Segurança e VPN : Negociação IPSec/Protocolos IKE

Configurando um Túnel GRE via IPSec com OSPF

3 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Setembro 2008) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes usados
     Convenções
Configurar
     Diagrama de rede
     Configurações
Verificação
Solução de Problemas
     Comandos de Solução de Problemas
Discussões relacionadas da comunidade de suporte da Cisco
Informações relacionadas

Introdução

As configurações normais do IP Security (IPSec) não podem transferir os protocolos de roteamento, como EIGRP (Enhanced Interior Gateway Routing Protocol) e OSPF (Open Shortest Path First), ou o tráfego não IP, como IPX (Intercâmbio de Pacotes entre Redes) e AppleTalk. Este documento ilustra como fazer o roteamento entre redes diferentes que utilizam um protocolo de roteamento e tráfego não IP com IPSec. Este exemplo utiliza o GRE (Generic Routing Encapsulation) para conseguir o roteamento entre as diferentes redes.

Pré-requisitos

Requisitos

Antes de você tentar essa configuração verifique se estes requisitos são atendidos:

Componentes usados

As informações neste documento são baseadas nestas versões de hardware e software.

  • Cisco 3600, que executa o Cisco IOS® Software Release 12.1(8)

  • Cisco 2600, que executa o Cisco IOS Software Release 12.1(9)

  • PIX Firewall Software Release 5.3(2)

  • PIX Firewall Software Release 6.0(1)

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Para obter mais informações sobre convenções de documentos, consulte Convenções de dicas técnicas da Cisco.

Configurar

Nesta seção, você encontra as informações utilizadas para configurar os recursos descritos neste documento.

Observação: Para obter informações adicionais sobre os comandos utilizados neste documento, use a Ferramenta de Consulta de Comandos (clientes registrados somente) .

Diagrama de rede

Este documento utiliza a configuração de rede mostrada neste diagrama.

gre_ipsec_ospf_01.gif

Configurações

Este documento usa estas configurações.

PIX Lion

PIX Version 6.0(1)
nameif gb-ethernet0 dmz1 security60
nameif gb-ethernet1 dmz2 security40
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Lion
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

                     !--- Tráfego de dentro da rede.
                  
                  access-list nonat permit ip 192.168.4.0 255.255.255.0 192.168.3.0 255.255.255.0 
pager lines 24
interface gb-ethernet0 1000auto shutdown
interface gb-ethernet1 1000auto shutdown
interface ethernet0 auto
interface ethernet1 auto
mtu dmz1 1500
mtu dmz2 1500
mtu outside 1500
mtu inside 1500
ip address dmz1 127.0.0.1 255.255.255.255
ip address dmz2 127.0.0.1 255.255.255.255
ip address outside 10.64.10.16 255.255.255.224
ip address inside 192.168.4.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address dmz1 0.0.0.0
failover ip address dmz2 0.0.0.0
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 interface

                     !--- Não Traduzir o Endereço de Rede (NAT) do tráfego.
                  
                  nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 10.64.10.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 s0
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

                     !--- Confiar no tráfego do IPSec e evitar passar por
!--- Listas de controle de acesso (ACLs)/NAT.
                  
                  sysopt connection permit-ipsec
no sysopt route dnat

                     !--- Configuração do IPSec.
                  
                  crypto ipsec transform-set pixset esp-des esp-md5-hmac
crypto map pixmap 20 ipsec-isakmp
crypto map pixmap 20 match address nonat
crypto map pixmap 20 set peer 10.64.10.15
crypto map pixmap 20 set transform-set pixset
crypto map pixmap interface outside
isakmp enable outside
                  
                     !--- Parâmetros de IKE.
                  
                  isakmp key ******** address 10.64.10.15 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 3600
telnet timeout 5
ssh 64.104.205.124 255.255.255.255 outside
ssh timeout 5
terminal width 80
Cryptochecksum:d39b3d449563c7cd434b43f82f0f0a21
: end

