ASA/PIX - Configurar um túnel IPsec LAN a LAN do roteador Cisco IOS

Opções de download

  • PDF     (1.0 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (632.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (814.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:8 de outubro de 2018
ID do documento:63883

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento demonstra como configurar um túnel de IPsec da um PIX Security Appliance 7.x ou posterior ou um Adaptive Security Appliance (ASA) com uma única rede interna para o roteador 2611 que executa a imagem crypto. As rotas estáticas são usadas por simplicidade.

Consulte Configuração de IPSec - Roteador para PIX para obter mais informações sobre uma configuração de túnel LAN para LAN entre um roteador e o PIX.

Consulte Túnel IPSec LAN a LAN entre o Cisco VPN 3000 Concentrator e Exemplo de Configuração do Firewall PIX para obter mais informações sobre uma configuração de túnel LAN a LAN entre o Firewall PIX e o Cisco VPN 3000 Concentrator.

Consulte Exemplo de Configuração de Túnel IPsec Entre o PIX 7.x e o VPN 3000 Concentrator para saber mais sobre o cenário em que o túnel de LAN para LAN está entre o PIX e o VPN Concentrator.

Consulte PIX/ASA 7.x Enhanced Spoke-to-Client VPN with TACACS+ Authentication Configuration Example para saber mais sobre o cenário em que o túnel LAN-to-LAN entre os PIXs também permite que um VPN Client acesse o PIX spoke através do PIX do hub.

Consulte SDM: VPN IPsec Site-to-Site Entre ASA/PIX e um Exemplo de Configuração de Roteador IOS para saber mais sobre o mesmo cenário em que o PIX/ASA Security Appliance executa o software versão 8.x.

Consulte Configuration Professional: VPN IPsec Site a Site entre ASA/PIX e um Exemplo de Configuração de Roteador IOS para saber mais sobre o mesmo cenário em que a configuração relacionada ao ASA é mostrada usando a GUI do ASDM e a configuração relacionada ao Roteador é mostrada usando a GUI do Cisco CP.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX-525 com software PIX versão 7.0

  • Roteador Cisco 2611 com Cisco IOS® Software Release 12.2(15)T13

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

No PIX, os comandos access-list e nat 0 trabalham juntos. Quando um usuário na rede 10.1.1.0 vai para a rede 10.2.2.0, a lista de acesso é usada para permitir que o tráfego da rede 10.1.1.0 seja criptografado sem a conversão de endereço de rede (NAT). No roteador, os comandos route-map e access-list são usados para permitir que o tráfego de rede 10.2.2.0 seja criptografado sem NAT. No entanto, quando alguns desses usuários vão para algum outro lugar, eles são convertidos no endereço 172.17.63.230 por meio de Conversão de Endereço de Porta (PAT).

Estes são os comandos de configuração necessários no PIX Security Appliance para que o tráfego não seja executado através do PAT pelo túnel e o tráfego para a Internet seja executado através do PAT 

access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

ipsec-rtr-2-pix-asa-1.gif

Configurações

Esses exemplos de configuração são para a interface de linha de comando. Consulte a seção Configuração usando o Adaptive Security Device Manager (ASDM) deste documento se preferir configurar usando o ASDM.

PIX da matriz 
HQPIX(config)#show run
PIX Version 7.0(0)102
names
!
interface Ethernet0
description WAN interface
nameif outside
security-level 0
ip address 172.17.63.229 255.255.255.240
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname HQPIX
domain-name cisco.com
ftp mode passive
clock timezone AEST 10

access-list Ipsec-conn extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
access-list nonat extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
pager lines 24
logging enable
logging buffered debugging
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0
access-group 100 in interface inside
route outside 0.0.0.0 0.0.0.0 172.17.63.230 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server partner protocol tacacs+
username cisco password 3USUcOPFUiMCO4Jk encrypted
http server enable
http 10.1.1.2 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
crypto ipsec transform-set avalanche esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 3600
crypto ipsec df-bit clear-df outside
crypto map forsberg 21 match address Ipsec-conn
crypto map forsberg 21 set peer 172.17.63.230
crypto map forsberg 21 set transform-set avalanche
crypto map forsberg interface outside
isakmp identity address
isakmp enable outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash sha
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
tunnel-group 172.17.63.230 type ipsec-l2l
tunnel-group 172.17.63.230 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect http
!
service-policy asa_global_fw_policy global
Cryptochecksum:3a5851f7310d14e82bdf17e64d638738
: end
SV-2-8#

Roteador de filial 
BranchRouter#show run
Building configuration...

Current configuration : 1719 bytes
!
! Last configuration change at 13:03:25 AEST Tue Apr 5 2005
! NVRAM config last updated at 13:03:44 AEST Tue Apr 5 2005
!
version 12.2
service timestamps debug datetime msec
service timestamps log uptime
no service password-encryption
!
hostname BranchRouter
!
logging queue-limit 100
logging buffered 4096 debugging
!
username cisco privilege 15 password 0 cisco
memory-size iomem 15
clock timezone AEST 10
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!
!
!
crypto isakmp policy 11
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 172.17.63.229
!
!
crypto ipsec transform-set sharks esp-des esp-md5-hmac
!
crypto map nolan 11 ipsec-isakmp
set peer 172.17.63.229
set transform-set sharks
match address 120
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Ethernet0/0
ip address 172.17.63.230 255.255.255.240
ip nat outside
no ip route-cache
no ip mroute-cache
half-duplex
crypto map nolan
!
interface Ethernet0/1
ip address 10.2.2.1 255.255.255.0
ip nat inside
half-duplex
!
ip nat pool branch 172.17.63.230 172.17.63.230 netmask 255.255.255.0
ip nat inside source route-map nonat pool branch overload
no ip http server
no ip http secure-server
ip classless
ip route 10.1.1.0 255.255.255.0 172.17.63.229
!
!
!
access-list 120 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 130 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 130 permit ip 10.2.2.0 0.0.0.255 any
!
route-map nonat permit 10
match ip address 130
!
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end

Configuração usando o ASDM

Este exemplo demonstra como configurar o PIX usando a GUI do ASDM. Um PC com um navegador e endereço IP 10.1.1.2 está conectado à interface interna e1 do PIX. Verifique se http está habilitado no PIX.

Este procedimento ilustra a configuração ASDM do PIX da matriz.

  1. Conecte o PC ao PIX e escolha um método de download.

    ipsec-rtr-2-pix-asa-2.gif

    O ASDM carrega a configuração existente do PIX.

    ipsec-rtr-2-pix-asa-3.gif

    Essa janela fornece menus e instrumentos de monitoramento.

    ipsec-rtr-2-pix-asa-4.gif

  2. Selecione Configuration > Features > Interfaces e Add para novas interfaces ou Edit para uma configuração existente.

    ipsec-rtr-2-pix-asa-5.gif

  3. Selecione as opções de segurança para a interface interna.

    ipsec-rtr-2-pix-asa-6.gif

  4. Na configuração NAT, o tráfego criptografado é isento de NAT e todo o tráfego restante é NAT/PAT para a interface externa.

    ipsec-rtr-2-pix-asa-7.gif

  5. Selecione VPN >General > Tunnel Group e ative um Tunnel Group

    ipsec-rtr-2-pix-asa-8.gif

  6. Selecione VPN > IKE > Global Parameters e habilite o IKE na interface externa.

    ipsec-rtr-2-pix-asa-9.gif

  7. Selecione VPN > IKE > Policies e escolha as políticas de IKE.

    ipsec-rtr-2-pix-asa-10.gif

  8. Selecione VPN > IPsec > IPsec Rules e escolha IPsec para o túnel local e o endereçamento remoto.

    ipsec-rtr-2-pix-asa-11.gif

  9. Selecione VPN > IPsec > Tunnel Policy e escolha a política de túnel.

    ipsec-rtr-2-pix-asa-12.gif

  10. Selecione VPN > IPsec > Transform Sets e escolha um Transform Set.

    ipsec-rtr-2-pix-asa-13.gif

  11. Selecione Routing > Routing > Static Route e escolha uma rota estática para o roteador do gateway. Neste exemplo, a rota estática aponta para o peer de VPN remoto para simplificar.

    ipsec-rtr-2-pix-asa-14.gif

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show crypto ipsec sa — Mostra as associações de segurança da fase 2.

  • show crypto isakmp sa — Mostra as associações de segurança da fase 1.

Troubleshooting

Você pode usar o ASDM para ativar o registro e exibir os registros.

  • Selecione Configuration > Properties > Logging > Logging Setup, escolha Enable Logging e clique em Apply para ativar o registro.

  • Selecione Monitoring > Logging > Log Buffer > On Logging Level, escolha Logging Buffer e clique em View para exibir os logs.

Comandos para Troubleshooting

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug crypto ipsec — Mostra as negociações de IPsec da fase 2.

  • debug crypto ipsec - Exibe as negociações ISAKMP da fase 1.

  • debug crypto engine — Mostra o tráfego que é criptografado.

  • clear crypto isakmp — Limpa as associações de segurança relacionadas à fase 1.

  • clear crypto sa — Limpa as associações de segurança relacionadas à fase 2.

  • debug icmp trace — Mostra se as solicitações ICMP dos hosts alcançam o PIX. Você precisa adicionar o comando access-list para permitir o ICMP em sua configuração para executar essa depuração.

  • logging buffer debugging - Mostra as conexões estabelecidas e negadas aos hosts que passam pelo PIX. As informações são armazenadas no buffer de registro do PIX e você pode ver a saída com o comando show log.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
07-Feb-2014
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos