Exemplo de Configuração de Túnel VPN IPsec PIX/ASA (Versão 7.x e Posterior) com Tradução de Endereço de Rede
Contents
Introdução
Esta configuração de exemplo demonstra um túnel do IPSec VPN por um firewall que executa a tradução de endereço de rede (NAT). Essa configuração não funcionará com a conversão de endereço de porta (PAT - Port Address Translation) se você usar o Cisco IOS® Software Releases anteriores à versão 12.2(13)T, sem incluí-la. Esse tipo de configuração pode ser usado para encapsular o tráfego IP. Essa configuração não pode ser usada para criptografar o tráfego que não passa por um firewall, como IPX ou atualizações de roteamento. O tunelamento de encapsulamento de roteamento genérico (GRE - Generic Routing Encapsulation) é a escolha mais apropriada. Neste exemplo, os roteadores Cisco 2621 e 3660 são os pontos finais de túnel IPsec que unem duas redes privadas, com canalizações ou listas de controle de acesso (ACLs) no PIX entre elas para permitir o tráfego IPsec.
Observação: o NAT é uma conversão de endereço um para um, que não deve ser confundida com o PAT, que é uma conversão muitos (dentro do firewall) para um. Para obter mais informações sobre a operação e a configuração do NAT, consulte Verificação da Operação do NAT e Troubleshooting Básico do NAT ou Como o NAT Funciona.
Observação: o IPsec com PAT pode não funcionar corretamente porque o dispositivo de ponto final de túnel externo não pode manipular vários túneis de um endereço IP. Entre em contato com o fornecedor para determinar se os dispositivos de ponto final do túnel funcionam com o PAT. Além disso, no Cisco IOS Software Release 12.2(13)T e posterior, o recurso Transparência de NAT pode ser usado para PAT. Para obter mais detalhes, consulte Transparência de NAT de IPSec. Consulte Suporte para IPSec ESP Através de NAT para saber mais sobre esses recursos no Cisco IOS Software Release 12.2(13)T e Mais Recente.
Observação: antes de abrir um caso no Suporte Técnico da Cisco, consulte Perguntas Frequentes sobre NAT, que tem muitas respostas para perguntas comuns.
Consulte Configuração de um Túnel IPSec através de um Firewall com NAT para obter mais informações sobre como configurar o túnel IPsec através de um firewall com NAT no PIX versão 6.x e anterior.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
-
Software Cisco IOS versão 12.0.7.T (até, mas não incluindo, o software Cisco IOS versão 12.2(13)T)
Para obter versões mais recentes, consulte Transparência de NAT de IPSec.
-
Cisco 2621 Router
-
Cisco 3660 Router
-
Cisco PIX 500 Series Security Appliance com versão 7.x ou superior.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Conventions
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Produtos Relacionados
Este documento também pode ser usado com o Cisco 5500 Series Adaptive Security Appliance (ASA) com a versão de software 7.x ou posterior.
Configurar
Esta seção apresenta as informações que você pode usar para configurar os recursos descritos neste documento.
Nota: Para obter mais informações sobre os comandos usados neste documento, use a Command Lookup Tool (somente clientes registrados).
Diagrama de Rede
Este documento utiliza a seguinte configuração de rede:
Configurações
Este documento utiliza as seguintes configurações:
| Cisco 2621 |
|---|
Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname goss-2621 ! ip subnet-zero ! ip audit notify log ip audit po max-events 100 isdn voice-call-failure 0 cns event-service server ! !--- The IKE policy. crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 99.99.99.2 ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap local-address FastEthernet0/1 !--- IPsec policy. crypto map mymap 10 ipsec-isakmp set peer 99.99.99.2 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process. match address 101 ! controller T1 1/0 ! interface FastEthernet0/0 ip address 10.2.2.1 255.255.255.0 no ip directed-broadcast duplex auto speed auto ! interface FastEthernet0/1 ip address 10.1.1.2 255.255.255.0 no ip directed-broadcast duplex auto speed auto !--- Apply to the interface. crypto map mymap ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 no ip http server !--- Include the private-network-to-private-network traffic !--- in the encryption process. access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255 line con 0 transport input none line aux 0 line vty 0 4 ! no scheduler allocate end |
| Cisco 3660 |
|---|
version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname goss-3660 ! ip subnet-zero ! cns event-service server ! !--- The IKE policy. crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 99.99.99.12 ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap local-address FastEthernet0/0 !--- The IPsec policy. crypto map mymap 10 ipsec-isakmp set peer 99.99.99.12 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process. match address 101 ! interface FastEthernet0/0 ip address 99.99.99.2 255.255.255.0 no ip directed-broadcast ip nat outside duplex auto speed auto !--- Apply to the interface. crypto map mymap ! interface FastEthernet0/1 ip address 10.3.3.1 255.255.255.0 no ip directed-broadcast ip nat inside duplex auto speed auto ! interface Ethernet3/0 no ip address no ip directed-broadcast shutdown ! interface Serial3/0 no ip address no ip directed-broadcast no ip mroute-cache shutdown ! interface Ethernet3/1 no ip address no ip directed-broadcast interface Ethernet4/0 no ip address no ip directed-broadcast shutdown ! interface TokenRing4/0 no ip address no ip directed-broadcast shutdown ring-speed 16 ! !--- The pool from which inside hosts translate to !--- the globally unique 99.99.99.0/24 network. ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0 !--- Except the private network from the NAT process. ip nat inside source route-map nonat pool OUTSIDE ip classless ip route 0.0.0.0 0.0.0.0 99.99.99.1 no ip http server ! !--- Include the private-network-to-private-network traffic !--- in the encryption process. access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255 access-list 101 deny ip 10.3.3.0 0.0.0.255 any !--- Except the private network from the NAT process. access-list 110 deny ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255 access-list 110 permit ip 10.3.3.0 0.0.0.255 any route-map nonat permit 10 match ip address 110 ! line con 0 transport input none line aux 0 line vty 0 4 ! end |
PIX Security Appliance e configuração da lista de acesso
Configuração do ASDM 5.0
Conclua estas etapas para configurar o PIX Firewall Versão 7.0 usando o ASDM.