PIX Tiger

PIX Version 5.3(2)
nameif gb-ethernet0 intf2 security10
nameif gb-ethernet1 intf3 security15
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Tiger
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
names
access-list nonat permit ip 192.168.3.0 255.255.255.0 192.168.4.0 255.255.255.0 
pager lines 24
logging on
no logging timestamp
no logging standby
logging console debugging
no logging monitor
no logging buffered
no logging trap
no logging history
logging facility 20
logging queue 512
interface gb-ethernet0 1000auto shutdown
interface gb-ethernet1 1000auto shutdown
interface ethernet0 auto
interface ethernet1 auto
mtu intf2 1500
mtu intf3 1500
mtu outside 1500
mtu inside 1500
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address outside 10.64.10.15 255.255.255.224
ip address inside 192.168.3.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
global (outside) 1 interface

                     !--- Não NAT do tráfego.
                  
                  nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 10.64.10.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 s0
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat

                     !--- Parâmetros do IPSec.
                  
                  crypto ipsec transform-set pixset esp-des esp-md5-hmac
crypto map pixmap 20 ipsec-isakmp
crypto map pixmap 20 match address nonat
crypto map pixmap 20 set peer 10.64.10.16
crypto map pixmap 20 set transform-set pixset
crypto map pixmap interface outside
                  
                     !--- Parâmetros de IKE.
                  
                  isakmp enable outside
isakmp key ******** address 10.64.10.16 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 3600
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:a0a7ac847b05d9d080d1c442ef053a0b
: end

Router Rodney

version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname rodney
!
memory-size iomem 15
ip subnet-zero
!
ip audit notify log
ip audit po max-events 100
!
interface Loopback0
ip address 20.20.20.20 255.255.255.0
!
interface Loopback1
ip address 22.22.22.22 255.255.255.0
!
interface Tunnel0
ip address 1.1.1.2 255.255.255.0
                  
                     !--- Origem do túnel.
                  
                  tunnel source Ethernet0/1
                  
                     !--- Destino do túnel.
                  
                  tunnel destination 192.168.3.2
!
interface Ethernet0/0
no ip address
!
interface Serial0/0
no ip address
shutdown
!
interface Ethernet0/1
ip address 192.168.4.2 255.255.255.0
!
interface Serial0/1
no ip address
shutdown
!
router ospf 22
log-adjacency-changes
network 1.1.1.0 0.0.0.255 area 0
network 22.22.22.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.4.1
ip route 10.10.10.0 255.255.255.0 Tunnel0
no ip http server
!
line con 0
line aux 0
line vty 0 4
login
!
end!
End

Router House

version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname house
!
ip subnet-zero
no ip domain-lookup
!
interface Loopback0
ip address 10.10.10.10 255.255.255.0
!
interface Loopback1
ip address 11.11.11.11 255.255.255.0
!
interface Tunnel0
ip address 1.1.1.1 255.255.255.0
                  
                     !--- Origem do túnel.
                  
                  tunnel source FastEthernet0/1
                  
                     !--- Destino do túnel.
                  
                  tunnel destination 192.168.4.2
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.3.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet4/0
no ip address
shutdown
duplex auto
speed auto
!
router ospf 11
log-adjacency-changes
network 1.1.1.0 0.0.0.255 area 0
network 11.11.11.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.3.1
ip route 20.20.20.0 255.255.255.0 Tunnel0
ip http server
!
line con 0
line aux 0
line vty 0 4

Verificação

No momento, não existe um procedimento de verificação disponível para esta configuração.

Solução de Problemas

Esta seção contém informações que podem ser usadas para solucionar problemas da configuração.

Para obter mais informações sobre a solução de problemas relacionados a um túnel PIX e IPSec, consulte Solução de Problemas de PIX Relacionados à Passagem de Tráfego de Dados em um Túnel IPSec Estabelecido.

