PIX/ASA (versie 7.x en hoger) IPsec VPN-tunnel met configuratievoorbeeld voor netwerkadresomzetting

Downloadopties

PDF (722.5 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (698.1 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (1.5 MB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:26 september 2008

Document-id:63881

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Verwante producten

Configureren

Netwerkdiagram

Configuraties

Configuratie van PIX security applicatie en toegangslijst

Configuratie van PIX security applicatie en MPF (modulair beleidskader)

Verifiëren

Problemen oplossen

Opdrachten voor probleemoplossing voor router IPsec

Security associaties verwijderen

Opdrachten voor probleemoplossing voor PIX

Gerelateerde informatie

Inleiding

Deze voorbeeldconfiguratie toont een IPsec VPN-tunnel aan via een firewall die netwerkadresomzetting (NAT) uitvoert. Deze configuratie werkt niet met poortadresomzetting (PAT) als u Cisco IOS®-softwarereleases eerder dan en zonder 12.2(13)T gebruikt. Dit type configuratie kan worden gebruikt om IP-verkeer te tunnelen. Deze configuratie kan niet worden gebruikt om verkeer te versleutelen dat niet door een firewall gaat, zoals IPX of de routing van updates. Generic Routing Encapsulation (GRE)-tunneling is een geschiktere keuze. In dit voorbeeld zijn de Cisco 2621- en 3660-routers de IPsec-tunneleindpunten die zich aansluiten bij twee particuliere netwerken, met conduits of toegangscontrolelijsten (ACL’s) op de PIX ertussen om het IPsec-verkeer toe te staan.

Opmerking: NAT is een één-op-één adresomzetting, die niet mag worden verward met PAT, wat een veelzijdige (binnen de firewall) één-op-één vertaling is. Raadpleeg voor meer informatie over NAT-bediening en -configuratie NAT-werking en basisoplossing voor NAT-problemen verifiëren of hoe NAT werkt.

Opmerking: mogelijk werkt IPsec met PAT niet goed omdat het externe tunneleindpuntapparaat niet meerdere tunnels vanaf één IP-adres kan verwerken. Neem contact op met uw verkoper om te bepalen of de tunnelendpointapparaten werken met PAT. Bovendien kan in Cisco IOS-softwarerelease 12.2(13)T en hoger de NAT-transparantiefunctie worden gebruikt voor PAT. Raadpleeg voor meer informatie IPSec NAT-transparantie. Raadpleeg Ondersteuning voor IPSec ESP via NAT om meer informatie over deze functies in Cisco IOS-softwarerelease 12.2(13)T en hoger.

N.B.: Voordat u een case opent met Cisco Technical Support, raadpleegt u NAT Veelgestelde vragen, waarop veel antwoorden op veelvoorkomende vragen staan.

Raadpleeg Een IPSec-tunnel configureren via een firewall met NAT voor meer informatie over het configureren van IPsec-tunnels via een firewall met NAT op PIX versie 6.x en hoger.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco IOS-softwarerelease 12.0.7.T (tot maar niet met inbegrip van Cisco IOS-softwarerelease 12.2(13)T)

Raadpleeg voor recentere versies IPSec NAT-transparantie.
Cisco 2621 router
Cisco 3660 router
Cisco PIX 500 Series security applicatie die 7.x en hoger draait.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Verwante producten

Dit document kan ook worden gebruikt met de Cisco 5500 Series adaptieve security applicatie (ASA) met softwareversie 7.x en hoger.

Configureren

In deze sectie vindt u de informatie die u kunt gebruiken om de functies te configureren die in dit document worden beschreven.

N.B.: Gebruik de Command Lookup Tool (alleen geregistreerde klanten) om extra informatie te vinden over de opdrachten die in dit document worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Configuraties

Dit document gebruikt de volgende configuraties:

Cisco 2621 configuratie
Cisco 3660 configuratie
Configuratie van PIX security applicatie en toegangslijst
- Configuratie van Advanced Security Device Manager GUI (ASDM)
- Configuratie van Command Line Interface (CLI)
Configuratie van PIX security applicatie en MPF (modulair beleidskader)

