Esempio di configurazione del tunnel VPN IPsec PIX/ASA (versione 7.x e successive) con Network Address Translation

Opzioni per il download

  • PDF     (722.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (699.6 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:26 settembre 2008
ID documento:63881

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questa configurazione di esempio viene mostrato un tunnel VPN IPsec attraverso un firewall che esegue NAT (Network Address Translation). Questa configurazione non funziona con Port Address Translation (PAT) se si usa il software Cisco IOS® versioni precedenti a 12.2(13)T esclusa. Questo tipo di configurazione può essere utilizzata per eseguire il tunnel del traffico IP. Questa configurazione non può essere utilizzata per crittografare il traffico che non attraversa un firewall, ad esempio gli aggiornamenti di routing o IPX. Il tunneling GRE (Generic routing Encapsulation) è una scelta più appropriata. Nell'esempio, i router Cisco 2621 e 3660 sono gli endpoint del tunnel IPsec che si uniscono a due reti private, con condotti o elenchi di controllo di accesso (ACL) sul PIX nel mezzo per consentire il traffico IPsec.

Nota: NAT è una traduzione di indirizzi uno-a-uno, da non confondere con PAT, che è una traduzione molti (all'interno del firewall)-a-uno. Per ulteriori informazioni sul funzionamento e la configurazione NAT, fare riferimento a Verifica del funzionamento NAT e risoluzione dei problemi NAT di base o a Come funziona NAT.

Nota: IPsec con PAT potrebbe non funzionare correttamente perché il dispositivo endpoint del tunnel esterno non è in grado di gestire più tunnel da un indirizzo IP. Contattare il fornitore per determinare se i dispositivi dell'endpoint del tunnel funzionano con PAT. Inoltre, nel software Cisco IOS versione 12.2(13)T e successive, la funzione di trasparenza NAT può essere utilizzata per PAT. Per ulteriori informazioni, vedere Trasparenza NAT IPSec. per ulteriori informazioni su queste funzionalità nel software Cisco IOS versione 12.2(13)T e successive, fare riferimento al supporto di IPSec ESP tramite NAT.

Nota: prima di aprire una richiesta di assistenza con il supporto tecnico Cisco, fare riferimento alle domande frequenti NAT, che contengono molte risposte alle domande frequenti.

Per ulteriori informazioni su come configurare il tunnel IPSec attraverso il firewall con NAT sulla versione 6.x e precedenti, fare riferimento a Configurazione di un tunnel IPSec attraverso il firewall con NAT su PIX.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Software Cisco IOS release 12.0.7.T (fino al software Cisco IOS release 12.2(13)T escluso)

    Per le versioni più recenti, vedere Trasparenza NAT IPSec.

  • Cisco 2621 Router

  • Cisco 3660 Router

  • Cisco PIX serie 500 Security Appliance con versione 7.x e successive.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.

Prodotti correlati

Questo documento può essere usato anche con Cisco serie 5500 Adaptive Security Appliance (ASA) con software versione 7.x e successive.

Configurazione

In questa sezione vengono presentate le informazioni che è possibile utilizzare per configurare le funzionalità descritte nel documento.

Nota: per ulteriori informazioni sui comandi menzionati in questo documento, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Esempio di rete

Il documento usa la seguente configurazione di rete:

ipsec-pix70-nat-01.gif

Configurazioni

In questo documento vengono usate le seguenti configurazioni:

Cisco 2621 
Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-2621
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 isdn voice-call-failure 0
 cns event-service server
 !

!--- The IKE policy.

 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.2     
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/1
 

!--- IPsec policy.

 
 crypto map mymap 10 ipsec-isakmp   
  set peer 99.99.99.2
  set transform-set myset
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process.
 
 
  match address 101
 !
 controller T1 1/0
 !
 interface FastEthernet0/0
  ip address 10.2.2.1 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 !
 interface FastEthernet0/1
  ip address 10.1.1.2 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 

!--- Apply to the interface.

 
  crypto map mymap
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.1
 no ip http server
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process.

 
 access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 no scheduler allocate
 end

Cisco 3660 
version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-3660
 !
 ip subnet-zero
 !
 cns event-service server
 !
 

!--- The IKE policy.

