VPN_con_CCP
21
VPN con CCP Introducción Este documento proporciona una configuración de ejemplo para saber como activar el Appliance PIX / ASA de Seguridad a aceptar dinámicas conexiones IPsec desde el router Cisco IOS ®. En este escenario, el túnel IPsec establece cuando el túnel se inicia desde el extremo del router sólo. ASA no podía iniciar un túnel VPN debido a la dinámica de configuración de IPsec. Esta configuración permite que el Appliance PIX Seguridad para crear una dinámica IPsec LAN-to-LAN (L2L) túnel con un enrutador VPN remoto. Este router dinámicamente recibir su dirección IP pública fuera de su proveedor de servicios de Internet. Dynamic Host Configuration Protocol (DHCP) proporciona el mecanismo para asignar direcciones IP dinámicamente del proveedor. Esto permite que las direcciones IP para ser reutilizado cuando acoge ya no los necesita. La configuración del router se hace con el uso del profesional de Cisco Configuration (CCP). CCP es una herramienta basada en GUI dispositivo de gestión que le permite configurar Cisco IOS basadas en routers. Consulte la configuración básica del router con Cisco Configuration Professional para obtener más información sobre cómo configurar un router con CCP. Consulte el sitio para localizar VPN (L2L) con AAS durante más inormation y ejemplos de configuración en el establecimiento del túnel IPsec que el uso de ASA y routers Cisco IOS. Consulte el sitio para localizar VPN (L2L) con IOS para más información y un ejemplo de configuración en el establecimiento dinámico túnel IPSec con el uso de PIX y Cisco IOS Router. Requisitos previos
-
Upload
pucela1991 -
Category
Documents
-
view
115 -
download
0
Transcript of VPN_con_CCP
VPN con CCP
Introducción Este documento proporciona una configuración de ejemplo para saber como activar el Appliance PIX / ASA de Seguridad a aceptar dinámicas conexiones IPsec desde el router Cisco IOS ®. En este escenario, el túnel IPsec establece cuando el túnel se inicia desde el extremo del router sólo. ASA no podía iniciar un túnel VPN debido a la dinámica de configuración de IPsec.
Esta configuración permite que el Appliance PIX Seguridad para crear una dinámica IPsec LAN-to-LAN (L2L) túnel con un enrutador VPN remoto. Este router dinámicamente recibir su dirección IP pública fuera de su proveedor de servicios de Internet. Dynamic Host Configuration Protocol (DHCP) proporciona el mecanismo para asignar direcciones IP dinámicamente del proveedor. Esto permite que las direcciones IP para ser reutilizado cuando acoge ya no los necesita.
La configuración del router se hace con el uso del profesional de Cisco Configuration (CCP). CCP es una herramienta basada en GUI dispositivo de gestión que le permite configurar Cisco IOS basadas en routers. Consulte la configuración básica del router con Cisco Configuration Professional para obtener más información sobre cómo configurar un router con CCP.
Consulte el sitio para localizar VPN (L2L) con AAS durante más inormation y ejemplos de configuración en el establecimiento del túnel IPsec que el uso de ASA y routers Cisco IOS.
Consulte el sitio para localizar VPN (L2L) con IOS para más información y un ejemplo de configuración en el establecimiento dinámico túnel IPSec con el uso de PIX y Cisco IOS Router.
Requisitos previos
Requisitos
Antes de intentar esta configuración, asegúrese de que tanto el ASA y el router tiene conexión a Internet con el fin de establecer el túnel IPSEC.
Los componentes utilizados
La información contenida en este documento se basa en estas versiones de software y hardware:
Cisco IOS que se ejecuta Router1812 Cisco IOS Software Release 12.4 Cisco ASA 5510 Software versión 8.0.3
La información contenida en este documento fue creado a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos utilizados en este
documento empezó con un aclarado (por defecto) de configuración. Si la red está activa, asegúrese de que entiende el impacto potencial de cualquier comando.
Convenios
Consulte los Convenios de Cisco consejos técnicos para obtener más información sobre las convenciones de documentos.
Antecedentes En este escenario, 192.168.100.0 red está detrás de la ASA y 192.168.200.0 red está detrás del router Cisco IOS. Se supone que el router recibe una dirección pública a través de DHCP de su ISP. Como esto plantea un problema en la configuración de un par estático en el extremo ASA, es necesario acercarse a la forma de configuración dinámica de cripto para establecer un túnel de sitio a sitio entre ASA y el enrutador Cisco IOS.
Los usuarios de Internet en el extremo ASA se traducen a la dirección IP de su interfaz exterior. Se supone que NAT no está configurado en el router de gama Cisco IOS.
Estos son los pasos principales que se deben configurar en el extremo ASA con el fin de establecer túnel dinámico:
1. Fase 1 de ISAKMP relacionada configuración 2. Nat. configuración exención
3. Dinámica crypto mapa de configuración
El router Cisco IOS tiene un mapa estático de cifrado configurado porque la ASA se supone que tiene una dirección IP pública estática. Ahora bien, esta es la lista de los pasos principales que se deben configurar en el router Cisco IOS fin de establecer dinámico túnel IPSEC.
1. Fase 1 de ISAKMP relacionada configuración 2. Static crypto mapa configuración relacionada
Estos pasos se describen en detalle en estas configuraciones.
Configurar En esta sección, se le presentará la información para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta de búsqueda de comandos ( registrados sólo clientes) para obtener más información sobre los comandos que se utilizan en esta sección.
Diagrama de red
En este documento se utiliza esta configuración de red:
Configuraciones
Esta es la configuración IPsec VPN en el Router VPN con CCP. Siga estos pasos:
1. Abra la aplicación de CCP y seleccione Configurar> Seguridad> VPN> Sitio a sitio VPN. Haga clic en el lanzamiento de la ficha seleccionada.
2. Elija Paso a paso del asistente y haga clic en Siguiente.
3. Introduzca la dirección IP punto remoto junto con los detalles de autenticación.
4. Elige las propuestas IKE y haga clic en Siguiente.
5. Defina los detalles de ajuste de transformación y haga clic en Siguiente.
6. Definir el tráfico que necesita para cifrar y haga clic en Siguiente.
7. Compruebe el resumen de la configuración de cifrado IPsec y haga clic en Finalizar.
8. Haga clic en Enviar para enviar la configuración de la VPN-Router.
9. Haga clic en Aceptar.
Configuración de CLI
Ciscoasa VPN-Router
Ciscoasa ciscoasa (config) # show run : Guardado : ASA Version 8.0 (3) ! hostname ciscoasa habilitar el password encriptado 8Ry2YjIyt7RRXU24 nombres ! interfaz ethernet0 / 0 nameif fuera seguridad de nivel 0 dirección IP 209.165.201.2 255.255.255.224 ! interfaz ethernet0 / 1 nameif interior seguridad-nivel 100 dirección IP 192.168.100.1 255.255.255.0 ! interfaz ethernet0 / 2 cierre no nameif ninguna seguridad de nivel no ip address ! interfaz ethernet0 / 3 cierre no nameif ninguna seguridad de nivel no ip address ! interfaz Management0 / 0 cierre no nameif ninguna seguridad de nivel no ip address ! passwd 2KFQnbNIdI.2KYOU cifrado ftp en modo pasivo
! Salida --- suprimido
la lista de acceso ip Nonat permiso extendido 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0
no buscapersonas mtu 1500 fuera mtu interior 1500 ICMP inaccesible limitar la velocidad de una ráfaga de tamaño 1 asdm imagen disk0 :/ asdm-613.bin sin antecedentes asdm permitir arp timeout 14400 !
! --- Definir la nat-traducción para los usuarios de Internet
global (exterior) 1 interfaz nat (inside) 1 192.168.100.0 255.255.255.0 ! ! ! --- Definir la política na-exención para el tráfico VPN
nat (interior) 0 access-list Nonat ! fuera de ruta 0.0.0.0 0.0.0.0 209.165.201.1 una ! tiempo de espera xlate 03:00:00 tiempo de espera conex 1:00:00 medio cerrados 0:10:00 0:02:00 udp icmp 0:00:02 tiempo de espera sunrpc 0:10:00 0:05:00 H225 H323 1:00:00 0:05:00 MGCP MGCP-pat 0:05:00 tiempo de espera sorbo 0:30:00 0:02:00 sip_media sorbo a invitar 0:03:00 0:02:00 sorbo de desconexión tiempo de espera uauth 0:05:00 absoluta dinámico-access-policy-record DfltAccessPolicy sin lugar snmp-server ningún contacto snmp-server snmp-server enable snmp trampas linkup autenticación de arranque en frío linkDown ! ! --- Configura el IPsec transform-set
crypto ipsec transform-set MYSET esp esp-des-MD5-HMAC ! ! ! --- Configura el mapa criptográfico dinámico
crypto-map dinámico mymap 1 set transform-set MYSET crypto-map dinámico mymap 1 juego ruta inversa crypto-map mapa dyn 10 IPSec ISAKMP dinámica mymap crypto-map mapa dyn interfaz externa ! ! --- Configura la fase I ISAKMP política
crypto ISAKMP política 10 autenticación pre-share cifrado DES hash md5 grupo 2 vida 86400
! ! ! --- Configure los parámetros predeterminados L2L grupo túnel
grupo de túnel IPSec DefaultL2LGroup atributos pre-shared-key * ! clase-mapa inspection_default coincidir default-inspección de tráfico ! ! policy-map tipo inspeccionar dns preset_dns_map parámetros mensaje de longitud máxima de 512 policy-map global_policy clase inspection_default inspeccionar dns preset_dns_map inspeccionar ftp inspeccionar h323 H225 inspeccionar h323 ras inspeccionar netbios inspeccionar rsh inspeccionar rtsp inspeccionar flaco inspeccionar esmtp inspeccionar SQLNET inspeccionar sunrpc inspeccionar tftp inspeccionar sorbo inspeccionar xdmcp ! política-servicio global_policy mundial contexto del sistema host Cryptochecksum: d41d8cd98f00b204e9800998ecf8427e : Fin ciscoasa (config) #
CCP crea esta configuración de la VPN-Router.
VPN-Router VPN-Router # show run Creando la configuración ... ! versión 12.4 marcas de tiempo de servicio depurar datetime mseg marcas de tiempo de servicio de registro de fecha y hora ms no service password-encryption ! nombre de host del router VPN- ! ! nombre de usuario cisco secreto
privilegio 15 5 $ 1 $ $ UQxM WvwDZbfDhK3wS26C9xYns / nombre de usuario test12 privilegio secreto 15 5 $ 1 $ $ LC0U ex3tp4hM8CYD.HJSRDfQO1 ! ! ! Salida --- suprimido
no aaa nuevo modelo ip subnet-zero ! ip cef ! crypto ISAKMP permitir exterior ! crypto ISAKMP política 1 encrypt 3des autenticación pre-share grupo 2 ! crypto ISAKMP política 2 hash md5 autenticación pre-share grupo 2 ! ! crypto ISAKMP clave cisco123 dirección 209.165.201.2 ! ! crypto ipsec transform-set MYSET esp esp-des-MD5-HMAC ! ! crypto mapa SDM_CMAP_1 1 IPSec ISAKMP Descripción del Túnel to209.165.201.2 establecer pares 209.165.201.2 establece transform-set MYSET coincide con la dirección 101 ! ! ! interfaz BRI0 no ip address cierre ! interfaz Dot11Radio0 no ip address cierre velocidad básica fundamental-1.0-2.0-5.5 básico básico 6.0 9.0-11,0 12,0 18,0 24,0 36,0 48,0 54,0 estación rol de usuario root ! interfaz Dot11Radio1 no ip address cierre velocidad básica-6,0 9,0 12,0 18,0 básico-básico-24,0 36,0 48,0 54,0
estación rol de usuario root ! interfaz FastEthernet0 dirección IP 192.168.200.1 255.255.255.0 dúplex automática velocidad automática ! interfaz FastEthernet1 ip address dhcp dúplex automática velocidad automática crypto mapa SDM_CMAP_1 ! interfaz FastEthernet2 no ip address cierre ! interfaz FastEthernet3 no ip address cierre ! interfaz FastEthernet4 no ip address cierre ! interfaz FastEthernet5 no ip address cierre ! interfaz FastEthernet6 no ip address cierre ! interfaz FastEthernet7 no ip address cierre ! interfaz FastEthernet8 no ip address cierre ! interfaz FastEthernet9 no ip address cierre ! interfaz VLAN1 no ip address ! ip sin clases ip route 0.0.0.0 0.0.0.0 209.165.200.1 ! ! ! Salida --- suprimido
! ip del servidor http ip http autenticación local ip http secure-server !
access-list 100 permit ip 0.0.0.0 0.0.0.0 255.255.255.0 255.255.255.0 access-list 101 observación CCP_ACL Category = 4 access-list 101 observación IPSEC Regla access-list 101 permit ip 192.168.200.0 192.168.100.0 0.0.0.255 0.0.0.255 ! ! ! ! el plano de control ! ! line con 0 line aux 0 line vty 0 4 privilegio nivel 15 inicio de sesión local transporte input telnet ssh line vty 5 15 privilegio nivel 15 inicio de sesión local transporte input telnet ssh ! no scheduler allocate final
Verificar Utilice esta sección para confirmar que la configuración funciona correctamente.
