此示例配置演示了一個透過防火牆的IPsec VPN隧道,該防火牆執行網路地址轉換(NAT)。如果使用早於且不包括12.2(13)T的Cisco IOS®軟體版本,則此配置不適用於埠地址轉換(PAT)。此型別的配置可用於傳輸IP流量。此配置不能用於加密不透過防火牆的流量,例如IPX或路由更新。一般路由封裝(GRE)通道是更合適的選擇。在本示例中,Cisco 2621和3660路由器是IPsec隧道終端,它們連線兩個專用網路,其間在PIX上使用conduit或訪問控制清單(ACL),以便允許IPsec流量。
注意:NAT是一對一地址轉換,不要與PAT混淆,PAT是多(在防火牆內)對一轉換。有關NAT操作和配置的詳細資訊,請參閱驗證NAT操作和基本的NAT故障排除或NAT的工作原理。
注意:帶有PAT的IPsec可能無法正常工作,因為外部隧道終端裝置無法處理來自一個IP地址的多個隧道。請與您的供應商聯絡,以確定隧道終端裝置是否可與PAT配合使用。此外,在Cisco IOS軟體版本12.2(13)T及更高版本中,NAT透明功能可用於PAT。有關詳細資訊,請參閱IPSec NAT透明模式。要瞭解有關Cisco IOS軟體版本12.2(13)T及更高版本中這些功能的詳細資訊,請參閱透過NAT支援IPSec ESP。
注意:在透過Cisco技術支援建立案例之前,請參閱NAT常見問題,其中有許多常見問題解答。
有關如何在PIX版本6.x及更低版本中,配置透過使用NAT的防火牆的IPsec隧道的詳細資訊,請參閱配置透過使用NAT的防火牆的IPSec隧道。
本文件沒有特定需求。
本文中的資訊係根據以下軟體和硬體版本:
Cisco IOS軟體版本12.0.7.T(最高但不包括Cisco IOS軟體版本12.2(13)T)
對於更新版本,請參閱IPSec NAT透明模式。
思科2621路由器
Cisco 3660路由器
運行7.x及更高版本的Cisco PIX 500系列安全裝置。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
本文檔還可用於軟體版本為7.x及更高版本的Cisco 5500系列自適應安全裝置(ASA)。
本節提供可用於設定本檔案所述功能的資訊。
注意:為了找到關於本文使用的指令的其他資訊,請使用命令查詢工具(僅限註冊客戶)。
此文件使用以下網路設定:
本檔案使用下列組態:
Cisco 2621 |
---|
Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname goss-2621 ! ip subnet-zero ! ip audit notify log ip audit po max-events 100 isdn voice-call-failure 0 cns event-service server ! !--- The IKE policy. crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 99.99.99.2 ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap local-address FastEthernet0/1 !--- IPsec policy. crypto map mymap 10 ipsec-isakmp set peer 99.99.99.2 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process. match address 101 ! controller T1 1/0 ! interface FastEthernet0/0 ip address 10.2.2.1 255.255.255.0 no ip directed-broadcast duplex auto speed auto ! interface FastEthernet0/1 ip address 10.1.1.2 255.255.255.0 no ip directed-broadcast duplex auto speed auto !--- Apply to the interface. crypto map mymap ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 no ip http server !--- Include the private-network-to-private-network traffic !--- in the encryption process. access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255 line con 0 transport input none line aux 0 line vty 0 4 ! no scheduler allocate end |
Cisco 3660 |
---|
version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname goss-3660 ! ip subnet-zero ! cns event-service server ! !--- The IKE policy. crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 99.99.99.12 ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap local-address FastEthernet0/0 !--- The IPsec policy. crypto map mymap 10 ipsec-isakmp set peer 99.99.99.12 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process. match address 101 ! interface FastEthernet0/0 ip address 99.99.99.2 255.255.255.0 no ip directed-broadcast ip nat outside duplex auto speed auto !--- Apply to the interface. crypto map mymap ! interface FastEthernet0/1 ip address 10.3.3.1 255.255.255.0 no ip directed-broadcast ip nat inside duplex auto speed auto ! interface Ethernet3/0 no ip address no ip directed-broadcast shutdown ! interface Serial3/0 no ip address no ip directed-broadcast no ip mroute-cache shutdown ! interface Ethernet3/1 no ip address no ip directed-broadcast interface Ethernet4/0 no ip address no ip directed-broadcast shutdown ! interface TokenRing4/0 no ip address no ip directed-broadcast shutdown ring-speed 16 ! !