Sécurité et VPN : Négociation IPSec/protocoles IKE

Dépannage de PIX de sorte qu'il permette le passage du trafic de données sur un tunnel IPSec établi

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document présente une solution au problème lors duquel un tunnel IPsec allant d'un client VPN Cisco à un PIX créé avec succès ne parvient pas à transférer des données.

L'incapacité de passer des données sur un IPsec établi percent un tunnel entre un client vpn et un PIX est fréquemment produit quand vous ne pouvez pas ne cingler ou telnet d'un client vpn à aucun hôte sur le RÉSEAU LOCAL derrière le PIX. En d'autres termes, le client vpn et le PIX ne peuvent pas passer des données cryptées entre eux. Ceci se produit parce que le PIX a un tunnel d'IPsec d'entre réseaux locaux à un routeur et également à un client vpn. L'incapacité de passer des données est le résultat d'une configuration avec la même liste de contrôle d'accès (ACL) pour le 0 nat et le crypto map statique pour le pair d'IPsec d'entre réseaux locaux.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Pare-feu Cisco Secure PIX 6.0.1

  • Routeur de Cisco 1720 qui exécute la version de logiciel 12.2(6) de ½ du ¿  de Cisco IOSïÂ

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Dépannez le PIX

Diagramme du réseau

ipsec_tun_pass_data-a.gif

Configuration d'échantillon problématique

PIX 520
pix520-1#write terminal
Building configuration...
: Saved
:
PIX Version 6.0(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix520-1
domain-name vpn.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Access-List “140” defines interesting traffic to bypass NAT for VPN
!--- and defines VPN interesting traffic.  This is incorrect.

access-list 140 permit ip 192.168.4.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list 140 permit ip 192.168.4.0 255.255.255.0 10.1.2.0 255.255.255.0
no pager
logging on
logging console debugging
logging monitor debugging
logging buffered debugging
logging trap debugging
logging history debugging
logging host outside 192.168.2.6
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500

!--- IP addresses on the outside and inside interfaces.

ip address outside 172.16.172.34 255.255.255.240
ip address inside 192.168.4.50 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool ippool 10.1.2.1-10.1.2.254
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 172.16.172.57 netmask 255.255.255.255

!--- The nat 0 command bypasses NAT for the packets destined over the IPsec tunnel.

Nat (inside) 0 access-list 140
Nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.172.33 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip
0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
AAA-server RADIUS protocol radius
AAA-server mytest protocol tacacs+
AAA-server nasir protocol radius
snmp-server host outside 192.168.2.6
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps
floodguard enable

!--- The sysopt command bypasses conduits or ACLs that check to be applied
!--- on the inbound VPN packets after decryption.

sysopt connection permit-ipsec
no sysopt route dnat

!--- The crypto ipsec command defines IPsec encryption and authen algo.

crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset

!--- The crypto map commands define the IPsec 
!--- Security Assocation (SA) (Phase II SA) parameters.

crypto map mymap 5 ipsec-isakmp
crypto map mymap 5 match address 140
crypto map mymap 5 set peer 172.16.172.39
crypto map mymap 5 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside
isakmp enable outside

!--- The isakmp key command defines the pre-shared key for the peer address.

isakmp key ******** address 172.16.172.39 netmask 255.255.255.255 no-xauth
no-config-mode
isakmp identity address

!--- The isakmp policy defines the Phase 1 SA parameters.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption Des
isakmp policy 20 hash sha
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400
vpngroup vpn3000 address-pool ippool
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
telnet 192.168.4.0 255.255.255.0 inside
telnet 171.69.89.82 255.255.255.255 inside
telnet timeout 5
ssh 172.0.0.0 255.0.0.0 outside
ssh 171.0.0.0 255.255.255.0 outside
ssh 171.0.0.0 255.0.0.0 outside
ssh timeout 60
terminal width 80
Cryptochecksum:55948dc706cc700e9c10e1d24a8b125c

Dans la configuration problématique le trafic intéressant, ou le trafic à chiffrer pour le tunnel entre réseaux locaux, est défini par l'ACL 140. La configuration utilise le même ACL que les 0 ACL nat.

