IPsec-tunnels tussen PIX 7.x en VPN 3000 Concentrator-configuratievoorbeeld

Downloadopties

PDF (427.7 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (368.3 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (709.4 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:16 oktober 2008

Document-id:69115

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Configureren

Netwerkdiagram

PIX configureren

De VPN 3000-concentratie configureren

Verifiëren

Controleer de PIX

Controleer de VPN-concentratie 3000

Problemen oplossen

Probleemoplossing voor PIX

Probleemoplossing voor VPN 3000 Concentrator

PFS

Gerelateerde informatie

Inleiding

Dit document biedt een voorbeeldconfiguratie voor het maken van een LAN-to-LAN IPsec VPN-tunnel tussen een PIX-firewall 7.x en een Cisco VPN 3000 Concentrator.

Raadpleeg PIX/ASA 7.x Enhanced Spoke-to-Client VPN met het Configuratievoorbeeld van TACACS+ verificatie om meer te weten te komen over het scenario waarin de LAN-to-LAN tunnel tussen de PIX-apparaten ook een VPN-client toestaat om de opgenomen PIX te benaderen via de hub PIX.

Raadpleeg PIX/ASA 7.x security applicatie voor een IOS Router LAN-to-LAN IPsec Tunnel Configuration Voorbeeld om meer te weten te komen over het scenario waarin de LAN-to-LAN tunnel tussen de PIX/ASA en een IOS-router.

Voorwaarden

Vereisten

Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:

Dit document vereist een basisbegrip van IPsec-protocol. Raadpleeg een Inleiding naar IPsec-encryptie voor meer informatie over IPsec.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco PIX 500 Series security applicatie met softwareversie 7.1(1)
Cisco VPN 3060 Concentrator met softwareversie 4.7.2(B)

Opmerking: PIX 506/506E ondersteunt 7.x niet.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Raadpleeg voor de configuratie van PIX 6.x LAN-to-LAN IPSec-tunnelbanden tussen de Cisco VPN 3000 Concentrator en het configuratievoorbeeld van de PIX-firewall.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

PIX configureren
De VPN 3000-concentratie configureren

Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

PIX configureren

PIX
PIX7#show running-config : Saved : PIX Version 7.1(1) ! hostname PIX7 enable password 8Ry2YjIyt7RRXU24 encrypted names ! !--- Configures the outside interface of the PIX. !--- By default, the security level for the outside interface is 0. interface Ethernet0 nameif outside security-level 0 ip address 10.1.1.1 255.255.255.0 ! !--- Configures the inside interface of the PIX. !--- By default, the security level for the inside interface is 100. interface Ethernet1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! !--- Defines the IP addresses that should not be NATed. access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0 access-list outside extended permit icmp any any !--- Defines the IP addresses that can communicate via the IPsec tunnel. access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0 access-list OUT extended permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500 no failover asdm image flash:/asdm-504.bin no asdm history enable arp timeout 14400 nat (inside) 0 access-list nonat access-group OUT in interface outside route outside 0.0.0.0 0.0.0.0 10.1.1.2 1 !--- Output is suppressed. !--- These are the IPsec parameters that are negotiated with the client. crypto ipsec transform-set my-set esp-aes-256 esp-sha-hmac crypto map mymap 20 match address 101 crypto map mymap 20 set peer 172.30.1.1 crypto map mymap 20 set transform-set my-set crypto map mymap interface outside !--- These are the Phase I parameters negotiated by the two peers. isakmp enable outside isakmp policy 10 authentication pre-share isakmp policy 10 encryption aes-256 isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 !--- A tunnel group consists of a set of records !--- that contain tunnel connection policies. The two attributes !--- are General and IPsec. Use the remote peer IP address as the !--- name of the Tunnel group. In this example 172.30.1.1 is the peer IP address. !--- Refer to Tunnel Group for more information. tunnel-group 172.30.1.1 type ipsec-l2l tunnel-group 172.30.1.1 ipsec-attributes pre-shared-key * !--- Output is suppressed. ! : end PIX7#

PIX

PIX7#show running-config
: Saved
:
PIX Version 7.1(1)
!
hostname PIX7
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- Configures the outside interface of the PIX.

!--- By default, the security level for the outside interface is 0.

interface Ethernet0
nameif outside
security-level 0
ip address 10.1.1.1 255.255.255.0
!

