Segurança e VPN : Negociação IPSec/Protocolos IKE

Configurando a VPN Multiponto Dinâmica Usando o GRE sobre IPsec com OSPF, NAT e Cisco IOS Firewall

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (30 Novembro 2006) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Diagrama de Rede
      Configurações
Verificação
Troubleshooting
      Comandos de Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece uma configuração de exemplo para a VPN Multiponto Dinâmica (DMVPN) usando o encapsulamento de roteamento genérico (GRE) sobre IPsec com Open Shortest Path First (OSPF), Network Address Translation (NAT) e Cisco IOS® Firewall.

Pré-requisitos

Requisitos

Antes que um GRE multiponto (mGRE) e um túnel de IPSec possam ser estabelecidos, é necessário definir uma política de Troca de Chaves na Internet (IKE) utilizando o comando crypto isakmp policy.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco IOS® Software versão 12.2(15)T1 no roteador hub e Cisco IOS Software versão 12.3(1.6) nos roteadores spoke.

  • Cisco 3620 como roteador hub, dois roteadores Cisco 1720 e um roteador Cisco 3620 como roteadores spoke

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza esta configuração de rede.

dmvpn-gre-ospf.gif

Configurações

Este documento utiliza estas configurações.

Hub - 3620-B

W2N-6.16-3620-B#write terminal
Building configuration...

Current configuration : 2613 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname W2N-6.16-3620-B
!
logging queue-limit 100
!
memory-size iomem 10
ip subnet-zero
!
!
ip cef
no ip domain lookup
!

!--- Esta é a configuração do Cisco IOS Firewall e o que deve ser inspecionado.
!--- Aplicado na saída da interface externa.

ip inspect name in2out rcmd
ip inspect name in2out ftp
ip inspect name in2out tftp
ip inspect name in2out tcp timeout 43200
ip inspect name in2out http
ip inspect name in2out udp
ip audit po max-events 100
!
!
!

!--- Crie uma política do Internet Security Association and Key Management
!--- Protocol (ISAKMP) para as negociações da Fase 1.

crypto isakmp policy 5
 authentication pre-share
 group 2

!--- Adicione a chave pré-compartilhada dinâmica.

crypto isakmp key dmvpnkey address 0.0.0.0 0.0.0.0
crypto isakmp nat keepalive 20
!
!

!--- Crie a política da Fase 2 para a criptografia de dados real.

crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
!

!--- Crie um perfil de IPSec para ser aplicado dinamicamente aos
!--- túneis GRE sobre IPsec.

crypto ipsec profile dmvpnprof
 set transform-set dmvpnset
!
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!

!--- Esta é a interface de entrada.

interface Loopback1
 ip address 192.168.117.1 255.255.255.0
 ip nat inside
!

!--- Crie um modelo de túnel GRE que será aplicado
!--- a todos os túneis GRE criados dinamicamente.

interface Tunnel1
 description MULTI-POINT GRE TUNNEL for BRANCHES
 bandwidth 1000
 ip address 172.16.0.1 255.255.255.0
 no ip redirects
 ip mtu 1416
 ip nhrp authentication dmvpn
 ip nhrp map multicast dynamic
 ip nhrp network-id 99
 ip nhrp holdtime 300
 no ip route-cache
 ip ospf network broadcast
 no ip mroute-cache
 delay 1000
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile dmvpnprof
!

!--- Esta é a interface de saída.

interface FastEthernet0/0
 ip address 14.24.117.1 255.255.0.0
 ip nat outside
 ip access-group 100 in
 ip inspect in2out out
 no ip mroute-cache
 duplex auto
 speed auto
!
interface Serial0/0
 no ip address
 shutdown
 clockrate 2000000
 no fair-queue
!
interface FastEthernet0/1
 no ip address
 no ip mroute-cache
 duplex auto
 speed auto
!

!--- Habilite o protocolo de roteamento para enviar e receber
!--- atualizações dinâmicas sobre as redes privadas.

router ospf 1
 log-adjacency-changes
 network 172.16.0.0 0.0.0.255 area 0
 network 192.168.117.0 0.0.0.255 area 0
!

!--- Exclua o tráfego da rede privada do processo de NAT.

ip nat inside source route-map nonat interface FastEthernet0/0 overload
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 14.24.1.1
ip route 2.0.0.0 255.0.0.0 14.24.121.1
!
!
!

!--- Permita o tráfego ISAKMP, ESP e GRE de entrada.
!--- O Cisco IOS Firewall abre outro acesso de entrada conforme o necessário.

access-list 100 permit udp any host 14.24.117.1 eq 500
access-list 100 premit esp any host 14.24.117.1
access-list 100 permit gre any host 14.24.117.1
access-list 100 deny ip any any


!--- Exclua o tráfego da rede privada do processo de NAT.

access-list 110 deny   ip 192.168.117.0 0.0.0.255 192.168.118.0 0.0.0.255
access-list 110 deny   ip 192.168.117.0 0.0.0.255 192.168.116.0 0.0.0.255
access-list 110 deny   ip 192.168.117.0 0.0.0.255 192.168.120.0 0.0.0.255
access-list 110 permit ip 192.168.117.0 0.0.0.255 any
!

