Deze voorbeeldconfiguratie toont een IPsec VPN-tunnel aan via een firewall die netwerkadresomzetting (NAT) uitvoert. Deze configuratie werkt niet met poortadresomzetting (PAT) als u Cisco IOS®-softwarereleases eerder dan en zonder 12.2(13)T gebruikt. Dit type configuratie kan worden gebruikt om IP-verkeer te tunnelen. Deze configuratie kan niet worden gebruikt om verkeer te versleutelen dat niet door een firewall gaat, zoals IPX of de routing van updates. Generic Routing Encapsulation (GRE)-tunneling is een geschiktere keuze. In dit voorbeeld zijn de Cisco 2621- en 3660-routers de IPsec-tunneleindpunten die zich aansluiten bij twee particuliere netwerken, met conduits of toegangscontrolelijsten (ACL’s) op de PIX ertussen om het IPsec-verkeer toe te staan.
Opmerking: NAT is een één-op-één adresomzetting, die niet mag worden verward met PAT, wat een veelzijdige (binnen de firewall) één-op-één vertaling is. Raadpleeg voor meer informatie over NAT-bediening en -configuratie NAT-werking en basisoplossing voor NAT-problemen verifiëren of hoe NAT werkt.
Opmerking: mogelijk werkt IPsec met PAT niet goed omdat het externe tunneleindpuntapparaat niet meerdere tunnels vanaf één IP-adres kan verwerken. Neem contact op met uw verkoper om te bepalen of de tunnelendpointapparaten werken met PAT. Bovendien kan in Cisco IOS-softwarerelease 12.2(13)T en hoger de NAT-transparantiefunctie worden gebruikt voor PAT. Raadpleeg voor meer informatie IPSec NAT-transparantie. Raadpleeg Ondersteuning voor IPSec ESP via NAT om meer informatie over deze functies in Cisco IOS-softwarerelease 12.2(13)T en hoger.
N.B.: Voordat u een case opent met Cisco Technical Support, raadpleegt u NAT Veelgestelde vragen, waarop veel antwoorden op veelvoorkomende vragen staan.
Raadpleeg Een IPSec-tunnel configureren via een firewall met NAT voor meer informatie over het configureren van IPsec-tunnels via een firewall met NAT op PIX versie 6.x en hoger.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco IOS-softwarerelease 12.0.7.T (tot maar niet met inbegrip van Cisco IOS-softwarerelease 12.2(13)T)
Raadpleeg voor recentere versies IPSec NAT-transparantie.
Cisco 2621 router
Cisco 3660 router
Cisco PIX 500 Series security applicatie die 7.x en hoger draait.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Dit document kan ook worden gebruikt met de Cisco 5500 Series adaptieve security applicatie (ASA) met softwareversie 7.x en hoger.
In deze sectie vindt u de informatie die u kunt gebruiken om de functies te configureren die in dit document worden beschreven.
N.B.: Gebruik de Command Lookup Tool (alleen geregistreerde klanten) om extra informatie te vinden over de opdrachten die in dit document worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
Dit document gebruikt de volgende configuraties:
Cisco 2621 |
---|
Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname goss-2621 ! ip subnet-zero ! ip audit notify log ip audit po max-events 100 isdn voice-call-failure 0 cns event-service server ! !--- The IKE policy. crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 99.99.99.2 ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap local-address FastEthernet0/1 !--- IPsec policy. crypto map mymap 10 ipsec-isakmp set peer 99.99.99.2 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process. match address 101 ! controller T1 1/0 ! interface FastEthernet0/0 ip address 10.2.2.1 255.255.255.0 no ip directed-broadcast duplex auto speed auto ! interface FastEthernet0/1 ip address 10.1.1.2 255.255.255.0 no ip directed-broadcast duplex auto speed auto !--- Apply to the interface. crypto map mymap ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 no ip http server !--- Include the private-network-to-private-network traffic !--- in the encryption process. access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255 line con 0 transport input none line aux 0 line vty 0 4 ! no scheduler allocate end |
Cisco 3660 |
---|
version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname goss-3660 ! ip subnet-zero ! cns event-service server ! !--- The IKE policy. crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 99.99.99.12 ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap local-address FastEthernet0/0 !--- The IPsec policy. crypto map mymap 10 ipsec-isakmp set peer 99.99.99.12 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process. match address 101 ! interface FastEthernet0/0 ip address 99.99.99.2 255.255.255.0 no ip directed-broadcast ip nat outside duplex auto speed auto !--- Apply to the interface. crypto map mymap ! interface FastEthernet0/1 ip address 10.3.3.1 255.255.255.0 no ip directed-broadcast ip nat inside duplex auto speed auto ! interface Ethernet3/0 no ip address no ip directed-broadcast shutdown ! interface Serial3/0 no ip address no ip directed-broadcast no ip mroute-cache shutdown ! interface Ethernet3/1 no ip address no ip directed-broadcast interface Ethernet4/0 no ip address no ip directed-broadcast shutdown ! interface TokenRing4/0 no ip address no ip directed-broadcast shutdown ring-speed 16 ! !--- The pool from which inside hosts translate to !--- the globally unique 99.99.99.0/24 network. ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0 !--- Except the private network from the NAT process. ip nat inside source route-map nonat pool OUTSIDE ip classless ip route 0.0.0.0 0.0.0.0 99.99.99.1 no ip http server ! !--- Include the private-network-to-private-network traffic !--- in the encryption process. access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255 access-list 101 deny ip 10.3.3.0 0.0.0.255 any !--- Except the private network from the NAT process. access-list 110 deny ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255 access-list 110 permit ip 10.3.3.0 0.0.0.255 any route-map nonat permit 10 match ip address 110 ! line con 0 transport input none line aux 0 line vty 0 4 ! end |
Voltooi deze stappen om PIX Firewall versie 7.0 te configureren met ASDM.
Console in de PIX. Gebruik vanuit een ontruimde configuratie de interactieve aanwijzingen om Advanced Security Device Manager GUI (ASDM) voor het beheer van de PIX vanaf het werkstation 10.1.1.3 in te schakelen.
PIX-firewall ASDM-bootstrap |
---|
Pre-configure Firewall now through interactive prompts [yes]? yes Firewall Mode [Routed]: Enable password [<use current password>]: cisco Allow password recovery [yes]? Clock (UTC): Year [2005]: Month [Mar]: Day [15]: Time [05:40:35]: 14:45:00 Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: pix-firewall Domain name: cisco.com IP address of host running Device Manager: 10.1.1.3 The following configuration will be used: Enable password: cisco Allow password recovery: yes Clock (UTC): 14:45:00 Mar 15 2005 Firewall Mode: Routed Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: OZ-PIX Domain name: cisco.com IP address of host running Device Manager: 10.1.1.3 Use this configuration and write to flash? yes INFO: Security level for "inside" set to 100 by default. Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 965 bytes copied in 0.880 secs |
Open vanuit werkstation 10.1.1.3 een webbrowser en gebruik ADSM (in dit voorbeeld https://10.1.1.1).
Kies Ja op de certificaatvragen en log in met het inschakelen van het wachtwoord zoals ingesteld in de ASDM Bootstrap-configuratie van de PIX-firewall.
Als dit de eerste keer is dat ASDM op de PC wordt uitgevoerd, vraagt het u of u ASDM Launcher moet gebruiken of ASDM als Java App.
In dit voorbeeld wordt de ASDM Launcher geselecteerd en installeert deze aanwijzingen.
Ga verder naar het hoofdvenster van ASDM en selecteer het tabblad Configuration.
Markeer de Ethernet 0-interface en klik op Bewerken om de buiteninterface te configureren.
Klik op OK bij de prompt Bewerken.
