Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Documentos relacionados
Túnel ipsec de LAN a LAN entre un Cisco VPN 3000 Concentrator y un router con el ejemplo de configuración AES

ASA 8.3 y posterior: Acceso al servidor del correo (S TP) en el ejemplo de la configuración de DMZ

Configuración de IPSec entre dos routers y Cisco VPN Client 4.x

Packet Tracer: Configuración de VPN (optativo)

Introducción Cisco-Pix Firewall. Ing. Civil en Sistemas Ricardo E. Gómez M.

Configuración de PIX Firewall con acceso a un servidor de correo en una red interna

Configuración del concentrador Cisco VPN 3000 en un router Cisco

IPSec/GRE con el NAT en el ejemplo de configuración del router IOS

Tema: Implementación de redes privadas virtuales VPN de punto a punto.

Configuración de IPSec sobre ADSL en un Cisco 2600/3600 con módulos de encripción del hardware y ADSL-WIC.

Tema: Implementación de túneles GRE cifrados con IPSec.

CONFIGURACIÓN VPN SITE TO SITE YADFARY MONTOYA NATALIA HERNÁNDEZ SONIA DEYANIRA CARATAR BRENDA MARCELA TOVAR ADMINISTRACIÓN DE REDES DE COMPUTADORES

En este documento, se asume que Cisco Security Appliance está configurado y funciona correctamente.

PIX/ASA 7.x: activación de la comunicación entre interfaces

Contenido. Introducción. prerrequisitos. Requisitos. Componentes Utilizados

Configuración de IPSec con EIGRP e IPX usando tunelización GRE

Cisco PIX 500 Series Security Appliances

Configuración de servidor de Syslog en los reguladores del Wireless LAN (WLCs)

ASA/PIX: IP estático dirigiendo para el cliente del IPSec VPN con el CLI y el ejemplo de la Configuración de ASDM

Resolución de problemas de OSPF (Abrir la ruta más corta en primer lugar)

PIX/ASA: Autenticación de Kerberos y grupos de servidor de autorización LDAP para los usuarios de cliente VPN vía el ejemplo de configuración ASDM/CLI

PIX a PIX 6.x: Ejemplo de configuración de Easy VPN (NEM)

ASA/PIX: Permiten tráfico de la red acceder Microsoft servidor de medios ()/vídeo de flujo continuo MM del ejemplo de configuración de Internet

CISCO Site-to-Site VPN

PIX/ASA: Ejemplo transparente de la configuración de escudo de protección

Cliente liviano SSL VPN (WebVPN) en el ASA con el ejemplo de la Configuración de ASDM

VPN sitio a sitio. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 3 SAD

Ejemplo de Configuración de BGP con Dos Proveedores de Servicio Diferentes (Multihoming)

PIX/ASA 7.x y superior: Acceso al servidor del correo (S TP) en el ejemplo de configuración de la red interna

Fortigate - VPN IPSEC

REDES DE COMPUTADORES Laboratorio

Opción 55 de la lista del pedido del parámetro del DHCP usada para perfilar el ejemplo de configuración de los puntos finales

access-list deny permit log

Configurar las alertas del correo electrónico en el Cisco VPN 3000 Concentrator

PIX/ASA 7.x: Ejemplo de configuración para habilitar servicios FTP/TFTP

Cisco Secure Desktop (CSD 3.1.x) en ASA 7.2.x para el ejemplo de configuración de Windows usando el ASDM

Comunidad de Soporte de Cisco en Español Webcast en vivo:

PRÁCTICA: Configuración básica de un cortafuegos (cortafuegos PIX 515E de Cisco Systems)

REDES DE COMPUTADORES Laboratorio

FWSM: Ejemplo de configuración del contexto múltiple

Clientless SSL VPN (WebVPN) en el ejemplo de configuración ASA

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

Configurar el RCP como Transport Protocol en los Fundamentos del Resource Manager de Cisco

Mikrotik User Meeting - Colombia LOGO

Cómo agregar la Autenticación AAA (Xauth) a PIX IPSec 5.2 y posteriores.

