Sécurité et VPN : Négociation IPSec/protocoles IKE

Configuration d'IPSec entre un serveur Microsoft Windows 2000 et un périphérique Cisco

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Cisco a annoncé la fin des ventes pour le Concentrateur VPN de la gamme Cisco 5000. Le pour en savoir plus, voient s'il vous plaît l'annonce de fin de ventes.


Contenu


Introduction

Ce document explique comment créer un tunnel IPSec avec des clés prépartagées afin de joindre deux réseaux privés : un réseau privé (192.168.l.X) au sein d'un périphérique Cisco et un réseau privé (10.32.50.X) au sein d'un serveur Microsoft 2000. Nous supposons que le trafic allant du périphérique Cisco et du serveur 2000 vers Internet (représenté ici par les réseaux 172.18.124.X) circule déjà avant le début de la configuration.

Vous pouvez trouver les informations détaillées sur configurer le serveur de Microsoft Windows 2000 au site Web de Microsoft : http://support.microsoft.com/support/kb/articles/Q252/7/35.ASP leavingcisco.com

Avant de commencer

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Conditions préalables

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Ces configurations ont été développées et testées utilisant le logiciel et les versions de matériel ci-dessous.

  • Microsoft Windows 2000 Server 5.00.2195

  • Routeur de Cisco 3640 avec la version logicielle c3640-ik2o3s-mz.121-5.T.bin de Cisco IOSÝ

  • Pare-feu Cisco Secure PIX avec la version du logiciel PIX 5.2.1

  • Concentrateur de Cisco VPN 3000 avec la version de logiciel 2.5.2.F de concentrateur VPN 3000

  • Concentrateur de Cisco VPN 5000 avec la version 5.2.19 du logiciel du concentrateur VPN 5000

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant :

/image/gif/paws/14121/2000-01.gif

Configurer le Microsoft Windows 2000 Server pour fonctionner avec des périphériques de Cisco

Tâches effectuées

Ce diagramme affiche les tâches effectuées en configuration du serveur de Microsoft Windows 2000 :

/image/gif/paws/14121/2000-flow.gif

Instructions pas à pas

Une fois que vous avez suivileavingcisco.com Des commentaires et les modifications sont notés avec les captures d'écran.

  1. Cliquez sur le Start > Run > le secpol.msc sur le Microsoft Windows 2000 Server, et vérifiez les informations sur les écrans suivants.

    Après que les instructions sur le site Web de Microsoft aient été utilisées pour configurer des 2000 serveurs, les informations suivantes de tunnel ont été affichées.

    Remarque: L'exemple de règle s'appelle le « to_cisco ».

    /image/gif/paws/14121/2000-02.gif

  2. Cet exemple de règle contient deux filtres : Microsoft-Cisco et Cisco-Microsoft.

    /image/gif/paws/14121/2000-03.gif

  3. Sélectionnez la règle de sécurité IP de Cisco-Microsoft, puis cliquez sur Edit pour visualiser/ajoutez/éditez les listes de filtre IP.

    /image/gif/paws/14121/2000-03a.gif

  4. Le général > l'onglet Avancé de la règle a la vie d'IKE (480 minutes = 28800 secondes) :

    /image/gif/paws/14121/2000-04.gif

  5. Le général de la règle > a avancé > des méthodes que l'onglet a la méthode de chiffrement IKE (DES), le hachage d'IKE (SHA1), et le groupe de Diffie-Helman (Low(1)) :

    /image/gif/paws/14121/2000-05.gif

  6. Chaque filtre a 5 onglets :

    1. Méthodes d'authentification (clés pré-partagées pour échange de clés Internet (IKE) [IKE]) :

      /image/gif/paws/14121/2000-06.gif

    2. Type de connexion (RÉSEAU LOCAL) :

      /image/gif/paws/14121/2000-07.gif

    3. Action de filtre (IPSec) :

      /image/gif/paws/14121/2000-08.gif

      Le tunnel choisi d'action > d'IPSec de filtre > éditent > éditent, et cliquent sur la coutume :

      2000-09.gif

      Configurations de clic - IPSec transforme et vie d'IPSec :

      2000-10.gif

    4. Liste de filtre IP - réseaux de source et de destination à chiffrer :

      Pour Cisco-Microsoft :

      2000-11.gif

      Pour Microsoft-Cisco :

      2000-12.gif

    5. Paramètrage de tunnel - homologues de chiffrement :

      Pour Cisco-Microsoft :

      2000-13.gif

      Pour Microsoft-Cisco :

      2000-14.gif

Configurer les périphériques de Cisco

Configurez les concentrateurs de routeur, PIX et VPN de Cisco suivant les indications des exemples ci-dessous.

Configurer le routeur de Cisco 3640

Routeur Cisco 3640
Current configuration : 1840 bytes
!
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname moss
!
logging rate-limit console 10 except errors
!
ip subnet-zero
!
no ip finger
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 1

!--- The following are IOS defaults so they do not appear:
!--- IKE encryption method

encryption des

!--- IKE hashing

hash sha

!--- Diffie-Hellman group

group 1

!--- Authentication method

authentication pre-share

!--- IKE lifetime

lifetime 28800

!--- encryption peer

crypto isakmp key cisco123 address 172.18.124.157
!

!--- The following is the IOS default so it does not appear:
!--- IPSec lifetime

crypto ipsec security-association lifetime seconds 3600
!

!--- IPSec transforms

crypto ipsec transform-set rtpset esp-des esp-md5-hmac 
!
crypto map rtp 1 ipsec-isakmp 

!--- Encryption peer

set peer 172.18.124.157
set transform-set rtpset 

!--- Source/Destination networks defined

match address 115
!
call rsvp-sync
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
half-duplex
!
interface Ethernet0/1
ip address 172.18.124.35 255.255.255.240
ip nat outside
half-duplex
crypto map rtp
!
ip nat pool INTERNET 172.18.124.35 172.18.124.35 netmask 255.255.255.240
ip nat inside source route-map nonat pool INTERNET
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.36
no ip http server
!
access-list 101 deny ip 192.168.1.0 0.0.0.255 10.32.50.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any

!--- Source/Destination networks defined

access-list 115 permit ip 192.168.1.0 0.0.0.255 10.32.50.0 0.0.0.255
access-list 115 deny ip 192.168.1.0 0.0.0.255 any
route-map nonat permit 10
match ip address 101
!
line con 0
transport input none
line 65 94
line aux 0
line vty 0 4
!
end

Configurer PIX

PIX
PIX Version 5.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
names

!--- Source/Destination networks defined

access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0 
access-list 115 deny ip 192.168.1.0 255.255.255.0 any 
pager lines 24
logging on
no logging timestamp
no logging standby
no logging console
no logging monitor
no logging buffered
no logging trap
no logging history
logging facility 20
logging queue 512
interface ethernet0 auto
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.35 255.255.255.240
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400

!--- Except Source/Destination from Network Address Translation (NAT):

nat (inside) 0 access-list 115
route outside 0.0.0.0 0.0.0.0 172.18.124.36 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat

!--- IPSec transforms

crypto ipsec transform-set myset esp-des esp-md5-hmac 

!--- IPSec lifetime

crypto ipsec security-association lifetime seconds 3600
crypto map rtpmap 10 ipsec-isakmp

!--- Source/Destination networks

crypto map rtpmap 10 match address 115

!--- Encryption peer

crypto map rtpmap 10 set peer 172.18.124.157 
crypto map rtpmap 10 set transform-set myset
crypto map rtpmap interface outside
isakmp enable outside

!--- Encryption peer

isakmp key ******** address 172.18.124.157 netmask 255.255.255.240 
isakmp identity address

!--- Authentication method

isakmp policy 10 authentication pre-share

!--- IKE encryption method

isakmp policy 10 encryption des

!--- IKE hashing

isakmp policy 10 hash sha

!--- Diffie-Hellman group

isakmp policy 10 group 1

!--- IKE lifetime

isakmp policy 10 lifetime 28800
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:c237ed11307abea7b530bbd0c2b2ec08
: end

Configuration du concentrateur VPN 3000

Utilisez les options du menu et les paramètres affichés ci-dessous pour configurer le concentrateur VPN comme nécessaire.

  • Pour ajouter une proposition d'IKE, la configuration > les protocoles de système > de Tunnellisation > l'IPSec > les propositions choisis d'IKE > ajoutent une proposition.

    Proposal Name = DES-SHA
    
    !--- Authentication method
    
    Authentication Mode = Preshared Keys
    
    !--- IKE hashing
    
    Authentication Algorithm = SHA/HMAC-160
    
    !--- IKE encryption method
    
    Encryption Algorithm = DES-56
    
    !--- Diffie-Hellman group
    
    Diffie Hellman Group = Group 1 (768-bits) 
    Lifetime Measurement = Time
    Date Lifetime = 10000
    
    !--- IKE lifetime
    
    Time Lifetime = 28800 
    
  • Pour définir le tunnel entre réseaux locaux, configuration > protocoles de système > de Tunnellisation > entre réseaux locaux choisis d'IPSec.

    Name = to_2000
    Interface = Ethernet 2 (Public) 172.18.124.35/28
    
    !--- Encryption peer
    
    Peer = 172.18.124.157
    
    !--- Authentication method
    
    Digital Certs = none (Use Pre-shared Keys)
    Pre-shared key = cisco123
    
    !--- IPSec transforms
    
    Authentication = ESP/MD5/HMAC-128
    Encryption = DES-56
    
    !--- Use the IKE proposal
    
    IKE Proposal = DES-SHA
    Autodiscovery = off
    
    !--- Source network defined
    
    Local Network 
    Network List = Use IP Address/Wildcard-mask below
    IP Address 192.168.1.0
    Wildcard Mask = 0.0.0.255
    
    !--- Destination network defined
    
    Remote Network
    Network List = Use IP Address/Wildcard-mask below
    IP Address 10.32.50.0 
    Wildcard Mask 0.0.0.255 
    
  • Pour modifier l'association de sécurité, la configuration choisie > la Gestion des stratégies > la gestion de trafic > les associations de sécurité > modifient.

    SA Name = L2L-to_2000
    Inheritance = From Rule
    IPSec Parameters
    
    !--- IPSec transforms
    
    Authentication Algorithm = ESP/MD5/HMAC-128
    Encryption Algorithm = DES-56
    Encapsulation Mode = Tunnel
    PFS = Disabled
    Lifetime Measurement = Time
    Data Lifetime = 10000
    
    !--- IPSec lifetime
    
    Time Lifetime = 3600
    Ike Parameters
    
    !--- Encryption peer
    
    IKE Peer = 172.18.124.157
    Negotiation Mode = Main
    
    !--- Authentication method
    
    Digital Certificate = None (Use Preshared Keys)
    
    !--- Use the IKE proposal
    
    IKE Proposal DES-SHA 
    

Configurer le concentrateur VPN 5000

Concentrateur VPN 5000
[ IP Ethernet 1:0 ]
Mode = Routed
SubnetMask = 255.255.255.240
IPAddress = 172.18.124.35

[ General ]
IPSecGateway = 172.18.124.36
DeviceName = "cisco"
EthernetAddress = 00:00:a5:f0:c8:00
DeviceType = VPN 5002/8 Concentrator
ConfiguredOn = Timeserver not configured
ConfiguredFrom = Command Line, from Console

[ IP Ethernet 0:0 ]
Mode = Routed
SubnetMask = 255.255.255.0
IPAddress = 192.168.1.1

[ Tunnel Partner VPN 1 ]

!--- Encryption peer

Partner = 172.18.124.157

!--- IPSec lifetime

KeyLifeSecs = 3600

BindTo = "ethernet 1:0"

!--- Authentication method

SharedKey = "cisco123"
KeyManage = Auto

!--- IPSec transforms

Transform = esp(md5,des)
Mode = Main

!--- Destination network defined

Peer = "10.32.50.0/24"

!--- Source network defined

LocalAccess = "192.168.1.0/24"

[ IP Static ]
10.32.50.0 255.255.255.0 VPN 1 1

[ IP VPN 1 ]
Mode = Routed
Numbered = Off

[ IKE Policy ]

!--- IKE hashing, encryption, Diffie-Hellman group

Protection = SHA_DES_G1

Configuration size is 1088 out of 65500 bytes.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez employer pour dépanner vos configurations.

