單臂公共網際網路VPN的PIX/ASA和VPN客戶端配置示例

下載選項

PDF (2.1 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (2.5 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (2.8 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2008 年 9 月 26 日

文件 ID:67986

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹如何設定ASA安全裝置7.2及更高版本以在單臂上執行IPsec。即使 ASA 不允許分割通道，且使用者在獲准連線至網際網路之前直接與 ASA 連線，此特定情況亦適用於此設定。

注意：在PIX/ASA版本7.2及更高版本中，intra-interface關鍵字允許所有流量進入和退出同一介面，而不只是IPsec流量。

請參閱單臂公共網際網路的路由器和VPN客戶端配置示例，在中心站點路由器上完成類似的配置。

請參閱使用TACACS+身份驗證的PIX/ASA 7.x增強型輻條到客戶端VPN配置示例，以瞭解有關集線器PIX將流量從VPN客戶端重定向到分支PIX的方案的詳細資訊。

注意：為了避免網路中IP地址重疊，請為VPN客戶端分配完全不同的IP地址池（例如，10.x.x.x、172.16.x.x和192.168.x.x）。此IP編址方案有助於排除網路故障。

必要條件

需求

嘗試此組態之前，請確保符合以下要求：

中心PIX/ASA安全裝置需要運行7.2版或更高版本
Cisco VPN使用者端版本5.x

securityappliance(config)#
same-security-traffic permit intra-interface

注意：迴轉或U形轉彎也適用於VPN客戶端與VPN客戶端的通訊。

PIX/ASA

在PIX/ASA上運行配置
PIX Version 8.0(2) names ! interface Ethernet0 nameif outside security-level 0 ip address 172.18.124.98 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 172.16.3.101 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall ftp mode passive !--- Command that permits IPsec traffic to enter and exit the same interface. same-security-traffic permit intra-interface access-list 100 extended permit icmp any any echo-reply pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu inside 1500 ip local pool vpnpool 192.168.10.1-192.168.10.254 mask 255.255.255.0 no failover monitor-interface outside monitor-interface inside icmp permit any outside no asdm history enable arp timeout 14400 nat-control !--- The address pool for the VPN Clients. !--- The global address for Internet access used by VPN Clients. !--- Note:* Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP.* global (outside) 1 172.18.124.166 !--- The NAT statement to define what to encrypt (the addresses from the vpn-pool). nat (outside) 1 192.168.10.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) 172.16.3.102 172.16.3.102 netmask 255.255.255.255 access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.18.124.98 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !--- The configuration of group-policy for VPN Clients. group-policy clientgroup internal group-policy clientgroup attributes vpn-idle-timeout 20 !--- Forces VPN Clients over the tunnel for Internet access. split-tunnel-policy tunnelall no snmp-server location no snmp-server contact snmp-server enable traps snmp !--- Configuration of IPsec Phase 2. crypto ipsec transform-set myset esp-3des esp-sha-hmac !--- Crypto map configuration for VPN Clients that connect to this PIX. crypto dynamic-map rtpdynmap 20 set transform-set myset !--- Binds the dynamic map to the crypto map process. crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap !--- Crypto map applied to the outside interface. crypto map mymap interface outside !--- Enable ISAKMP on the outside interface. isakmp identity address isakmp enable outside !--- Configuration of ISAKMP policy. isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 !--- Configuration of tunnel-group with group information for VPN Clients. tunnel-group rtptacvpn type ipsec-ra !--- Configuration of group parameters for the VPN Clients. tunnel-group rtptacvpn general-attributes address-pool vpnpool !--- Disable user authentication. authentication-server-group none !--- Bind group-policy parameters to the tunnel-group for VPN Clients. default-group-policy clientgroup tunnel-group rtptacvpn ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0 : end

在PIX/ASA上運行配置

PIX Version 8.0(2)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.98 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 172.16.3.101 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
ftp mode passive

!--- Command that permits IPsec traffic to enter and exit the same interface.

same-security-traffic permit intra-interface
access-list 100 extended permit icmp any any echo-reply
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500

ip local pool vpnpool 
   192.168.10.1-192.168.10.254 mask 255.255.255.0

no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control
!--- The address pool for the VPN Clients.