Ejemplo de configuración: Easy VPN

Universidad Interamericana de Puerto Rico Recinto de Bayamón Departamento de Informática

Cómo construir conexión LAN a LAN VPN entre router Vigor y CiscoASA

Antecedentes La sucursal remota o la empresa minorista tamaño pequeño puede consistir en un solo o un stack

Configuración simultánea de NAT estático y dinámico

Contraseñas de puertos Telnet, de consola y auxiliar en el ejemplo de configuración de routers de Cisco

VPN TUNEL SITIO A SITIO EN GNS3. Trabajo realizado por: Brenda Marcela Tovar. Natalia Hernández. Yadfary Montoya. Sonia Deyanira Caratar G.

Manual para Conexión a Servidores Virtuales. Infrastructure-as-a-Service. Triara.com SA de CV. Todos los derechos reservados

Tema: Configuración de túneles IPSec

Tema 3 Implantación de Técnicas de Acceso Remoto

Contenido. Introducción. prerrequisitos. Requisitos. Componentes Utilizados

Router de tres interfaces sin la configuración del Firewall Cisco IOS NAT

Cisco IOS Firewall. Implementación de Autenticación Proxy. Contenidos. Introducción. Requisitos previos. Traducción por computadora.

ASA 8.0: Autenticación de RADIUS de la configuración para los usuarios de WebVPN

Configurar PIX 5.1.x: TACACS+ y RADIUS

Laboratorio práctico Configuración y prueba del cliente VPN

Configurar la redirección de HTTP a diversos servidores usando los mismos directorios y archivos

Configuración de la iniciación automática de VPN en Cisco VPN Client dentro de un entorno de LAN inalámbrico.

Administrador 6.x de las Comunicaciones unificadas: Ejemplo de la configuración de ruteo de la hora

Nota de aplicación Creando VPNs IPsec con un MRD-310

Configuración básica de VPN LAN-2-LAN con routers.

Proxy de la autenticación Web en un ejemplo de la configuración de controlador del Wireless LAN

Cómo cambiar la contraseña de NT para el intercambio y las Cuentas de servicio de Unity

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT

Restablecimiento de los switches de la serie Catalyst Express 500 en la configuración predeterminada de fábrica

Ejemplo transparente de la configuración de escudo de protección del módulo firewall service

REDES CISCO Guía de estudio para la certificación CCNA Security. Ernesto Ariganello

Balanceo de Carga NAT de IOS para Dos Conexiones ISP

Tema: Redes Privadas Virtuales

Tema: Configuración inicial Firewall PIX

Seguridad y alta disponibilidad

Fortigate - Conexión IPSEC entre dos Fortigate

Preguntas frecuentes sobre Cisco 675

Configuración de un terminal/servidor de comunicaciones

Concentrador VPN para el WebVPN usando el ejemplo de configuración del cliente VPN SSL

Configuración de muestra para eliminar los números AS privados en BGP

Presentado a: Milton García. Presentado por: Paula Díaz Heidy solano Wilmar Albarracín

Paso del fax de la configuración con el Cisco VG248

Este documento describe cómo localizar las direcciones MAC de una máquina virtual (VM) y de la interfaz de VMkernel (VMK) en estos niveles de red:

Cisco Easy VPN Remote

Configuración PIX a PIX IPSec Dinámico-a-Estático con cliente VPN de Cisco y NAT

Configurar el intercambio de claves de Internet para el IPSec VPN

ASA 8.x: Permita el Túnel dividido para el cliente VPN de AnyConnect en el ejemplo de configuración ASA

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata Universidad de Antioquia

El NAC de Cisco controla el acceso a la red cuando el usuario primero conecta e intenta abrir una sesión a la máquina de Windows.

Visualizando y borrar los datos de la lista de IP Access usando la manejabilidad ACL

CSA 5.1 con los ejemplos de configuración remotos del SQL Server

Cisco ONS Microsoft Windows XP CTC Entorno de tiempo de ejecución de las Javas 2, edición estándar (J2SE JRE)

UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA DE LAS FUERZAS ARMADAS INGENIERIA EN TELECOMUNICACIONES

Packet Tracer: uso de traceroute para detectar la red

LP-1521 Enrutador Banda Ancha Manual 123 Configuración de VPN entre 2 LP-1521 con IP Dinámica.