--- The pool from which inside hosts translate to !--- the globally unique 99.99.99.0/24 network. ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0 !--- Except the private network from the NAT process. ip nat inside source route-map nonat pool OUTSIDE ip classless ip route 0.0.0.0 0.0.0.0 99.99.99.1 no ip http server ! !--- Include the private-network-to-private-network traffic !--- in the encryption process. access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255 access-list 101 deny ip 10.3.3.0 0.0.0.255 any !--- Except the private network from the NAT process. access-list 110 deny ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255 access-list 110 permit ip 10.3.3.0 0.0.0.255 any route-map nonat permit 10 match ip address 110 ! line con 0 transport input none line aux 0 line vty 0 4 ! end |
要使用ASDM配置PIX防火牆版本7.0,請完成以下步驟。
透過控制檯進入PIX。在清除的配置中,使用互動式提示啟用高級安全裝置管理器GUI (ASDM),以便從工作站10.1.1.3管理PIX。
PIX防火牆ASDM載入程式 |
---|
Pre-configure Firewall now through interactive prompts [yes]? yes Firewall Mode [Routed]: Enable password [<use current password>]: cisco Allow password recovery [yes]? Clock (UTC): Year [2005]: Month [Mar]: Day [15]: Time [05:40:35]: 14:45:00 Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: pix-firewall Domain name: cisco.com IP address of host running Device Manager: 10.1.1.3 The following configuration will be used: Enable password: cisco Allow password recovery: yes Clock (UTC): 14:45:00 Mar 15 2005 Firewall Mode: Routed Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: OZ-PIX Domain name: cisco.com IP address of host running Device Manager: 10.1.1.3 Use this configuration and write to flash? yes INFO: Security level for "inside" set to 100 by default. Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 965 bytes copied in 0.880 secs |
從Workstation 10.1.1.3打開Web瀏覽器並使用ADSM(在本例中為https://10.1.1.1)。
在出現證書提示時選擇Yes,並使用PIX防火牆ASDM引導配置中所配置的啟用口令登入。
如果這是ASDM第一次在PC上運行,它將提示您使用ASDM啟動程式還是將ASDM用作Java應用。
在本示例中,選擇ASDM Launcher並安裝這些提示。
進入ASDM主窗口並選擇Configuration頁籤。
突出顯示Ethernet 0 Interface並按一下Edit以配置外部介面。
出現編輯介面提示時,按一下OK。
輸入介面詳細資料,並在完成後按一下OK。
出現更改介面提示時,按一下OK。
按一下Apply以接受介面配置。該配置也會被推送到PIX上。本示例使用靜態路由。
在Features頁籤下按一下Routing,突出顯示Static Route,然後按一下Add。
配置預設網關並按一下OK。
按一下Add以將路由增加到內部網路。
確認配置的路由正確,然後按一下Apply。
本示例中使用NAT。取消選中Enable traffic through the firewall without address translation對應的覈取方塊,然後按一下Add以配置NAT規則。
配置源網路(本示例為任意)。然後按一下Manage Pools以定義PAT。
選擇outside介面並按一下Add。
本示例使用使用介面IP地址的PAT。
配置PAT時,按一下OK。
按一下Add以配置靜態轉換。
在Interface下拉選單中選擇inside,然後輸入IP地址10.1.1.2、子網掩碼255.255.255.255,選擇Static,並在IP Address欄位中鍵入外部地址99.99.99.12。完成後按一下OK。
按一下Apply接受介面配置。該配置也會被推送到PIX上。
在Features頁籤下選擇Security Policy以配置安全策略規則。
按一下Add以允許esp流量,然後按一下OK以繼續。
按一下Add以允許ISAKMP流量,然後按一下OK以繼續。
按一下Add以允許NAT-T的UDP埠4500流量,然後按一下OK以繼續。
按一下Apply以接受介面配置。該配置也會被推送到PIX上。
配置現已完成。
選擇File > Show Running Configuration in New Window以檢視CLI配置。
PIX防火牆 |
---|