-
Use o console para se conectar ao PIX. A partir de uma configuração limpa, use os prompts interativos para ativar o Advanced Security Device Manager GUI (ASDM) para o gerenciamento do PIX a partir da Estação de Trabalho 10.1.1.3.
Bootstrap ASDM do PIX Firewall Pre-configure Firewall now through interactive prompts [yes]? yes Firewall Mode [Routed]: Enable password [<use current password>]: cisco Allow password recovery [yes]? Clock (UTC): Year [2005]: Month [Mar]: Day [15]: Time [05:40:35]: 14:45:00 Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: pix-firewall Domain name: cisco.com IP address of host running Device Manager: 10.1.1.3 The following configuration will be used: Enable password: cisco Allow password recovery: yes Clock (UTC): 14:45:00 Mar 15 2005 Firewall Mode: Routed Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: OZ-PIX Domain name: cisco.com IP address of host running Device Manager: 10.1.1.3 Use this configuration and write to flash? yes INFO: Security level for "inside" set to 100 by default. Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 965 bytes copied in 0.880 secs -
Na Estação de Trabalho 10.1.1.3, abra um Navegador da Web e use o ADSM (neste exemplo, https://10.1.1.1).
-
Escolha Yes nos prompts do certificado e faça login com a senha de ativação, conforme configurado na configuração do PIX Firewall ASDM Bootstrap.
-
Se esta for a primeira vez que o ASDM é executado no PC, ele perguntará se você deve usar o ASDM Launcher ou usar o ASDM como um aplicativo Java.
Neste exemplo, o Iniciador do ASDM é selecionado e instala esses prompts.
-
Vá para a janela Início do ASDM e selecione a guia Configuração.
-
Realce a interface Ethernet 0 e clique em Edit para configurar a interface externa.
-
Clique em OK no prompt da interface de Edição.
-
Insira os detalhes da interface e clique em OK quando terminar.
-
Clique em OK no prompt Alterando uma interface.
-
Clique em Apply para aceitar a configuração da interface. A configuração também é empurrada no PIX. Este exemplo usa rotas estáticas.
-
Clique em Routing na guia Features, realce Static Route e clique em Add.
-
Configure o Gateway padrão e clique em OK.
-
Clique em Add e adicione as rotas às redes internas.
-
Confirme se as rotas corretas estão configuradas e clique em Apply.
-
Neste exemplo, o NAT é usado. Remova a marca da caixa de seleção Enable traffic through the firewall without address translation e clique em Add para configurar a regra NAT.
-
Configure a rede de origem (neste exemplo, use qualquer uma). Em seguida, clique em Manage Pools para definir o PAT.
-
Selecione a interface externa e clique em Adicionar.
Este exemplo usa um PAT usando o endereço IP da interface.
-
Clique em OK quando o PAT estiver configurado.
-
Clique em Add para configurar a tradução estática.
-
Selecione inside no menu suspenso Interface e insira o endereço IP 10.1.1.2, a máscara de sub-rede 255.255.255.255, escolha Static e, no campo IP Address, digite o endereço externo 99.99.99.12. Clique em OK quando terminar.
-
Clique em Apply para aceitar a configuração da interface. A configuração também é empurrada no PIX.
-
Selecione Security Policy na guia Features para configurar a regra Security Policy.
-
Clique em Add para permitir o tráfego esp e clique em OK para continuar.
-
Clique em Add para permitir o tráfego de ISAKMP e clique em OK para continuar.
