PIX 6.x : Exemple de configuration IPsec dynamique entre un pare-feu PIX à adresse statique et le routeur IOS adressé dynamiquement avec NAT

Options de téléchargement

  • PDF     (334.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (106.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (105.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 septembre 2008
ID du document:23102

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document fournit un exemple de configuration pour permettre au PIX d'accepter des connexions IPsec dynamiques. Le routeur à distance exécute la Traduction d'adresses de réseau (NAT) si le réseau privé 10.1.1.x accède à l'Internet. Le trafic de 10.1.1.x vers le réseau privé 192.168.1.x derrière le PIX est exclu du processus NAT. Le routeur peut initier des connexions au dispositif de sécurité PIX, mais ce dernier ne peut pas initier de connexion au routeur.

Cette configuration utilise un pare-feu PIX afin de créer des tunnels LAN à LAN (L2L) IPsec dynamiques avec un routeur Cisco IOS® qui reçoit des adresses IP dynamiques sur leur interface publique (interface externe). Le protocole DHCP (Dynamic Host Configuration Protocol) fournit un mécanisme permettant d’allouer des adresses IP dynamiquement à partir du fournisseur de services (ISP). Cela permet de réutiliser les adresses IP lorsque les hôtes n’en ont plus besoin.

Référez-vous à Exemple de configuration d'IPsec dynamique à statique avec NAT de routeur à PIX pour plus d'informations sur un scénario où le routeur accepte des connexions IPsec dynamiques à partir d'un dispositif de sécurité PIX qui exécute 6.x.

Référez-vous à Exemple de configuration d'IPsec entre un routeur IOS statique et un PIX/ASA dynamique 7.x avec NAT afin d'activer l'appliance de sécurité PIX/ASA pour accepter les connexions IPsec dynamiques à partir du routeur Cisco IOS.

Référez-vous à Exemple de configuration d'IPsec entre un PIX/ASA 7.x statique et un routeur IOS dynamique avec NAT afin d'en savoir plus sur le même scénario où l'appliance de sécurité PIX/ASA exécute le logiciel version 7.x et ultérieure.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Logiciel Cisco IOS version 12.4

  • Logiciel Cisco PIX Firewall Version 6.3.1

  • Pare-feu Cisco Secure PIX 515E

  • Routeur Cisco 7206

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : Utilisez l’outil de recherche de commandes (clients inscrits seulement) pour en savoir plus sur les commandes figurant dans le présent document.

Diagramme du réseau

Ce document utilise cette configuration du réseau.

pix_router_dyn_01.gif

Configurations

Ce document utilise les configurations suivantes.

Elf (PIX) 
Building configuration...
: Saved
:
PIX Version 6.3(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname elf
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Access control list (ACL) to avoid NAT on the IPsec packets.

access-list nonat permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0
pager lines 24
logging on
logging buffered debugging
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 172.18.124.2 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 interface

!-- Binds ACL nonat to the NAT statement to avoid NAT on the IPsec packets

nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

!--- Permits Internet Control Message Protocol (ICMP) traffic for testing. !--- Do not enable it in a live network.

conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol tacacs+
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat

!--- IPsec configuration

crypto ipsec transform-set router-set esp-des esp-md5-hmac
crypto dynamic-map cisco 1 set transform-set router-set
crypto map dyn-map 10 ipsec-isakmp dynamic cisco
crypto map dyn-map interface outside
isakmp enable outside

!--- Internet Security Association and Key Management Protocol (ISAKMP) !--- policy for accepting dynamic connections from remote PIX. !--- Note: In real show run output, the pre-shared key appears as *******.

isakmp key cisco123 address 0.0.0.0 netmask 0.0.0.0
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:eeb67d5df47045f7e6ac4aa090aab683
: end
[OK]
elf#

Mop (routeur Cisco 7204) 
mop#show running-configuration
Building configuration...

Current configuration : 1916 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname mop
!
!
ip subnet-zero
!
!
no ip domain-lookup
!
ip cef
ip audit notify log
ip audit po max-events 100
!

!--- Internet Key Exchange (IKE) policies

crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 172.18.124.2
!
!

!--- IPsec policies

crypto ipsec transform-set pix-set esp-des esp-md5-hmac
!
crypto map pix 10 ipsec-isakmp
 set peer 172.18.124.2
 set transform-set pix-set
 match address 101
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex half
!
interface Ethernet1/0
ip address dhcp
ip nat outside
duplex half
crypto map pix
!
interface Ethernet1/1
ip address 10.1.1.1 255.255.255.0
ip nat inside
duplex half
!

!--- Except the private network from the NAT process.

ip nat inside source route-map nonat interface Ethernet1/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet1/0
no ip http server
ip pim bidir-enable
!

!--- Include the private-network-to-private-network !--- traffic in the encryption process.

access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

!--- Except the private network from the NAT process.

access-list 110 deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 10.1.1.0 0.0.0.255 any
!
route-map nonat permit 10
 match ip address 110
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
!
end

Vérification

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Vous pouvez exécuter ces commandes show sur le PIX et sur le routeur.

  • show crypto isakmp sa — Affiche toutes les associations de sécurité actuelles IKE (SA) sur un homologue.

  • show crypto ipsec sa - Affiche les paramètres utilisés par les SA actuelles (IPsec).

  • show crypto engine connections active - Affiche les connexions actuelles et les informations relatives aux paquets chiffrés et décryptés (routeur uniquement).

Vous devez effacer les SA sur les deux homologues.

  • Les commandes PIX sont exécutées en mode de configuration.

    • clear crypto isakmp sa - Efface la Phase 1 SAS.

    • clear crypto ipsec sa : efface les SA de phase 2.

  • Les commandes du routeur sont exécutées en mode enable.

    • clear crypto isakmp : efface les SA de phase 1.

    • clear crypto sa : efface les SA de phase 2.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Dépannage des commandes

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.

  • show crypto isakmp sa — Affiche toutes les SA IKE en cours au niveau d'un homologue.

  • show crypto ipsec sa - Affiche les paramètres utilisés par les SA actuelles (IPsec).

  • show crypto engine connections active - Affiche les connexions actuelles et les informations relatives aux paquets chiffrés et décryptés (routeur uniquement).

Informations connexes

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits