PIX/ASA 7.x: Ejemplo de Configuración de Add/Remove a Network on an Existing L2L VPN Tunnel

Introducción

Este documento proporciona una configuración de ejemplo de cómo agregar una nueva red a un túnel VPN existente.

Prerequisites

Requirements

Asegúrese de tener un PIX/ASA Security Appliance que ejecute el código 7.x antes de intentar esta configuración.

Componentes Utilizados

La información de este documento se basa en dos dispositivos Cisco 5500 Security Appliance.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Productos Relacionados

Esta configuración también se puede utilizar con el dispositivo de seguridad PIX 500.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Actualmente hay un túnel VPN de LAN a LAN (L2L) entre la oficina NY y TN. La oficina de NY acaba de añadir una nueva red para que la utilice el grupo de desarrollo de CSI. Este grupo requiere acceso a los recursos que residen en la oficina de TN. La tarea que se está realizando es agregar la nueva red al túnel VPN existente.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Adición de red al túnel IPSec

Este documento usa esta configuración:

ASA-NY-HQ#show running-config 

: Saved
:
ASA Version 7.2(2) 
!
hostname ASA-NY-HQ
domain-name corp2.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.11.2 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0 
!
interface Ethernet0/2
 nameif Cisco
 security-level 70
 ip address 172.16.40.2 255.255.255.0
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address 
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp2.com
access-list inside_nat0_outbound extended permit ip 172.16.1.0 
 255.255.255.0 10.10.10.0 255.255.255.0 


!--- You must be sure that you configure the !--- opposite of these access control lists !--- on the other end of the VPN tunnel. 


access-list inside_nat0_outbound extended permit ip 172.16.40.0 
 255.255.255.0 10.10.10.0 255.255.255.0 

access-list outside_20_cryptomap extended permit ip 172.16.1.0 
 255.255.255.0 10.10.10.0 255.255.255.0 


!--- You must be sure that you configure the !--- opposite of these access control lists !--- on the other end of the VPN tunnel. 


access-list outside_20_cryptomap extended permit ip 172.16.40.0 
 255.255.255.0 10.10.10.0 255.255.255.0 


!--- Output is suppressed.


nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.16.1.0 255.255.255.0


!--- The new network is also required to have access to the Internet. !--- So enter an entry into the NAT statement for this new network.


nat (inside) 1 172.16.40.0 255.255.255.0

route outside 0.0.0.0 0.0.0.0 192.168.11.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 192.168.10.10 
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group 192.168.10.10 type ipsec-l2l
tunnel-group 192.168.10.10 ipsec-attributes
 pre-shared-key *

!--- Output is suppressed.

: end
ASA-NY-HQ#  

Eliminación de la red del túnel IPSec

Utilice estos pasos para quitar la red de la configuración del túnel IPSec.Aquí, tenga en cuenta que la red 172.16.40.0/24 se ha eliminado de la configuración del dispositivo de seguridad NY (HQ).

1. Antes de eliminar la red del túnel, elimine la conexión IPSec, que también elimina las asociaciones de seguridad relacionadas con la fase 2.

   ASA-NY-HQ# clear crypto ipsec sa
   

   Borra las asociaciones de seguridad relacionadas con la fase 1 de la siguiente manera

   ASA-NY-HQ# clear crypto isakmp sa
   

2. Quite la lista de control de acceso de tráfico interesante para el túnel IPSec.

   ASA-NY-HQ(config)# no access-list outside_20_cryptomap extended permit ip 172.16.40.0 
    255.255.255.0 10.10.10.0 255.255.255.0 

3. Quite la ACL (inside_nat0_outbound), ya que el tráfico se excluye de la NAT.

   ASA-NY-HQ(config)# no access-list inside_nat0_outbound extended permit ip 172.16.40.0 
    255.255.255.0 10.10.10.0 255.255.255.0
   

4. Despeje la traducción NAT como se muestra

   ASA-NY-HQ# clear xlate
   

5. Cuando modifique la configuración del túnel, quite y vuelva a aplicar estos comandos crypto para tomar la última configuración en la interfaz externa

   ASA-NY-HQ(config)# crypto map outside_map interface outside
   ASA-NY-HQ(config)# crypto isakmp enable outside
   

6. Guarde la configuración activa en la memoria flash "write memory".

7. Siga el mismo procedimiento para el dispositivo de seguridad TN del otro extremo para quitar las configuraciones.

8. Inicie el túnel IPSec y verifique la conexión.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

• ping dentro de 172.16.40.20

  

• show crypto isakmp sa

  

• show crypto ipsec sa

  

Troubleshoot

Consulte estos documentos para obtener más información sobre la resolución de problemas:

• Soluciones de Troubleshooting de VPN IPsec

• Introducción y uso de los comandos debug

• Resolución de problemas de conexiones a través de PIX y ASA

Información Relacionada

• Una Introducción al Cifrado de Seguridad IP (IPSec)
• Página de Soporte del Protocolo IKE/la Negociación de IPSec
• Referencia de Comandos de Dispositivos de Seguridad
• Configuración de Listas de Acceso IP
• Soporte Técnico y Documentación - Cisco Systems