Dit document biedt een voorbeeldconfiguratie voor het toevoegen van een nieuw netwerk aan een bestaande VPN-tunnel.
Zorg ervoor dat u een PIX/ASA security applicatie hebt die 7.x code draait voordat u deze configuratie probeert.
De informatie in dit document is gebaseerd op twee Cisco 5500 security applicatieapparaten.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Deze configuratie kan ook worden gebruikt bij de PIX 500 security applicatie.
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
Er is momenteel een LAN-to-LAN (L2L) VPN-tunnel die tussen het NY- en het TN-kantoor ligt. Het NY-kantoor heeft zojuist een nieuw netwerk toegevoegd dat door de CSI-ontwikkelingsgroep kan worden gebruikt. Deze groep vereist toegang tot middelen die in het TN kantoor wonen. De taak is om het nieuwe netwerk aan de reeds bestaande VPN-tunnel toe te voegen.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
Dit document gebruikt deze configuratie:
NY-firewallconfiguratie (HQ) |
---|
ASA-NY-HQ#show running-config : Saved : ASA Version 7.2(2) ! hostname ASA-NY-HQ domain-name corp2.com enable password WwXYvtKrnjXqGbu1 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 192.168.11.2 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 nameif Cisco security-level 70 ip address 172.16.40.2 255.255.255.0 ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name corp2.com access-list inside_nat0_outbound extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0 !--- You must be sure that you configure the !--- opposite of these access control lists !--- on the other end of the VPN tunnel. access-list inside_nat0_outbound extended permit ip 172.16.40.0 255.255.255.0 10.10.10.0 255.255.255.0 access-list outside_20_cryptomap extended permit ip 172.16.1.0 255.255.255.0 10.10.10.0 255.255.255.0 !--- You must be sure that you configure the !--- opposite of these access control lists !--- on the other end of the VPN tunnel. access-list outside_20_cryptomap extended permit ip 172.16.40.0 255.255.255.0 10.10.10.0 255.255.255.0 !--- Output is suppressed. nat-control global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 172.16.1.0 255.255.255.0 !--- The new network is also required to have access to the Internet. !--- So enter an entry into the NAT statement for this new network. nat (inside) 1 172.16.40.0 255.255.255.0 route outside 0.0.0.0 0.0.0.0 192.168.11.100 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map outside_map 20 match address outside_20_cryptomap crypto map outside_map 20 set peer 192.168.10.10 crypto map outside_map 20 set transform-set ESP-3DES-SHA crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp nat-traversal 20 tunnel-group 192.168.10.10 type ipsec-l2l tunnel-group 192.168.10.10 ipsec-attributes pre-shared-key * !--- Output is suppressed. : end ASA-NY-HQ# |
Gebruik deze stappen om het netwerk te verwijderen van de configuratie van de IPSec Tunnel.Stel hier in dat het netwerk 172.16.40.0/24 is verwijderd van de configuratie van de NY (HQ) security applicatie.
Scheur voordat u het netwerk uit de tunnel verwijdert, de IPSec-verbinding af, die ook de veiligheidsverenigingen in verband met fase 2 goedkeurt.
ASA-NY-HQ# clear crypto ipsec sa
hecht zijn goedkeuring aan de veiligheidsverenigingen in verband met fase 1, en wel als volgt
ASA-NY-HQ# clear crypto isakmp sa
Verwijder het interessante verkeer ACL voor de IPSec-tunnel.
ASA-NY-HQ(config)# no access-list outside_20_cryptomap extended permit ip 172.16.40.0 255.255.255.0 10.10.10.0 255.255.255.0
Verwijder ACL (interne_nat0_outbound), aangezien het verkeer van de ingang wordt uitgesloten.
ASA-NY-HQ(config)# no access-list inside_nat0_outbound extended permit ip 172.16.40.0 255.255.255.0 10.10.10.0 255.255.255.0
Verwijder de NAT-vertaling zoals aangegeven op de afbeelding.
ASA-NY-HQ# clear xlate
Wanneer u ooit de tunnelconfiguratie aanpast, verwijder en pas deze crypto opdrachten opnieuw toe om de nieuwste configuratie in de externe interface te nemen
ASA-NY-HQ(config)# crypto map outside_map interface outside ASA-NY-HQ(config)# crypto isakmp enable outside
Sla de actieve configuratie op in het "schrijfgeheugen" van de flitser.
Volg dezelfde procedure voor het andere end-to-security apparaat om de configuraties te verwijderen.
Start de IPSec-tunnel en controleer de aansluiting.
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
ingewanden op 172.16.40.20
toon crypto isakmp sa
show crypto ipsec sa
Raadpleeg deze documenten voor meer informatie over probleemoplossing:
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
09-Apr-2007 |
Eerste vrijgave |