Cisco 2621
Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname goss-2621 ! ip subnet-zero ! ip audit notify log ip audit po max-events 100 isdn voice-call-failure 0 cns event-service server ! !--- The IKE policy. crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 99.99.99.2 ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap local-address FastEthernet0/1 !--- IPsec policy. crypto map mymap 10 ipsec-isakmp set peer 99.99.99.2 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process. match address 101 ! controller T1 1/0 ! interface FastEthernet0/0 ip address 10.2.2.1 255.255.255.0 no ip directed-broadcast duplex auto speed auto ! interface FastEthernet0/1 ip address 10.1.1.2 255.255.255.0 no ip directed-broadcast duplex auto speed auto !--- Apply to the interface. crypto map mymap ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 no ip http server !--- Include the private-network-to-private-network traffic !--- in the encryption process. access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255 line con 0 transport input none line aux 0 line vty 0 4 ! no scheduler allocate end

Cisco 2621

Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-2621
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 isdn voice-call-failure 0
 cns event-service server
 !

!--- The IKE policy.

 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.2     
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/1
 

!--- IPsec policy.

 
 crypto map mymap 10 ipsec-isakmp   
  set peer 99.99.99.2
  set transform-set myset
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process.
 
 
  match address 101
 !
 controller T1 1/0
 !
 interface FastEthernet0/0
  ip address 10.2.2.1 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 !
 interface FastEthernet0/1
  ip address 10.1.1.2 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 

!--- Apply to the interface.

 
  crypto map mymap
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.1
 no ip http server
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process.

 
 access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 no scheduler allocate
 end

Cisco 3660
version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname goss-3660 ! ip subnet-zero ! cns event-service server ! !--- The IKE policy. crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 99.99.99.12 ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap local-address FastEthernet0/0 !--- The IPsec policy. crypto map mymap 10 ipsec-isakmp set peer 99.99.99.12 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process. match address 101 ! interface FastEthernet0/0 ip address 99.99.99.2 255.255.255.0 no ip directed-broadcast ip nat outside duplex auto speed auto !--- Apply to the interface. crypto map mymap ! interface FastEthernet0/1 ip address 10.3.3.1 255.255.255.0 no ip directed-broadcast ip nat inside duplex auto speed auto ! interface Ethernet3/0 no ip address no ip directed-broadcast shutdown ! interface Serial3/0 no ip address no ip directed-broadcast no ip mroute-cache shutdown ! interface Ethernet3/1 no ip address no ip directed-broadcast interface Ethernet4/0 no ip address no ip directed-broadcast shutdown ! interface TokenRing4/0 no ip address no ip directed-broadcast shutdown ring-speed 16 ! !--- The pool from which inside hosts translate to !--- the globally unique 99.99.99.0/24 network. ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0 !--- Except the private network from the NAT process. ip nat inside source route-map nonat pool OUTSIDE ip classless ip route 0.0.0.0 0.0.0.0 99.99.99.1 no ip http server ! !--- Include the private-network-to-private-network traffic !--- in the encryption process. access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255 access-list 101 deny ip 10.3.3.0 0.0.0.255 any !--- Except the private network from the NAT process. access-list 110 deny ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255 access-list 110 permit ip 10.3.3.0 0.0.0.255 any route-map nonat permit 10 match ip address 110 ! line con 0 transport input none line aux 0 line vty 0 4 ! end

Cisco 3660

version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-3660
 !
 ip subnet-zero
 !
 cns event-service server
 !
 

!--- The IKE policy.

 
 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.12    
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/0
 

!--- The IPsec policy.

 
 crypto map mymap 10 ipsec-isakmp   
  set peer 99.99.99.12
  set transform-set myset
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process. 
 
 
  match address 101
 !
 interface FastEthernet0/0
  ip address 99.99.99.2 255.255.255.0
  no ip directed-broadcast
  ip nat outside
  duplex auto
  speed auto
 

!--- Apply to the interface.

 
  crypto map mymap
 !
 interface FastEthernet0/1
  ip address 10.3.3.1 255.255.255.0
  no ip directed-broadcast
  ip nat inside
  duplex auto
  speed auto
 !
 interface Ethernet3/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface Serial3/0
  no ip address
  no ip directed-broadcast
  no ip mroute-cache
  shutdown
 !
 interface Ethernet3/1
  no ip address
  no ip directed-broadcast
 interface Ethernet4/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface TokenRing4/0
  no ip address
  no ip directed-broadcast
  shutdown
  ring-speed 16
 !
 