Dépannage des commandes

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

Remarque: Avant d'exécuter les commandes debug, référez-vous à la section Informations importantes sur les commandes Debug.

Routeur Cisco 3640

  • debug crypto engine - Affiche des messages de débogage au sujet des moteurs de chiffrement, qui exécutent le cryptage et le déchiffrement.

  • debug crypto isakmp - Affiche des messages au sujet des événements d'IKE.

  • debug crypto ipsec - Événements d'IPSec d'expositions.

  • show crypto isakmp sa - Affiche toutes les associations de sécurité en cours d'IKE (SAS) à un pair.

  • show crypto ipsec sa - Affiche les configurations utilisées par les associations de sécurité en cours.

  • clear crypto isakmp - (du mode de configuration) efface toutes les connexions actives d'IKE.

  • clear crypto sa - (du mode de configuration) supprime toutes les associations de sécurité d'IPSec.

PIX

  • debug crypto ipsec - Affiche les négociations IPSecs de la phase 2.

  • debug crypto isakmp - Affiche les négociations de Protocole ISAKMP (Internet Security Association and Key Management Protocol) de la phase 1.

  • debug crypto engine - Affiche le trafic qui est chiffré.

  • show crypto ipsec sa - Affiche à la phase 2 associations de sécurité.

  • show crypto isakmp sa - Affiche les associations de sécurité de la phase 1.

  • clear crypto isakmp - (du mode de configuration) associations de sécurité d'Échange de clés Internet (IKE) d'espaces libres.

  • clear crypto ipsec sa - (du mode de configuration) associations de sécurité d'IPSec d'espaces libres.

Concentrateur VPN 3000

  • - Mettez en marche le concentrateur VPN 3000 pour mettre au point en sélectionnant la configuration > le système > les événements > les classes > modifient (sévérité à Log=1-13, sévérité à Console=1-3) : IKE, IKEDBG, IKEDECODE, IPSEC, IPSECDBG, IPSECDECODE

  • - Le journal d'événements peut être effacé ou récupéré en sélectionnant la surveillance > le journal d'événements.

  • - Le trafic de tunnel entre réseaux locaux peut être surveillé dans le Monitoring > Sessions.

  • - Le tunnel peut être effacé dans la gestion > gèrent des sessions > des sessions entre réseaux locaux > des actions - déconnexion.

Concentrateur VPN 5000

  • le vidage mémoire de suivi de vpn affiche entièrement des informations sur toutes les connexions VPN correspondantes, y compris des informations sur le temps, le nombre VPN, la vraie adresse IP du pair, que des scripts ont été exécuté, et dans le cas d'une erreur, la routine et le numéro de ligne de code logiciel où l'erreur s'est produite.

  • affichez les statistiques de vpn - Affiche les informations suivantes pour des utilisateurs, des Partenaires, et le total pour chacun des deux. (Pour les modèles modulaires, l'affichage inclut une section pour chaque emplacement de module.) Active en cours - Les connexions actives en cours. Dans Negot - Les connexions actuellement de négociation. Hautes eaux - Le nombre de connexions actives simultanément le plus élevé depuis la dernière réinitialisation. Total cumulé - Le nombre total de connexions réussies depuis la dernière réinitialisation. Débuts de tunnel - Le nombre de débuts de tunnel. OK de tunnel - Le nombre de tunnels pour lesquels il n'y avait aucune erreur. Erreur de tunnel - Le nombre de tunnels avec des erreurs.

  • affichez les statistiques de vpn bavardes - Statistiques des négociations ISAKMP d'expositions, et beaucoup plus statistiques de connexion active.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 14121