Segurança e VPN : Negociação IPSec/Protocolos IKE

Configurando o IPSec entre Dois Roteadores e um Cisco VPN Client 4.x

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (10 Maio 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Diagrama de Rede
      Configurações
Verificação
      Cisco VPN 2611
      Cisco VPN 3640
      Verificação dos Números de Seqüência do Mapa de Criptografia
Troubleshooting
      Comandos de Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento mostra como configurar o IPSec entre dois roteadores Cisco e o Cisco VPN Client 4.x. O Cisco IOS® Software Releases 12.2(8)T e posteriores oferecem suporte a conexões do Cisco VPN Client 3.x e posteriores.

Consulte Configurando um Peer Dinâmico de LAN para LAN do Roteador IPSec e VPN Clients para aprender mais sobre o cenário em que uma extremidade do túnel L2L tem o endereço IP atribuído dinamicamente pela outra extremidade.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Um conjunto de endereços a ser atribuído ao IPSec.

  • Um grupo chamado 3000clients com uma chave pré-compartilhada cisco123 para os VPN Clients.

  • A autenticação de grupo e do usuário é feita localmente no roteador para os VPN Clients.

  • O parâmetro no-xauth é utilizado no comando ISAKMP key para o túnel LAN para LAN.

Componentes Utilizados

As informações deste documento são baseadas nessas versões de software e de hardware.

  • Roteadores com o Cisco IOS® Software Release 12.2(8)T.

    Nota: Este documento foi testado recentemente com o Cisco IOS Software Release 12.3(1). Não é necessária nenhuma alteração.

  • Cisco VPN Client for Windows Version 4.x (qualquer VPN Client 3.x ou posterior funciona).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

A saída do comando show version no roteador é mostrada aqui.

vpn2611#show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-JK9O3S-M), Version 12.2(8)T,
   RELEASE SOFTWARE (fc2)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Thu 14-Feb-02 16:50 by ccai
Image text-base: 0x80008070, data-base: 0x81816184

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

vpn2611 uptime is 1 hour, 15 minutes
System returned to ROM by reload
System image file is "flash:c2600-jk9o3s-mz.122-8.T"

cisco 2611 (MPC860) processor (revision 0x203)
   with 61440K/4096K bytes of memory.
Processor board ID JAD04370EEG (2285146560)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
2 Ethernet/IEEE 802.3 interface(s)
1 Serial network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Nesta seção você encontrará as informações utilizadas para configurar os recursos descritos neste documento.

Diagrama de Rede

Este documento utiliza esta configuração de rede.

ipsecrouter_vpn-h.gif

Nota: Os endereços IP deste exemplo não são roteáveis na Internet global por serem endereços IP privados em uma rede de laboratório.

Configurações

Configuração do Cisco 2611 Router

Cisco 2611 Router

vpn2611#show run
Building configuration...

Current configuration : 2265 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn2611
!

!--- Habilitar AAA para a autenticação de usuários
!--- e a autorização de grupos.

aaa new-model
!
!

!--- Para habilitar a X-Auth para a autenticação de usuários,
!--- habilite os comandos aaa authentication.

aaa authentication login userauthen local


!--- Para habilitar a autorização de grupo, habilite
!--- os comandos aaa authorization.

aaa authorization network groupauthor local
aaa session-id common
!


!--- Para a autenticação local do usuário IPSec,
!--- crie o usuário com senha.

username cisco password 0 cisco
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!


!--- Crie uma política de Internet Security Association and
!--- Key Management Protocol (ISAKMP)
!--- para as negociações da Fase 1 para os VPN 3.x Clients.

crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!


!--- Crie uma política de SAKMP para as negociações
!--- da Fase 1 para os túneis LAN a LAN.

crypto isakmp policy 10
hash md5
authentication pre-share


!--- Especifique a chave pré-compartilhada para o túnel LAN a LAN.
!--- Certifique-se de usar o parâmetro
!--- no-xauth com sua chave de ISAKMP.

crypto isakmp key cisco123 address 172.18.124.199 no-xauth
!


!--- Crie um grupo usado para
!--- especificar os endereços dos servidores WINS e DNS
!--- para o cliente, juntamente com a chave
!--- pré-compartilhada para a autenticação.

crypto isakmp client configuration group 3000client
key cisco123
dns 10.10.10.10
wins 10.10.10.20
domain cisco.com
pool ippool
!
!


!--- Crie a política da Fase 2 para a criptografia de dados real.

crypto ipsec transform-set myset esp-3des esp-md5-hmac
!


!--- Crie um mapa dinâmico e aplique
!--- o conjunto de transformação que foi criado anteriormente.

crypto dynamic-map dynmap 10
set transform-set myset
!
!


!--- Crie o mapa de criptografia real e aplique
!--- as listas de AAA criadas
!--- anteriormente. Crie também uma nova instância para seu
!--- túnel LAN a LAN. Especifique o endereço IP do peer,
!--- o conjunto de transformadas e uma lista de controle de acesso (ACL) para
!--- esta instância.

crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp
set peer 172.18.124.199
set transform-set myset
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
fax interface-type fax-mail
mta receive maximum-recipients 0
!
!