!--- Exclua o tráfego da rede privada do processo de NAT.

route-map nonat permit 10
 match ip address 110
!
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
!
end

W2N-6.16-3620-B#

Spoke 1 - 3620-A

W2N-6.16-3620-A#write terminal
Building configuration...

Current configuration : 2678 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname W2N-6.16-3620-A
!
boot system flash slot0:c3620-ik9o3s7-mz.122-15.T1.bin
logging queue-limit 100
!
memory-size iomem 15
ip subnet-zero
!
!
ip cef
no ip domain lookup
!

!--- Esta é a configuração do Cisco IOS Firewall e o que deve ser inspecionado.
!--- Aplicado na saída da interface externa.

ip inspect name in2out rcmd
ip inspect name in2out tftp
ip inspect name in2out udp
ip inspect name in2out tcp timeout 43200
ip inspect name in2out realaudio
ip inspect name in2out vdolive
ip inspect name in2out netshow
ip audit po max-events 100
!
!
!

!--- Crie uma política de ISAKMP para
!--- as negociações da Fase 1.

crypto isakmp policy 5
 authentication pre-share
 group 2

!--- Adicione a chave pré-compartilhada dinâmica.

crypto isakmp key dmvpnkey address 0.0.0.0 0.0.0.0
!
!

!--- Crie a política da Fase 2 para a criptografia de dados real.

crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
!

!--- Crie um perfil de IPSec para ser aplicado dinamicamente aos
!--- túneis GRE sobre IPsec.

crypto ipsec profile dmvpnprof
 set transform-set dmvpnset
!
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!

!--- Esta é a interface de entrada.

interface Loopback1
 ip address 192.168.118.1 255.255.255.0
 ip nat inside
!

!--- Crie um modelo de túnel GRE que será aplicado a
!--- todos os túneis GRE criados dinamicamente.

interface Tunnel1
 description HOST DYNAMIC TUNNEL
 bandwidth 1000
 ip address 172.16.0.2 255.255.255.0
 no ip redirects
 ip mtu 1416
 ip nhrp authentication dmvpn
 ip nhrp map multicast dynamic
 ip nhrp map 172.16.0.1 14.24.117.1
 ip nhrp map multicast 14.24.117.1
 ip nhrp network-id 99
 ip nhrp holdtime 300
 ip nhrp nhs 172.16.0.1
 no ip route-cache
 ip ospf network broadcast
 no ip mroute-cache
 delay 1000
 tunnel source Ethernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile dmvpnprof
!

!--- Esta é a interface de saída.

interface Ethernet0/0
 ip address 14.24.118.1 255.255.0.0
 ip nat outside
 ip access-group 100 in
 ip inspect in2out out
 no ip mroute-cache
 half-duplex
!
interface Ethernet0/1
 no ip address
 half-duplex
!
interface Ethernet0/2
 no ip address
 shutdown
 half-duplex
!
interface Ethernet0/3
 no ip address
 shutdown
 half-duplex
!

!--- Habilite o protocolo de roteamento para enviar e receber
!--- atualizações dinâmicas sobre as redes privadas.

router ospf 1
 log-adjacency-changes
 redistribute connected
 network 172.16.0.0 0.0.0.255 area 0
 network 192.168.118.0 0.0.0.255 area 0
!

!--- Exclua o tráfego da rede privada do processo de NAT.

ip nat inside source route-map nonat interface Ethernet0/0 overload
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 14.24.1.1
ip route 2.0.0.0 255.0.0.0 14.24.121.1

!
!
!

!--- Permita o tráfego ISAKMP, ESP e GRE de entrada.
!--- O Cisco IOS Firewall abre o acesso de entrada conforme o necessário.

access-list 100 permit udp any host 14.24.118.1 eq 500
access-list 100 premit esp any host 14.24.118.1
access-list 100 permit gre any host 14.24.118.1
access-list 100 deny ip any any


!--- Exclua o tráfego da rede privada do processo de NAT.

access-list 110 deny   ip 192.168.118.0 0.0.0.255 192.168.117.0 0.0.0.255
access-list 110 deny   ip 192.168.118.0 0.0.0.255 192.168.116.0 0.0.0.255
access-list 110 deny   ip 192.168.118.0 0.0.0.255 192.168.120.0 0.0.0.255
access-list 110 permit ip 192.168.118.0 0.0.0.255 any
!