!--- Configures the inside interface of the PIX.

!--- By default, the security level for the inside interface is 100.

interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!

!--- Defines the IP addresses that should not be NATed.

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list outside extended permit icmp any any

!--- Defines the IP addresses that can communicate via the IPsec tunnel.

access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
access-list OUT extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
asdm image flash:/asdm-504.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list nonat
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.2 1

!--- Output is suppressed.

!--- These are the IPsec parameters that are negotiated with the client.

crypto ipsec transform-set my-set esp-aes-256 esp-sha-hmac
crypto map mymap 20 match address 101
crypto map mymap 20 set peer 172.30.1.1
crypto map mymap 20 set transform-set my-set
crypto map mymap interface outside

!--- These are the Phase I parameters negotiated by the two peers.

isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

!--- A tunnel group consists of a set of records !--- that contain tunnel connection policies. The two attributes !--- are General and IPsec. Use the remote peer IP address as the !--- name of the Tunnel group. In this example 172.30.1.1 is the peer IP address. !--- Refer to Tunnel Group for more information.

tunnel-group 172.30.1.1 type ipsec-l2l
tunnel-group 172.30.1.1 ipsec-attributes
pre-shared-key *

!--- Output is suppressed.

!
: end
PIX7#

De VPN 3000-concentratie configureren

VPN Concentrators zijn niet voorgeprogrammeerd met IP-adressen in hun fabrieksinstellingen. U moet de console poort gebruiken om de eerste configuraties te configureren die een op menu gebaseerde opdrachtregel interface (CLI) zijn. Raadpleeg VPN-centrators configureren via de console voor informatie over de configuratie via de console.

Nadat u het IP-adres op de Ethernet 1 (privé) interface configureren kunt u de rest configureren met ofwel de CLI ofwel via de browser interface. De browser interface ondersteunt zowel HTTP als HTTP via Secure Socket Layer (SSL).

Deze parameters worden ingesteld in de console:

Tijd/datum - De juiste tijd en datum zijn erg belangrijk. Zij helpen ervoor te zorgen dat de registratie en de boekingen nauwkeurig zijn, en dat het systeem een geldig veiligheidscertificaat kan creëren.
Ethernet 1 (privé) interface-het IP adres en masker (van de netwerktopologie 172.16.5.100/16).

De VPN Concentrator is nu toegankelijk via een HTML browser van het binnennetwerk. Raadpleeg de Opdracht-Lijn Interface voor Quick Configuration voor informatie over de manier waarop u de VPN Concentrator in CLI-modus kunt configureren.

Typ het IP-adres van de privé-interface van de webbrowser om de GUI-interface mogelijk te maken.

Klik op het pictogram Save need om wijzigingen in het geheugen op te slaan. De standaard fabrieksnaam en het wachtwoord zijn admin, wat hoofdlettergevoelig is.

Start de GUI en selecteer Configuration > Interfaces om het IP-adres voor de openbare interface en de standaardgateway te configureren.
Selecteer Configuratie > Beleidsbeheer > Verkeersbeheer > Netwerklijsten > Toevoegen of wijzigen om de netwerklijsten te maken die het te versleutelen verkeer definiëren.

Voeg hier zowel de lokale als de externe netwerken toe. De IP-adressen moeten die in de toegangslijst spiegelen die in de afstandsbediening zijn geconfigureerd.

In dit voorbeeld zijn de twee netwerklijsten Remote_network en VPN Client Local LAN.
Selecteer Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN > Add om de IPsec LAN-to-LAN tunnel te configureren. Klik op Toepassen wanneer u klaar bent.

Voer het IP-adres van de peer in, de netwerklijsten die in stap 2 zijn gemaakt, de parameters IPsec en ISAKMP en de vooraf gedeelde toets.

In dit voorbeeld is het peer IP-adres 10.1.1, de netwerklijsten zijn Remote_network en VPN Client Local LAN en cisco is de pre-gedeelde sleutel.
Selecteer Configuratie > Gebruikersbeheer > Groepen > Wijzigen 10.1.1.1 om de automatisch gegenereerde groepsinformatie te bekijken.

Opmerking: wijzig deze groepsinstellingen niet.

