Ce document fournit un exemple de configuration pour établir un tunnel VPN IPsec LAN à LAN entre un pare-feu PIX 7.x et un concentrateur VPN Cisco 3000.
Référez-vous à Exemple de configuration de VPN satellite à client amélioré avec authentification TACACS+ PIX/ASA 7.x afin d'en savoir plus sur le scénario où le tunnel LAN à LAN entre les PIX permet également à un client VPN d'accéder au PIX satellite via le PIX concentrateur.
Référez-vous à Exemple de configuration de tunnel IPsec LAN à LAN du dispositif de sécurité PIX/ASA 7.x d'un routeur IOS afin d'en savoir plus sur le scénario où le tunnel LAN à LAN entre le PIX/ASA et un routeur IOS.
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
Ce document exige une connaissance de base du protocole IPSec. Consultez la section Introduction au chiffrement IPSec pour de plus amples renseignements sur IPSec.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Dispositif de sécurité de la gamme Cisco PIX 500 avec version logicielle 7.1(1)
Concentrateur VPN Cisco 3060 avec version logicielle 4.7.2(B)
Remarque : PIX 506/506E ne prend pas en charge 7.x.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Afin de configurer PIX 6.x, référez-vous à Exemple de configuration du tunnel IPSec LAN à LAN entre le concentrateur VPN 3000 de Cisco et le pare-feu PIX.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Ce document utilise la configuration réseau suivante :
PIX |
---|
PIX7#show running-config : Saved : PIX Version 7.1(1) ! hostname PIX7 enable password 8Ry2YjIyt7RRXU24 encrypted names ! !--- Configures the outside interface of the PIX. !--- By default, the security level for the outside interface is 0. interface Ethernet0 nameif outside security-level 0 ip address 10.1.1.1 255.255.255.0 ! !--- Configures the inside interface of the PIX. !--- By default, the security level for the inside interface is 100. interface Ethernet1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! !--- Defines the IP addresses that should not be NATed. access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0 access-list outside extended permit icmp any any !--- Defines the IP addresses that can communicate via the IPsec tunnel. access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0 access-list OUT extended permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500 no failover asdm image flash:/asdm-504.bin no asdm history enable arp timeout 14400 nat (inside) 0 access-list nonat access-group OUT in interface outside route outside 0.0.0.0 0.0.0.0 10.1.1.2 1 !--- Output is suppressed. !--- These are the IPsec parameters that are negotiated with the client. crypto ipsec transform-set my-set esp-aes-256 esp-sha-hmac crypto map mymap 20 match address 101 crypto map mymap 20 set peer 172.30.1.1 crypto map mymap 20 set transform-set my-set crypto map mymap interface outside !--- These are the Phase I parameters negotiated by the two peers. isakmp enable outside isakmp policy 10 authentication pre-share isakmp policy 10 encryption aes-256 isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 !--- A tunnel group consists of a set of records !--- that contain tunnel connection policies. The two attributes !--- are General and IPsec. Use the remote peer IP address as the !--- name of the Tunnel group. In this example 172.30.1.1 is the peer IP address. !--- Refer to Tunnel Group for more information. tunnel-group 172.30.1.1 type ipsec-l2l tunnel-group 172.30.1.1 ipsec-attributes pre-shared-key * !--- Output is suppressed. ! : end PIX7# |
Dans leurs paramètres d’usine, les concentrateurs VPN préprogrammés ne comportent aucune adresse IP. Vous devez utiliser le port de console afin de configurer les configurations initiales qui sont une interface de ligne de commande (CLI) basée sur des menus. Pour en savoir plus sur la configuration des concentrateurs VPN par la console, consultez la section correspondante.
Après avoir configuré l'adresse IP sur l'interface Ethernet 1 (privée), vous pouvez configurer le reste avec l'interface de ligne de commande ou via l'interface du navigateur. L’interface du navigateur prend en charge les protocoles HTTP et HTTP sur SSL (Secure Socket Layer).
Les paramètres suivants sont configurés par la console :
Heure/Date : l'heure et la date correctes sont très importantes. Elles permettent l’exactitude des entrées de journalisation et de gestion des comptes et la création par le système d’un certificat de sécurité valide.
Interface Ethernet 1 (privée) : adresse IP et masque (de la topologie réseau 172.16.5.100/16).
Le concentrateur VPN est désormais accessible via un navigateur HTML à partir du réseau interne. Référez-vous à Utilisation de l'interface de ligne de commande pour la configuration rapide pour plus d'informations sur la façon de configurer le concentrateur VPN en mode CLI.
Tapez l'adresse IP de l'interface privée à partir du navigateur Web afin d'activer l'interface utilisateur graphique.
Cliquez sur l'icône Enregistrer les modifications nécessaires pour enregistrer les modifications apportées à la mémoire. Le nom d'utilisateur et le mot de passe par défaut sont admin, ce qui est sensible à la casse.