Tabla de Contenido. Cisco Configurando ACLs de IP Comúnmente Usadas

Solución a Preguntas Cisco Router 2600 Volumen 1

Cómo utilizar los comandos standby preempt y standby track

CISCO IOS Easy VPN Server

Transcripción:

Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones Configurar Diagrama de la red Configuraciones Verificación Comandos de verificación Salida de la verificación Troubleshooting Comandos para resolución de problemas Ejemplo de resultado del comando debug Información Relacionada Introducción Este documento describe el procedimiento necesario usado para crear un túnel ipsec de LAN a LAN entre un Firewall Cisco PIX y un Firewall NetScreen con software más reciente. Hay una red privada detrás de cada dispositivo que se comunica con el otro firewall a través del túnel IPsec. prerrequisitos Requisitos Asegúrese de cumplir estos requisitos antes de intentar esta configuración: El firewall NetScreen se configura con los IP Addresses en las interfaces de la confianza/del untrust. La Conectividad se establece a Internet. Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Versión 6.3(1) del Software PIX Firewall La última revisión del NetScreen La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando,

asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos. Configurar En esta sección encontrará la información para configurar las funciones descritas en este documento. Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección. Diagrama de la red En este documento, se utiliza esta configuración de red: Configuraciones En este documento, se utilizan estas configuraciones: Firewall PIX Firewall NetScreen Configure el firewall PIX Firewall PIX PIX Version 6.3(1)interface ethernet0 10basetinterface ethernet1 100fullnameif ethernet0 outside security0nameif ethernet1 inside security100enable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname pixfirewalldomainname cisco.comfixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol ils 389fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521names!--- Access control list (ACL) for interesting traffic to be encrypted and!--- to bypass the Network Address

Translation (NAT) process.access-list nonat permit ip 10.0.25.0 255.255.255.0 10.0.3.0 255.255.255.0pager lines 24logging onlogging timestamplogging buffered debuggingicmp permit any insidemtu outside 1500mtu inside 1500!--- IP addresses on the interfaces.ip address outside 172.18.124.96 255.255.255.0ip address inside 10.0.25.254 255.255.255.0ip audit info action alarmip audit attack action alarmpdm logging informational 100pdm history enablearp timeout 14400global (outside) 1 interface!--- Bypass of NAT for IPsec interesting inside network traffic.nat (inside) 0 access-list nonatnat (inside) 1 0.0.0.0 0.0.0.0 0 0!--- Default gateway to the Internet.route outside 0.0.0.0 0.0.0.0 172.18.124.1 1timeout xlate 0:05:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absoluteaaaserver TACACS+ protocol tacacs+aaa-server RADIUS protocol radiusaaa-server LOCAL protocol localhttp 10.0.0.0 255.0.0.0 insideno snmp-server locationno snmpserver contactsnmp-server community publicno snmp-server enable trapsfloodguard enable!--- This command avoids applied ACLs or conduits on encrypted packets.sysopt connection permit-ipsec!--- Configuration of IPsec Phase 2.crypto ipsec transform-set mytrans esp-3des esp-shahmaccrypto map mymap 10 ipsec-isakmpcrypto map mymap 10 match address nonatcrypto map mymap 10 set pfs group2crypto map mymap 10 set peer 172.18.173.85crypto map mymap 10 set transform-set mytranscrypto map mymap interface outside!--- Configuration of IPsec Phase 1.isakmp enable outside!--- Internet Key Exchange (IKE) pre-shared key!--- that the peers use to authenticate.isakmp key testme address 172.18.173.85 netmask 255.255.255.255isakmp identity addressisakmp policy 10 authentication pre-shareisakmp policy 10 encryption 3desisakmp policy 10 hash shaisakmp policy 10 group 2isakmp policy 10 lifetime 86400telnet timeout 5ssh timeout 5console timeout 0dhcpd lease 3600dhcpd ping_timeout 750terminal width 80 Configure el firewall NetScreen Complete estos pasos para configurar el firewall NetScreen. 1. Seleccione el Lists (Listas) > Address (Dirección), vaya a la lengueta de confianza, y haga clic el nuevo direccionamiento. 2. Agregue la red interna del NetScreen que se cifra en el túnel y haga clic la AUTORIZACIÓN.Nota: Asegúrese de que la opción de la confianza esté seleccionada.este ejemplo utiliza la red 10.0.3.0 con una máscara de 255.255.255.0.