 
 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.12    
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac 
 !
 crypto map mymap local-address FastEthernet0/0
 

!--- The IPsec policy.

 
 crypto map mymap 10 ipsec-isakmp   
  set peer 99.99.99.12
  set transform-set myset
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process. 
 
 
  match address 101
 !
 interface FastEthernet0/0
  ip address 99.99.99.2 255.255.255.0
  no ip directed-broadcast
  ip nat outside
  duplex auto
  speed auto
 

!--- Apply to the interface.

 
  crypto map mymap
 !
 interface FastEthernet0/1
  ip address 10.3.3.1 255.255.255.0
  no ip directed-broadcast
  ip nat inside
  duplex auto
  speed auto
 !
 interface Ethernet3/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface Serial3/0
  no ip address
  no ip directed-broadcast
  no ip mroute-cache
  shutdown
 !
 interface Ethernet3/1
  no ip address
  no ip directed-broadcast
 interface Ethernet4/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface TokenRing4/0
  no ip address
  no ip directed-broadcast
  shutdown
  ring-speed 16
 !
 
 
!--- The pool from which inside hosts translate to !--- the globally unique 99.99.99.0/24 network.

 
 ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0
 

!--- Except the private network from the NAT process.

 
 ip nat inside source route-map nonat pool OUTSIDE
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.1
 no ip http server
 !
 
 
!--- Include the private-network-to-private-network traffic !--- in the encryption process. 

 
 access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 101 deny   ip 10.3.3.0 0.0.0.255 any
 

!--- Except the private network from the NAT process.

 
 access-list 110 deny   ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 110 permit ip 10.3.3.0 0.0.0.255 any
 route-map nonat permit 10
  match ip address 110
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 end

Configurazione di PIX Security Appliance e elenco accessi

Configurazione di ASDM 5.0

Completare questa procedura per configurare PIX Firewall versione 7.0 con ASDM.

  1. Collegare la console al PIX. Da una configurazione ripristinata ai valori predefiniti, usare le istruzioni interattive per abilitare l'interfaccia grafica di Advanced Security Device Manager (ASDM) per la gestione dei PIX dalla workstation 10.1.1.3.

    Bootstrap PIX Firewall ASDM 
    Pre-configure Firewall now through interactive prompts [yes]? yes
Firewall Mode [Routed]: 
Enable password [<use current password>]: cisco
Allow password recovery [yes]? 
Clock (UTC):
  Year [2005]: 
  Month [Mar]: 
  Day [15]: 
  Time [05:40:35]: 14:45:00
Inside IP address: 10.1.1.1
Inside network mask: 255.255.255.0
Host name: pix-firewall
Domain name: cisco.com
IP address of host running Device Manager: 10.1.1.3
The following configuration will be used:
         Enable password: cisco
         Allow password recovery: yes
         Clock (UTC): 14:45:00 Mar 15 2005
         Firewall Mode: Routed
         Inside IP address: 10.1.1.1
         Inside network mask: 255.255.255.0
         Host name: OZ-PIX
         Domain name: cisco.com
         IP address of host running Device Manager: 10.1.1.3
Use this configuration and write to flash? yes
         INFO: Security level for "inside" set to 100 by default.
         Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 
965 bytes copied in 0.880 secs

  2. Da Workstation 10.1.1.3, aprire un browser Web e utilizzare ADSM (in questo esempio, https://10.1.1.1).

  3. Selezionare Yes (Sì) nelle richieste del certificato e accedere con la password enable configurata nella configurazione di bootstrap ASDM di PIX Firewall.

  4. Se è la prima volta che ASDM viene eseguito sul PC, viene richiesto se utilizzare ASDM Launcher o se utilizzare ASDM come app Java.

    Nell'esempio, l'Utilità di avvio ASDM è selezionata e installa questi prompt.

  5. Passare alla finestra Home ASDM e selezionare la scheda Configurazione.

    ipsec-pix70-nat-02.gif

  6. Evidenziare Ethernet 0 Interface (Interfaccia Ethernet 0) e fare clic su Edit (Modifica) per configurare l'interfaccia esterna.

    ipsec-pix70-nat-03.gif

  7. Fare clic su OK al prompt dell'interfaccia di modifica.

    ipsec-pix70-nat-04.gif

  8. Immettere i dettagli dell'interfaccia e fare clic su OK al termine dell'operazione.

    ipsec-pix70-nat-05.gif

  9. Fare clic su OK al prompt Modifica di un'interfaccia.

    ipsec-pix70-nat-06.gif

  10. Per accettare la configurazione dell'interfaccia, fare clic su Apply (Applica). La configurazione viene inoltre inserita nel PIX. In questo esempio vengono utilizzate route statiche.