Comprenez la séquence d'opérations générale

Quand un paquet IP arrive à l'interface interne du PIX, le Traduction d'adresses de réseau (NAT) est vérifié. Après ce, ACLs pour les crypto map sont vérifiés.

  • Comment 0 nat est utilisé.

    Les 0 ACL nat définit ce qui ne devrait pas être inclus dans NAT. L'ACL dans les 0 commandes nat définit l'adresse source et de destination pour laquelle les règles NAT sur le PIX sont désactivées. Par conséquent, un paquet IP qui a une adresse source et de destination qui apparie l'ACL a défini dans les 0 commandes nat saute toutes les règles NAT sur le PIX.

    Afin d'implémenter des tunnels entre réseaux locaux entre un PIX et un périphérique VPN différent avec l'aide des adresses privées, utilisez les 0 commandes nat de sauter NAT. Les règles sur le Pare-feu PIX empêchent les adresses privées d'être inclus dans NAT tandis que ces règles vont au RÉSEAU LOCAL distant au-dessus du tunnel d'IPsec.

  • Comment le crypto ACL est utilisé.

    Après les inspections NAT, le PIX vérifie la source et la destination de chaque paquet IP qui arrive à son interface interne pour apparier l'ACLs défini dans la charge statique et les crypto-cartes dynamiques. Si le PIX trouve une correspondance avec l'ACL, le PIX prend l'un de ces mesures :

    • S'il n'y a aucune association en cours de sécurité IPSec (SA) déjà établie avec le périphérique d'IPsec de pair pour le trafic, le PIX entame les négociations IPSecs. Une fois que SAS sont établies, elle chiffre le paquet et l'envoie au-dessus du tunnel d'IPsec au pair d'IPsec.

    • S'il y a déjà IPsec SA construit avec le pair, le PIX chiffre le paquet IP et envoie le paquet chiffré au périphérique d'IPsec de pair.

  • ACL dynamique.

    Une fois qu'un client vpn se connecte au PIX avec l'aide d'IPsec, le PIX crée un ACL dynamique qui spécifie l'adresse source et de destination pour l'utiliser afin de définir le trafic intéressant pour cette connexion d'IPsec.

Comprenez la gamme problématique d'événements sur le PIX

Une erreur commune de configuration est d'utiliser le même ACL pour 0 nat et les crypto map statiques. Ces sections discutent pourquoi ceci mène à une erreur et comment rectifier le problème.

La configuration PIX prouve que les 0 ACL nat 140 saute NAT quand les paquets IP disparaissent du réseau 192.168.4.0/24 aux réseaux 10.10.10.0/24 et 10.1.2.0/24 (adresse réseau définie dans l'ipool d'ip local pool). Supplémentaire, l'ACL 140 définit le trafic intéressant pour le crypto map statique pour le pair 172.16.172.39.

Quand un paquet IP est livré à l'interface interne PIX, le contrôle NAT se termine et alors le PIX vérifie l'ACLs dans les crypto map. Les débuts PIX avec le crypto map avec le plus bas exemple numérotent. C'est parce que le crypto map statique dans l'exemple précédent a le plus bas nombre d'exemple, l'ACL 140 est vérifié. Ensuite, l'ACL dynamique pour la crypto-carte dynamique est vérifié. Dans cette configuration, l'ACL 140 est défini pour chiffrer le trafic qui va du réseau 192.168.4.0 /24 aux réseaux 10.10.10.0/24 0 et 10.1.2.0 /24. Cependant, pour le tunnel entre réseaux locaux, vous voulez seulement chiffrer le trafic entre les réseaux 192.168.4.0 /24 et 10.10.10.0 /24. C'est comment le routeur de pair d'IPsec définit son crypto ACL.

Comprenez la gamme problématique d'événements sur le PIX

Quand un client établit une connexion d'IPsec au PIX, il est assigné une adresse IP de l'ip local pool. Dans ce cas, le client est assigné 10.1.2.1. Le PIX génère également un ACL dynamique, car cette sortie de commande de crypto map d'exposition affiche :

Crypto Map "mymap" 20 ipsec-isakmp
Peer = 171.69.89.120
access-list dynacl2 permit ip host 172.16.172.34 host 10.1.2.1 (hitcnt=0)
dynamic (created from dynamic map dynmap/10)
Current peer: 171.69.89.120
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset, }
Crypto Map "mymap" 30 ipsec-isakmp
Peer = 171.69.89.120
access-list dynacl3 permit ip any host 10.1.2.1 (hitcnt=0)
dynamic (created from dynamic map dynmap/10)
Current peer: 171.69.89.120
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset, }
pix520-1(config)#

La commande de crypto map d'exposition affiche également le crypto map statique :

Crypto Map: "mymap" interfaces: { outside }
Crypto Map "mymap" 5 ipsec-isakmp
Peer = 172.16.172.39
access-list 140 permit ip 192.168.4.0 255.255.255.0 10.10.10.0255.255.255.0 
   (hitcnt=45)
access-list 140 permit ip 192.168.4.0 255.255.255.0 10.1.2.0 255.255.255.0
   (hitcnt=84)
Current peer: 172.16.172.39
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset,}

Une fois que le tunnel d'IPsec est établi entre le client et le PIX, le client initie un ping à l'hôte 192.168.4.3. Quand il reçoit la requête d'écho, l'hôte 192.168.4.3 répond avec une réponse d'écho pendant que cette sortie de la commande trace d'ICMP de débogage affiche.

27: Inbound ICMP echo request (len 32 id 2 seq 7680) 
   10.1.2.1 > 192.168.4.3> 192.168.4.3
28: Outbound ICMP echo reply (Len 32 id 2 seq 7680) 
   192.168.4.3 >192.168.4.3 > 10.1.2.1
29: Inbound ICMP echo request (Len 32 id 2 seq 7936) 
   10.1.2.1 > 192.168.4.3> 192.168.4.3
30: Outbound ICMP echo reply (Len 32 id 2 seq 7936) 
   192.168.4.3 >192.168.4.3 > 10.1.2.1

Cependant, la réponse d'écho n'atteint pas le client vpn (hôte 10.1.2.1), et le ping échoue. Vous pouvez voir ceci avec l'aide de la commande de show crypto ipsec sa sur le PIX. Cette sortie prouve que le PIX déchiffre 120 paquets qui proviennent le client vpn, mais ils ne chiffrent aucun paquet ou envoient les paquets chiffrés au client. Par conséquent, le nombre de paquets encapsulés est zéro.

pix520-1(config)#show crypto ipsec sa
interface: outside
Crypto map tag: mymap, local addr. 172.16.172.34
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.2.1/255.255.255.255/0/0)
current_peer: 171.69.89.120
dynamic allocated peer ip: 10.1.2.1
PERMIT, flags={}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 

!--- No packets encrypted and sent to client.

#pkts decaps: 120, #pkts decrypt: 120, #pkts verify 120 

!--- 120 packets received from client.

#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.172.34, remote crypto endpt.: 171.69.89.120
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 33a45029
inbound esp sas:
spi: 0x279fc5e9(664782313)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 5, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607985/27809)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound pcp sas:
outbound ESP sas:
spi: 0x33a45029(866406441)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 6, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4608000/27809)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound PCP sas:
local ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.16.172.39
PERMIT, flags={origin_is_acl,}
#pkts encaps: 10, #pkts encrypt: 10, #pkts digest 10
#pkts decaps: 23, #pkts decrypt: 23, #pkts verify 23
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.172.34, remote crypto endpt.: 172.16.172.39
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: f264e92c
inbound ESP sas:
spi: 0x2772b869(661829737)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607997/2420)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound PCP sas:
outbound ESP sas:
spi: 0xf264e92c(4066699564)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/2420)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound PCP sas:

Remarque: Quand l'hôte 192.168.4.3 répond à la requête d'écho, le paquet IP est livré à l'interface interne du PIX.

