Segurança e VPN : Negociação IPSec/Protocolos IKE

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

22 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (1 Maio 2007) | Feedback

Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Configurar
     Diagrama de Rede
     Configurações
Verificação
Solução de Problemas
     Comandos de Solução de Problemas
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Esse exemplo de configuração criptografa o tráfego da rede por trás de Luz para a rede por trás de Interno (a rede 192.168.100.x to 192.168.200.x). Também ocorre Sobrecarga da Network Address Translation (NAT). Conexões Cliente VPN criptografadas são permitidas em Luz com chaves pré-compartilhadas curinga e configuração de modo. O tráfego para a Internet é convertido, mas não criptografado.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Usados

As informações neste documento são baseadas nestas versões de hardware e software:

  • Cisco IOS® Software Release 12.2.7 e 12.2.8T

  • Cisco Secure VPN Client 1.1 (mostrado como 2.1.12 no menu Ajuda > Sobre do cliente IRE)

  • Routers Cisco 3600

As informações apresentadas neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento foram iniciados com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Para obter mais informações sobre convenções de documentos, consulte Convenções de dicas técnicas da Cisco.

Configurar

Nesta seção, você vai conhecer informações para configurar os recursos descritos neste documento.

Observação: Para obter outras informações sobre os comandos usados neste documento, use a Ferramenta de Consulta de Comandos.

Diagrama de Rede

Este documento utiliza esta configuração de rede:

ios_D-a.gif

Configurações

Este documento usa as configurações abaixo.

Configuração de Luz

 Current configuration : 2047 bytes
 !
 version 12.2
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname Light
 !
 boot system flash:c3660-ik9o3s-mz.122-8T
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 ip ssh time-out 120
 ip ssh authentication-retries 3
 !

                     !--- Associação de Segurança de Internet e a
!--- política de Protocolo de Gerenciamento Chave (ISAKMP)
                  
                  crypto isakmp policy 5
  hash md5
  pré associação de autenticação
                  
                     !--- Chave ISAKMP para túnel estático de Lan para LAN
!--- sem autenticação extendida (xauth).
                  
                  crypto isakmp key cisco123 address 10.64.10.45 no-xauth
                  
                     !--- Chave ISAKMP para cliente VPN dinâmico.
                  
                  crypto isakmp key 123cisco address 0.0.0.0 0.0.0.0
                  
                     !--- Atribui um endereço IP ao Cliente VPN.
                  
                  crypto isakmp client configuration address-pool local test-pool
 !
 !
 ! 
 crypto ipsec transform-set testset esp-des esp-md5-hmac 
 !
 crypto dynamic-map test-dynamic 10
  set transform-set testset 
 !
 !

                     !--- Negociação de configuração do modo Cliente VPN,
!--- como atribuição de endereço IP e xauth.
                  
                  crypto map test client configuration address initiate
 crypto map test client configuration address respond
                  
                     !--- Mapa de criptografia estático para o túnel de LAN para LAN.
                  
                  crypto map test 5 ipsec-isakmp   
  set peer 10.64.10.45
  set transform-set testset 
                  
                     !--- Inclua o tráfego de rede privada a rede privada
!--- no processo de criptografia.
                  
                  match address 115
                  
                     !--- Mapa de criptografia dinâmico para o Cliente VPN.
                  
                  crypto map test 10 ipsec-isakmp dynamic test-dynamic 
 !


 call rsvp-sync
 !
 !
 !         
 !
 !
 fax interface-type modem
 mta receive maximum-recipients 0
 !
 controller E1 2/0
 !
 !
 !
 interface FastEthernet0/0
  ip address 10.64.10.44 255.255.255.224
  ip nat outside
  duplex auto
  speed auto
  crypto map test
 !
 interface FastEthernet0/1
  ip address 192.168.100.1 255.255.255.0
  ip nat inside
  duplex auto
  speed auto
 !
 interface BRI4/0
  no ip address
  shutdown
 !
 interface BRI4/1
  no ip address
  shutdown
 !
 interface BRI4/2
  no ip address
  shutdown
 !
 interface BRI4/3
  no ip address
  shutdown
 !
 
                     !--- Defina um pool de endereço IP para o Cliente VPN.
                  
                  ip local pool test-pool 192.168.1.1 192.168.1.254
                  
                     !--- Exclua a rede privada e o Cliente VPN 
!--- tráfego do processo NAT.
                  
                  ip nat inside source route-map nonat interface FastEthernet0/0 overload 
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.64.10.33
 ip http server
 ip pim bidir-enable
 !

                     !--- Exclua a rede privada e o Cliente VPN 
!--- tráfego do processo NAT.
                  
                  access-list 110 deny   ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
 access-list 110 deny   ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
 access-list 110 permit ip 192.168.100.0 0.0.0.255 any
                  
                     !--- Inclua o tráfego de rede privada a rede privada
!--- no processo de criptografia.
                  
                  access-list 115 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
 !

                     !--- Exclua a rede privada e o Cliente VPN 
!--- tráfego do processo NAT.
                  
                  route-map nonat permit 10
  match ip address 110 
 !
 !
 dial-peer cor custom
 !
 !
 !
 !
 !
 line con 0
 line 97 108
 line aux 0
 line vty 0 4
 !
 end

Configuração Interna

Current configuration : 1689 bytes
 !
 version 12.2
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname house
 !
 boot system flash:c3660-jk8o3s-mz.122-7.bin
 !
 ip subnet-zero
 !
 !
 no ip domain-lookup
 !
 ip audit notify log
 ip audit po max-events 100
 ip ssh time-out 120
 ip ssh authentication-retries 3
 !

                     !--- Política IPSec ISAKMP.
                  
                  crypto isakmp policy 5
  hash md5 
  pré associação de autenticação
                  
                     !--- Chave ISAKMP para túnel de LAN para LAN sem autenticação xauth.
                  
                  crypto isakmp key cisco123 address 10.64.10.44 no-xauth
 !
 !
 crypto ipsec transform-set testset esp-des esp-md5-hmac 
 !

                     !--- Mapa de criptografia estático para o túnel de LAN para LAN.
                  
                  crypto map test 5 ipsec-isakmp   
  set peer 10.64.10.44
  set transform-set testset 
                  
                     !--- Inclua o tráfego de rede privada a rede privada
!--- no processo de criptografia.
                  
                   match address 115 
 !
 call rsvp-sync
 cns event-service server
 !
 !
 !
 !
 !
 fax interface-type modem
 mta receive maximum-recipients 0
 !
 !
 !         
 interface FastEthernet0/0
  ip address 10.64.10.45 255.255.255.224
  ip nat outside
  duplex auto
  speed auto
  crypto map test
 !
 interface FastEthernet0/1
  ip address 192.168.200.1 255.255.255.0
  ip nat inside
  duplex auto
  speed auto
 !
 interface BRI2/0
  no ip address
  shutdown
 !
 interface BRI2/1
  no ip address
  shutdown
 !
 interface BRI2/2
  no ip address
  shutdown
 !
 interface BRI2/3
  no ip address
  shutdown
 !
 interface FastEthernet4/0
  no ip address
  shutdown
  duplex auto
  speed auto
 !
 
                     !--- Exclua o tráfego de rede privada 
!--- do processo NAT Dinâmico (associação dinâmica a um pool).
                  
                  ip nat inside source route-map nonat interface FastEthernet0/0 overload
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.64.10.33
 no ip http server
 ip pim bidir-enable
 !
 
                     !--- Exclua o tráfego da rede privada do processo NAT.
                  
                  access-list 110 deny   ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
 access-list 110 permit ip 192.168.200.0 0.0.0.255 any
                  
                     !--- Inclua o tráfego de rede privada a rede privada
!--- no processo de criptografia.
                  
                  access-list 115 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
                  
                     !--- Exclua o tráfego da rede privada do processo NAT.
                  
                  route-map nonat permit 10
  match ip address 110
 !
 !
 !
 dial-peer cor custom
 !
 !
 !
 !
 !
 line con 0
 line aux 0
 line vty 0 4
  login
 !
 end

Configuração de Cliente VPN

Network Security policy:
       1- TOLIGHT
       My Identity
       Connection security: Secure
       Remote Party Identity and addressing
       ID Type: IP subnet
       192.168.100.0
       255.255.255.0
       Port all Protocol all
       
  Connect using secure tunnel
         ID Type: IP address
         10.64.10.44

       
  Pre-shared Key=123cisco

       
  Authentication (Phase 1)
         Proposal 1
         Authentication method: pre-shared key
         Encryp Alg: DES
         Hash Alg: MD5
         SA life: Unspecified
         Key Group: DH 1

       
  Key exchange (Phase 2)
         Proposal 1
         Encapsulation ESP
         Encrypt Alg: DES
         Hash Alg: MD5
         Encap: tunnel
         SA life: Unspecified
         no AH

       
  2- Other Connections
         Connection security: Non-secure
         Local Network Interface
         Name: Any
         IP Addr: Any
         Port: All

Verificação

Esta seção fornece informações que você pode usar para confirmar se a configuração está funcionando corretamente.

Alguns comandos show recebem suporte da Output Interpreter Tool (clientes registrados somente) , o que permite visualizar uma análise da saída do comandoshow.

  • show crypto ipsec sa — Mostra as associações de segurança da fase 2 (SAs).

  • show crypto isakmp sa—Mostra as SAs de fase 1.

Solução de Problemas

Esta seção fornece informações que podem ser utilizadas para solucionar problemas de configuração.

Comandos de Solução de Problemas

Observação: Antes de emitir comandos debug, consulte Informações Importantes sobre Comandos de Depuração.

  • debug crypto ipsec - Mostra as negociações de IPSec da fase 2.

  • debug crypto isakmp - Mostra as negociações ISAKMP da fase 1.

  • debug crypto engine—Mostra o tráfego que está criptografado.

  • clear crypto isakmp—Limpa as SAs relacionadas à fase 1.

  • clear crypto sa—Limpa as SAs relacionadas à fase 2.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 14132