Comandos de Solução de Problemas

Alguns comandos show são suportados pela Output Interpreter Tool (clientes registrados somente) , que permite que você veja uma análise da saída do comandoshow.

Observação: Antes de executar os comandos debug, consulte Informações Importantes sobre Comandos de Depuração.

Boa depuração de IPSec do PIX

  • show crypto isakmp sa – Mostra a Internet Security Association Management Protocol (ISAKMP) Security Association (SA) construída entre correspondentes.

    Lion# show crypto isakmp sa
    Total : 1
    Embryonic : 0
    dst src state pending created
    10.64.10.15 10.64.10.16 QM_IDLE 0 1
    
    
    Tiger# show crypto isakmp sa
    Total SAs : 1
    Embryonic : 0
    dst src state pending created
    10.64.10.15 10.64.10.16 QM_IDLE 0 1
  • show crypto engine connection active—Mostra cada SA de Fase 2 construído e a quantidade de tráfego enviado.

    Lion# show crypto engine connection active
    Crypto Engine Connection Map:
    size = 8, free = 6, used = 2, active = 2
    
    
    Tiger# show crypto engine connection active
    Crypto Engine Connection Map:
    size = 8, free = 6, used = 2, active = 2
  • show debug—Exibe a saída de depuração.

    Lion# show debug
    debug crypto ipsec
    debug crypto isakmp
    debug crypto engine
    crypto_isakmp_process_block: src 10.64.10.15, dest 10.64.10.16
    OAK_MM exchange
    ISAKMP (0): processing SA payload. message ID = 0
    
    ISAKMP (0): Checking ISAKMP transform 1 against priority 20 policy
    ISAKMP: encryption DES-CBC
    ISAKMP: hash MD5
    ISAKMP: default group 1
    ISAKMP: auth pre-share
    ISAKMP: life type in seconds
    ISAKMP: life duration (basic) of 3600
    ISAKMP (0): atts are acceptable. Next payload is 0
    ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
    return status is IKMP_NO_ERROR#
    crypto_isakmp_process_block: src 10.64.10.15, dest 10.64.10.16
    OAK_MM exchange
    ISAKMP (0): processing KE payload. message ID = 0
    
    ISAKMP (0): processing NONCE payload. message ID = 0
    
    ISAKMP (0): processing vendor id payload
    
    ISAKMP (0): speaking to another IOS box!
    
    ISAKMP (0): ID payload
    next-payload : 8
    type : 1
    protocol : 17
    port : 500
    length : 8
    ISAKMP (0): Total payload length: 12
    return status is IKMP_NO_ERROR
    crypto_isakmp_process_block: src 10.64.10.15, dest 10.64.10.16
    OAK_MM exchange
    ISAKMP (0): processing ID payload. message ID = 0
    ISAKMP (0): processing HASH payload. message ID = 0
    ISAKMP (0): SA has been authenticated
    
    ISAKMP (0): beginning Quick Mode exchange, M-ID of 1220019031:48b80357IPSEC(key.
    IPSEC(spi_response): getting spi 0xa67177c5(2792454085) for SA
    from 10.64.10.15 to 10.64.10.16 for prot 3
    
    return status is IKMP_NO_ERROR
    crypto_isakmp_process_block: src 10.64.10.15, dest 10.64.10.16
    OAK_QM exchange
    oakley_process_quick_mode:
    OAK_QM_IDLE
    ISAKMP (0): processing SA payload. message ID = 1220019031
    
    ISAKMP : Checking IPSec proposal 1
    
    ISAKMP: transform 1, ESP_DES
    ISAKMP: attributes in transform:
    ISAKMP: encaps is 1
    ISAKMP: SA life type in seconds
    ISAKMP: SA life duration (basic) of 28800
    ISAKMP: SA life type in kilobytes
    ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
    ISAKMP: authenticator is HMAC-MD5
    ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part,
    (key eng. msg.) dest= 10.64.10.15, src= 10.64.10.16,
    dest_proxy= 192.168.3.0/255.255.255.0/0/0 (type=4),
    src_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
    
    ISAKMP (0): processing NONCE payload. message ID = 1220019031
    
    ISAKMP (0): processing ID payload. message ID = 1220019031
    ISAKMP (0): processing ID payload. message ID = 1220019031map_alloc_entry: allo2
    map_alloc_entry: allocating entry 1
    
    ISAKMP (0): Creating IPSec SAs
    inbound SA from 10.64.10.15 to 10.64.10.16 (proxy 192.168.3)
    has spi 2792454085 and conn_id 2 and flags 4
    lifetime of 28800 seconds
    lifetime of 4608000 kilobytes
    outbound SA from 10.64.10.16 to 10.64.10.15 (proxy 192.168.)
    has spi 285493108 and conn_id 1 and flags 4
    lifetime of 28800 seconds
    lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event...
    IPSEC(initialize_sas): ,
    (key eng. msg.) dest= 10.64.10.16, src= 10.64.10.15,
    dest_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
    src_proxy= 192.168.3.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des esp-md5-hmac ,
    lifedur= 28800s and 4608000kb,
    spi= 0xa67177c5(2792454085), conn_id= 2, keysize= 0, flags= 0x4
    IPSEC(initialize_sas): ,
    (key eng. msg.) src= 10.64.10.16, dest= 10.64.10.15,
    src_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
    dest_proxy= 192.168.3.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des esp-md5-hmac ,
    lifedur= 28800s and 4608000kb,
    spi= 0x11044774(285493108), conn_id= 1, keysize= 0, flags= 0x4
    
    return status is IKMP_NO_ERROR 

Roteamento e Ping de Transmissão do GRE do Roteador

  • show ip route—Exibe as entradas da tabela do IP Routing.

    rodney#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
    i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
    * - candidate default, U - per-user static route, o - ODR
    P - periodic downloaded static route
    
    Gateway of last resort is 192.168.4.1 to network 0.0.0.0
    
    1.0.0.0/24 is subnetted, 1 subnets
    C 1.1.1.0 is directly connected, Tunnel0
    20.0.0.0/24 is subnetted, 1 subnets
    C 20.20.20.0 is directly connected, Loopback0
    22.0.0.0/24 is subnetted, 1 subnets
    C 22.22.22.0 is directly connected, Loopback1
    C 192.168.4.0/24 is directly connected, Ethernet0/1
    10.0.0.0/24 is subnetted, 1 subnets
    S 10.10.10.0 is directly connected, Tunnel0
    11.0.0.0/32 is subnetted, 1 subnets
    O 11.11.11.11 [110/11112] via 1.1.1.1, 03:34:01, Tunnel0
    S* 0.0.0.0/0 [1/0] via 192.168.4.1
    rodney#
    rodney#ping 11.11.11.11
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 11.11.11.11, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    
    
    
    house#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
    i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
    * - candidate default, U - per-user static route, o - ODR
    P - periodic downloaded static route
    
    Gateway of last resort is 192.168.3.1 to network 0.0.0.0
    
    1.0.0.0/24 is subnetted, 1 subnets
    C 1.1.1.0 is directly connected, Tunnel0
    20.0.0.0/24 is subnetted, 1 subnets
    S 20.20.20.0 is directly connected, Tunnel0
    22.0.0.0/32 is subnetted, 1 subnets
    O 22.22.22.22 [110/11112] via 1.1.1.2, 03:33:39, Tunnel0
    10.0.0.0/24 is subnetted, 1 subnets
    C 10.10.10.0 is directly connected, Loopback0
    11.0.0.0/24 is subnetted, 1 subnets
    C 11.11.11.0 is directly connected, Loopback1
    C 192.168.3.0/24 is directly connected, FastEthernet0/1
    S* 0.0.0.0/0 [1/0] via 192.168.3.1
    
    house#ping 22.22.22.22
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 22.22.22.22, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações relacionadas


Document ID: 14381