!--- Exclua o tráfego da rede privada do processo de NAT.

route-map nonat permit 10
 match ip address 110
!
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
!
end

W2N-6.16-3620-A#

Spoke 2 - 1720-b

1720-b#write terminal
Building configuration...

Current configuration : 2623 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 1720-b
!
logging queue-limit 100
enable password cisco
!
username 7206-B password 0 cisco
ip subnet-zero
!
!
no ip domain lookup
!
ip cef

!--- Esta é a configuração do Cisco IOS Firewall e o que deve ser inspecionado.
!--- Aplicado na saída da interface externa.

ip inspect name in2out rcmd
ip inspect name in2out tftp
ip inspect name in2out udp
ip inspect name in2out tcp timeout 43200
ip inspect name in2out realaudio
ip inspect name in2out vdolive
ip inspect name in2out netshow
ip audit po max-events 100
vpdn-group 1
 request-dialin
  protocol pppoe
!
!
!
!
!

!--- Crie uma política de ISAKMP para
!--- as negociações da Fase 1.

crypto isakmp policy 5
 authentication pre-share
 group 2

!--- Adicione a chave pré-compartilhada dinâmica.

crypto isakmp key dmvpnkey address 0.0.0.0 0.0.0.0
!
!


!--- Crie a política da Fase 2 para a criptografia de dados real.

crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
!

!--- Crie um perfil de IPSec para ser aplicado dinamicamente aos
!--- túneis GRE sobre IPsec.

crypto ipsec profile dmvpnprof
 set transform-set dmvpnset
!
!
!
!
!

!--- Esta é a interface de entrada.

interface Loopback1
 ip address 192.168.116.1 255.255.255.0
 ip nat inside
!

!--- Crie um modelo de túnel GRE que será aplicado a
!--- todos os túneis GRE criados dinamicamente.

interface Tunnel1
 description HOST DYNAMIC TUNNEL
 bandwidth 1000
 ip address 172.16.0.3 255.255.255.0
 no ip redirects
 ip mtu 1416
 ip nhrp authentication dmvpn
 ip nhrp map multicast dynamic
 ip nhrp map 172.16.0.1 14.24.117.1
 ip nhrp map multicast 14.24.117.1
 ip nhrp network-id 99
 ip nhrp holdtime 300
 ip nhrp nhs 172.16.0.1
 no ip route-cache
 ip ospf network broadcast
 no ip mroute-cache
 delay 1000
 tunnel source Dialer1
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile dmvpnprof
!
interface Ethernet0
 no ip address
 half-duplex
!
interface FastEthernet0
 no ip address
 no ip mroute-cache
 speed auto
 pppoe enable
 pppoe-client dial-pool-number 1
!

!--- Esta é a interface de saída.

interface Dialer1
 ip address 2.2.2.10 255.255.255.0
 ip inspect in2out out
 ip access-group 100 in encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap chap callin
!

!--- Habilite o protocolo de roteamento para enviar e receber
!--- atualizações dinâmicas sobre as redes privadas.

router ospf 1
 log-adjacency-changes
 redistribute connected
 network 172.16.0.0 0.0.0.255 area 0
 network 192.168.116.0 0.0.0.255 area 0
!

!--- Exclua o tráfego da rede privada do processo de NAT.

ip nat inside source route-map nonat interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 14.24.1.1
ip route 0.0.0.0 0.0.0.0 Dialer1

no ip http server
no ip http secure-server
!
!
!

!--- Permita o tráfego ISAKMP, ESP e GRE de entrada.
!--- O Cisco IOS Firewall abre o acesso de entrada conforme o necessário.

access-list 100 permit udp any host 14.24.116.1 eq 500
access-list 100 premit esp any host 14.24.116.1
access-list 100 permit gre any host 14.24.116.1
access-list 100 deny ip any any



!--- Exclua o tráfego da rede privada do processo de NAT.

access-list 110 deny   ip 192.168.116.0 0.0.0.255 192.168.117.0 0.0.0.255
access-list 110 deny   ip 192.168.116.0 0.0.0.255 192.168.118.0 0.0.0.255
access-list 110 deny   ip 192.168.116.0 0.0.0.255 192.168.120.0 0.0.0.255
access-list 110 permit ip 192.168.116.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!

!--- Exclua o tráfego da rede privada do processo de NAT.

route-map nonat permit 10
 match ip address 110
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
no scheduler allocate
end

1720-b#

Spoke 3 - 1720-A

W2N-6.16-1720-A#write terminal
Building configuration...

Current configuration : 2303 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname W2N-6.16-1720-A
!
logging queue-limit 100
!
memory-size iomem 25
ip subnet-zero
!
!
no ip domain lookup
!
ip cef

!--- Esta é a configuração do Cisco IOS Firewall e o que deve ser inspecionado.
!--- Aplicado na saída da interface externa.

ip inspect name in2out rcmd
ip inspect name in2out tftp
ip inspect name in2out udp
ip inspect name in2out tcp timeout 43200
ip inspect name in2out realaudio
ip inspect name in2out vdolive
ip inspect name in2out netshow
ip audit notify log
ip audit po max-events 100
!
!
!
!