!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP. 

global (outside) 1 172.18.124.166


!--- The NAT statement to define what to encrypt (the addresses from the vpn-pool).
 

nat (outside) 1 192.168.10.0 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.3.102 172.16.3.102 
   netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.124.98 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- The configuration of group-policy for VPN Clients.


group-policy clientgroup internal
group-policy clientgroup attributes
vpn-idle-timeout 20


!--- Forces VPN Clients over the tunnel for Internet access.


split-tunnel-policy tunnelall


no snmp-server location
no snmp-server contact
snmp-server enable traps snmp


!--- Configuration of IPsec Phase 2.


crypto ipsec transform-set myset esp-3des esp-sha-hmac


!--- Crypto map configuration for VPN Clients that connect to this PIX.


crypto dynamic-map rtpdynmap 20 set transform-set myset


!--- Binds the dynamic map to the crypto map process.


crypto map mymap 20 ipsec-isakmp dynamic rtpdynmap


!--- Crypto map applied to the outside interface.


crypto map mymap interface outside


!--- Enable ISAKMP on the outside interface.


isakmp identity address
isakmp enable outside


!--- Configuration of ISAKMP policy.


isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0


!--- Configuration of tunnel-group with group information for VPN Clients.


tunnel-group rtptacvpn type ipsec-ra


!--- Configuration of group parameters for the VPN Clients.


tunnel-group rtptacvpn general-attributes
address-pool vpnpool


!--- Disable user authentication.


authentication-server-group none



!--- Bind group-policy parameters to the tunnel-group for VPN Clients.


default-group-policy clientgroup
tunnel-group rtptacvpn ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect dns maximum-length 512
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect netbios
 inspect rsh
 inspect rtsp
 inspect skinny
 inspect esmtp
 inspect sqlnet
 inspect sunrpc
 inspect tftp
 inspect sip
 inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:1a1ad58226e700404e1053159f0c5fb0
: end

使用ASDM配置ASA/PIX

完成以下步驟，以便使用ASDM將Cisco ASA配置為遠端VPN伺服器：

從主視窗中選擇Wizards > IPsec VPN Wizard。
選擇Remote Access VPN隧道型別，並確保已根據需要設定VPN隧道介面。
已選擇唯一可用的VPN客戶端型別。按「Next」（下一步）。
輸入隧道組名稱的名稱。提供要使用的身份驗證資訊。

本範例中選擇預先共用金鑰。

注意：無法隱藏/加密ASDM上的預共用金鑰。原因是ASDM只能由配置ASA的人員或協助客戶進行此配置的人員使用。
選擇是要對本地使用者資料庫還是外部AAA伺服器組驗證遠端使用者。

註：您可以在步驟6中將使用者新增到本地使用者資料庫。

注意：有關如何通過ASDM配置外部AAA伺服器組的資訊，請參閱通過ASDM為VPN使用者配置PIX/ASA 7.x身份驗證和授權伺服器組配置示例。
如有必要，將使用者新增到本地資料庫。

注意：不要從此視窗中刪除當前使用者。在ASDM主視窗中選擇Configuration > Device Administration > Administration > User Accounts，以編輯資料庫中的現有條目或從資料庫中刪除這些條目。
定義一個本地地址池，在遠端VPN客戶端連線時將其動態分配給它們。
可選：指定要推送到遠端VPN客戶端的DNS和WINS伺服器資訊以及預設域名。
指定IKE的引數，也稱為IKE階段1。

