Dit document biedt een voorbeeldconfiguratie voor het maken van een LAN-to-LAN IPsec VPN-tunnel tussen een PIX-firewall 7.x en een Cisco VPN 3000 Concentrator.
Raadpleeg PIX/ASA 7.x Enhanced Spoke-to-Client VPN met het Configuratievoorbeeld van TACACS+ verificatie om meer te weten te komen over het scenario waarin de LAN-to-LAN tunnel tussen de PIX-apparaten ook een VPN-client toestaat om de opgenomen PIX te benaderen via de hub PIX.
Raadpleeg PIX/ASA 7.x security applicatie voor een IOS Router LAN-to-LAN IPsec Tunnel Configuration Voorbeeld om meer te weten te komen over het scenario waarin de LAN-to-LAN tunnel tussen de PIX/ASA en een IOS-router.
Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:
Dit document vereist een basisbegrip van IPsec-protocol. Raadpleeg een Inleiding naar IPsec-encryptie voor meer informatie over IPsec.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco PIX 500 Series security applicatie met softwareversie 7.1(1)
Cisco VPN 3060 Concentrator met softwareversie 4.7.2(B)
Opmerking: PIX 506/506E ondersteunt 7.x niet.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg voor de configuratie van PIX 6.x LAN-to-LAN IPSec-tunnelbanden tussen de Cisco VPN 3000 Concentrator en het configuratievoorbeeld van de PIX-firewall.
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
PIX |
---|
PIX7#show running-config : Saved : PIX Version 7.1(1) ! hostname PIX7 enable password 8Ry2YjIyt7RRXU24 encrypted names ! !--- Configures the outside interface of the PIX. !--- By default, the security level for the outside interface is 0. interface Ethernet0 nameif outside security-level 0 ip address 10.1.1.1 255.255.255.0 ! !--- Configures the inside interface of the PIX. !--- By default, the security level for the inside interface is 100. interface Ethernet1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! !--- Defines the IP addresses that should not be NATed. access-list nonat extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0 access-list outside extended permit icmp any any !--- Defines the IP addresses that can communicate via the IPsec tunnel. access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0 access-list OUT extended permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500 no failover asdm image flash:/asdm-504.bin no asdm history enable arp timeout 14400 nat (inside) 0 access-list nonat access-group OUT in interface outside route outside 0.0.0.0 0.0.0.0 10.1.1.2 1 !--- Output is suppressed. !--- These are the IPsec parameters that are negotiated with the client. crypto ipsec transform-set my-set esp-aes-256 esp-sha-hmac crypto map mymap 20 match address 101 crypto map mymap 20 set peer 172.30.1.1 crypto map mymap 20 set transform-set my-set crypto map mymap interface outside !--- These are the Phase I parameters negotiated by the two peers. isakmp enable outside isakmp policy 10 authentication pre-share isakmp policy 10 encryption aes-256 isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 !--- A tunnel group consists of a set of records !--- that contain tunnel connection policies. The two attributes !--- are General and IPsec. Use the remote peer IP address as the !--- name of the Tunnel group. In this example 172.30.1.1 is the peer IP address. !--- Refer to Tunnel Group for more information. tunnel-group 172.30.1.1 type ipsec-l2l tunnel-group 172.30.1.1 ipsec-attributes pre-shared-key * !--- Output is suppressed. ! : end PIX7# |
VPN Concentrators zijn niet voorgeprogrammeerd met IP-adressen in hun fabrieksinstellingen. U moet de console poort gebruiken om de eerste configuraties te configureren die een op menu gebaseerde opdrachtregel interface (CLI) zijn. Raadpleeg VPN-centrators configureren via de console voor informatie over de configuratie via de console.
Nadat u het IP-adres op de Ethernet 1 (privé) interface configureren kunt u de rest configureren met ofwel de CLI ofwel via de browser interface. De browser interface ondersteunt zowel HTTP als HTTP via Secure Socket Layer (SSL).
Deze parameters worden ingesteld in de console:
Tijd/datum - De juiste tijd en datum zijn erg belangrijk. Zij helpen ervoor te zorgen dat de registratie en de boekingen nauwkeurig zijn, en dat het systeem een geldig veiligheidscertificaat kan creëren.
Ethernet 1 (privé) interface-het IP adres en masker (van de netwerktopologie 172.16.5.100/16).
De VPN Concentrator is nu toegankelijk via een HTML browser van het binnennetwerk. Raadpleeg de Opdracht-Lijn Interface voor Quick Configuration voor informatie over de manier waarop u de VPN Concentrator in CLI-modus kunt configureren.
Typ het IP-adres van de privé-interface van de webbrowser om de GUI-interface mogelijk te maken.
Klik op het pictogram Save need om wijzigingen in het geheugen op te slaan. De standaard fabrieksnaam en het wachtwoord zijn admin, wat hoofdlettergevoelig is.
Start de GUI en selecteer Configuration > Interfaces om het IP-adres voor de openbare interface en de standaardgateway te configureren.