    ipsec-pix70-nat-07.gif

  11. Fare clic su Routing nella scheda Features, evidenziare Static Route, quindi fare clic su Add.

    ipsec-pix70-nat-08.gif

  12. Configurare il gateway predefinito e fare clic su OK.

    ipsec-pix70-nat-09.gif

  13. Fare clic su Add (Aggiungi) e aggiungere le route alle reti interne.

    ipsec-pix70-nat-10.gif

  14. Verificare che siano configurate le route corrette e fare clic su Applica.

    ipsec-pix70-nat-11.gif

  15. Nell'esempio viene utilizzato NAT. Rimuovere la casella di controllo Abilita traffico attraverso il firewall senza conversione degli indirizzi e fare clic su Add per configurare la regola NAT.

    ipsec-pix70-nat-12.gif

  16. Configurare la rete di origine (nell'esempio riportato viene utilizzato any). Quindi, fare clic su Manage Pools (Gestisci pool) per definire il percorso.

    ipsec-pix70-nat-13.gif

  17. Selezionare l'interfaccia esterna e fare clic su Aggiungi.

    ipsec-pix70-nat-14.gif

    In questo esempio viene utilizzato un PAT con l'indirizzo IP dell'interfaccia.

    ipsec-pix70-nat-15.gif

  18. Fare clic su OK quando la parte è configurata.

    ipsec-pix70-nat-16.gif

  19. Per configurare la traduzione statica, fare clic su Add (Aggiungi).

    ipsec-pix70-nat-17.gif

  20. Selezionare dall'interno dell'elenco a discesa Interfaccia, quindi immettere l'indirizzo IP 10.1.1.2, la subnet mask 255.255.255.255, scegliere Statico e nel campo Indirizzo IP digitare l'indirizzo esterno a 99.99.12. Al termine, fare clic su OK.

    ipsec-pix70-nat-18.gif

  21. Fare clic su Apply (Applica) per accettare la configurazione dell'interfaccia. La configurazione viene inoltre inserita nel PIX.

    ipsec-pix70-nat-19.gif

  22. Per configurare la regola dei criteri di sicurezza, selezionare Criteri di sicurezza nella scheda Funzionalità.

    ipsec-pix70-nat-20.gif

  23. Per continuare, fare clic su Add (Aggiungi) per consentire il traffico esp e fare clic su OK.

    ipsec-pix70-nat-21.gif

  24. Per autorizzare il traffico ISAKMP, fare clic su Add (Aggiungi), quindi su OK per continuare.

    ipsec-pix70-nat-22.gif

  25. Fare clic su Add (Aggiungi) per consentire il traffico UDP porta 4500 per NAT-T e fare clic su OK per continuare.

    ipsec-pix70-nat-22-ext.gif

  26. Per accettare la configurazione dell'interfaccia, fare clic su Apply (Applica). La configurazione viene inoltre inserita nel PIX.

    ipsec-pix70-nat-23.gif

  27. La configurazione è stata completata.

    Per visualizzare la configurazione CLI, scegliere File > Mostra configurazione corrente in una nuova finestra.

    ipsec-pix70-nat-24.gif

Configurazione firewall PIX

PIX Firewall 
pixfirewall# show run
: Saved
:
PIX Version 7.0(0)102 
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 99.99.99.1 255.255.255.0 
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name cisco.com
ftp mode passive

access-list outside_access_in remark Access Rule to Allow ESP traffic
access-list outside_access_in 
            extended permit esp host 99.99.99.2 host 99.99.99.12 

access-list outside_access_in 
            remark Access Rule to allow ISAKMP to host 99.99.99.12
access-list outside_access_in 
            extended permit udp host 99.99.99.2 eq isakmp host 99.99.99.12 


access-list outside_access_in 
            remark Access Rule to allow port 4500 (NAT-T) to host 99.99.99.12
access-list outside_access_in 
                    extended permit udp host 99.99.99.2 eq 4500 host 99.99.99.12
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 0.0.0.0 0.0.0.0
static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 
access-group outside_access_in in interface outside
route inside 10.2.2.0 255.255.255.0 10.1.1.2 1
route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.1.3 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy asa_global_fw_policy global
Cryptochecksum:0a12956036ce4e7a97f351cde61fba7e
: end

Configurazione di PIX Security Appliance e MPF (Modular Policy Framework)

Anziché utilizzare l'elenco degli accessi, usare il comando inspect ipsec-pass-thru in MPF(Modular Policy Framework) per passare il traffico IPsec attraverso le appliance di sicurezza PIX/ASA.