!--- Crie uma política de ISAKMP para
!--- as negociações da Fase 1.

crypto isakmp policy 5
 authentication pre-share
 group 2

!--- Adicione a chave pré-compartilhada dinâmica.

crypto isakmp key dmvpnkey address 0.0.0.0 0.0.0.0
!
!

!--- Crie a política da Fase 2 para a criptografia de dados real.

crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
!

!--- Crie um perfil de IPSec para ser aplicado dinamicamente aos
!--- túneis GRE sobre IPsec.

crypto ipsec profile dmvpnprof
 set transform-set dmvpnset
!
!
!
!
!

!--- Esta é a interface de entrada.

interface Loopback1
 ip address 192.168.120.1 255.255.255.0
 ip nat inside
!

!--- Crie um modelo de túnel GRE que será aplicado a
!--- todos os túneis GRE criados dinamicamente.

interface Tunnel1
 description HOST DYNAMIC TUNNEL
 bandwidth 1000
 ip address 172.16.0.4 255.255.255.0
 no ip redirects
 ip mtu 1416
 ip nhrp authentication dmvpn
 ip nhrp map multicast dynamic
 ip nhrp map 172.16.0.1 14.24.117.1
 ip nhrp map multicast 14.24.117.1
 ip nhrp network-id 99
 ip nhrp holdtime 300
 ip nhrp nhs 172.16.0.1
 ip ospf network broadcast
 no ip mroute-cache
 delay 1000
 tunnel source FastEthernet0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile dmvpnprof
!
interface Ethernet0
 no ip address
 no ip mroute-cache
 half-duplex
!

!--- Esta é a interface de saída.

interface FastEthernet0
 ip address 14.24.120.1 255.255.0.0
 ip nat outside
 ip inspect in2out out
 ip access-group 100 in
 no ip mroute-cache
 speed auto
!

!--- Habilite o protocolo de roteamento para enviar e receber
!--- atualizações dinâmicas sobre as redes privadas.

router ospf 1
 log-adjacency-changes
 redistribute connected
 network 172.16.0.0 0.0.0.255 area 0
 network 192.168.120.0 0.0.0.255 area 0
!

!--- Exclua o tráfego da rede privada do processo de NAT.

ip nat inside source route-map nonat interface FastEthernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 14.24.1.1
ip route 2.0.0.0 255.0.0.0 14.24.121.1
no ip http server
no ip http secure-server
!
!
!

!--- Permita o tráfego ISAKMP, ESP e GRE de entrada.
!--- O Cisco IOS Firewall abre o acesso de entrada conforme o necessário.

access-list 100 permit udp any host 14.24.116.1 eq 500
access-list 100 premit esp any host 14.24.116.1
access-list 100 permit gre any host 14.24.116.1
access-list 100 deny ip any any
access-list 110 permit ip 192.168.120.0 0.0.0.255 any

!--- Exclua o tráfego da rede privada do processo de NAT.

access-list 110 deny   ip 192.168.120.0 0.0.0.255 192.168.116.0 0.0.0.255
access-list 110 deny   ip 192.168.120.0 0.0.0.255 192.168.117.0 0.0.0.255
access-list 110 deny   ip 192.168.120.0 0.0.0.255 192.168.118.0 0.0.0.255
access-list 110 permit ip 192.168.120.0 0.0.0.255 any
!

!--- Exclua o tráfego da rede privada do processo de NAT.

route-map nonat permit 10
 match ip address 110
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 login
!
end

W2N-6.16-1720-A#

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show crypto isakmp sa — Exibe o estado da associação de segurança (SA) ISAKMP.

  • show crypto engine connections active — Exibe o total de conexões criptografadas/descriptografadas por SA.

  • show crypto ipsec sa — Exibe as estatísticas nos túneis ativos.

  • show ip route — Exibe a tabela de roteamento.

  • show ip ospf neighbor — Exibe as informações de proximidade OSPF com base na interface.

  • show ip nhrp — Exibe o cache Next Hop Resolution Protocol (NHRP) IP, limitado de forma opcional a entradas de cache dinâmicas ou estáticas para uma interface específica.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos de Troubleshooting

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar os comandos debug.

  • debug crypto ipsec — Exibe eventos de IPSec.

  • debug crypto isakmp — Exibe mensagens sobre eventos de IKE.

  • debug crypto engine — Exibe informações do mecanismo de criptografia.

Informações adicionais sobre troubleshooting de IPSec podem ser encontradas em Troubleshooting de Segurança IP – Compreendendo e Utilizando Comandos de Depuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 43068