 
!--- The pool from which inside hosts translate to !--- the globally unique 99.99.99.0/24 network.

 
 ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0
 

!--- Except the private network from the NAT process.

 
 ip nat inside source route-map nonat pool OUTSIDE
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.1
 no ip http server
 !
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process. 

 
 access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 101 deny   ip 10.3.3.0 0.0.0.255 any
 

!--- Except the private network from the NAT process.

 
 access-list 110 deny   ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 110 permit ip 10.3.3.0 0.0.0.255 any
 route-map nonat permit 10
  match ip address 110
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 end

Configuratie van PIX security applicatie en toegangslijst

ASDM 5.0-configuratie

Voltooi deze stappen om PIX Firewall versie 7.0 te configureren met ASDM.

Console in de PIX. Gebruik vanuit een ontruimde configuratie de interactieve aanwijzingen om Advanced Security Device Manager GUI (ASDM) voor het beheer van de PIX vanaf het werkstation 10.1.1.3 in te schakelen.

PIX-firewall ASDM-bootstrap
Pre-configure Firewall now through interactive prompts [yes]? yes Firewall Mode [Routed]: Enable password [<use current password>]: cisco Allow password recovery [yes]? Clock (UTC): Year [2005]: Month [Mar]: Day [15]: Time [05:40:35]: 14:45:00 Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: pix-firewall Domain name: cisco.com IP address of host running Device Manager: 10.1.1.3 The following configuration will be used: Enable password: cisco Allow password recovery: yes Clock (UTC): 14:45:00 Mar 15 2005 Firewall Mode: Routed Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: OZ-PIX Domain name: cisco.com IP address of host running Device Manager: 10.1.1.3 Use this configuration and write to flash? yes INFO: Security level for "inside" set to 100 by default. Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 965 bytes copied in 0.880 secs

PIX-firewall ASDM-bootstrap

Pre-configure Firewall now through interactive prompts [yes]? yes
Firewall Mode [Routed]: 
Enable password [<use current password>]: cisco
Allow password recovery [yes]? 
Clock (UTC):
  Year [2005]: 
  Month [Mar]: 
  Day [15]: 
  Time [05:40:35]: 14:45:00
Inside IP address: 10.1.1.1
Inside network mask: 255.255.255.0
Host name: pix-firewall
Domain name: cisco.com
IP address of host running Device Manager: 10.1.1.3
The following configuration will be used:
         Enable password: cisco
         Allow password recovery: yes
         Clock (UTC): 14:45:00 Mar 15 2005
         Firewall Mode: Routed
         Inside IP address: 10.1.1.1
         Inside network mask: 255.255.255.0
         Host name: OZ-PIX
         Domain name: cisco.com
         IP address of host running Device Manager: 10.1.1.3
Use this configuration and write to flash? yes
         INFO: Security level for "inside" set to 100 by default.
         Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 
965 bytes copied in 0.880 secs

Open vanuit werkstation 10.1.1.3 een webbrowser en gebruik ADSM (in dit voorbeeld https://10.1.1.1).
Kies Ja op de certificaatvragen en log in met het inschakelen van het wachtwoord zoals ingesteld in de ASDM Bootstrap-configuratie van de PIX-firewall.
Als dit de eerste keer is dat ASDM op de PC wordt uitgevoerd, vraagt het u of u ASDM Launcher moet gebruiken of ASDM als Java App.

In dit voorbeeld wordt de ASDM Launcher geselecteerd en installeert deze aanwijzingen.
Ga verder naar het hoofdvenster van ASDM en selecteer het tabblad Configuration.
Markeer de Ethernet 0-interface en klik op Bewerken om de buiteninterface te configureren.
Klik op OK bij de prompt Bewerken.
Voer de interfacegegevens in en klik op OK wanneer u klaar bent.
Klik op OK bij de melding Een interface wijzigen.
Klik op Toepassen om de interfaceconfiguratie te accepteren. De configuratie wordt ook gedrukt op de PIX. Dit voorbeeld gebruikt statische routes.
Klik op Routing onder het tabblad Functies, markeer Statische route en klik op Add.
Configureer de standaardgateway en klik op OK.
Klik op Add en voeg de routes toe aan de Inside netwerken.
Bevestig dat de juiste routes zijn geconfigureerd en klik op Toepassen.
In dit voorbeeld wordt NAT gebruikt. Verwijder de controle op de doos voor Enable verkeer door de firewall zonder adresomzetting en klik Add om de NAT regel te vormen.
Configureer het bronnetwerk (gebruik in dit voorbeeld een willekeurige optie). Klik vervolgens op Pools beheren om het PAT te definiëren.
Selecteer de buiteninterface en klik op Toevoegen.

