安全与 VPN : IPSec 协商/IKE 协议

在 Cisco Secure PIX 防火墙与 Checkpoint NG 防火墙之间配置 IPSec 隧道

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文展示如何配置有预先共享密钥的一个IPSec隧道通信在两私有网络之间。在本例中,通信的网络是192.168.10.x私有网络在Cisco Secure PIX防火墙里面和10.32.x.x私有网络在CheckpointTM下一代(NG)防火墙里面。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 从PIX和里面里边的流量对互联网的Checkpoint TM NG (代表此处通过172.18.124.x网络)应该流,在您开始此配置前。

  • 用户应该熟悉 IPsec 协商。此进程可以被分解为五个步骤,包括两个Internet Key Exchange (IKE)相位。

    1. IPsec 隧道由相关数据流启动。如果数据流在 IPsec 对等体之间传输,则它会被认为是相关数据流。

    2. 在IKE阶段1, IPSec对等体协商已建立IKE安全关联(SA)策略。对等体经过身份验证后,会使用 Internet 安全关联和密钥管理协议 (ISAKMP) 创建安全隧道。

    3. 在 IKE 第 2 阶段中,IPsec 对等体使用经身份验证的安全隧道对 IPsec SA 转换进行协商。共享策略的协商决定建立 IPsec 隧道的方式。

    4. 根据 IPsec 转换集中配置的 IPsec 参数,将在 IPsec 对等体之间创建 IPsec 隧道并传输数据。

    5. 如果删除了 IPsec SA,或者 IPsec SA 的生存时间到期,则 IPsec 隧道将终止。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • PIX软件版本6.2.1

  • Checkpoint TM NG防火墙

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

网络图

本文档使用以下网络设置:

/image/gif/paws/23785/pix-checkpt-01.gif

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置 PIX

此部分提交您以信息配置在本文描述的功能。

PIX 配置
PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIXRTPVPN
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Interesting traffic to be encrypted to the Checkpoint™ NG.

access-list 101 permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0

!--- Do not perform Network Address Translation (NAT) on traffic to the Checkpoint™ NG.

access-list nonat permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.158 255.255.255.0
ip address inside 192.168.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface

!--- Do not perform NAT on traffic to the Checkpoint™ NG.

nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
   h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- Permit all inbound IPsec authenticated cipher sessions.

sysopt connection permit-ipsec
no sysopt route dnat

!--- Defines IPsec encryption and authentication algorithms.

crypto ipsec transform-set rtptac esp-3des esp-md5-hmac

!--- Defines crypto map.

crypto map rtprules 10 ipsec-isakmp
crypto map rtprules 10 match address 101
crypto map rtprules 10 set peer 172.18.124.157
crypto map rtprules 10 set transform-set rtptac

!--- Apply crypto map on the outside interface.

crypto map rtprules interface outside
isakmp enable outside

!--- Defines pre-shared secret used for IKE authentication.

isakmp key ******** address 172.18.124.157 netmask 255.255.255.255

!--- Defines ISAKMP policy.

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:089b038c8e0dbc38d8ce5ca72cf920a5
: end

配置检查点NG

网络对象和规则在Checkpoint TM NG定义组成适合于对将设置的VPN配置的策略。此策略然后安装使用Checkpoint TM NG策略编辑器完成配置的Checkpoint TM NG侧。

  1. 创建加密关注数据流Checkpoint网络和PIX火墙网的两个网络对象。

    为了执行此,选择Manage > Network Objects,然后选择New > Network。输入适当的网络信息,然后点击OK键。

    这些示例表示呼叫CP_Inside (Checkpoint TM NG网络内部)和PIXINSIDE的网络对象设置(PIX网络内部)。

    pix-checkpt-02.gif

    pix-checkpt-03.gif

  2. 创建Checkpoint TM NG和PIX的工作站对象。为了执行此,选择Manage > Network objects > New > Workstation

    注意您能使用在初始检查点TM NG设置期间创建的Checkpoint TM NG工作站对象。选择将工作站设置为网关和可互操作的VPN设备选项,然后点击OK。

    这些示例表示呼叫ciscocp (CheckpointTM NG)和PIX的对象设置(PIX防火墙)。

    /image/gif/paws/23785/pix-checkpt-04.gif

    pix-checkpt-05.gif

  3. 选择Manage > Network objects > Edit打开Checkpoint TM NG工作站的(在本例中的ciscocp Workstation Properties窗口)。