Questa ispezione è configurata per aprire i fori per il traffico ESP. Tutti i flussi di dati ESP sono consentiti quando esiste un flusso in avanti e non esiste alcun limite al numero massimo di connessioni consentite. AH non è permesso. Il timeout di inattività predefinito per i flussi di dati ESP è impostato per impostazione predefinita su 10 minuti. Questa ispezione può essere applicata in tutti i punti in cui è possibile eseguire altre ispezioni, incluse le modalità di comando class e match. L'ispezione delle applicazioni pass-through IPSec consente di attraversare agevolmente il traffico ESP (protocollo IP 50) associato a una connessione con porta UDP IKE 500. Evita la configurazione di lunghi elenchi degli accessi per consentire il traffico ESP e fornisce anche la sicurezza con timeout e connessioni massime. Utilizzare i comandi class-map, policy-map e service-policy per definire una classe di traffico, applicare il comando inspect alla classe e applicare il criterio a una o più interfacce. Se abilitato, il comando inspect IPSec-pass-thru consente un traffico ESP illimitato con un timeout di 10 minuti, che non è configurabile. È consentito il traffico NAT e non NAT. 

hostname(config)#access-list test-udp-acl extended permit udp any any eq 500
hostname(config)#class-map test-udp-class
hostname(config-cmap)#match access-list test-udp-acl
hostname(config)#policy-map test-udp-policy
hostname(config-pmap)#class test-udp-class
hostname(config-pmap-c)#inspect ipsec-pass-thru
hostname(config)#service-policy test-udp-policy interface outside

Verifica

In questa sezione viene spiegato come verificare che la configurazione funzioni correttamente.

Alcuni comandi show sono supportati dallo strumento Output Interpreter (solo utenti registrati); lo strumento permette di visualizzare un'analisi dell'output del comando show.

  • show crypto ipsec sa: visualizza le associazioni di sicurezza della fase 2.

  • show crypto isakmp sa: visualizza le associazioni di sicurezza della fase 1.

  • show crypto engine connections active: visualizza i pacchetti crittografati e decrittografati.

Risoluzione dei problemi

In questa sezione vengono fornite informazioni utili per risolvere i problemi di configurazione.

Comandi per la risoluzione dei problemi di IPsec router

Nota: prima di usare i comandi di debug, consultare il documento Informazioni importanti sui comandi di debug.

  • debug crypto engine: visualizza il traffico crittografato.

  • debug crypto ipsec: visualizza le negoziazioni IPsec della fase 2.

  • debug crypto isakmp: visualizza le negoziazioni ISAKMP (Internet Security Association and Key Management Protocol) della fase 1.

Cancellazione delle associazioni di protezione

  • clear crypto isakmp: cancella le associazioni di protezione IKE (Internet Key Exchange).

  • clear crypto ipsec sa: cancella le associazioni di sicurezza IPsec.

Comandi per la risoluzione dei problemi per PIX

Alcuni comandi show sono supportati dallo strumento Output Interpreter (solo utenti registrati); lo strumento permette di visualizzare un'analisi dell'output del comando show.

Nota: prima di usare i comandi di debug, consultare il documento Informazioni importanti sui comandi di debug.

  • logging buffer debugging: visualizza le connessioni stabilite e negate agli host che passano attraverso il PIX. Le informazioni vengono memorizzate nel buffer di registro PIX e l'output può essere visualizzato con il comando show log.

  • ASDM può essere utilizzato per abilitare il log e anche per visualizzare i log, come mostrato in questa procedura.

  1. Scegliete Configurazione > Proprietà > Log > Impostazione log > Abilita log, quindi fate clic su Applica.

    ipsec-pix70-nat-25.gif

  2. Scegliere Controllo > Log > Buffer di log > Al livello di log > Buffer di log, quindi fare clic su Visualizza.

    ipsec-pix70-nat-26.gif

    Questo è un esempio di buffer di registro.

    ipsec-pix70-nat-27.gif

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
27-Jan-2005
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti