安全与 VPN : IPSec 协商/IKE 协议

在 Microsoft Windows 2000 服务器与 Cisco 设备之间配置 IPSec

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


Cisco已宣布终止销售Cisco VPN 5000 系列集中器。关于更多信息,请参见终止销售公告


目录


简介

本文展示如何形成有预先共享密钥的一个IPSec隧道加入2私有网络:一私有网络(192.168.l.X)在Cisco设备里面和一私有网络(10.32.50.X)在Microsoft 2000服务器里面。我们假设,从Cisco设备和里面里边的流量对互联网的2000个服务器(代表此处通过172.18.124.X网络)在开始此配置之前流。

您能找到关于配置Microsoft Windows 2000服务器的详细信息在Microsoft网站:http://support.microsoft.com/support/kb/articles/Q252/7/35.ASPleavingcisco.com

开始使用前

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

先决条件

本文档没有任何特定的前提条件。

使用的组件

这些配置开发并且测试了使用下面软件和硬件版本。

  • Microsoft Windows 2000服务器5.00.2195

  • 有思科IOS�软件版本c3640-ik2o3s-mz.121-5.T.bin的Cisco 3640路由器

  • Cisco Secure PIX防火墙用PIX软件版本5.2.1

  • 有VPN 3000集中器软件版本的2.5.2.F Cisco VPN 3000集中器

  • 有VPN 5000集中器软件版本的5.2.19 Cisco VPN 5000集中器

本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您是在真实网络上操作,请确保您在使用任何命令前已经了解其潜在影响。

网络图

本文档使用下图所示的网络设置。

/image/gif/paws/14121/2000-01.gif

配置 Microsoft Windows 2000 服务器与 Cisco 设备一起运作

执行的任务

此图表显示在Microsoft Windows 2000服务器配置里执行的任务:

/image/gif/paws/14121/2000-flow.gif

逐步指导

一旦跟随了leavingcisco.com 注释和更改注意与屏幕截图。

  1. 点击Microsoft Windows 2000服务器的Start > Run > secpol.msc,并且验证关于以下屏幕的信息。

    在关于Microsoft网站的说明用于配置一个2000个服务器后,以下隧道信息显示。

    注意: 示例规则呼叫“to_cisco”。

    /image/gif/paws/14121/2000-02.gif

  2. 此示例规则包含两个过滤器:Microsoft-Cisco和Cisco-Microsoft。

    /image/gif/paws/14121/2000-03.gif

  3. 选择Cisco-Microsoft IP安全规则,然后单击编辑查看/添加/编辑IP过滤器列表。

    /image/gif/paws/14121/2000-03a.gif

  4. 规则的General > Advanced选项卡有IKE寿命(480分钟= 28800秒) :

    /image/gif/paws/14121/2000-04.gif

  5. 规则的General > Advanced > Methods选项卡有切细IKE加密方法(DES)的IKE (SHA1)和Diffie-Helman组(Low(1)) :

    /image/gif/paws/14121/2000-05.gif

  6. 每个过滤器有5选项卡:

    1. 认证方法(互联网密钥交换[IKE]的预共享密匙) :

      /image/gif/paws/14121/2000-06.gif

    2. 连接类型(LAN) :

      /image/gif/paws/14121/2000-07.gif

    3. 过滤器操作(IPSec) :

      /image/gif/paws/14121/2000-08.gif

      选择过滤器操作> IPSec隧道> Edit > Edit,并且点击自定义

      2000-09.gif

      点击设置- IPSec转换IPSec寿命

      2000-10.gif

    4. IP过滤器列表-将加密的来源&目的地网络

      Cisco-Microsoft :

      2000-11.gif

      Microsoft-Cisco :

      2000-12.gif

    5. 隧道设置-加密对等体:

      Cisco-Microsoft :

      2000-13.gif

      Microsoft-Cisco :

      2000-14.gif

配置 Cisco 设备

配置Cisco路由器、PIX和VPN集中器如下面示例所显示。

配置 Cisco 3640 路由器

Cisco 3640 路由器
Current configuration : 1840 bytes
!
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname moss
!
logging rate-limit console 10 except errors
!
ip subnet-zero
!
no ip finger
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 1

!--- The following are IOS defaults so they do not appear:
!--- IKE encryption method

encryption des

!--- IKE hashing

hash sha

!--- Diffie-Hellman group

group 1

!--- Authentication method

authentication pre-share

!--- IKE lifetime

lifetime 28800

!--- encryption peer

crypto isakmp key cisco123 address 172.18.124.157
!

!--- The following is the IOS default so it does not appear:
!--- IPSec lifetime

crypto ipsec security-association lifetime seconds 3600
!

!--- IPSec transforms

crypto ipsec transform-set rtpset esp-des esp-md5-hmac 
!
crypto map rtp 1 ipsec-isakmp 

!--- Encryption peer

set peer 172.18.124.157
set transform-set rtpset 

!--- Source/Destination networks defined

match address 115
!
call rsvp-sync
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
half-duplex
!
interface Ethernet0/1
ip address 172.18.124.35 255.255.255.240
ip nat outside
half-duplex
crypto map rtp
!
ip nat pool INTERNET 172.18.124.35 172.18.124.35 netmask 255.255.255.240
ip nat inside source route-map nonat pool INTERNET
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.36
no ip http server
!
access-list 101 deny ip 192.168.1.0 0.0.0.255 10.32.50.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any

!--- Source/Destination networks defined

access-list 115 permit ip 192.168.1.0 0.0.0.255 10.32.50.0 0.0.0.255
access-list 115 deny ip 192.168.1.0 0.0.0.255 any
route-map nonat permit 10
match ip address 101
!
line con 0
transport input none
line 65 94
line aux 0
line vty 0 4
!
end

配置 PIX

PIX
PIX Version 5.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
names

!--- Source/Destination networks defined

access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0 
access-list 115 deny ip 192.168.1.0 255.255.255.0 any 
pager lines 24
logging on
no logging timestamp
no logging standby
no logging console
no logging monitor
no logging buffered
no logging trap
no logging history
logging facility 20
logging queue 512
interface ethernet0 auto
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.35 255.255.255.240
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400

!--- Except Source/Destination from Network Address Translation (NAT):

nat (inside) 0 access-list 115
route outside 0.0.0.0 0.0.0.0 172.18.124.36 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat

!--- IPSec transforms

crypto ipsec transform-set myset esp-des esp-md5-hmac 

!--- IPSec lifetime

crypto ipsec security-association lifetime seconds 3600
crypto map rtpmap 10 ipsec-isakmp

!--- Source/Destination networks

crypto map rtpmap 10 match address 115

!--- Encryption peer

crypto map rtpmap 10 set peer 172.18.124.157 
crypto map rtpmap 10 set transform-set myset
crypto map rtpmap interface outside
isakmp enable outside

!--- Encryption peer

isakmp key ******** address 172.18.124.157 netmask 255.255.255.240 
isakmp identity address

!--- Authentication method

isakmp policy 10 authentication pre-share

!--- IKE encryption method

isakmp policy 10 encryption des

!--- IKE hashing

isakmp policy 10 hash sha

!--- Diffie-Hellman group

isakmp policy 10 group 1

!--- IKE lifetime

isakmp policy 10 lifetime 28800
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:c237ed11307abea7b530bbd0c2b2ec08
: end

配置 VPN 3000 集中器

请使用下面表示的菜单选项和参数配置VPN集中器当必要时。

  • 添加IKE建议,选择Configuration > System > Tunneling Protocols > IPSec > IKE Proposals > Add建议。

    Proposal Name = DES-SHA
    
    !--- Authentication method
    
    Authentication Mode = Preshared Keys
    
    !--- IKE hashing
    
    Authentication Algorithm = SHA/HMAC-160
    
    !--- IKE encryption method
    
    Encryption Algorithm = DES-56
    
    !--- Diffie-Hellman group
    
    Diffie Hellman Group = Group 1 (768-bits) 
    Lifetime Measurement = Time
    Date Lifetime = 10000
    
    !--- IKE lifetime
    
    Time Lifetime = 28800 
    
  • 要定义LAN-to-LAN隧道,请选择Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN。

    Name = to_2000
    Interface = Ethernet 2 (Public) 172.18.124.35/28
    
    !--- Encryption peer
    
    Peer = 172.18.124.157
    
    !--- Authentication method
    
    Digital Certs = none (Use Pre-shared Keys)
    Pre-shared key = cisco123
    
    !--- IPSec transforms
    
    Authentication = ESP/MD5/HMAC-128
    Encryption = DES-56
    
    !--- Use the IKE proposal
    
    IKE Proposal = DES-SHA
    Autodiscovery = off
    
    !--- Source network defined
    
    Local Network 
    Network List = Use IP Address/Wildcard-mask below
    IP Address 192.168.1.0
    Wildcard Mask = 0.0.0.255
    
    !--- Destination network defined
    
    Remote Network
    Network List = Use IP Address/Wildcard-mask below
    IP Address 10.32.50.0 
    Wildcard Mask 0.0.0.255 
    
  • 要修改安全关联,请选择Configuration > Policy Management > Traffic Management > Security Associations > Modify。

    SA Name = L2L-to_2000
    Inheritance = From Rule
    IPSec Parameters
    
    !--- IPSec transforms
    
    Authentication Algorithm = ESP/MD5/HMAC-128
    Encryption Algorithm = DES-56
    Encapsulation Mode = Tunnel
    PFS = Disabled
    Lifetime Measurement = Time
    Data Lifetime = 10000
    
    !--- IPSec lifetime
    
    Time Lifetime = 3600
    Ike Parameters
    
    !--- Encryption peer
    
    IKE Peer = 172.18.124.157
    Negotiation Mode = Main
    
    !--- Authentication method
    
    Digital Certificate = None (Use Preshared Keys)
    
    !--- Use the IKE proposal
    
    IKE Proposal DES-SHA 
    

配置 VPN 5000 集中器

VPN 5000 集中器
[ IP Ethernet 1:0 ]
Mode = Routed
SubnetMask = 255.255.255.240
IPAddress = 172.18.124.35

[ General ]
IPSecGateway = 172.18.124.36
DeviceName = "cisco"
EthernetAddress = 00:00:a5:f0:c8:00
DeviceType = VPN 5002/8 Concentrator
ConfiguredOn = Timeserver not configured
ConfiguredFrom = Command Line, from Console

[ IP Ethernet 0:0 ]
Mode = Routed
SubnetMask = 255.255.255.0
IPAddress = 192.168.1.1

[ Tunnel Partner VPN 1 ]

!--- Encryption peer

Partner = 172.18.124.157

!--- IPSec lifetime

KeyLifeSecs = 3600

BindTo = "ethernet 1:0"

!--- Authentication method

SharedKey = "cisco123"
KeyManage = Auto

!--- IPSec transforms

Transform = esp(md5,des)
Mode = Main

!--- Destination network defined

Peer = "10.32.50.0/24"

!--- Source network defined

LocalAccess = "192.168.1.0/24"

[ IP Static ]
10.32.50.0 255.255.255.0 VPN 1 1

[ IP VPN 1 ]
Mode = Routed
Numbered = Off

[ IKE Policy ]

!--- IKE hashing, encryption, Diffie-Hellman group

Protection = SHA_DES_G1

Configuration size is 1088 out of 65500 bytes.

验证

当前没有可用于此配置的验证过程。

故障排除

此部分提供您能使用排除故障您的配置的信息。

故障排除命令

命令输出解释程序工具仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

注意: 在发出 debug 命令之前,请参阅有关 Debug 命令的重要信息

Cisco 3640 路由器

  • debug crypto engine -表示关于加密引擎的调试消息,进行加密和解密。

  • debug crypto isakmp -表示关于IKE事件的消息。

  • debug crypto ipsec -显示IPSec事件。

  • show crypto isakmp sa -显示所有当前IKE安全关联(SA)在对等体。

  • show crypto ipsec sa -显示当前安全关联使用的设置。

  • clear crypto isakmp - (从配置模式)清除所有活动IKE连接。

  • clear crypto sa - (从配置模式)删除所有IPSec安全关联。

PIX

  • debug crypto ipsec - 显示第 2 阶段的 IPSec 协商。

  • debug crypto isakmp - 显示第 1 阶段的 Internet 安全连接和密钥管理协议 (ISAKMP) 协商。

  • debug crypto engine - 显示加密的流量。

  • show crypto ipsec sa - 显示第 2 阶段的安全关联。

  • show crypto isakmp sa -显示相位1安全关联。

  • clear crypto isakmp - (从配置模式)清除Internet Key Exchange (IKE)安全关联。

  • clear crypto ipsec sa - (从配置模式)清除IPSec安全关联。

VPN 3000 集中器

  • -请通过选择Configuration > System > Events > Classes > Modify开始VPN 3000集中器调试(对Log=1-13的对Console=1-3的严重性,严重性) :IKE, IKEDBG, IKEDECODE, IPSEC, IPSECDBG, IPSECDECODE

  • -事件日志可以通过选择Monitoring > Event Log清除或检索。

  • - LAN-到-LAN隧道数据流在Monitoring > Sessions可以监控。

  • -通道在Administration > Administer Sessions > LAN-to-LAN Sessions > Actions - Logout可以被清除

VPN 5000 集中器

  • 全的vpn trace dump显示关于所有匹配VPN连接的信息,包括关于时间、VPN编号、对等体的实际IP地址,脚本运行了和一旦错误,错误出现软件代码的惯例和线路号的信息。

  • show vpn statistics -显示用户、合作伙伴和托塔尔的以下信息两个的。(对于模块化模型,显示包括每模块插槽的一个部分。)当前活动-当前活动连接。在Negot -当前协商的连接。高水并发活跃连接较高的值从最后重新启动。累计-成功的连接总数从最后重新启动。通道开始-通道开始数量。Tunnel OK -没有错误通道的数量。隧道错误-通道数量有错误的。

  • show vpn statistics verbose -显示ISAKMP协商统计数据和许多激活连接统计数据。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 14121