3. Seleccione el Lists (Listas) > Address (Dirección), vaya a la lengueta untrusted, y haga clic el nuevo direccionamiento. 4. Agregue la red remota que el firewall NetScreen utiliza cuando cifra los paquetes y hace clic la AUTORIZACIÓN.Nota: No utilice a los grupos de dirección cuando usted configura un VPN no a un gateway del NetScreen. La interoperabilidad de VPN falla si usted utiliza a los grupos de dirección. No el gateway de seguridad del NetScreen no sabe interpretar el ID de proxy creado por el NetScreen cuando utilizan al grupo de dirección.hay pares de las soluciones alternativas para esto:separe a los grupos de dirección en las entradas de la libreta de direcciones individuales. Especifique las políticas individuales en a por la base de la entrada de la libreta de direcciones.configure el ID de proxy para ser 0.0.0.0/0 en no el gateway del NetScreen (dispositivo de firewall) si es posible.este ejemplo utiliza la red 10.0.25.0 con una máscara de 255.255.255.0. 5. Seleccione el Network (Red) > VPN, vaya a la lengueta del gateway, y haga clic el nuevo gateway del túnel remoto para configurar el gateway de VPN (las directivas del IPSec de la fase 1 y de la fase 2). 6. Utilice la dirección IP de la interfaz exterior PIX para terminar el túnel, y configure las opciones IKE de la fase 1 de atar. Haga Click en OK cuando le acaban.este ejemplo utiliza estos campos y valores.nombre del gateway: To501IP Address estático: 172.18.124.96Modo: Tubería (protección de ID)Clave del preshared: testme Oferta de la fase 1: pre-g2-3des-sha Cuando el gateway del túnel remoto se crea con éxito, una

pantalla similar a esto aparece. 7. Vaya a la lengueta de la oferta P1 y haga clic la nueva oferta de la fase 1 para configurar la oferta 1. 8. Ingrese la información de la configuración para la oferta de la fase 1 y haga clic la AUTORIZACIÓN.Este ejemplo utiliza estos campos y valores para el intercambio de la fase 1.Nombre: ToPix501Autenticación: PreshareGrupo DH: Group2Cifrado: 3DES-CBCHash: SHA-1Vida útil: Sec 3600. Cuando la fase 1 se agrega con éxito a la configuración de NetScreen, una pantalla similar a este ejemplo aparece.

9. Vaya a la lengueta de la oferta P2 y haga clic la nueva oferta de la fase 2 para configurar la fase 2. 10. Ingrese la información de la configuración para la oferta de la fase 2 y haga clic la AUTORIZACIÓN.Este ejemplo utiliza estos campos y valores para el intercambio de la fase 2.Nombre: ToPix501Perfecta reserva hacia adelante: DH-2 (1024 bits)algoritmo de encripción: 3DES-CBCAlgoritmo de autenticación: SHA-1Vida útil: Sec 26400 Cuando la fase 2 se agrega con éxito a la configuración de NetScreen, una pantalla similar a este ejemplo aparece.

11. Seleccione la lengueta del AutoKey IKE, y después haga clic nuevo entrada AutoKey IKE para crear y para configurar AutoKeys IKE. 12. Ingrese la información de la configuración para el AutoKey IKE, y después haga clic la AUTORIZACIÓN.Este ejemplo utiliza estos campos y valores para el AutoKey IKE.Nombre: VPN-1Nombre de túnel del gateway remoto: To501(Esto fue creada previamente en el gateway cuadro)oferta de la fase 2: ToPix501(Esto fue creada previamente en P2 la oferta cuadro)monitor VPN: Habilitar(Esto habilita dispositivo NetScreen (Pantalla de red) para fijar los desvíos del protocolo administración de red simple [SNMP] para monitorear la condición del monitor VPN.) Cuando la regla VPN-1 se configura con éxito, una pantalla similar a este ejemplo aparece.

13. Seleccione el Network (Red) > Policy (Política), vaya a la lengueta saliente, y haga clic la nueva directiva para configurar las reglas que permiten el cifrado del tráfico IPSec. 14. Ingrese la información de la configuración para la directiva y haga clic la AUTORIZACIÓN.Este ejemplo utiliza estos campos y valores para la directiva. El campo de nombre es opcional y no se utiliza en este ejemplo.dirección de la fuente: InsideNetwork(Esto fue definida previamente en el cuadro de confianza)dirección destino: RemoteNetwork(Esto fue definida previamente bajo cuadro untrusted)servicio: NingunosAcción: TúnelTúnel VPN: VPN-1(Esto fue definida previamente como el túnel VPN en el AutoKey IKE cuadro)modify que corresponde con la política del VPN entrante: Marcado(Esta opción crea automáticamente una regla entrante que haga juego el tráfico de la red externa VPN.) 15. Cuando se agrega la directiva, asegúrese de que la regla saliente VPN sea primera en la lista de directivas. (La regla que se crea automáticamente para el tráfico entrante está en el cuadro entrante)complete estos pasos si usted necesita cambiar la orden de las directivas:haga clic la lengueta saliente.haga clic las flechas circulares en la columna de la configuración para visualizar la ventana del micrófono de la directiva del movimiento.cambie la orden de las directivas de modo que la política del VPN esté sobre el ID de política 0 (de modo que la política del VPN esté en la cima de la lista). Vaya a la lengueta entrante para ver la regla para el tráfico

entrante. Verificación Esta sección proporciona la información que usted puede utilizar para confirmar su configuración trabaja correctamente. Comandos de verificación La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show. ping? Diagnostica la conectividad de red básica. muestre IPSec crypto sa? Muestra a fase 2 asociaciones de seguridad. muestre isakmp crypto sa? Muestra las asociaciones de seguridad de la fase 1. Salida de la verificación La salida de muestra de los comandos ping y show se muestra aquí. Este ping se inicia de un host detrás del firewall NetScreen. C:\>ping 10.0.25.1 -trequest timed out.request timed out.reply from 10.0.25.1: bytes=32 time<105ms TTL=128Reply from 10.0.25.1: bytes=32 time<114ms TTL=128Reply from 10.0.25.1: bytes=32 time<106ms TTL=128Reply from 10.0.25.1: bytes=32 time<121ms TTL=128Reply from 10.0.25.1: bytes=32 time<110ms TTL=128Reply from 10.0.25.1: bytes=32 time<116ms TTL=128Reply from 10.0.25.1: bytes=32 time<109ms TTL=128Reply from 10.0.25.1: bytes=32 time<110ms TTL=128Reply from 10.0.25.1: bytes=32 time<118ms TTL=128 La salida del comando show crypto ipsec sa se muestra aquí. pixfirewall(config)#show crypto ipsec sainterface: outside Crypto map tag: mymap, local addr. 172.18.124.96 local ident (addr/mask/prot/port): (10.0.25.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.0.3.0/255.255.255.0/0/0) current_peer: 172.18.173.85:500 PERMIT, flags={origin_is_acl,} #pkts encaps: 11, #pkts encrypt: 11, #pkts digest 11 #pkts decaps: 11, #pkts decrypt: 13, #pkts verify 13 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0, #send errors 0, #recv errors 1 local crypto endpt.: 172.18.124.96, remote crypto endpt.: 172.18.173.85 path mtu 1500, ipsec overhead 56, media mtu 1500 current outbound spi: f0f376eb inbound esp sas: spi: 0x1225ce5c(304467548) transform: esp-3des esp-sha-hmac, in use settings ={Tunnel, } slot: 0, conn id: 3, crypto map: mymap sa timing: remaining key lifetime (k/sec): (4607974/24637) IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xf0f376eb(4042487531) transform: esp-3des esp-sha-hmac, in use settings ={Tunnel, } slot: 0, conn id: 4, crypto map: mymap sa timing: remaining key lifetime (k/sec): (4607999/24628) IV size: 8 bytes replay detection support: Y outbound ah sas: outbound pcp sas: La salida del comando show crypto isakmp sa se muestra aquí. pixfirewall(config)#show crypto isakmp satotal : 1Embryonic : 0 dst src state pending created 172.18.124.96 172.18.173.85 QM_IDLE 0 1 Troubleshooting En esta sección encontrará información que puede utilizar para solucionar problemas de

configuración. Comandos para resolución de problemas Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug. motor del debug crypto? Visualiza los mensajes sobre los motores de criptografía. IPSec del debug crypto? Visualiza la información sobre los eventos del IPSec. isakmp del debug crypto? Muestra mensajes sobre los eventos IKE. Ejemplo de resultado del comando debug El ejemplo de salida del debug del firewall PIX se muestra aquí. pixfirewall(config)#show crypto isakmp satotal : 1Embryonic : 0 dst src state pending created 172.18.124.96 172.18.173.85 QM_IDLE 0 1 Información Relacionada Negociación IPSec/Protocolos IKE Cisco PIX Firewall Software Referencias de Comandos de Cisco Secure PIX Firewall Avisos de campos de productos de seguridad (incluido PIX) Solicitudes de Comentarios (RFC) Soporte Técnico y Documentación - Cisco Systems

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback