d'activer l'interface utilisateur graphique.

Cliquez sur l'icône Enregistrer les modifications nécessaires pour enregistrer les modifications apportées à la mémoire. Le nom d'utilisateur et le mot de passe par défaut sont admin, ce qui est sensible à la casse.

1. Lancez l'interface utilisateur graphique et sélectionnez Configuration > Interfaces pour configurer l'adresse IP de l'interface publique et de la passerelle par défaut.

   

2. Sélectionnez Configuration > Policy Management > Traffic Management > Network Lists > Add or Modify pour créer les listes réseau qui définissent le trafic à chiffrer.

   Ajoutez ici les réseaux locaux et distants. Les adresses IP doivent refléter celles de la liste d'accès configurée sur le PIX distant.

   Dans cet exemple, les deux listes réseau sont remote_network et VPN Client Local LAN.

   

3. Sélectionnez Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN > Add pour configurer le tunnel IPsec LAN-to-LAN. Cliquez sur Apply lorsque vous avez terminé.

   Saisissez l'adresse IP de l'homologue, les listes réseau créées à l'étape 2, les paramètres IPsec et ISAKMP et la clé pré-partagée.

   Dans cet exemple, l'adresse IP de l'homologue est 10.1.1.1, les listes réseau sont remote_network et VPN Client Local LAN, et cisco est la clé pré-partagée.

   

4. Sélectionnez Configuration > User Management > Groups > Modify 10.1.1.1 pour afficher les informations de groupe générées automatiquement.

   Remarque : Ne modifiez pas ces paramètres de groupe.

   

Vérification

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

• Vérifier le PIX

• Vérification du concentrateur VPN 3000

Vérifier le PIX

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

• show isakmp sa : affiche toutes les associations de sécurité IKE (SA) actuelles sur un homologue. L'état MM_ACTIVE indique que le mode principal est utilisé pour configurer le tunnel VPN IPsec.

  Dans cet exemple, le pare-feu PIX initie la connexion IPsec. L’adresse IP homologue est 172.30.1.1 et utilise le mode principal pour établir la connexion.

  PIX7#show isakmp sa
  
     Active SA: 1
      Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
  Total IKE SA: 1
  
  1   IKE Peer: 172.30.1.1
      Type    : L2L             Role    : initiator
      Rekey   : no              State   : MM_ACTIVE
  

• show ipsec sa — Affiche les paramètres utilisés par les SA en cours. Recherchez les adresses IP de l'homologue, les réseaux accessibles aux niveaux local et distant et le jeu de transformations utilisé. Il y a deux SAS ESP, une dans chaque direction.

  PIX7#show ipsec sa
  interface: outside
      Crypto map tag: mymap, seq num: 20, local addr: 10.1.1.1
  
        access-list 101 permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
  
        local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
        remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)
        current_peer: 172.30.1.1
  
        #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
        #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
        #send errors: 0, #recv errors: 0
  
        local crypto endpt.: 10.1.1.1, remote crypto endpt.: 172.30.1.1
  
        path mtu 1500, ipsec overhead 76, media mtu 1500
        current outbound spi: 136580F6
  
      inbound esp sas:
        spi: 0xF24F4675 (4065281653)
           transform: esp-aes-256 esp-sha-hmac
           in use settings ={L2L, Tunnel,}
           slot: 0, conn_id: 1, crypto-map: mymap
           sa timing: remaining key lifetime (kB/sec): (3824999/28747)
           IV size: 16 bytes
           replay detection support: Y
      outbound esp sas:
        spi: 0x136580F6 (325419254)
           transform: esp-aes-256 esp-sha-hmac
           in use settings ={L2L, Tunnel,}
           slot: 0, conn_id: 1, crypto-map: mymap
           sa timing: remaining key lifetime (kB/sec): (3824999/28745)
           IV size: 16 bytes
           replay detection support: Y

  Utilisez les commandes clear ipsec sa et clear isakmp sa pour réinitialiser le tunnel.

Vérification du concentrateur VPN 3000

Sélectionnez Monitoring > Statistics > IPsec pour vérifier si le tunnel est apparu dans le concentrateur VPN 3000. Ce champ contient les statistiques des paramètres IKE et IPsec.

Vous pouvez surveiller activement la session à l'adresse Monitoring > Sessions. Vous pouvez réinitialiser le tunnel IPsec ici.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

• Dépannage du PIX

• Dépannage du concentrateur VPN 3000

• PFS

Dépannage du PIX

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.

Les commandes debug sur PIX pour les tunnels VPN sont les suivantes :

• debug crypto isakmp - Débogue les négociations ISAKMP SA.

• debug crypto ipsec - Débogue les négociations de SA IPsec.

Dépannage du concentrateur VPN 3000

À l’instar des commandes de débogage des routeurs Cisco, vous pouvez configurer des classes d’événements pour afficher les alarmes. Sélectionnez Configuration > System > Events > Classes > Add pour activer la journalisation des classes d'événements.

Sélectionnez Monitoring > Filterable Event Log pour surveiller les événements activés.

PFS

Dans des négociations IPsec, le Perfect Forward Secrecy (PFS) assure que chacune nouvelle clé cryptographique est indépendante de toute clé précédente. Activez ou désactivez PFS sur les deux homologues de tunnel, sinon le tunnel IPsec LAN à LAN (L2L) n'est pas établi dans PIX/ASA.

PFS est désactivé par défaut. Afin d'activer PFS, utilisez la commande pfs avec le mot clé enable en mode de configuration de stratégie de groupe. Afin de désactiver PFS, saisissez le mot clé disable.

hostname(config-group-policy)#pfs {enable | disable}

Afin de retirer l'attribut PFS de la configuration en cours, saisissez la forme no de cette commande. Une stratégie de groupe peut hériter d'une valeur pour PFS d'une autre stratégie de groupe. Saisissez la forme no de cette commande afin d'éviter d'hériter d'une valeur.

hostname(config-group-policy)#no pfs 

Informations connexes

• Page d'assistance des appliances de sécurité de la gamme Cisco PIX 500
• Page d'assistance du concentrateur Cisco VPN 3000
• Référence des commandes des dispositifs de sécurité de la gamme Cisco PIX 500
• Support et documentation techniques - Cisco Systems