remoto (porta específica ou protocolo da licença) para o ... · c.Dê entrada com um nome para a...

PIX/ASA 7.x e mais tarde: Exemplo de configuração do filtro VPN(porta específica ou protocolo da licença) para o L2L e o Acessoremoto

ÍndiceIntroduçãoPré-requisitosRequisitosComponentes UtilizadosProdutos RelacionadosConvençõesInformações de ApoioConfigurarDiagrama da rede L2LConfiguração de filtro L2L VPNConfiguração de filtro L2L VPN com o ASDMConfiguração de filtro bidirecional VPNConfiguração de filtro bidirecional VPN com o ASDMDiagrama de rede de acesso remotaConfiguração de filtro do acesso remoto VPNConfiguração de filtro do acesso remoto VPN com o ASDMInformações Relacionadas

IntroduçãoEste documento descreve o procedimento para usar Cisco ASA para configurar o filtro VPN no L2L e o Acesso remoto com Cisco VPN Client.

Os filtros consistem nas regras que determinam se permitir ou rejeitar os pacotes de dados em túnel que vêm através da ferramenta de segurança,com base em critérios tais como o endereço de origem, o endereço de destino, e o protocolo. Você configura ACL aos vários tipos de tráfego dopermit or deny para esta política do grupo. Você pode igualmente configurar este atributo no modo username, neste caso, o valor configuradosob o username substitui o valor da grupo-política.

Nota: Para que as mudanças de configuração de túnel tomem o efeito, você deve terminar o túnel VPN e restabelecer o túnel.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Para um filtro L2L VPN, a configuração IPSec L2L deve ser configurada. Refira ao PIX/ASA 7.x: Exemplo de configuração do túnel PIXa PIX VPN simples para obter mais informações sobre de como configurar o local para situar o IPSec VPN no dispositivo do CiscoSecurity que executa a versão de software 7.x.Para um filtro do acesso remoto VPN, a configuração IPSec do Acesso remoto deve ser configurada. Refira PIX/ASA 7.x e Cisco VPNClient 4.x para Windows com exemplo de configuração da autenticação RADIUS de Microsoft Windows 2003 IAS para obter maisinformações sobre de como configurar o IPSec VPN do Acesso remoto em PIX/ASA 7,0 com Cisco VPN Client 4.x.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Software adaptável da ferramenta de segurança do Cisco 5500 Series (ASA) que executa a versão 8.2(1)Versão 6.3(5) do Cisco Adaptive Security Device ManagerVersão Cliente VPN Cisco 4.x e mais tarde

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos

utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende oimpacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com a ferramenta de segurança da série do Cisco PIX 500 que executa a versão 7.x e mais recente.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de ApoioO comando sysopt connection permit-ipsec permite todo o tráfego que entra na ferramenta de segurança através de um túnel VPN paracontornear Listas de acesso da relação. A política do grupo e por usuário Listas de acesso da autorização ainda aplica-se ao tráfego. Em PIX/ASA7,1 e mais atrasado, o comando sysopt connection permit-ipsec é mudado à conexão licença-VPN do sysopt. O vpn-filtro está aplicado aotráfego cargo-decifrado depois que retira um túnel e um tráfego PRE-cifrado antes que entre em um túnel.

Um ACL que seja usado para um VPN-filtro não deve igualmente ser usado para um acesso-grupo da relação. Quando um VPN-filtro é aplicadoa um modo da grupo-política/nome de usuário que governe conexões do cliente VPN de acesso remoto, o ACL deve ser configurado com osendereços IP atribuídos do cliente na posição do src_ip do ACL e a rede local na posição do dest_ip do ACL. Quando um VPN-filtro é aplicado auma grupo-política que governe uma conexão de VPN L2L, o ACL deve ser configurado com a rede remota na posição do src_ip do ACL e arede local na posição do dest_ip do ACL.

access-list <acl-no> <permit/deny> ip <remote network> <local network>

Exercite o cuidado quando você constrói os ACL para o uso com a característica do VPN-filtro. Os ACL são construídos com o tráfego cargo-decifrado (tráfego de entrada VPN) na mente. Contudo, são aplicados igualmente ao tráfego originado na direção oposta.

Nota: No fim de cada ACL, há uma regra implícita, não-escrito que negue todo o tráfego que não é permitido. Se o tráfego não é permitidoexplicitamente por uma entrada de controle de acesso (ACE), nega-se. Os ACE são referidos como regras neste assunto. Nesta encenação, refira alista de acessos 103 configurada na configuração de filtro L2L VPN.

ConfigurarNesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama da rede L2L

Este documento usa esta instalação de rede para o filtro L2L VPN:

Configuração de filtro L2L VPN

Este documento utiliza as seguintes configurações:

CiscoASACiscoASA# show running-config

!