隧道兩端的配置必須完全匹配，但Cisco VPN客戶端會自動為自己選擇正確的配置。客戶端PC上無需配置IKE。
指定IPSec（也稱為IKE階段2）的引數。

隧道兩端的配置必須完全匹配，但Cisco VPN客戶端會自動為自己選擇正確的配置。客戶端PC上無需配置IKE。
指定可以向遠端VPN使用者公開哪些內部主機或網路（如果有）。

如果將此清單留空，則遠端VPN使用者可訪問ASA的整個內部網路。

您還可以在此視窗中啟用分割隧道。分割隧道可加密流向此過程前面定義的資源的流量，並通過不對該流量進行隧道傳輸來提供對一般網際網路的未加密訪問。如果未啟用拆分隧道，則所有來自遠端VPN使用者的流量都會通過隧道連線到ASA。根據您的配置，這會佔用大量頻寬和處理器。
此視窗顯示您已採取的操作的摘要。如果對配置滿意，請按一下Finish。
按一下覈取方塊時，配置命令same-security-traffic，以在連線到同一介面的兩個或多個主機之間啟用流量，如下所示：
選擇Configuration > Firewall > NAT Rules，然後按一下Add Dynamic NAT Rule，以便使用ASDM建立此動態轉換。
選擇inside作為源介面，然後輸入要進行NAT的地址。對於Translate Address on Interface，選擇outside，然後按一下OK。
選擇outside作為源介面，然後輸入您要進行NAT的地址。對於Translate Address on Interface，選擇outside，然後按一下OK。
轉換將顯示在Configuration > Firewall > NAT Rules的Translation Rules中。

附註1:需要配置sysopt connection permit-vpn 命令。show running-config sysopt命令會驗證它是否已配置。

附註2:為可選的UDP傳輸新增以下輸出：

group-policy clientgroup attributes
vpn-idle-timeout 20

ipsec-udp enable
ipsec-udp-port 10000

split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel

附註3:在PIX裝置的全域性配置中配置此命令，以便通過IPsec over TCP連線VPN客戶端：


isakmp ipsec-over-tcp port 10000

注意：請參閱Cisco ASA上的髮夾影片，瞭解有關可以使用髮夾的不同方案的詳細資訊。

VPN客戶端配置

完成以下步驟以配置VPN客戶端：

選擇New。
輸入PIX外部介面ip地址、隧道組名稱以及用於身份驗證的密碼。
(可選)按一下Transport頁籤下的Enable Transparent Tunneling。(這是可選的，需要附註2中提到的額外PIX/ASA配置。)
儲存配置檔案。

驗證

使用本節內容，確認您的組態是否正常運作。

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

show crypto isakmp sa — 顯示對等體上的所有當前IKE安全關聯(SA)。
show crypto ipsec sa — 顯示所有當前SA。在定義VPN客戶端流量的SA上查詢加密和解密資料包。

嘗試從客戶端(例如www.cisco.com)ping或瀏覽到公有IP地址。

注意：除非在全域性配置模式下配置了management-access命令，否則無法ping通PIX的內部介面以形成隧道。

PIX1(config)#management-access inside
PIX1(config)#
show management-access

management-access inside

VPN使用者端驗證

完成以下步驟以驗證VPN客戶端。

連線成功後，按一下右鍵系統托盤上出現的VPN客戶端鎖定圖示，然後選擇statistics選項檢視加密和解密。
點選Route Details頁籤以驗證從裝置向下傳遞的no split-tunnel清單。

疑難排解

注意：有關如何排除VPN問題的詳細資訊，請參閱VPN故障排除解決方案。

單臂公共網際網路VPN的PIX/ASA和VPN客戶端配置示例

下載選項

無偏見用語

關於此翻譯

目錄

簡介

必要條件

需求

採用元件

相關產品

慣例

背景資訊

髮夾或U形轉彎

組態

網路圖表

PIX/ASA的CLI配置

使用ASDM配置ASA/PIX

VPN客戶端配置

驗證

VPN使用者端驗證

疑難排解

相關資訊

修訂記錄

這份文件是否有所幫助？

讓思科協助您

本文件適用於這些產品