Voer de interfacegegevens in en klik op OK wanneer u klaar bent.
Klik op OK bij de melding Een interface wijzigen.
Klik op Toepassen om de interfaceconfiguratie te accepteren. De configuratie wordt ook gedrukt op de PIX. Dit voorbeeld gebruikt statische routes.
Klik op Routing onder het tabblad Functies, markeer Statische route en klik op Add.
Configureer de standaardgateway en klik op OK.
Klik op Add en voeg de routes toe aan de Inside netwerken.
Bevestig dat de juiste routes zijn geconfigureerd en klik op Toepassen.
In dit voorbeeld wordt NAT gebruikt. Verwijder de controle op de doos voor Enable verkeer door de firewall zonder adresomzetting en klik Add om de NAT regel te vormen.
Configureer het bronnetwerk (gebruik in dit voorbeeld een willekeurige optie). Klik vervolgens op Pools beheren om het PAT te definiëren.
Selecteer de buiteninterface en klik op Toevoegen.
Dit voorbeeld gebruikt een PAT met het IP-adres van de interface.
Klik op OK wanneer het onderdeel is geconfigureerd.
Klik op Add om de statische vertaling te configureren.
Selecteer binnen in de vervolgkeuzelijst Interface, en voer vervolgens IP-adres 10.1.1.2, subnetmasker 255.255.255.255, kies Statisch en kies in het veldtype IP-adres buiten adres 99.99.12. Klik op OK wanneer u klaar bent.
Klik op Toepassen om de interfaceconfiguratie te accepteren. De configuratie wordt ook gedrukt op de PIX.
Selecteer Beveiligingsbeleid onder het tabblad Functies om de Security Policy-regel te configureren.
Klik op Add om esp-verkeer toe te staan en klik op OK om verder te gaan.
Klik op Add om ISAKMP-verkeer toe te staan en klik op OK om verder te gaan.
Klik op Add om UDP-poortverkeer 4500 voor NAT-T toe te staan en klik op OK om door te gaan.
Klik op Toepassen om de interfaceconfiguratie te accepteren. De configuratie wordt ook gedrukt op de PIX.
De configuratie is nu voltooid.
Kies Bestand > Uitvoeren configuratie in nieuw venster tonen om de CLI-configuratie te bekijken.
PIX-firewall |
---|
pixfirewall# show run : Saved : PIX Version 7.0(0)102 names ! interface Ethernet0 nameif outside security-level 0 ip address 99.99.99.1 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall domain-name cisco.com ftp mode passive access-list outside_access_in remark Access Rule to Allow ESP traffic access-list outside_access_in extended permit esp host 99.99.99.2 host 99.99.99.12 access-list outside_access_in remark Access Rule to allow ISAKMP to host 99.99.99.12 access-list outside_access_in extended permit udp host 99.99.99.2 eq isakmp host 99.99.99.12 access-list outside_access_in remark Access Rule to allow port 4500 (NAT-T) to host 99.99.99.12 access-list outside_access_in extended permit udp host 99.99.99.2 eq 4500 host 99.99.99.12 pager lines 24 mtu inside 1500 mtu outside 1500 no failover monitor-interface inside monitor-interface outside asdm image flash:/asdmfile.50073 no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (inside) 0 0.0.0.0 0.0.0.0 static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 access-group outside_access_in in interface outside route inside 10.2.2.0 255.255.255.0 10.1.1.2 1 route outside 0.0.0.0 0.0.0.0 99.99.99.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http 10.1.1.3 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map asa_global_fw_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy asa_global_fw_policy global Cryptochecksum:0a12956036ce4e7a97f351cde61fba7e : end |
Gebruik in plaats van een toegangslijst de opdracht ipsec-pass-thru in MPF (Modular Policy Framework) te inspecteren om het IPsec-verkeer door de PIX/ASA security applicaties te laten lopen.