!--- Output suppressed

access-list 103 extended deny tcp host 172.16.1.2 host 172.22.1.2 eq 80

!--- Access list 103 is created for the VPN Filter.!--- This access list 103 filters/denies the request from the remote host(172.16.1.2) !--- to the local WEB Server (172.22.1.2).

access-list 103 extended permit ip any any

!


group-policy filter internalgroup-policy filter attributesvpn-filter value 103

!--- Create the group policy (filter)and specify the access list!--- number in the vpn filter command.

!


tunnel-group 10.20.20.1 general-attributesdefault-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

!!


Configuração de filtro L2L VPN com o ASDM

Termine estas etapas a fim configurar um filtro L2L VPN através do Cisco Adaptive Security Device Manager (ASDM):

Adicionar uma lista de acessos:1.

No ASDM, escolha a configuração > o Firewall > avançou > gerente ACL.a.

O clique adiciona, e escolhe adiciona o ACL.b.

A caixa de diálogo adicionar ACL aparece.

Incorpore 103 ao campo de nome ACL, e clique a APROVAÇÃO.c.

O ACL novo aparece na lista ACL.Adicionar um ACE:2.

Clicar com o botão direito o ACL novo, e escolha-o adicionam o ACE.a.

A caixa de diálogo adicionar ACE aparece.

Clique o botão Option Button da negação, incorpore o endereço IP de origem e o endereço IP de destino, e clique então o botãoBrowse (…) localizado ao lado do campo do serviço.

b.

A caixa de diálogo do serviço da consultação aparece.

Escolha a porta TCP 80, e clique a APROVAÇÃO para retornar à caixa de diálogo da edição ACE.c.

Clique em OK.d.

A entrada nova ACE aparece na lista ACL.Clicar com o botão direito a entrada nova ACE, e escolha a inserção em seguida.e.

A inserção após a caixa de diálogo ACE aparece.

Adicionar um ACE que permita algum-à-algum tráfego:f.

Clique a opção da licença.a.Escolha alguns na fonte e nos campos de destino, e escolha o IP no campo do serviço.b.Clique em OK.c.

Nota: Adicionar um ACE que permita algum-à-algum tráfego impede o implícito nega a regra na extremidade da lista de acessos.

Esta imagem mostra a lista de acessos 103 com as duas entradas de controle de acesso:

Configurar a política do grupo:3.

No ASDM, escolha políticas da configuração > do VPN de Site-para-Site > do grupo a fim configurar a política do grupo.a.

Clique adicionam, e escolhem a Política interna de grupo.b.

A caixa de diálogo da Política interna de grupo adicionar aparece.

Dê entrada com um nome para a política do grupo no campo de nome, e escolha 103 da lista de drop-down do filtro.c.

Dica: Você pode igualmente usar o botão Manage Button posicionado ao lado da lista de drop-down do filtro a fim selecionar ofiltro.

Clique em OK.d.Adicionar a política interna do grupo ao grupo de túneis de site para site.4.

No ASDM, escolha a configuração > o VPN de Site-para-Site > os perfis de conexão.a.

Escolha o grupo de túneis exigido, e clique o botão Edit a fim alterar os parâmetros do grupo de túneis.b.

Escolha o VPN-filtro da lista de drop-down da política do grupo.c.

Dica: Você pode igualmente usar o botão Manage Button posicionado ao lado da lista de drop-down da política do grupo a fimselecionar o filtro.

Configuração de filtro bidirecional VPN

O filtro VPN funciona bidirecional com um único ACL. O host remoto/rede é definido sempre no início do ACE, apesar do sentido do ACE (deentrada ou de partida).

Esta configuração é descrita nesta configuração de exemplo.

Porque o ACL é stateful, se o tráfego é permitido em um sentido, a seguir o tráfego de retorno para esse fluxo está permitido automaticamente.

Nota: Se as portas TCP/UDP não são usadas com a lista de acessos, os ambos os lados podem alcançar-se. Por exemplo:

access-list 103 permit ip 172.16.1.2 host 172.22.1.1

Nota: Este ACL permite que o tráfego seja originado de 172.16.1.2 a 172.22.1.1 e igualmente de 172.22.1.1 a 172.16.1.2, porque o ACL éaplicado bidirecional.


!!--- Output suppressed

!--- This access list allows the traffic for the remote network 172.16.1.0!--- to the local web server on port 80.

access-list 105 extended permit tcp 172.16.1.0 255.255.255.0 host 172.22.1.1 eq www

!--- This access list allows the traffic in the reverse direction,!--- from 172.22.1.0 to 172.16.1.3 (ftp server). The remote host/network!--- is always defined as the first entry in!--- the ACE regardless of the direction.

access-list 105 extended permit tcp host 172.16.1.3 eq ftp 172.22.1.0 255.255.255.0

!--- Implicit deny.!--- Denies all other traffic other than permitted traffic.


group-policy filter internalgroup-policy filter attributesvpn-filter value 105

!--- Create the group policy (filter)and specify the access list number!--- in the vpn filter command.


tunnel-group 10.20.20.1 general-attributesdefault-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.