38: Outbound ICMP echo reply (Len 32 id 2 seq 8960) 
   192.168.4.3 >192.168.4.3 > 10.1.2.1

Une fois que le paquet IP arrive à l'interface interne, le PIX vérifie les 0 ACL nat 140 et détermine que la source et les adresses de destination du paquet IP apparie l'ACL. Par conséquent, ce paquet IP saute toutes les règles NAT sur le PIX. Ensuite, le crypto ACLs sont vérifiés. Puisque le crypto map statique a le plus bas nombre d'exemple, son ACL est vérifié d'abord. Puisque cet exemple utilise l'ACL 140 pour le crypto map statique, le PIX vérifie cet ACL. Maintenant, le paquet IP a une adresse source de 192.168.4.3 et une destination de 10.1.2.1. Puisque ceci apparie l'ACL 140, le PIX pense que ce paquet IP est destiné pour le tunnel d'IPsec d'entre réseaux locaux avec le pair 172.16.172.39 (contraire à nos objectifs). Par conséquent, il vérifie la base de données SA pour voir s'il y a déjà courant SA avec le pair 172.16.72.39 pour ce trafic. Pendant que la sortie de la commande de show crypto ipsec sa affiche, aucune SA n'existe pour ce trafic. Le PIX ne chiffre pas ou envoie le paquet au client vpn. Au lieu de cela, il entame une autre négociation IPSec avec le pair 172.16.172.39 pendant que cette sortie affiche :

crypto_isakmp_process_block: src 172.16.172.39, dest 172.16.172.34
return status is IKMP_NO_ERR_NO_TRANS02303: sa_request, (key eng. msg.)
src= 172.16.172.34, dest= 172.16.172.39,
src_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.1.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform=
ESP-Des esp-md5-hmac , lifedur= 28800s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004
702303: sa_request, (key Eng. msg.) src= 172.16.172.34, dest=
172.16.172.39, src_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.1.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform=
ESP-Des esp-md5-hmac , lifedur= 28800s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004
ISAKMP (0): sending NOTIFY message 36137 protocol 1
return status is IKMP_NO_ERR_NO_TRANSIPSEC(key_engine): request timer
fired: count = 2,
(identity) local= 172.16.172.34, remote= 172.16.172.39,
local_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
remote_proxy= 10.1.2.0/255.255.255.0/0/0 (type=4)

La négociation IPSec échoue pour ces raisons :

  • Le pair 172.16.172.39 définit seulement les réseaux 10.10.10.0/24 et 192.168.4.0/24 comme trafic intéressant dans son ACL pour le pair 172.16.172.34 de crypto map.

  • Les identités de proxy ne s'assortissent pas pendant la négociation IPSec entre les deux pairs.

  • Si le pair entame la négociation et la configuration locale spécifie le perfect forward secrecy (PFS), le pair doit exécuter un échange de PFS ou la négociation échoue. Si la configuration locale ne spécifie pas un groupe, un par défaut de group1 est assumé, et une offre de group1 ou de group2 est reçue. Si la configuration locale spécifie group2, ce groupe doit faire partie de l'offre du pair ou la négociation échoue. Si la configuration locale ne spécifie pas le PFS, elle reçoit n'importe quelle offre de PFS du pair. Le groupe de module de perfection 1024-bit Diffie-Hellman, group2, fournit plus de Sécurité que group1, mais a besoin de plus de temps de traitement que group1.