Dit voorbeeld gebruikt een PAT met het IP-adres van de interface.
Klik op OK wanneer het onderdeel is geconfigureerd.
Klik op Add om de statische vertaling te configureren.
Selecteer binnen in de vervolgkeuzelijst Interface, en voer vervolgens IP-adres 10.1.1.2, subnetmasker 255.255.255.255, kies Statisch en kies in het veldtype IP-adres buiten adres 99.99.12. Klik op OK wanneer u klaar bent.
Klik op Toepassen om de interfaceconfiguratie te accepteren. De configuratie wordt ook gedrukt op de PIX.
Selecteer Beveiligingsbeleid onder het tabblad Functies om de Security Policy-regel te configureren.
Klik op Add om esp-verkeer toe te staan en klik op OK om verder te gaan.
Klik op Add om ISAKMP-verkeer toe te staan en klik op OK om verder te gaan.
Klik op Add om UDP-poortverkeer 4500 voor NAT-T toe te staan en klik op OK om door te gaan.
Klik op Toepassen om de interfaceconfiguratie te accepteren. De configuratie wordt ook gedrukt op de PIX.
De configuratie is nu voltooid.

Kies Bestand > Uitvoeren configuratie in nieuw venster tonen om de CLI-configuratie te bekijken.

Configuratie PIX-firewall

PIX-firewall
pixfirewall# show run : Saved : PIX Version 7.0(0)102 names ! interface Ethernet0 nameif outside security-level 0 ip address 99.99.99.1 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall domain-name cisco.com ftp mode passive access-list outside_access_in remark Access Rule to Allow ESP traffic access-list outside_access_in extended permit esp host 99.99.99.2 host 99.99.99.12 access-list outside_access_in remark Access Rule to allow ISAKMP to host 99.99.99.12 access-list outside_access_in extended permit udp host 99.99.99.2 eq isakmp host 99.99.99.12 access-list outside_access_in remark Access Rule to allow port 4500 (NAT-T) to host 99.99.99.12 access-list outside_access_in extended permit udp host 99.99.99.2 eq 4500 host 99.99.99.12 pager lines 24 mtu inside 1500 mtu outside 1500 no failover monitor-interface inside monitor-interface outside asdm image flash:/asdmfile.50073 no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (inside) 0 0.0.0.0 0.0.0.0 static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 access-group outside_access_in in interface outside route inside 10.2.2.0 255.255.255.0 10.1.1.2 1 route outside 0.0.0.0 0.0.0.0 99.99.99.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http 10.1.1.3 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map asa_global_fw_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy asa_global_fw_policy global Cryptochecksum:0a12956036ce4e7a97f351cde61fba7e : end

PIX-firewall

pixfirewall# show run
: Saved
:
PIX Version 7.0(0)102 
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 99.99.99.1 255.255.255.0 
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name cisco.com
ftp mode passive

access-list outside_access_in remark Access Rule to Allow ESP traffic
access-list outside_access_in 
            extended permit esp host 99.99.99.2 host 99.99.99.12 

access-list outside_access_in 
            remark Access Rule to allow ISAKMP to host 99.99.99.12
access-list outside_access_in 
            extended permit udp host 99.99.99.2 eq isakmp host 99.99.99.12 


access-list outside_access_in 
            remark Access Rule to allow port 4500 (NAT-T) to host 99.99.99.12
access-list outside_access_in 
                    extended permit udp host 99.99.99.2 eq 4500 host 99.99.99.12
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 0.0.0.0 0.0.0.0
static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 
access-group outside_access_in in interface outside
route inside 10.2.2.0 255.255.255.0 10.1.1.2 1
route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.1.3 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy asa_global_fw_policy global
Cryptochecksum:0a12956036ce4e7a97f351cde61fba7e
: end

Configuratie van PIX security applicatie en MPF (modulair beleidskader)

Gebruik in plaats van een toegangslijst de opdracht ipsec-pass-thru in MPF (Modular Policy Framework) te inspecteren om het IPsec-verkeer door de PIX/ASA security applicaties te laten lopen.