Configuração de filtro bidirecional VPN com o ASDM

Termine estas etapas a fim configurar um filtro bidirecional VPN com o ASDM:

Adicionar uma lista de acessos:1.



Incorpore 105 ao campo de nome ACL, e clique a APROVAÇÃO.c.

O ACL novo aparece na lista ACL.Adicionar um ACE:2.

Na lista ACL, clicar com o botão direito a entrada 105, e escolha-a adicionam o ACE.a.


Clique o botão Option Button da licença.b.Incorpore a rede de 172.16.1.0 ao campo de fonte, e inscreva 172.22.1.1 no campo de destino.c.Clique o botão Browse do serviço (…), e escolha o tcp/HTTP.d.Clique em OK.e.Na lista ACL, clicar com o botão direito a entrada nova ACE, e escolha a inserção após o ACE.f.

A inserção após a caixa de diálogo ACE aparece.

Clique a opção da licença.g.Inscreva 172.16.1.3 no campo de fonte, e escolha 172.22.1.0/24 para o destino.h.Em mais área das opções, clique a caixa de verificação da regra da possibilidade, e clique então o botão Browse (…) localizado aolado do campo do serviço da fonte.

i.

A caixa de diálogo do serviço da fonte da consultação aparece.j.

Selecione o ftp, e clique a APROVAÇÃO para retornar à inserção após a caixa de diálogo ACE.k.

Adicionar uma política interna do grupo:3.

No ASDM, escolha políticas da configuração > do VPN de Site-para-Site > do grupo a fim configurar a política do grupo.a.

Clique adicionam, e escolhem a Política interna de grupo.b.


Dê entrada com um nome para a política do grupo no campo de nome, e escolha 105 da lista de drop-down do filtro.c.

Dica: Você pode igualmente usar o botão Manage Button posicionado ao lado da lista de drop-down do filtro a fim selecionar ofiltro.

Clique em OK.d.Adicionar a política interna do grupo ao grupo de túneis de site para site:4.

No ASDM, escolha a configuração > o VPN de Site-para-Site > os perfis de conexão.a.Escolha o grupo de túneis exigido, e clique o botão Edit a fim alterar os parâmetros do grupo de túneis.b.

Escolha o VPN-filtro da lista de drop-down da política do grupo.c.

Dica: Você pode igualmente usar o botão Manage Button posicionado ao lado da lista de drop-down da política do grupo a fimselecionar o filtro.

Diagrama de rede de acesso remota

Este documento usa esta instalação de rede para o filtro do acesso remoto VPN:

Configuração de filtro do acesso remoto VPN

Este documento utiliza esta configuração:



ip local pool vpnclient 10.16.20.1-10.16.20.5

!--- Create a pool of addresses from which IP addresses are assigned!--- dynamically to the remote VPN Clients.

access-list 103 extended permit udp 10.16.20.0 255.0.0.0 host 172.16.1.1 eq 53

!--- Access list 103 is created for the VPN Filter for the group policy(filter).

!--- Access list 103 allows the access for the DNS Server(172.16.1.1)

!--- Implicit deny. Denies all traffic other than permitted traffic.

access-list 104 extended permit ip 10.16.20.0 255.0.0.0 172.16.1.0 255.255.255.0

!--- Access list 104 is created for the VPN Filter for the user(vpn3000).

!--- This access list 103 allows the access for the network 172.16.1.0/24

!--- Implicit deny. Denies all traffic other than permitted traffic.


username vpn3000 password xaI3t+nY5wjYQ2thSKJfoQ== nt-encrypted

!--- In order to identify remote access users to the Security!--- Appliance, you can also configure usernames and passwords!--- on the device in addition to the use of AAA.

username vpn3000 attributesvpn-filter value 104

!--- Apply the VPN Filter ACL 104 in the username mode.!--- This filter is applicable to a particular user (vpn3000) only.!--- The username mode VPN Filter (acl 104) overrides!--- the vpn filter policy (acl 103)applied in the group!--- policy(filter) mode for this user(vpn3000) alone.


group-policy vpn-filter internalgroup-policy vpn-filter attributesvpn-filter value 103

!--- Create the group policy (filter)and specify the access list number!--- in the vpn-filter command.


tunnel-group vpn3000 general-attributesdefault-group-policy vpn-filter

!--- Associate the group policy (filter) with the tunnel group(vpn3000).

