Dit document toont aan hoe u een IPsec-tunnel kunt configureren van PIX Security applicatie 7.x en hoger of van de adaptieve security applicatie (ASA) met één intern netwerk naar een 2611 router die een crypto-afbeelding uitvoert. Statische routes worden gebruikt voor eenvoud.
Raadpleeg IPSec configureren - router aan PIX voor meer informatie over een LAN-naar-LAN-tunnelconfiguratie tussen een router en de PIX.
Raadpleeg LAN-to-LAN IPSec-tunnel tussen de Cisco VPN 3000 Concentrator en het configuratievoorbeeld van PIX-firewall voor meer informatie over een LAN-to-LAN-tunnelconfiguratie tussen de PIX-firewall en Cisco VPN 3000 Concentrator.
Raadpleeg IPsec-tunnel tussen PIX 7.x en VPN 3000 Concentrator Configuration Voorbeeld voor meer informatie over het scenario waarin de LAN-naar-LAN-tunnel tussen de PIX en VPN Concentrator ligt.
Zie PIX/ASA 7.x Enhanced Spoke-to-Client VPN met TACACS+ verificatie Configuration Voorbeeld om meer te weten te komen over het scenario waarin de LAN-to-LAN-tunnel tussen de PIX-systemen een VPN-client ook toegang biedt tot de spaak-PIX via de hub PIX.
Raadpleeg SDM: Configuratie-voorbeeld van site-to-site IPsec VPN tussen ASA/PIX en een IOS-router om meer te weten te komen over hetzelfde scenario waarin de PIX/ASA security applicatie softwareversie 8.x uitvoert.
Raadpleeg Configuration Professional: Site-to-Site IPsec VPN tussen ASA/PIX en een IOS-routerconfiguratievoorbeeld voor meer informatie over hetzelfde scenario waarin de ASA-gerelateerde configuratie wordt weergegeven met ASDM GUI en de routergerelateerde configuratie wordt weergegeven met Cisco CP GUI.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
PIX-525 met PIX-softwareversie 7.0
Cisco 2611 router met Cisco IOS®-softwarerelease 12.2(15)T1
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Op de PIX werken de toegangslijst en NAT 0-opdrachten samen. Wanneer een gebruiker op het 10.1.1.0-netwerk naar het 10.2.2.0-netwerk gaat, wordt de toegangslijst gebruikt om toe te staan dat het 10.1.1.0-netwerkverkeer wordt versleuteld zonder Network Address Translation (NAT). Op de router worden de opdrachten route-map en toegangslijst gebruikt om toe te staan dat het 10.2.2.0-netwerkverkeer wordt versleuteld zonder NAT. Wanneer dezelfde gebruikers echter ergens anders naartoe gaan, worden ze vertaald naar het 172.17.63.230-adres via poortadresomzetting (PAT).
Dit zijn de configuratieopdrachten die op de PIX security applicatie vereist zijn, zodat verkeer niet door het PAT over de tunnel kan lopen en verkeer naar het internet door het PAT kan lopen
access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 nat (inside) 0 access-list nonat nat (inside) 1 10.1.1.0 255.255.255.0 0 0
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
Deze configuratievoorbeelden zijn voor de interface van de bevellijn. Raadpleeg het gedeelte Configuration using Adaptive Security Device Manager (ASDM) van dit document als u wilt configureren met ASDM.
Hoofdkantoor PIX |
---|
HQPIX(config)#show run PIX Version 7.0(0)102 names ! interface Ethernet0 description WAN interface nameif outside security-level 0 ip address 172.17.63.229 255.255.255.240 ! interface Ethernet1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname HQPIX domain-name cisco.com ftp mode passive clock timezone AEST 10 access-list Ipsec-conn extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 access-list nonat extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 pager lines 24 logging enable logging buffered debugging mtu inside 1500 mtu outside 1500 no failover monitor-interface inside monitor-interface outside asdm image flash:/asdmfile.50073 no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (inside) 0 access-list nonat nat (inside) 1 10.1.1.0 255.255.255.0 access-group 100 in interface inside route outside 0.0.0.0 0.0.0.0 172.17.63.230 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server partner protocol tacacs+ username cisco password 3USUcOPFUiMCO4Jk encrypted http server enable http 10.1.1.2 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server community public snmp-server enable traps snmp crypto ipsec transform-set avalanche esp-des esp-md5-hmac crypto ipsec security-association lifetime seconds 3600 crypto ipsec df-bit clear-df outside crypto map forsberg 21 match address Ipsec-conn crypto map forsberg 21 set peer 172.17.63.230 crypto map forsberg 21 set transform-set avalanche crypto map forsberg interface outside isakmp identity address isakmp enable outside isakmp policy 1 authentication pre-share isakmp policy 1 encryption 3des isakmp policy 1 hash sha isakmp policy 1 group 2 isakmp policy 1 lifetime 86400 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 tunnel-group 172.17.63.230 type ipsec-l2l tunnel-group 172.17.63.230 ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map asa_global_fw_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect http ! service-policy asa_global_fw_policy global Cryptochecksum:3a5851f7310d14e82bdf17e64d638738 : end SV-2-8# |