    从窗口左边选择拓朴,然后选择要加密的网络。单击编辑设置接口属性。

    /image/gif/paws/23785/pix-checkpt-06.gif

  4. 选择指定工作站为内部选项,然后指定合适的IP地址。单击 Ok

    在此配置中, CP_inside是Checkpoint TM NG的网络内部。显示的拓扑选择此处选定一样内部的工作站并且指定地址象CP_inside。

    /image/gif/paws/23785/pix-checkpt-07.gif

  5. 从Workstation Properties窗口,请选择在那导致互联网的Checkpoint TM NG的外部接口,然后单击编辑设置接口属性。选择选项选定拓扑作为外部,然后点击OK键。

    pix-checkpt-08.gif

  6. 从在Checkpoint TM NG的Workstation Properties窗口,从选择的挑选VPN在窗口的左边,然后选择加密和认证算法的IKE参数。单击编辑配置IKE属性。

    pix-checkpt-10.gif

  7. 配置IKE属性:

    • 选择3DES加密的选项,以便IKE属性是与isakmp policy - encryption 3des命令兼容

    • 选择MD5的选项,以便IKE属性与crypto isakmp policy # hash md5命令兼容。

      pix-checkpt-11.gif

  8. 选择Pre-Shared Secrets(预共享秘密)的认证选项,然后点击Edit Secrets,将预共享密钥设置来与PIX命令isakmp key key address address netmask netmask兼容。单击编辑输入您的密钥如显示此处并且点击集, OK

    /image/gif/paws/23785/pix-checkpt-12.gif

  9. 从IKE Properties窗口,请点击先进…并且更改这些设置:

    • 取消选定支持主动模式的选项。

    • 选择支持密钥交换的选项子网的

    完成后单击 OK

    /image/gif/paws/23785/pix-checkpt-13.gif

  10. 选择Manage > Network objects > Edit打开PIX的Workstation Properties窗口。从窗口的左边的选项中选择Topology,手工定义VPN域。

    在此配置中, PIXINSIDE (PIX网络内部)定义作为VPN域。

    pix-checkpt-09.gif

  11. 从窗口左边选择VPN,然后选择IKE作为加密机制。单击编辑配置IKE属性。

    /image/gif/paws/23785/pix-checkpt-14.gif

  12. 配置IKE属性如显示此处:

    • 选择3DES加密的选项,以便IKE属性是与isakmp policy - encryption 3des命令兼容

    • 选择MD5的选项,以便IKE属性与crypto isakmp policy # hash md5命令兼容。

    pix-checkpt-15.gif

  13. 选择Pre-Shared Secrets(预共享秘密)的认证选项,然后点击Edit Secrets,将预共享密钥设置来与PIX命令isakmp key key address address netmask netmask兼容。单击编辑输入您的密钥,然后点击集, OK

    /image/gif/paws/23785/pix-checkpt-16.gif

  14. 从IKE Properties窗口,请点击先进…并且更改这些设置。

    • 选择迪菲─赫尔曼组适当为IKE属性。

    • 取消选定支持主动模式的选项。

    • 选择支持密钥交换的选项子网的

    当您执行时,请点击OK键, OK

    /image/gif/paws/23785/pix-checkpt-17.gif

  15. 选择Rules > Add Rules > Top配置策略的加密规则。

    在Policy Editor窗口,在源及目的两列插入带CP_inside (在Checkpoint TM NG网络内部)规则的源和PIXINSIDE (在PIX的网络内部)。Service=AnyAction=Encrypt跟踪=日志的设置值。当您添加了规则的加密行为部分时,点击 Action 并且选择Edit Properties。

    pix-checkpt-18.gif

  16. 当IKE选择和突出显示,请单击编辑

    pix-checkpt-19.gif

  17. 在IKE Properties窗口,请更改属性同意在crypto ipsec transform-set rtptac esp-3des esp-md5-hmac命令的PIX IPSec转换。

    将Transform选项设置为加密+数据完整性(ESP),设置3DES加密算法,设置MD5数据完整性,并设置允许的对等网关来匹配外部PIX网关(此处称为PIX)。单击 Ok

    /image/gif/paws/23785/pix-checkpt-20.gif

  18. 在您配置Checkpoint TM NG后,请保存策略并且选择启用它的策略>安装

    pix-checkpt-21.gif

    当策略被编译,安装窗口显示进度注释。

    /image/gif/paws/23785/pix-checkpt-22.gif

    当安装窗口表明策略安装完成。单击接近完成步骤。

    /image/gif/paws/23785/pix-checkpt-23.gif

验证

验证 PIX 配置

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

启动从其中一的一ping私有网络对另一私有网络测试两私有网络之间的通信。在此配置中, ping从PIX侧(192.168.10.2)被发送了对Checkpoint TM NG内部网络(10.32.50.51)。

  • show crypto isakmp sa - 显示对等体上的所有当前 IKE SA。

    show crypto isakmp sa
    Total    : 1
    Embryonic : 0
                 dst                      src                     state     pending   created
      172.18.124.157   172.18.124.158   QM_IDLE         0          1
  • show crypto ipsec sa - 显示当前 SA 使用的设置。

    PIX501A#show cry ipsec sa
    
    interface: outside
        Crypto map tag: rtprules, local addr. 172.18.124.158
    
       local  ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (10.32.0.0/255.255.128.0/0/0)
       current_peer: 172.18.124.157
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19
        #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
        #send errors 1, #recv errors 0
    
         local crypto endpt.: 172.18.124.158, remote crypto endpt.: 172.18.124.157
         path mtu 1500, ipsec overhead 56, media mtu 1500
         current outbound spi: 6b15a355
    
         inbound esp sas:
          spi: 0xced238c7(3469883591)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 3, crypto map: rtprules
            sa timing: remaining key lifetime (k/sec): (4607998/27019)
            IV size: 8 bytes
            replay detection support: Y
    
         inbound ah sas:
         inbound pcp sas:
    
         outbound esp sas:
          spi: 0x6b15a355(1796580181)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 4, crypto map: rtprules
            sa timing: remaining key lifetime (k/sec): (4607998/27019)
            IV size: 8 bytes
            replay detection support: Y
    
    
         outbound ah sas:
    
         outbound pcp sas:

查看在检查点NG的隧道状态

去策略编辑器和Select窗口>System状态查看隧道状态。

pix-checkpt-24.gif

故障排除

排除故障PIX配置

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

请使用这些命令对在PIX防火墙的关闭调试。

  • debug crypto engine -显示关于加密引擎的调试消息,进行加密和解密。

  • debug crypto isakmp — 显示关于 IKE 事件的消息。

VPN Peer: ISAKMP: Added new peer: ip:172.18.124.157 Total VPN Peers:1
VPN Peer: ISAKMP: Peer ip:172.18.124.157 Ref cnt incremented to:1 Total VPN Peers:1
ISAKMP (0): beginning Main Mode exchange
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0
ISAKMP (0): Checking ISAKMP transform 1 against priority 1 policy
ISAKMP: encryption 3DES-CBC
ISAKMP: hash MD5
ISAKMP: default group 2
ISAKMP: auth pre-share
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0
ISAKMP (0): processing NONCE payload. message ID = 0
ISAKMP (0): ID payload
next-payload : 8
type : 1
protocol : 17
port : 500
length : 8
ISAKMP (0): Total payload length: 12
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): SA has been authenticated
ISAKMP (0): beginning Quick Mode exchange, M-ID of 322868148:133e93b4 IPSEC(key_engine): got a queue event...
IPSEC(spi_response): getting spi 0xced238c7(3469883591) for SA
from 172.18.124.157 to 172.18.124.158 for prot 3
return status is IKMP_NO_ERROR
ISAKMP (0): sending INITIAL_CONTACT notify
ISAKMP (0): sending NOTIFY message 24578 protocol 1
ISAKMP (0): sending INITIAL_CONTACT notify
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 322868148
ISAKMP : Checking IPSec proposal 1
ISAKMP: transform 1, ESP_3DES
ISAKMP: attributes in transform:
ISAKMP: encaps is 1
ISAKMP: SA life type in seconds
ISAKMP: SA life duration (basic) of 28800
ISAKMP: SA life type in kilobytes
ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
ISAKMP: authenticator is HMAC-MD5
ISAKMP (0): atts are acceptable. IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= 172.18.124.157, src= 172.18.124.158,
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
ISAKMP (0): processing NONCE payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): Creating IPSec SAs
inbound SA from 172.18.124.157 to 172.18.124.158 (proxy 10.32.0.0 to 192.168.10.0)
has spi 3469883591 and conn_id 3 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytes
outbound SA from 172.18.124.158 to 172.18.124.157 (proxy 192.168.10.0 to 10.32.0.0)
has spi 1796580181 and conn_id 4 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event...
IPSEC(initialize_sas): ,
(key eng. msg.) dest= 172.18.124.158, src= 172.18.124.157,
dest_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
src_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0xced238c7(3469883591), conn_id= 3, keysize= 0, flags= 0x4
IPSEC(initialize_sas): ,
(key eng. msg.) src= 172.18.124.158, dest= 172.18.124.157,
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0x6b15a355(1796580181), conn_id= 4, keysize= 0, flags= 0x4
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:2 Total VPN Peers:1
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:3 Total VPN Peers:1
return status is IKMP_NO_ERROR

网络汇总

当多个相邻网络内部在检查点的时加密域配置,设备也许自动地总结他们关于关注数据流的情况。如果在PIX的crypto访问控制表(ACL)没有配置配比,通道可能出故障。例如,如果10.0.0.0 /24和10.0.1.0 /24网络内部在通道配置包括,他们可以汇总到10.0.0.0 /23。

查看检查点NG日志

Select窗口>查看日志的日志查看器

/image/gif/paws/23785/pix-checkpt-25.gif


相关信息


Document ID: 23785