!--- Aplique o crypto map na interface externa.

interface Ethernet0/0
ip address 172.18.124.159 255.255.255.0
half-duplex
crypto map clientmap
!
interface Serial0/0
no ip address
shutdown
!
interface Ethernet0/1
ip address 10.10.10.1 255.255.255.0
no keepalive
half-duplex
!
!

!--- Crie um pool de endereços para
!--- atribuir aos clientes VPN.

ip local pool ippool 14.1.1.100 14.1.1.200
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip http server
ip pim bidir-enable
!
!


!--- Crie uma ACL para o tráfego
!--- que será criptografado. Neste exemplo,
!--- o tráfego de 10.10.10.0/24 para 10.10.20.0/24
!--- é criptografado.

access-list 100 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
!
!
snmp-server community foobar RO
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
!
!
end

Configuração do 3640 Router

Cisco 3640 Router

vpn3640#show run
Building configuration...

Current configuration : 1287 bytes
!
! Last configuration change at 13:47:37 UTC Wed Mar 6 2002
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3640
!
!
ip subnet-zero
ip cef
!

!--- Crie uma política de SAKMP para as negociações
!--- da Fase 1 para os túneis LAN a LAN.

crypto isakmp policy 10
hash md5
authentication pre-share


!--- Especifique a chave pré-compartilhada para o túnel
!--- LAN a LAN. Não é necessário adicionar
!---o parâmetro X-Auth, já que este
!--- não executa autenticação de IPsec
!--- do Cisco Unity Client.

crypto isakmp key cisco123 address 172.18.124.159
!
!


!--- Crie a política da Fase 2 para a criptografia de dados real.

crypto ipsec transform-set myset esp-3des esp-md5-hmac
!


!--- Crie o mapa de criptografia real. Especifique
!--- o endereço IP do peer, o conjunto
!--- de transformadas e a ACL para esta instância.

crypto map mymap 10 ipsec-isakmp
set peer 172.18.124.159
set transform-set myset
match address 100
!
call RSVP-sync
!
!
!


!--- Aplique o mapa de criptografia à interface externa.

interface Ethernet0/0
ip address 172.18.124.199 255.255.255.0
half-duplex
crypto map mymap
!
interface Ethernet0/1
ip address 10.10.20.1 255.255.255.0
half-duplex
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip http server
ip pim bidir-enable
!


!--- Crie uma ACL para o tráfego
!--- que será criptografado. Neste exemplo,
!--- o tráfego de 10.10.20.0/24 para 10.10.10.0/24
!--- é criptografado.

access-list 100 permit ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
snmp-server community foobar RO
!
dial-peer cor custom
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end

Configuração do VPN Client 4.x

Siga estes passos para configurar o Cisco VPN Client 4.x.

  1. Inicie o VPN Client e, em seguida, clique em New para criar uma nova conexão.

    ipsecrouter_vpn-a.gif

  2. Insira as informações necessárias e clique em Save quando tiver concluído.

    ipsecrouter_vpn-b.gif

  3. Clique com o botão direito na Connection Entry recém-criada e clique em Connect para se conectar ao roteador.

    ipsecrouter_vpn-f.gif

  4. Durante as negociações do IPSec, você será avisado para inserir um nome de usuário e uma senha.

    ipsecrouter_vpn-g.gif

  5. A janela exibirá as mensagens "Negotiating security profiles" e "Your link is now secure".

Verificação

Esta seção fornece informações que você pode usar para confirmar se a sua configuração funciona corretamente.

Alguns comandos show são aceitos pela Output Interpreter Tool (somente clientes registrados), o que permite exibir uma análise da saída do comando show.

Cisco VPN 2611

vpn2611#show crypto isakmp sa
dst src state conn-id slot
172.18.124.159 172.18.124.199 QM_IDLE 5 0

!--- Para o peer do túnel LAN a LAN.

172.18.124.159 64.102.55.142 QM_IDLE 6 0

!--- Para o peer do túnel do Cisco Unity Client.



vpn2611#show crypto ipsec sa

interface: Ethernet0/0
Crypto map tag: clientmap, local addr. 172.18.124.159

protected vrf:
local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.199:500

!--- Para o peer do túnel LAN a LAN.

PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.:
172.18.124.199
path mtu 1500, media mtu 1500
current outbound spi: 892741BC

inbound esp sas:
spi: 0x7B7B2015(2071666709)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/1182)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound ESP sas:
spi: 0x892741BC(2301051324)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/1182)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:

protected vrf:
local ident (addr/mask/prot/port): (172.18.124.159/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (14.1.1.106/255.255.255.255/0/0)
current_peer: 64.102.55.142:500

!--- Para o peer do túnel do Cisco Unity Client.