    Remarque: Le set pfs de crypto map commande des positionnements IPsec de demander le PFS quand il demande nouvelle SAS pour cette entrée de crypto map. N'utilisez l'aucun set pfs de crypto map commandent de spécifier que PFS de demande d'IPsec pas. Cette commande est seulement disponible pour des entrées et des entrées dynamiques de la carte de chiffrement de crypto map d'IPsec-ISAKMP. Par défaut, PFS n'est pas demandé. Avec le PFS, chaque fois que nouvelle SA est négociée, un nouvel échange de Diffie-Hellman se produit. Ceci a besoin de le temps de traitement supplémentaire. Le PFS ajoute un autre niveau de sécurité parce que si une clé est jamais fendue par un attaquant, seulement les données transmises avec cette clé sont compromises. Pendant la négociation, cette commande fait demander IPsec le PFS quand elle demande nouvelle SAS pour l'entrée de crypto map. Le par défaut (group1) est envoyé si la déclaration de set pfs ne spécifie pas un groupe.

    Remarque: Les négociations d'IKE avec un pair distant peuvent s'arrêter quand un Pare-feu PIX a les nombreux tunnels qui proviennent du Pare-feu PIX et se terminent sur un pair distant simple. Ce problème se pose quand le PFS n'est pas activé, et l'homologue local demande beaucoup de demandes simultanées de rekey. Si ce problème se pose, IKE SA ne récupère pas jusqu'à ce qu'il chronomètre ou jusqu'à vous manuellement clair il avec [la crypto] commande claire d'ISAKMP SA. Des unités de Pare-feu PIX configurées avec beaucoup de tunnels à beaucoup de pairs ou à beaucoup de clients qui partagent le même tunnel ne sont pas affectées par ce problème. Si votre configuration est affectée, activez le PFS avec la commande de set pfs de seqnum de mapname de crypto map.

Les paquets IP sur le PIX sont finalement lâchés.

Comprenez la solution

La méthode correcte pour rectifier cette erreur est de définir deux ACLs distinct pour 0 nat et les crypto map statiques. Afin de faire ceci, l'exemple définit l'ACL 190 pour les 0 commandes nat et utilise l'ACL modifié 140 pour le crypto map statique, car cette sortie affiche.

PIX 520-1
pix520-1(config)#
pix520-1(config)#write terminal
Building configuration...
: Saved
:
PIX Version 6.0(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix520-1
domain-name vpn.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Access list 140 defines interesting traffic in order to bypass NAT for VPN.

access-list 140 permit ip 192.168.4.0 255.255.255.0 10.10.10.0255.255.255.0

!--- Defines VPN interesting traffic.

access-list 190 permit ip 192.168.4.0 255.255.255.0 10.10.10.0255.255.255.0
access-list 190 permit ip 192.168.4.0 255.255.255.0 10.1.2.0 255.255.255.0
no pager
logging on
logging console debugging
logging monitor debugging
logging buffered debugging
logging trap debugging
logging history debugging
logging host outside 192.168.2.6
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip address outside 172.16.172.34 255.255.255.240
ip address inside 192.168.4.50 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool ippool 10.1.2.1-10.1.2.254
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 172.16.172.57 netmask 255.255.255.255

!--- The nat 0 command bypasses NAT for the packets destined over the IPsec tunnel..

Nat (inside) 0 access-list 190
Nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.172.33 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
AAA-server TACACS+ protocol tacacs+
AAA-server RADIUS protocol radius
AAA-server mytest protocol tacacs+
AAA-server nasir protocol radius
snmp-server host outside 192.168.2.6
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set myset ESP-Des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset

!--- The crypto map commands define the IPsec SA (Phase II SA) parameters.

crypto map mymap 5 ipsec-isakmp
crypto map mymap 5 match address 140
crypto map mymap 5 set peer 172.16.172.39
crypto map mymap 5 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside
isakmp enable outside
isakmp key ******** address 172.16.172.39 netmask 255.255.255.255 no-xauth
no-config-mode
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption Des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption Des
isakmp policy 20 hash sha
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400
vpngroup vpn3000 address-pool ippool
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
telnet 192.168.4.0 255.255.255.0 inside
telnet 171.69.89.82 255.255.255.255 inside
telnet timeout 5
ssh 172.0.0.0 255.0.0.0 outside
ssh 171.0.0.0 255.255.255.0 outside
ssh 171.0.0.0 255.0.0.0 outside
ssh timeout 60
terminal width 80
Cryptochecksum:e2cb98b30d3899597b3af484fae4f9ae
: end
[OK]
pix520-1(config)# pix520-1(config)#show crypto map