Nota: Determinadas alterações de configuração tomam o efeito somente durante a negociação de SA subseqüentes. Se você quer os ajustes novostomar imediatamente o efeito, cancele os SA existentes a fim restabelecê-los com a configuração alterada. Se a ferramenta de segurança estáprocessando ativamente o tráfego de IPSec, é desejável cancelar somente a parcela da base de dados SA que as alterações de configuraçãoafetariam. Reserve o cancelamento da base de dados completa SA para mudanças em grande escala, ou quando a ferramenta de segurançaprocessar uma quantidade pequena de tráfego de IPSec.

Nota: Você pode usar estes comandos dados a fim cancelar e re-inicializar os SA.

cancele IPsec sa — Remove todo o sas de IPSec da ferramenta de segurança.cancele o ipsec peer 10.1.1.1 — Sas de IPSec das supressões com um endereço IP do peer de 10.1.1.1.cancele isakmp sa — Remove toda a base de dados tempo de execução SA IKE.

Configuração de filtro do acesso remoto VPN com o ASDM

Termine estas etapas a fim configurar um filtro do acesso remoto VPN com o ASDM:

Crie um conjunto de endereços:1.

No ASDM, escolha a configuração > o acesso remoto VPN > o acesso > a atribuição de endereço > os conjuntos de endereçosda rede (cliente).

a.

Clique em Add.b.

A caixa de diálogo do IP pool adicionar aparece.

Dê entrada com um nome para o IP pool. Este exemplo usa vpnclient.c.Incorpore os endereços IP de Um ou Mais Servidores Cisco ICM NT começando e de término, e escolha então a máscara de sub-rede.

d.

Clique em OK.e.Adicionar uma lista de acessos para permitir o acesso ao servidor de domínio:2.




Incorpore 103 ao campo de nome ACL, e clique a APROVAÇÃO.c.Adicionar um ACE:3.



Clique o botão Option Button da licença.b.Incorpore a rede 10.16.20.0/24 ao campo de fonte, e inscreva 172.16.1.1 no campo de destino.c.Clique o botão Browse (…) localizado ao lado do campo do serviço.d.

A caixa de diálogo do serviço da consultação aparece.

Selecione o protocolo UDP nomeado domínio, e clique a APROVAÇÃO para retornar à caixa de diálogo adicionar ACE.e.

Clique em OK.f.Adicionar um novo usuário:4.

No ASDM, escolha a configuração > o acesso remoto VPN > os usuários > os usuários locais AAA/Local.a.

Clique no botão Adicionar.b.

A caixa de diálogo da conta de usuário adicionar aparece.

Incorpore um nome de usuário e uma senha. Este exemplo usa o VPN3000 como o nome de usuário.c.Clique em OK.d.

Crie uma lista de acessos para restringir o acesso para o usuário do VPN3000:5.




Adicionar um ACE:6.



Clique o botão Option Button da licença.b.Incorpore a rede 10.16.20.0/24 ao campo de fonte, e incorpore 172.16.1.0/24 ao campo de destino.c.Clique em OK.d.

Adicionar a lista de acessos 104 como uma regra de filtragem para o usuário do VPN3000:7.

No ASDM, escolha a configuração > o acesso remoto VPN > os usuários > os usuários locais AAA/Local.a.Escolha o usuário do VPN3000, e o clique edita.b.

A caixa de diálogo da conta de usuário da edição aparece.

Escolha 104 da lista de drop-down do filtro do IPv4, e clique a APROVAÇÃO.c.Adicionar a lista de acessos 103 à política do grupo do VPN-filtro:8.

No ASDM, escolha a configuração > o acesso remoto VPN > do acesso > do grupo da rede (cliente) políticas, e clique-os entãoadicionam.

a.


Inscreva o VPN-filtro no campo de nome, e escolha 103 da lista de drop-down do filtro do IPv4.b.Clique em OK.c.

Adicionar a política do grupo do VPN-filtro como o valor padrão para o perfil de conexão do VPN3000:9.

No ASDM, escolha a configuração > o acesso remoto VPN > do acesso > da conexão IPSec da rede (cliente) perfis, selecionamo grupo de túneis exigido, e o clique edita.

a.

Escolha o VPN-filtro da lista de drop-down da política do grupo, e clique a APROVAÇÃO.b.

Informações RelacionadasSoluções de Troubleshooting Mais Comuns de VPN IPsec L2L e de Acesso RemotoExemplos de Configuração e Notas Técnicas

© 1992-2014 Cisco Systems Inc. Todos os direitos reservados.

Data da Geração do PDF: 29 Julho 2013

http://www.cisco.com/cisco/web/support/BR/104/1044/1044541_pix-asa-vpn-filter.html

remoto (porta específica ou protocolo da licença) para o ... · c.Dê entrada com um nome para a...

Documents

Transcript of remoto (porta específica ou protocolo da licença) para o ... · c.Dê entrada com um nome para a...