Данный документ иллюстрирует простую IPSEC конфигурацию между роутером и Cisco Secure PIX Firewall версии 6.х. Мы будем использовать приватное адресное пространство во время передачи трафика между LAN головного офиса и LAN удаленного офиса, а также будем транслировать внутренние хосты в маршрутизируемые адреса, когда пользователи локальной сети получают доступ в Интернет. Чтобы выполнить данную задачу, необходимо избежать попадания Интернет трафика в туннель между двумя офисами и для этого мы будем использовать команду route-map
Рассмотрим сетевую диаграмму
На стороне PIX, команды access-list и nat 0 работают вместе. Когда пользователь из сети 10.1.1.0 обращается к сети 10.2.2.0, мы используем лист доступа, чтобы разрешить шифровать сетевой трафик 10.1.1.0 без использования NAT. Однако когда, те же самые пользователи идут куда-либо еще они транслируются в 172.17.63.210 через PAT.
Следующие конфигурационные команды требуются на PIX Firewall для того, чтобы трафик не проходил через PAT, когда идет в туннель, но в тоже самое время, трафик в Internet должен быть транслирован PAT.
access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
На роутере, используются команды route-map и access-list, чтобы завернуть сетевой трафик 10.2.2.0 в туннель IPSEC без использования NAT. Однако, когда те же самые пользователи обратятся куда-либо еще, они транслируются в адрес 172.17.63.210 через PAT.
Конфигурация PIX
PIX Version 6.3(5)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
!--- Трафик к роутеру
access-list ipsec permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
!--- Не выполняем трансляцию адресов (NAT) трафика к роутеру:
access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
ip address outside 172.17.63.213 255.255.255.240
ip address inside 10.1.1.1 255.255.255.0
global (outside) 1 172.17.63.210
!--- Не выполняем NAT для трафика идущего к роутеру
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 172.17.63.209 1
!--- IPSec политика:
sysopt connection permit-ipsec
crypto ipsec transform-set avalanche esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 3600
crypto map forsberg 21 ipsec-isakmp
crypto map forsberg 21 match address ipsec
crypto map forsberg 21 set peer 172.17.63.230
crypto map forsberg 21 set transform-set avalanche
crypto map forsberg interface outside
!--- IKE политика:
isakmp enable outside
isakmp key cisco address 172.17.63.230 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
: end
Конфигурация Router
!--- IKE политика:
crypto isakmp policy 11
hash md5
authentication pre-share
crypto isakmp key cisco address 172.17.63.213
!
!--- IPSec политика:
crypto ipsec transform-set sharks esp-des esp-md5-hmac
!
!
crypto map nolan 11 ipsec-isakmp
set peer 172.17.63.213
set transform-set sharks
!--- Включаем трафик между приватными сетями в процесс шифрования
match address 120
!
!
interface Ethernet0
ip address 172.17.63.230 255.255.255.240
no ip directed-broadcast
ip nat outside
crypto map nolan
!
interface Ethernet1
ip address 10.2.2.1 255.255.255.0
no ip directed-broadcast
ip nat inside
!
ip nat pool branch 172.17.63.230 172.17.63.230 netmask 255.255.255.240
!--- Исключаем приватную сеть из процесса NAT:
ip nat inside source route-map nonat pool branch overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.17.63.225
!--- Включаем трафик между приватными сетями в процесс шифрования
access-list 120 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
!--- Исключаем приватную сеть из процесса NAT:
access-list 130 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 130 permit ip 10.2.2.0 0.0.0.255 any
!--- Исключаем приватную сеть из процесса NAT:
route-map nonat permit 10
match ip address 130
!
end
Нижеследующие команды показывают состояние IPSEC туннеля и помогут проверить, что все работает правильно.
-
show crypto isakmp sa - Показывает все текущие ассоциации безопасности IKE (SA)
-
show crypto ipsec sa - Показывает текущие состояние ассоциаций безопасности IPSEC
-
show crypto engine connections active - Показывает текущие IPSEC соединения и информацию о количестве шифрованных и дешифрованных пакетах.
Источник: http://www.ciscolab.ru/security/152-pixrouter.html | 