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Controleer de PIX
Controleer de VPN-concentratie 3000

Controleer de PIX

Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.

toon isakmp sa-displays alle huidige IKE security associaties (SA's) bij een peer. De status MM_ACTIVE betekent dat de hoofdmodus wordt gebruikt om de IPsec VPN-tunnel in te stellen.

In dit voorbeeld initieert de PIX-firewall de IPsec-verbinding. Het peer IP-adres is 172.30.1.1 en gebruikt hoofdmodus om de verbinding tot stand te brengen.
```
PIX7#show isakmp sa

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 172.30.1.1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE
```

Laat ipsec sa-displays de instellingen die worden gebruikt door de huidige SA's. Controleer voor de peer IP adressen, de netwerken toegankelijk op zowel de lokale als verre eindpunten, en de transformatie die wordt gebruikt. Er zijn twee ESP SA's, één in elke richting.

PIX7#show ipsec sa
interface: outside
    Crypto map tag: mymap, seq num: 20, local addr: 10.1.1.1

      access-list 101 permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0

      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)
      current_peer: 172.30.1.1

      #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
      #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 10.1.1.1, remote crypto endpt.: 172.30.1.1

      path mtu 1500, ipsec overhead 76, media mtu 1500
      current outbound spi: 136580F6

    inbound esp sas:
      spi: 0xF24F4675 (4065281653)
         transform: esp-aes-256 esp-sha-hmac
         in use settings ={L2L, Tunnel,}
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (3824999/28747)
         IV size: 16 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x136580F6 (325419254)
         transform: esp-aes-256 esp-sha-hmac
         in use settings ={L2L, Tunnel,}
         slot: 0, conn_id: 1, crypto-map: mymap
         sa timing: remaining key lifetime (kB/sec): (3824999/28745)
         IV size: 16 bytes
         replay detection support: Y

Gebruik de opdrachten ipsec en isakmp als resuset om de tunnel te resetten.

Controleer de VPN-concentratie 3000

Selecteer Controle > Statistieken > IPsec om te controleren of de tunnel in de VPN 3000 Concentrator is gegroeid. Dit bevat de statistieken voor zowel IKE als IPsec-parameters.

U kunt de sessie actief controleren bij Bewaking > Sessies. U kunt de IPsec-tunnel hier opnieuw instellen.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Probleemoplossing voor PIX
Probleemoplossing voor VPN 3000 Concentrator
PFS

Probleemoplossing voor PIX

Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.

Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.

De debug opdrachten in PIX voor VPN-tunnels zijn:

debug crypto isakmp—Debugs ISAKMP SA onderhandelingen.
debug van crypto ipsec — Debugs IPsec SA onderhandelingen.

Probleemoplossing voor VPN 3000 Concentrator

Overeenkomstig met debug-opdrachten op de Cisco-routers kunt u Event Classes configureren om alle alarmen weer te geven. Selecteer Configuration > System > Events > Classes > Add om de vastlegging van Event Classes in te schakelen.

Selecteer Monitoring > Filterable Event Log om de enabled gebeurtenissen te controleren.

PFS

Bij IPsec-onderhandelingen zorgt Perfect Forward SecRITY (PFS) ervoor dat elke nieuwe cryptografische toets geen verband houdt met een eerdere toets. Schakel PFS op beide tunnelpeers in of uit, anders wordt de LAN-to-LAN (L2L) IPsec-tunnel niet in de PIX/ASA.

PFS wordt standaard uitgeschakeld. Om PFS toe te laten gebruik de opdracht pfs met het toelaten sleutelwoord in groep-beleid configuratiewijze. Om PFS uit te schakelen, voer het in.

hostname(config-group-policy)#pfs {enable | disable}

Om de PFS eigenschap uit de actieve configuratie te verwijderen, dient u de geen vorm van deze opdracht in te voeren. Een groepsbeleid kan een waarde voor PFS van een ander groepsbeleid erven. Typ geen formulier van deze opdracht om te voorkomen dat een waarde wordt geërfd.

hostname(config-group-policy)#no pfs

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	16-Oct-2008	Eerste vrijgave

IPsec-tunnels tussen PIX 7.x en VPN 3000 Concentrator-configuratievoorbeeld

Downloadopties

Inclusief taalgebruik

Over deze vertaling

Inhoud

Revisiegeschiedenis

Was dit document nuttig?

Contact Cisco

Dit document is van toepassing op deze producten