Deze inspectie is ingesteld om pinholes te openen voor ESP-verkeer. Alle ESP gegevensstromen worden toegestaan wanneer een voorwaartse stroom bestaat, en er is geen grens op het maximumaantal verbindingen dat kan worden toegestaan. AH is niet toegestaan. De standaard inactiviteitstimer voor ESP-gegevensstromen is standaard ingesteld op 10 minuten. Deze inspectie kan worden toegepast op alle locaties waar andere inspecties kunnen worden toegepast, waaronder klasse- en matchcommando-modi. IPsec Pass Through-toepassingsinspectie biedt een handige doorvoer van ESP-verkeer (IP-protocol 50) gekoppeld aan een IKE UDP-poort 500. Het vermijdt langdurige configuratie van toegangslijsten om ESP-verkeer toe te laten en biedt ook beveiliging met time-out en max verbindingen. Gebruik class-map, policy-map en service-policy commando's om een verkeersklasse te definiëren, de opdracht inspecteren op de klasse toe te passen en het beleid op een of meer interfaces toe te passen. Indien ingeschakeld staat de opdracht IPSec-pass-thru onbeperkt ESP-verkeer toe met een time-out van 10 minuten, die niet configureerbaar is. NAT- en niet-NAT-verkeer is toegestaan.

hostname(config)#access-list test-udp-acl extended permit udp any any eq 500
hostname(config)#class-map test-udp-class
hostname(config-cmap)#match access-list test-udp-acl
hostname(config)#policy-map test-udp-policy
hostname(config-pmap)#class test-udp-class
hostname(config-pmap-c)#inspect ipsec-pass-thru
hostname(config)#service-policy test-udp-policy interface outside

Verifiëren

Deze sectie bevat informatie over de manier waarop u kunt controleren of de configuratie goed werkt.

Bepaalde opdrachten met show worden ondersteund door de tool Output Interpreter (alleen voor geregistreerde klanten). Hiermee kunt u een analyse van de output van opdrachten met show genereren.

toon crypto ipsec sa—Toont de fase 2 security associaties.
show crypto isakmp sa—Toont de fase 1 security associaties.
toon crypto motorverbindingen actief-toont de gecodeerde en gedecrypteerde pakketten.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Opdrachten voor probleemoplossing voor router IPsec

Opmerking: Raadpleeg Important Information on Debug Commands (Belangrijke informatie over opdrachten met debug) voordat u debug -opdrachten opgeeft.

debug crypto engine—Hier wordt het verkeer weergegeven dat is versleuteld.
debug crypto ipsec: toont de IPsec-onderhandelingen van fase 2.
debug crypto isakmp-displays de Internet Security Association en Key Management Protocol (ISAKMP) onderhandelingen van fase 1.

Security associaties verwijderen

duidelijke crypto isakmp—ontruimt de veiligheidsverenigingen van Internet Key Exchange (IKE).
clear crypto ipsec sa-Clears IPsec security associaties.

Opdrachten voor probleemoplossing voor PIX

Opmerking: Raadpleeg Important Information on Debug Commands (Belangrijke informatie over opdrachten met debug) voordat u debug -opdrachten opgeeft.

debugging van logboekbuffer—Toont verbindingen die worden ingesteld en geweigerd aan hosts die door de PIX gaan. De informatie wordt opgeslagen in de PIX-logbuffer en de uitvoer kan worden gezien met de opdracht show log.
ASDM kan worden gebruikt om vastlegging in te schakelen en ook om de logbestanden te bekijken zoals in deze stappen wordt getoond.

Kies Configuratie > Eigenschappen > Vastlegging > Vastlegging instellen > Vastlegging inschakelen en klik vervolgens op Toepassen.
Kies Bewaking > Vastlegging > Buffer logbestand > Vastlegniveau > Buffer vastlegging, en klik vervolgens op Weergeven.

Dit is een voorbeeld van de Logbuffer.