pixfirewall# show run : Saved : PIX Version 7.0(0)102 names ! interface Ethernet0 nameif outside security-level 0 ip address 99.99.99.1 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall domain-name cisco.com ftp mode passive access-list outside_access_in remark Access Rule to Allow ESP traffic access-list outside_access_in extended permit esp host 99.99.99.2 host 99.99.99.12 access-list outside_access_in remark Access Rule to allow ISAKMP to host 99.99.99.12 access-list outside_access_in extended permit udp host 99.99.99.2 eq isakmp host 99.99.99.12 access-list outside_access_in remark Access Rule to allow port 4500 (NAT-T) to host 99.99.99.12 access-list outside_access_in extended permit udp host 99.99.99.2 eq 4500 host 99.99.99.12 pager lines 24 mtu inside 1500 mtu outside 1500 no failover monitor-interface inside monitor-interface outside asdm image flash:/asdmfile.50073 no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (inside) 0 0.0.0.0 0.0.0.0 static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255 access-group outside_access_in in interface outside route inside 10.2.2.0 255.255.255.0 10.1.1.2 1 route outside 0.0.0.0 0.0.0.0 99.99.99.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http 10.1.1.3 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map asa_global_fw_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy asa_global_fw_policy global Cryptochecksum:0a12956036ce4e7a97f351cde61fba7e : end |
應在MPF(模組化策略架構)中使用inspect ipsec-pass-thru命令使IPsec流量透過PIX/ASA安全裝置,而不是使用訪問清單。
此檢測配置為打開ESP流量的針孔。當存在轉發流時,允許所有ESP資料流,並且允許的最大連線數沒有限制。不允許使用AH。預設情況下,ESP資料流的預設空閒超時設定為10分鐘。此檢測可以應用於可應用其他檢測的所有位置,包括class和match命令模式。IPSec Pass Through應用檢測提供與IKE UDP埠500連線關聯的ESP(IP協定50)流量的便捷遍歷。它可避免冗長的訪問清單配置來允許ESP流量,還可透過超時和最大連線數提供安全性。使用class-map、policy-map和service-policy命令可定義流量類,將檢查命令應用於該類,以及將策略應用於一個或多個介面。在啟用時,inspect IPSec-pass-thru命令允許不受限制的ESP流量,並且超時為10分鐘(不可配置)。允許NAT和非NAT流量。
hostname(config)#access-list test-udp-acl extended permit udp any any eq 500 hostname(config)#class-map test-udp-class hostname(config-cmap)#match access-list test-udp-acl hostname(config)#policy-map test-udp-policy hostname(config-pmap)#class test-udp-class hostname(config-pmap-c)#inspect ipsec-pass-thru hostname(config)#service-policy test-udp-policy interface outside
本節提供的資訊可用於確認組態是否正常運作。
輸出直譯器工具支援某些show命令(僅供註冊客戶使用),透過該工具可檢視對show命令輸出的分析。
show crypto ipsec sa -顯示第2階段安全關聯。
show crypto isakmp sa -顯示第1階段的安全關聯。
show crypto engine connections active -顯示加密的資料包和解密的資料包。
本節提供的資訊可用於對組態進行疑難排解。
注意:發出debug命令之前,請參閱有關Debug命令的重要資訊。
debug crypto engine -顯示已加密的流量。
debug crypto ipsec -顯示第2階段的IPsec協商。
debug crypto isakmp -顯示第1階段的Internet安全連線和金鑰管理協定(ISAKMP)協商。
clear crypto isakmp -清除Internet Key Exchange (IKE)安全關聯。
clear crypto ipsec sa -清除IPsec安全關聯。
輸出直譯器工具支援某些show命令(僅供註冊客戶使用),透過該工具可檢視對show命令輸出的分析。
注意:發出debug命令之前,請參閱有關Debug命令的重要資訊。
logging buffer debugging -顯示正在建立和已拒絕的連線,這些連線透過PIX指向主機。資訊儲存在PIX日誌緩衝區中,使用show log命令可檢視輸出。
如以下步驟所示,ASDM可用於啟用日誌記錄和檢視日誌。
選擇Configuration > Properties > Logging > Logging Setup > Enable Logging,然後按一下Apply。
選擇Monitoring > Logging > Log Buffer > On Logging Level > Logging Buffer,然後按一下View。
以下是日誌緩衝區的示例。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
27-Jan-2005 |
初始版本 |