Selecteer Configuratie > Beleidsbeheer > Verkeersbeheer > Netwerklijsten > Toevoegen of wijzigen om de netwerklijsten te maken die het te versleutelen verkeer definiëren.
Voeg hier zowel de lokale als de externe netwerken toe. De IP-adressen moeten die in de toegangslijst spiegelen die in de afstandsbediening zijn geconfigureerd.
In dit voorbeeld zijn de twee netwerklijsten Remote_network en VPN Client Local LAN.
Selecteer Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN > Add om de IPsec LAN-to-LAN tunnel te configureren. Klik op Toepassen wanneer u klaar bent.
Voer het IP-adres van de peer in, de netwerklijsten die in stap 2 zijn gemaakt, de parameters IPsec en ISAKMP en de vooraf gedeelde toets.
In dit voorbeeld is het peer IP-adres 10.1.1, de netwerklijsten zijn Remote_network en VPN Client Local LAN en cisco is de pre-gedeelde sleutel.
Selecteer Configuratie > Gebruikersbeheer > Groepen > Wijzigen 10.1.1.1 om de automatisch gegenereerde groepsinformatie te bekijken.
Opmerking: wijzig deze groepsinstellingen niet.
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
toon isakmp sa-displays alle huidige IKE security associaties (SA's) bij een peer. De status MM_ACTIVE betekent dat de hoofdmodus wordt gebruikt om de IPsec VPN-tunnel in te stellen.
In dit voorbeeld initieert de PIX-firewall de IPsec-verbinding. Het peer IP-adres is 172.30.1.1 en gebruikt hoofdmodus om de verbinding tot stand te brengen.
PIX7#show isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 172.30.1.1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE
Laat ipsec sa-displays de instellingen die worden gebruikt door de huidige SA's. Controleer voor de peer IP adressen, de netwerken toegankelijk op zowel de lokale als verre eindpunten, en de transformatie die wordt gebruikt. Er zijn twee ESP SA's, één in elke richting.
PIX7#show ipsec sa interface: outside Crypto map tag: mymap, seq num: 20, local addr: 10.1.1.1 access-list 101 permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0 local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0) current_peer: 172.30.1.1 #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 10.1.1.1, remote crypto endpt.: 172.30.1.1 path mtu 1500, ipsec overhead 76, media mtu 1500 current outbound spi: 136580F6 inbound esp sas: spi: 0xF24F4675 (4065281653) transform: esp-aes-256 esp-sha-hmac in use settings ={L2L, Tunnel,} slot: 0, conn_id: 1, crypto-map: mymap sa timing: remaining key lifetime (kB/sec): (3824999/28747) IV size: 16 bytes replay detection support: Y outbound esp sas: spi: 0x136580F6 (325419254) transform: esp-aes-256 esp-sha-hmac in use settings ={L2L, Tunnel,} slot: 0, conn_id: 1, crypto-map: mymap sa timing: remaining key lifetime (kB/sec): (3824999/28745) IV size: 16 bytes replay detection support: Y
Gebruik de opdrachten ipsec en isakmp als resuset om de tunnel te resetten.
Selecteer Controle > Statistieken > IPsec om te controleren of de tunnel in de VPN 3000 Concentrator is gegroeid. Dit bevat de statistieken voor zowel IKE als IPsec-parameters.
U kunt de sessie actief controleren bij Bewaking > Sessies. U kunt de IPsec-tunnel hier opnieuw instellen.
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.
De debug opdrachten in PIX voor VPN-tunnels zijn:
debug crypto isakmp—Debugs ISAKMP SA onderhandelingen.
debug van crypto ipsec — Debugs IPsec SA onderhandelingen.
Overeenkomstig met debug-opdrachten op de Cisco-routers kunt u Event Classes configureren om alle alarmen weer te geven. Selecteer Configuration > System > Events > Classes > Add om de vastlegging van Event Classes in te schakelen.
Selecteer Monitoring > Filterable Event Log om de enabled gebeurtenissen te controleren.
Bij IPsec-onderhandelingen zorgt Perfect Forward SecRITY (PFS) ervoor dat elke nieuwe cryptografische toets geen verband houdt met een eerdere toets. Schakel PFS op beide tunnelpeers in of uit, anders wordt de LAN-to-LAN (L2L) IPsec-tunnel niet in de PIX/ASA.
PFS wordt standaard uitgeschakeld. Om PFS toe te laten gebruik de opdracht pfs met het toelaten sleutelwoord in groep-beleid configuratiewijze. Om PFS uit te schakelen, voer het in.
hostname(config-group-policy)#pfs {enable | disable}
Om de PFS eigenschap uit de actieve configuratie te verwijderen, dient u de geen vorm van deze opdracht in te voeren. Een groepsbeleid kan een waarde voor PFS van een ander groepsbeleid erven. Typ geen formulier van deze opdracht om te voorkomen dat een waarde wordt geërfd.
hostname(config-group-policy)#no pfs
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
16-Oct-2008 |
Eerste vrijgave |