Après que les modifications soient apportées et le client établit un tunnel d'IPsec avec le PIX, émettez la commande de crypto map d'exposition. Cette commande montre que pour le crypto map statique, le trafic intéressant défini par l'ACL 140 est seulement 192.168.4.0/24 et 10.10.10.0/24, qui était l'objectif d'original. En outre, la liste d'accès dynamique affiche le trafic intéressant défini comme client (10.1.2.1) et PIX (172.16.172.34).

pix520-1(config)#show crypto map
Crypto Map: "mymap" interfaces: { outside }
Crypto Map "mymap" 5 ipsec-isakmp
Peer = 172.16.172.39
access-list 140 permit ip 192.168.4.0 255.255.255.0 10.10.10.0255.255.255.0 
   (hitcnt=57)
Current peer: 172.16.172.39
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset, }
Crypto Map "mymap" 10 ipsec-isakmp
Dynamic map template tag: dynmap
Crypto Map "mymap" 20 ipsec-isakmp
Peer = 171.69.89.120
access-list dynacl4 permit ip host 172.16.172.34 host 10.1.2.1 (hitcnt=0)
dynamic (created from dynamic map dynmap/10)
Current peer: 171.69.89.120
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset, }
Crypto Map "mymap" 30 ipsec-isakmp
Peer = 171.69.89.120
access-list dynacl5 permit ip any host 10.1.2.1 (hitcnt=13)
dynamic (created from dynamic map dynmap/10)
Current peer: 171.69.89.120
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ myset, }

Quand le client vpn 10.1.2.1 envoie un ping pour héberger 192.168.4.3, la réponse d'écho est livré à l'interface interne du PIX. Le PIX vérifie les 0 ACL nat 190 et détermine que le paquet IP apparie l'ACL. Par conséquent, le paquet saute les règles NAT sur le PIX. Ensuite, le PIX vérifie l'ACL statique 140 de crypto map afin de trouver une correspondance. Cette fois, la source et la destination du paquet IP n'apparie pas l'ACL 140. Par conséquent, le PIX vérifie l'ACL dynamique et trouve une correspondance. Le PIX vérifie alors sa base de données SA pour voir si IPsec SA est déjà établi avec le client. Puisque le client a déjà établi une connexion d'IPsec avec le PIX, IPsec SA existe. Le PIX alors chiffre les paquets et les envoie au client vpn. Employez la sortie de commande de show crypto ipsec sa du PIX pour voir que des paquets sont chiffrés et déchiffrés. Dans ce cas, le PIX a chiffré seize paquets et les a envoyés au client. Les paquets chiffrés également reçus PIX du client vpn et ont déchiffré seize paquets.

pix520-1(config)#show crypto ipsec sa
interface: outside
Crypto map tag: mymap, local addr. 172.16.172.34
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.1.2.1/255.255.255.255/0/0)
current_peer: 171.69.89.120
dynamic allocated peer ip: 10.1.2.1
PERMIT, flags={}
#pkts encaps: 16, #pkts encrypt: 16,#pkts digest 16
#pkts decaps: 16, #pkts decrypt: 16, #pkts verify 16
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 172.16.172.34, remote crypto endpt.: 171.69.89.120
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 613d083d
inbound ESP sas:
spi: 0x6adf97df(1793038303)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 4, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607998/27420)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound PCP sas:
outbound ESP sas:
spi: 0x613d083d(1631389757)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 3, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/27420)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound PCP sas:
local ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
current_peer: 172.16.172.39
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 172.16.172.34, remote crypto endpt.: 172.16.172.39
path mtu 1500, ipsec overhead 56, media mtu 1500
current outbound spi: 58009c01
inbound ESP sas:
spi: 0x2d408709(759203593)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607998/3319)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound PCP sas: outbound ESP sas:
spi: 0x58009c01(1476434945)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4607999/3319)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound PCP sas:
pix520-1(config)# sh cr isa sa
Total : 2
Embryonic : 0
dst src state pending created
172.16.172.39 172.16.172.34 QM_IDLE 0 1
172.16.172.34 171.69.89.120 QM_IDLE 0 2
pix520-1(config)# sh cr ipsec sa

Configuration de routeur et sortie de commande show

Cisco 1720-1
1720-1#show run
Building configuration...
Current configuration : 1592 bytes
!
! Last configuration change at 21:08:49 PST Mon Jan 7 2002
! NVRAM config last updated at 18:18:17 PST Mon Jan 7 2002
!
version 12.2
no parser cache
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 1720-1
!
no logging buffered
enable secret 5 $1$6jAs$tNxI1a/2DYFAtPLyCDXjo/
enable password ww
!
username cisco password 0 cisco
memory-size iomem 15
clock timezone PST -8
ip subnet-zero
no ip domain-lookup
ip domain-name cisco.com
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
!

!--- The crypto isakmp policy command defines the Phase 1 SA parameters.

crypto isakmp policy 15
authentication pre-share
crypto isakmp key cisco123 address 172.16.172.34
!
!

!--- The crypto ipsec transform-set command defines IPsec encryption 
!--- and authentication algorithims.

crypto ipsec transform-set myset ESP-Des esp-md5-hmac
!
!

!--- The crypto map command defines the IPsec SA (Phase II SA) parameters..

crypto map vpn 10 ipsec-isakmp
set peer 172.16.172.34
set transform-set myset
match address 150
!
!
!
!
!
interface FastEthernet0
ip address 172.16.172.39 255.255.255.240
speed auto

!--- The crypto map applied to the outbound interface.

crypto map vpn
interface Ethernet0
ip address 10.10.10.1 255.255.255.240
speed auto
no ip route-cache
no ip mroute-cache
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.172.33
no ip http server
ip pim bidir-enable
!

!--- Access-list defines interesting VPN traffic.

access-list 150 permit ip 10.10.10.0 0.0.0.255 192.168.4.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
exec-timeout 0 0
password cisco
no login
line vty 5 15
login
!
no scheduler allocate
end
1720-1#

1720-1#show crypto isa sa
DST src state conn-id slot
172.16.172.39 172.16.172.34 QM_IDLE 132 0
1720-1#show crypto ipsec sa
interface: FastEthernet0
Crypto map tag: vpn, local addr. 172.16.172.39
local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
current_peer: 172.16.172.34
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9 #pkts encrypt: 9 #pkts digest 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
#send errors 7, #recv errors 0
local crypto endpt.: 172.16.172.39, remote crypto endpt.: 172.16.172.34
path mtu 1500, media mtu 1500
current outbound spi: 2D408709
inbound ESP sas:
spi: 0x58009C01(1476434945)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }

!--- IPsec SA 200 as seen in the show crypto engine connection active command.

slot: 0, conn id: 200, flow_id: 1, crypto map: vpn
sa timing: remaining key lifetime (k/sec): (4607998/3144)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound PCP sas:
outbound ESP sas:
spi: 0x2D408709(759203593)
transform: ESP-Des esp-md5-hmac ,
in use settings ={Tunnel, }

!--- IPsec SA 201 as seen in the show crypto engine connection active command.

slot: 0, conn id: 201, flow_id: 2, crypto map: vpn
sa timing: remaining key lifetime (k/sec): (4607998/3144)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound PCP sas:
1720-1#

1720-1#show crypto map
Interfaces using crypto map mymap:
Crypto Map "vpn" 10 ipsec-isakmp
Peer = 172.16.172.34
Extended IP access list 150
access-list 150 permit ip 10.10.10.0 0.0.0.255 192.168.4.0 0.0.0.255
Current peer: 172.16.172.34
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={ myset, }
Interfaces using crypto map vpn: FastEthernet0 

Informations connexes


Document ID: 18957