-
Clique em Add para permitir o tráfego da porta UDP 4500 para NAT-T e clique em OK para continuar.
-
Clique em Apply para aceitar a configuração da interface. A configuração também é empurrada no PIX.
-
A configuração foi concluída.
Escolha File > Show Running Configuration in New Window para visualizar a configuração da CLI.
Configuração de firewall PIX
| Firewall de PIX |
|---|
pixfirewall# show run
: Saved
:
PIX Version 7.0(0)102
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 99.99.99.1 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name cisco.com
ftp mode passive
access-list outside_access_in remark Access Rule to Allow ESP traffic
access-list outside_access_in
extended permit esp host 99.99.99.2 host 99.99.99.12
access-list outside_access_in
remark Access Rule to allow ISAKMP to host 99.99.99.12
access-list outside_access_in
extended permit udp host 99.99.99.2 eq isakmp host 99.99.99.12
access-list outside_access_in
remark Access Rule to allow port 4500 (NAT-T) to host 99.99.99.12
access-list outside_access_in
extended permit udp host 99.99.99.2 eq 4500 host 99.99.99.12
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 0.0.0.0 0.0.0.0
static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255
access-group outside_access_in in interface outside
route inside 10.2.2.0 255.255.255.0 10.1.1.2 1
route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.1.3 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy asa_global_fw_policy global
Cryptochecksum:0a12956036ce4e7a97f351cde61fba7e
: end |
Configuração do PIX Security Appliance e MPF (Modular Policy Framework)
Em vez da lista de acesso, use o comando inspect ipsec-pass-thru no MPF (Modular Policy Framework) para passar o tráfego IPsec pelos PIX/ASA Security Appliances.
Esta inspeção é configurada para abrir os orifícios para o tráfego ESP. Todos os fluxos de dados ESP são permitidos quando existe um fluxo de encaminhamento e não há limite para o número máximo de conexões que podem ser permitidas. AH não é permitido. Por padrão, o tempo limite ocioso padrão para fluxos de dados ESP é definido como 10 minutos. Essa inspeção pode ser aplicada em todos os locais em que outras inspeções podem ser aplicadas, o que inclui os modos de comando class e match. A inspeção de aplicativo Passagem IPSec fornece passagem conveniente de tráfego ESP (protocolo IP 50) associado a uma conexão UDP porta 500 IKE. Ele evita a configuração longa da lista de acesso para permitir o tráfego ESP e também fornece segurança com timeout e conexões máximas. Use os comandos class-map, policy-map e service-policy para definir uma classe de tráfego, aplicar o comando inspect à classe e aplicar a política a uma ou mais interfaces. Quando ativado, o comando inspect IPSec-pass-thru permite tráfego ESP ilimitado com um tempo limite de 10 minutos, que não é configurável. O tráfego NAT e não NAT é permitido.
hostname(config)#access-list test-udp-acl extended permit udp any any eq 500 hostname(config)#class-map test-udp-class hostname(config-cmap)#match access-list test-udp-acl hostname(config)#policy-map test-udp-policy hostname(config-pmap)#class test-udp-class hostname(config-pmap-c)#inspect ipsec-pass-thru hostname(config)#service-policy test-udp-policy interface outside
Verificar
Esta seção fornece informações que você pode usar para confirmar se sua configuração funciona adequadamente.
A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.
-
show crypto ipsec sa — Mostra as associações de segurança da fase 2.
-
show crypto isakmp sa — Mostra as associações de segurança da fase 1.
-
show crypto engine connections ative — Mostra os pacotes criptografados e descriptografados.
Troubleshooting
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Comandos de Solução de Problemas para IPsec do Roteador
Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar os comandos debug.
-
debug crypto engine — Exibe o tráfego que está criptografado.
-
debug crypto ipsec — Exibe as negociações de IPSec de fase 2
-
debug crypto isakmp — Exibe as negociações de Internet Security Association and Key Management Protocol (ISAKMP) da fase 1.
Limpando associações de segurança
-
clear crypto isakmp — Limpa as associações de segurança do Internet Key Exchange (IKE).
-
clear crypto ipsec sa — Limpa as associações de segurança IPsec.
Comandos de Troubleshooting para PIX
A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.
Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar os comandos debug.
-
logging buffer debugging - Mostra as conexões estabelecidas e negadas aos hosts que passam pelo PIX. As informações são armazenadas no buffer de registro do PIX e a saída pode ser vista usando o comando show log.
-
O ASDM pode ser usado para ativar o registro em log e também para exibir os logs como mostrado nessas etapas.
-
Escolha Configuration > Properties > Logging > Logging Setup > Enable Logging e clique em Apply.
-
Escolha Monitoring > Logging > Log Buffer > On Logging Level > Logging Buffer e clique em View.
Este é um exemplo do Buffer de Log.
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
27-Jan-2005 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)