PERMIT, flags={}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.:
64.102.55.142
path mtu 1500, media mtu 1500
current outbound spi: 81F39EFA

inbound ESP sas:
spi: 0xC4483102(3293065474)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2002, flow_id: 3, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3484)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound PCP sas:

outbound ESP sas:
spi: 0x81F39EFA(2180226810)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2003, flow_id: 4, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3484)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:

protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (14.1.1.106/255.255.255.255/0/0)
current_peer: 64.102.55.142:500

!--- Para o peer do túnel do Cisco Unity Client.

PERMIT, flags={}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 20, #pkts decrypt: 20, #pkts verify 20
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.:
64.102.55.142
path mtu 1500, media mtu 1500
current outbound spi: B7F84138

inbound ESP sas:
spi: 0x5209917C(1376358780)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2004, flow_id: 5, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607998/3474)
IV size: 8 bytes
replay detection support: Y
spi: 0xDE6C99C0(3731659200)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2006, flow_id: 7, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607998/3493)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound PCP sas:

outbound ESP sas:
spi: 0x58886878(1485334648)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2005, flow_id: 6, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3474)
IV size: 8 bytes
replay detection support: Y
spi: 0xB7F84138(3086500152)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2007, flow_id: 8, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/3486)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:



vpn2611#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
5 Ethernet0/0 172.18.124.159 set HMAC_MD5+DES_56_CB 0 0
6 Ethernet0/0 172.18.124.159 set HMAC_SHA+3DES_56_C 0 0
2000 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 4
2001 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 4 0
2002 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2003 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2004 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 9
2005 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2006 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 79
2007 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 4 0
vpn2611#

Cisco VPN 3640

vpn3640#show crypto isakmp sa
 DST src state conn-id slot
 172.18.124.159 172.18.124.199 QM_IDLE 4 0

!--- Para o peer do túnel LAN a LAN.


 vpn3640#show crypto ipsec sa

 interface: Ethernet0/0
 Crypto map tag: mymap, local addr. 172.18.124.199

protected vrf:
 local ident (addr/mask/prot/port): (10.10.20.0/255.255.255.0/0/0)
 remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
 current_peer: 172.18.124.159:500
 
!--- Para o peer do túnel LAN a LAN.

 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
 #send errors 11, #recv errors 0

 local crypto endpt.: 172.18.124.199, remote crypto endpt.: 172.18.124.159
 path mtu 1500, media mtu 1500
 current outbound spi: 7B7B2015

 inbound ESP sas:
 spi: 0x892741BC(2301051324)
 transform: esp-3des esp-md5-hmac ,
 in use settings ={Tunnel, }
 slot: 0, conn id: 940, flow_id: 1, crypto map: mymap
 sa timing: remaining key lifetime (k/sec): (4607998/1237)
 IV size: 8 bytes
 replay detection support: Y

 inbound ah sas:

 inbound PCP sas:

 outbound ESP sas:
 spi: 0x7B7B2015(2071666709)
 transform: esp-3des esp-md5-hmac ,
 in use settings ={Tunnel, }
 slot: 0, conn id: 941, flow_id: 2, crypto map: mymap
 sa timing: remaining key lifetime (k/sec): (4607999/1237)
 IV size: 8 bytes
 replay detection support: Y

 outbound ah sas:

 outbound PCP sas:


 vpn3640# show crypto engine connection active

 ID Interface IP-Address State Algorithm Encrypt Decrypt
 4 <none> <none> set HMAC_MD5+DES_56_CB 0 0
940 Ethernet0/0 172.18.124.199 set HMAC_MD5+3DES_56_C 0 4
 941 Ethernet0/0 172.18.124.199 set HMAC_MD5+3DES_56_C 4 0

Verificação dos Números de Seqüência do Mapa de Criptografia

Se houver peers estáticos e dinâmicos configurados no mesmo mapa de criptografia, a ordem das entradas do mapa será muito importante. O número de seqüência da entrada dinâmica do mapa de criptografia deverá ser mais alto que o de todas as outras entradas estáticas desse mapa. Se as entradas estáticas tiverem uma numeração superior à da entrada dinâmica, as conexões com esses peers falharão.

Este é um exemplo de um mapa de criptografia numerado corretamente que contém uma entrada estática e outra dinâmica. Observe que a entrada dinâmica possui o número de seqüência mais alto e há espaço para entradas estáticas adicionais:

crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap 1 ipsec-isakmp
set peer 172.18.124.199
set transform-set myset
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap 

Troubleshooting

Esta seção fornece informações usadas para auxiliar a resolução de problemas de configuração.

Comandos de Troubleshooting

Alguns comandos show são aceitos pela Output Interpreter Tool (somente clientes registrados), o que permite exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar os comandos debug.

  • debug crypto ipsec — Exibe eventos de IPSec. A forma no deste comando desabilita a saída de depuração.

  • debug crypto isakmp — Exibe mensagens sobre eventos de IKE. A forma no deste comando desabilita a saída de depuração.

  • debug crypto engine — Exibe informações referentes ao mecanismo de criptografia, por exemplo, quando o software Cisco IOS executa operações de criptografia ou descriptografia.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 20982