Lancez l'interface utilisateur graphique et sélectionnez Configuration > Interfaces pour configurer l'adresse IP de l'interface publique et de la passerelle par défaut.
Sélectionnez Configuration > Policy Management > Traffic Management > Network Lists > Add or Modify pour créer les listes réseau qui définissent le trafic à chiffrer.
Ajoutez ici les réseaux locaux et distants. Les adresses IP doivent refléter celles de la liste d'accès configurée sur le PIX distant.
Dans cet exemple, les deux listes réseau sont remote_network et VPN Client Local LAN.
Sélectionnez Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN > Add pour configurer le tunnel IPsec LAN-to-LAN. Cliquez sur Apply lorsque vous avez terminé.
Saisissez l'adresse IP de l'homologue, les listes réseau créées à l'étape 2, les paramètres IPsec et ISAKMP et la clé pré-partagée.
Dans cet exemple, l'adresse IP de l'homologue est 10.1.1.1, les listes réseau sont remote_network et VPN Client Local LAN, et cisco est la clé pré-partagée.
Sélectionnez Configuration > User Management > Groups > Modify 10.1.1.1 pour afficher les informations de groupe générées automatiquement.
Remarque : Ne modifiez pas ces paramètres de groupe.
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
show isakmp sa : affiche toutes les associations de sécurité IKE (SA) actuelles sur un homologue. L'état MM_ACTIVE indique que le mode principal est utilisé pour configurer le tunnel VPN IPsec.
Dans cet exemple, le pare-feu PIX initie la connexion IPsec. L’adresse IP homologue est 172.30.1.1 et utilise le mode principal pour établir la connexion.
PIX7#show isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 172.30.1.1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE
show ipsec sa — Affiche les paramètres utilisés par les SA en cours. Recherchez les adresses IP de l'homologue, les réseaux accessibles aux niveaux local et distant et le jeu de transformations utilisé. Il y a deux SAS ESP, une dans chaque direction.
PIX7#show ipsec sa interface: outside Crypto map tag: mymap, seq num: 20, local addr: 10.1.1.1 access-list 101 permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0 local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0) current_peer: 172.30.1.1 #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 10.1.1.1, remote crypto endpt.: 172.30.1.1 path mtu 1500, ipsec overhead 76, media mtu 1500 current outbound spi: 136580F6 inbound esp sas: spi: 0xF24F4675 (4065281653) transform: esp-aes-256 esp-sha-hmac in use settings ={L2L, Tunnel,} slot: 0, conn_id: 1, crypto-map: mymap sa timing: remaining key lifetime (kB/sec): (3824999/28747) IV size: 16 bytes replay detection support: Y outbound esp sas: spi: 0x136580F6 (325419254) transform: esp-aes-256 esp-sha-hmac in use settings ={L2L, Tunnel,} slot: 0, conn_id: 1, crypto-map: mymap sa timing: remaining key lifetime (kB/sec): (3824999/28745) IV size: 16 bytes replay detection support: Y
Utilisez les commandes clear ipsec sa et clear isakmp sa pour réinitialiser le tunnel.
Sélectionnez Monitoring > Statistics > IPsec pour vérifier si le tunnel est apparu dans le concentrateur VPN 3000. Ce champ contient les statistiques des paramètres IKE et IPsec.
Vous pouvez surveiller activement la session à l'adresse Monitoring > Sessions. Vous pouvez réinitialiser le tunnel IPsec ici.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.
Les commandes debug sur PIX pour les tunnels VPN sont les suivantes :
debug crypto isakmp - Débogue les négociations ISAKMP SA.
debug crypto ipsec - Débogue les négociations de SA IPsec.
À l’instar des commandes de débogage des routeurs Cisco, vous pouvez configurer des classes d’événements pour afficher les alarmes. Sélectionnez Configuration > System > Events > Classes > Add pour activer la journalisation des classes d'événements.
Sélectionnez Monitoring > Filterable Event Log pour surveiller les événements activés.
Dans des négociations IPsec, le Perfect Forward Secrecy (PFS) assure que chacune nouvelle clé cryptographique est indépendante de toute clé précédente. Activez ou désactivez PFS sur les deux homologues de tunnel, sinon le tunnel IPsec LAN à LAN (L2L) n'est pas établi dans PIX/ASA.
PFS est désactivé par défaut. Afin d'activer PFS, utilisez la commande pfs avec le mot clé enable en mode de configuration de stratégie de groupe. Afin de désactiver PFS, saisissez le mot clé disable.
hostname(config-group-policy)#pfs {enable | disable}
Afin de retirer l'attribut PFS de la configuration en cours, saisissez la forme no de cette commande. Une stratégie de groupe peut hériter d'une valeur pour PFS d'une autre stratégie de groupe. Saisissez la forme no de cette commande afin d'éviter d'hériter d'une valeur.
hostname(config-group-policy)#no pfs
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
16-Oct-2008 |
Première publication |