La herramienta intérprete de salida ( registrados únicos clientes) (OIT) es compatible con ciertos comandos show. Utilice la OIT para ver un análisis de la salida del comando show.
Verificación de los parámetros del túnel a través de CCP Verificación del estado del túnel a través de ASA CLI
Verificación de los parámetros del túnel a través del router CLI
Verifique los parámetros del túnel a través de CCP
Supervisar el tráfico pasa a través del túnel IPsec.
Supervisar el estado de la fase I ISAKMP SA.
Verificar el estado del túnel a través de ASA CLI
Verifique el estado de la fase I ISAKMP SA. ciscoasa # show crypto ISAKMP SA Activa SA: 1
Rekey SA: 0 (Un túnel informará 1 Activo y 1 SA Rekey durante rekey)
Total SA IKE: 1 1 IKE pares: 209.165.200.12 Tipo: L2L Rol: respondedor Rekey: no Estado: MM_ACTIVE
ciscoasa #
Nota: Tenga en cuenta el papel que debe responder, que establece que el iniciador de este túnel se encuentra en el otro extremo, por ejemplo, el VPN-Router.
Verifique los parámetros de fase II IPSEC SA. ciscoasa # show crypto ipsec sa interfaz: fuera Crypto mapa tag: mymap, seq num: 1, local addr:
209.165.201.2 locales ident (addr / mask / prot / puerto):
(192.168.100.0/255.255.255.0/0/0) remoto ident (addr / mask / prot / puerto):
(192.168.200.0/255.255.255.0/0/0) current_peer: 209.165.200.12 # Pkts encaps: 29, # pkts cifrar: 29, # pkts
digerir: 29 # Pkts decaps: 29, # pkts descifrar: 29, # pkts
verificar: 29 # Pkts comprimido: 0, # pkts descomprimido: 0 # Pkts los compactos: 29, # pkts borrador perdidos:
0, # pkts descomposición perdidos: 0 # Pre-fragmentos éxitos, fracasos: 0 # pre-frag: 0,
# fragmentos creados: 0 # PMTUs enviados: 0, # PMTUs rcvd: 0, FRGS #
decapsulated que necesitan volver a montar: 0 # Enviar errores: 0, # Errores recv: 0 locales endpt crypto:. 209.165.201.2, remoto crypto
endpt:. 209.165.200.12 Path MTU 1500, los gastos generales IPSec 58, los
medios de comunicación mtu 1500 corriente de salida spi: E7B37960 sas esp entrante: spi: 0xABB49C64 (2880740452) transform: esp-des esp-MD5-HMAC ninguno en entornos de uso = {L2L, Túnel,} slot: 0, id_con: 4096, crypto-map: mymap sa tiempo: duración de la clave restante (kB /
s): (4274997/3498) Tamaño IV: 8 bytes repetición apoyo detección: Y salida sas esp: spi: 0xE7B37960 (3887298912) transform: esp-des esp-MD5-HMAC ninguno en entornos de uso = {L2L, Túnel,} slot: 0, id_con: 4096, crypto-map: mymap
sa tiempo: duración de la clave restante (kB / s): (4274997/3498)
Tamaño IV: 8 bytes repetición apoyo detección: Y
Verifique los parámetros del túnel a través del router CLI
Verifique el estado de la fase I ISAKMP SA. VPN-Router # show crypto ISAKMP SA src dst estado conn-id espacio de estado 209.165.201.2 209.165.200.12 QM_IDLE 1 0 ACTIVO
Verifique los parámetros de fase II IPSEC SA.