Vestigingsrouter |
---|
BranchRouter#show run Building configuration... Current configuration : 1719 bytes ! ! Last configuration change at 13:03:25 AEST Tue Apr 5 2005 ! NVRAM config last updated at 13:03:44 AEST Tue Apr 5 2005 ! version 12.2 service timestamps debug datetime msec service timestamps log uptime no service password-encryption ! hostname BranchRouter ! logging queue-limit 100 logging buffered 4096 debugging ! username cisco privilege 15 password 0 cisco memory-size iomem 15 clock timezone AEST 10 ip subnet-zero ! ! ! ip audit notify log ip audit po max-events 100 ! ! ! crypto isakmp policy 11 encr 3des authentication pre-share group 2 crypto isakmp key cisco123 address 172.17.63.229 ! ! crypto ipsec transform-set sharks esp-des esp-md5-hmac ! crypto map nolan 11 ipsec-isakmp set peer 172.17.63.229 set transform-set sharks match address 120 ! ! ! ! ! ! ! ! ! ! no voice hpi capture buffer no voice hpi capture destination ! ! mta receive maximum-recipients 0 ! ! ! ! interface Ethernet0/0 ip address 172.17.63.230 255.255.255.240 ip nat outside no ip route-cache no ip mroute-cache half-duplex crypto map nolan ! interface Ethernet0/1 ip address 10.2.2.1 255.255.255.0 ip nat inside half-duplex ! ip nat pool branch 172.17.63.230 172.17.63.230 netmask 255.255.255.0 ip nat inside source route-map nonat pool branch overload no ip http server no ip http secure-server ip classless ip route 10.1.1.0 255.255.255.0 172.17.63.229 ! ! ! access-list 120 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 130 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 130 permit ip 10.2.2.0 0.0.0.255 any ! route-map nonat permit 10 match ip address 130 ! call rsvp-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! ! end |
Dit voorbeeld laat zien hoe u de PIX kunt configureren met de ASDM GUI. Een PC met een browser en IP-adres 10.1.1.2 is verbonden met de binnenkant van de interface e1 van de PIX. Zorg ervoor dat http op de PIX is ingeschakeld.
Deze procedure illustreert de ASDM-configuratie van het hoofdkwartier PIX.
Sluit de PC aan op de PIX en kies een downloadmethode.
ASDM laadt de bestaande configuratie vanaf de PIX.
Dit venster bevat bewakingsinstrumenten en -menu's.
Selecteer Configuratie > Eigenschappen > Interfaces en selecteer Add voor nieuwe interfaces of Bewerken voor een bestaande configuratie.
Selecteer de beveiligingsopties voor de binnenkant van de interface.
In de NAT-configuratie is versleuteld verkeer NAT-vrij en is al het andere verkeer NAT/PAT voor de buiteninterface.
Selecteer VPN > Algemeen > Tunnelgroep en schakel een tunnelgroep in
Selecteer VPN > IKE > Global Parameters en schakel IKE in op de buiteninterface.
Selecteer VPN > IKE > Beleid en kies het IKE-beleid.
Selecteer VPN > IPsec > IPsec-regels en kies IPsec voor de lokale tunnel en externe adressering.
Selecteer VPN > IPsec > Tunnelbeleid en kies het tunnelbeleid.
Selecteer VPN > IPsec > Transformatiesets en kies een Transformatieset.
Selecteer Routing > Routing > Statische Route en kies een statische route naar gatewayrouter. In dit voorbeeld wijst de statische route naar de externe VPN-peer voor eenvoud.
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
toon crypto ipsec sa—Toont de fase 2 security associaties.
show crypto isakmp sa—Toont de fase 1 security associaties.
U kunt ASDM gebruiken om vastlegging in te schakelen en de logbestanden te bekijken.
Selecteer Configuration > Properties > Logging > Logging Setup, kies Logging inschakelen en klik op Toepassen om de logboekregistratie in te schakelen.
Selecteer Bewaking > Vastlegging > Buffer van het Logboek > Op het Niveau van het Vastleggen, kies Buffer van het Vastleggen, en klik Mening om de logboeken te bekijken.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
Opmerking: raadpleeg Belangrijke informatie over debug-opdrachten voordat u debug-opdrachten gebruikt.
debug crypto ipsec—Toont de IPsec onderhandelingen van fase 2.
debug crypto isakmp—Toont de ISAKMP-onderhandelingen van fase 1.
debug crypto engine—Toont het verkeer dat is versleuteld.
clear crypto isakmp—Kunt u de beveiligingsassociaties met betrekking tot fase 1 verwijderen.
clear crypto sa-Clears de beveiligingsassociaties met betrekking tot fase 2.
debug icmp spoor-toont of ICMP-verzoeken van de hosts de PIX bereiken. U moet de opdracht toegangslijst toevoegen om ICMP in uw configuratie toe te staan om deze debug uit te voeren.
debugging van logboekbuffer—Toont verbindingen die worden ingesteld en geweigerd aan hosts die door de PIX gaan. De informatie wordt opgeslagen in de PIX-logbuffer en u kunt de uitvoer zien met de opdracht show log.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
07-Feb-2014 |
Eerste vrijgave |