Deze inspectie is ingesteld om pinholes te openen voor ESP-verkeer. Alle ESP gegevensstromen worden toegestaan wanneer een voorwaartse stroom bestaat, en er is geen grens op het maximumaantal verbindingen dat kan worden toegestaan. AH is niet toegestaan. De standaard inactiviteitstimer voor ESP-gegevensstromen is standaard ingesteld op 10 minuten. Deze inspectie kan worden toegepast op alle locaties waar andere inspecties kunnen worden toegepast, waaronder klasse- en matchcommando-modi. IPsec Pass Through-toepassingsinspectie biedt een handige doorvoer van ESP-verkeer (IP-protocol 50) gekoppeld aan een IKE UDP-poort 500. Het vermijdt langdurige configuratie van toegangslijsten om ESP-verkeer toe te laten en biedt ook beveiliging met time-out en max verbindingen. Gebruik class-map, policy-map en service-policy commando's om een verkeersklasse te definiëren, de opdracht inspecteren op de klasse toe te passen en het beleid op een of meer interfaces toe te passen. Indien ingeschakeld staat de opdracht IPSec-pass-thru onbeperkt ESP-verkeer toe met een time-out van 10 minuten, die niet configureerbaar is. NAT- en niet-NAT-verkeer is toegestaan.
hostname(config)#access-list test-udp-acl extended permit udp any any eq 500 hostname(config)#class-map test-udp-class hostname(config-cmap)#match access-list test-udp-acl hostname(config)#policy-map test-udp-policy hostname(config-pmap)#class test-udp-class hostname(config-pmap-c)#inspect ipsec-pass-thru hostname(config)#service-policy test-udp-policy interface outside
Deze sectie bevat informatie over de manier waarop u kunt controleren of de configuratie goed werkt.
Bepaalde opdrachten met show worden ondersteund door de tool Output Interpreter (alleen voor geregistreerde klanten). Hiermee kunt u een analyse van de output van opdrachten met show genereren.
toon crypto ipsec sa—Toont de fase 2 security associaties.
show crypto isakmp sa—Toont de fase 1 security associaties.
toon crypto motorverbindingen actief-toont de gecodeerde en gedecrypteerde pakketten.
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Opmerking: Raadpleeg Important Information on Debug Commands (Belangrijke informatie over opdrachten met debug) voordat u debug -opdrachten opgeeft.
debug crypto engine—Hier wordt het verkeer weergegeven dat is versleuteld.
debug crypto ipsec: toont de IPsec-onderhandelingen van fase 2.
debug crypto isakmp-displays de Internet Security Association en Key Management Protocol (ISAKMP) onderhandelingen van fase 1.
duidelijke crypto isakmp—ontruimt de veiligheidsverenigingen van Internet Key Exchange (IKE).
clear crypto ipsec sa-Clears IPsec security associaties.
Bepaalde opdrachten met show worden ondersteund door de tool Output Interpreter (alleen voor geregistreerde klanten). Hiermee kunt u een analyse van de output van opdrachten met show genereren.
Opmerking: Raadpleeg Important Information on Debug Commands (Belangrijke informatie over opdrachten met debug) voordat u debug -opdrachten opgeeft.
debugging van logboekbuffer—Toont verbindingen die worden ingesteld en geweigerd aan hosts die door de PIX gaan. De informatie wordt opgeslagen in de PIX-logbuffer en de uitvoer kan worden gezien met de opdracht show log.
ASDM kan worden gebruikt om vastlegging in te schakelen en ook om de logbestanden te bekijken zoals in deze stappen wordt getoond.
Kies Configuratie > Eigenschappen > Vastlegging > Vastlegging instellen > Vastlegging inschakelen en klik vervolgens op Toepassen.
Kies Bewaking > Vastlegging > Buffer logbestand > Vastlegniveau > Buffer vastlegging, en klik vervolgens op Weergeven.
Dit is een voorbeeld van de Logbuffer.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
27-Jan-2005 |
Eerste vrijgave |