VPN-Router # show crypto ipsec sa interfaz: FastEthernet1 Crypto mapa tag: SDM_CMAP_1, local addr
209.165.200.12 protegida vrf: (ninguno) locales ident (addr / mask / prot / puerto):
(192.168.200.0/255.255.255.0/0/0) remoto ident (addr / mask / prot / puerto):
(192.168.100.0/255.255.255.0/0/0) current_peer 209.165.201.2 puerto 500 PERMISO, flags = {origin_is_acl,} # Pkts encaps: 39, # pkts cifrar: 39, # pkts digerir:
39 # Decaps pkts: 39, # pkts descifrar: 39, # pkts
verificar: 39 # Pkts comprimido: 0, # pkts descomprimido: 0 # Pkts los compactos: 0, # pkts compr. perdidos: 0 # Pkts no descomprimido: 0, # pkts descomprimir
perdidos: 0 # Enviar errores, # 6 errores recv 0 locales endpt crypto:. 209.165.200.12, remoto crypto
endpt:. 209.165.201.2 Path MTU 1500, ip mtu 1500 corriente de salida spi: 0xABB49C64 (2880740452) sas esp entrante: spi: 0xE7B37960 (3887298912) transform: esp-des esp-MD5-HMAC, en entornos de uso = {túnel,} CONN id: 2001, flow_id: C18XX_MBRD: 1, crypto
mapa: SDM_CMAP_1 sa tiempo: duración de la clave restante (k / s):
(4481818/3375) Tamaño IV: 8 bytes repetición apoyo detección: Y Status: ACTIVE sas ah entrante: sas entrante pcp: salida sas esp: spi: 0xABB49C64 (2880740452) transform: esp-des esp-MD5-HMAC,
en entornos de uso = {túnel,} CONN id: 2002, flow_id: C18XX_MBRD: 2, crypto
mapa: SDM_CMAP_1 sa tiempo: duración de la clave restante (k / s):
(4481818/3371) Tamaño IV: 8 bytes repetición apoyo detección: Y Status: ACTIVE sas saliente ah:
sas salida pcp:
Solución de problemas Esta sección proporciona información que puede utilizar para solucionar problemas de configuración.
Derribando las actuales conexiones de cifrado. ciscoasa # clear crypto ipsec sa ciscoasa # clear crypto ISAKMP SA VPN-Router # clear crypto ISAKMP
Utilice depurar comandos con el fin de solucionar los problemas con el túnel VPN.
Nota: Si se habilita la depuración, esto puede interrumpir la operación del router cuando Internetworks experimentar condiciones de alta carga Utilice los comandos de depuración con precaución.. En general, se recomienda que estos comandos sólo puede utilizarse bajo la dirección de su representante router de soporte técnico para solucionar problemas específicos.
ciscoasa # debug crypto motor ciscoasa # debug crypto ISAKMP ciscoasa # debug crypto IPSec ciscoasa #
VPN-Router # debug crypto motor Depuración Crypto motor está en VPN-Router # debug crypto ISAKMP Crypto ISAKMP depuración es el VPN-Router # debug crypto ipsec Crypto IPSEC depuración es el VPN-Router #
Consulte depurar crypto ISAKMP en Comprensión y Uso de los comandos de depuración para obtener más información sobre commangs depuración.
Cisco Support Community - Conversaciones destacados
Cisco Support Community is a forum for you to ask and answer questions, share suggestions, and collaborate with your peers. Below are just some of the most recent and relevant conversations happening right now.Want to see more? Join us by clicking here
dynamic ip vpn configuration abdulbasitkhan 2 Replies1 month, 3 weeks ago Site To Site IPsec VPN littlespace 3 Replies4 months, 3 days ago
IPSEC VPN With DYNAMIC IP ADDRESS wasiimcisco 13 Replies3 years, 2 months ago
Dynamic IPsec Between Statically... azikopoulos 1 Reply4 years, 4 months ago
Static to Dynamic IPSEC VPN ankurs2008 1 Reply4 years, 1 month ago
VPN using FQDN network770 3 Replies3 months, 2 weeks ago
L2L VPN CONNECTION NAME FIELD sergio.valente_at_admtl.com 6 Replies1 year, 9 months ago
2900 router to ASA - L2L VPN with... treimers1 3 Replies5 months, 2 weeks ago
LAN 2 LAN IPSEC behind an ADSL pavlosd 3 Replies7 years, 6 months ago
Cisco ASA 5540 alf_param 3 Replies5 years, 1 week ago
Subscribe Start A New Discussion
Información relacionada IPSEC Negociación / IKE Protocolos Página de Soporte La documentación de Cisco ASA Security Appliance Software OS
Más comunes IPSEC VPN Solución de problemas Soluciones
Las solicitudes de comentarios (RFC)
Soporte técnico y documentación - Cisco Systems
