安全 : Cisco FlexVPN

在一个路由器和ASA之间的FlexVPN与下一代加密配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文描述如何配置在一个路由器之间的VPN有FlexVPN的,并且该可适应的安全工具(ASA)支持思科下一代加密(NGE)算法。

注意: 贡献用格雷姆巴特利特, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Hardware:IOS运行安全许可证的生成2 (G2)路由器。

  • 软件:Cisco IOS�软件版本15.2-3.T2。可以使用M或T所有版本版本的后比Cisco IOS�软件版本15.1.2T,因为这包括与Galois计数器模式(GCM)的介绍。

  • Hardware:该的ASA支持NGE。

    注意: 仅多芯的平台支持高级加密标准(AES) GCM。

  • 软件:该ASA的软件版本9.0或以上支持NGE。

  • Openssl。

关于详细信息,参考Cisco Feature Navigator

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

请动态地创建IPSec安全关联

在IOS的推荐的IPSec接口是一个虚拟隧道接口(VTI),创建通用路由封装(GRE)接口由IPsec保护。VTI,流量选择器(应该由IPSec安全关联保护什么流量(SA))包括从隧道源的GRE流量到隧道目的地。由于ASA不应用为GRE接口,反而创建根据流量的IPSec SAS定义在访问控制表(ACL),我们必须启用允许路由器响应到与报价的流量选择器的镜像的IKEv2开始的方法。使用动态虚拟隧道接口(DVTI)在FlexVPN路由器允许此设备响应到有提交流量选择器的镜像的提交流量选择器。

此示例加密两个内部网络之间的流量。当ASA提交ASA内部网络的流量选择器对IOS内部网络时, 192.168.1.0/24172.16.10.0/24, DVTI接口回应流量选择器的镜像,是172.16.10.0/24192.168.1.0/24

认证中心

目前, IOS和ASA不支持有椭圆曲线数字签名算法(ECDSA)证书的一个本地Certificate Authority (CA)服务器,为套件B要求。因此必须实现一个第三方CA服务器。例如,请使用Openssl作为CA。

配置

网络拓扑

此指南根据在此图表中显示的拓扑。您应该修正IP地址配合。

http://www.cisco.com/c/dam/en/us/support/docs/security/flexvpn/116008-flexvpn-nge-config-01.jpg

注意: 设置包括路由器和ASA的直接连接。这些能由许多跳分离。如果如此请确保有路由达到对端IP地址。以下配置只选派使用的加密。

要求的步骤使路由器使用ECDSA

认证中心

  1. 创建一椭圆曲线密钥对。

    openssl ecparam -out ca.key -name secp256r1 -genkey
  2. 创建一椭圆曲线自签名证书

    openssl req -x509 -new -key ca.key -out ca.pem -outform PEM -days 3650

FlexVPN

  1. 创建domain-name主机名,是前提条件为了创建一椭圆曲线(EC)密钥对。

    ip domain-name cisco.com
    hostname Router1
    crypto key generate ec keysize 256 label router1.cisco.com
  2. 创建一本地信任点为了获取从CA的一证书。

    crypto pki trustpoint ec_ca
     enrollment terminal
     subject-name cn=router1.cisco.com
     revocation-check none
     eckeypair router1.cisco.com
     hash sha256

    注意: 由于CA脱机,撤销检查禁用;应该为在生产环境的最大安全性启用撤销检查。

  3. 验证信任点。这得到CA证书的复制,包含公共密钥。

    crypto pki authenticate ec_ca
  4. 然后提示您进入CA的base64编码的证书。这是文件ca.pem,创建与Openssl。为了查看此文件,打开它在编辑器或用在ca.pem的Openssl命令opensslx509 -。当您粘贴此时,回车离开了。然后类型是toaccept。

  5. 登记路由器到在CA的公共密钥基础设施(PKI)。

    crypto pki enrol ec_ca
  6. 您接收需要使用为了提交证书请求到CA的输出。这可以保存作为文本文件(flex.csr)和用Openssl命令签字。

    openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in flex.csr -out flex.pem
  7. 导入证书,在文件flex.pem内包含,生成从CA,到路由器,在您输入此命令后。然后,回车quitwhen完成。

    crypto pki import ec_ca certificate

ASA

  1. 创建domain-name主机名,是前提条件为了创建EC密钥对。

    domain-name cisco.com
    hostname ASA1
    crypto key generate ecdsa label asa1.cisco.com elliptic-curve 256
  2. 创建一本地信任点为了从CA获取证书。

    crypto ca trustpoint ec_ca
     enrollment terminal
     subject-name cn=asa1.cisco.com
     revocation-check none
     keypair asa1.cisco.com

    注意: 由于CA脱机,撤销检查禁用;应该为在生产环境的最大安全性启用撤销检查。

  3. 验证信任点。这得到CA证书的复制,包含公共密钥。

    crypto ca authenticate ec_ca
  4. 然后提示您进入CA的base64编码的证书。这是文件ca.pem,创建与Openssl。为了查看此文件,打开它在编辑器或用在ca.pem的Openssl命令opensslx509 -。回车离开了,您粘贴此文件时,然后键入是toaccept。

  5. 登记ASA到在CA的PKI。

    crypto ca enrol ec_ca
  6. 您收到的输出必须用于为了提交证书请求到CA。这可以保存作为文本文件(asa.csr)用Openssl命令然后签字。

    openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in asa.csr -out asa.pem
  7. 导入证书,在文件内包含作为a.pem,生成从CA到路由器,在此命令被输入后。然后enterquit,当完成。

    crypto ca import ec_ca certificate

配置

FlexVPN

创建证书地图匹配对等设备的证书。

crypto pki certificate map certmap 10
 subject-name co cisco.com

输入IKEv2提议的这些命令对于套件B配置:

注意: 对于最大安全性,请配置与与hash命令的sha512的aes-cbc-256

crypto ikev2 proposal default
 encryption aes-cbc-128
 integrity sha256
 group 19

匹配IKEv2配置文件到证书地图并且以以前定义的信任点使用ECDSA。

crypto ikev2 profile default
 match certificate certmap
 identity local dn
 authentication remote ecdsa-sig
 authentication local ecdsa-sig
 pki trustpoint ec_ca
 virtual-template 1

配置IPSec转换集使用伽罗华计数器模式(GCM)。

crypto ipsec transform-set ESP_GCM esp-gcm
 mode transport

配置与以前配置的参数的IPSec简档。

crypto ipsec profile default
 set transform-set ESP_GCM
 set pfs group19
 set ikev2-profile default

配置隧道接口:

interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/0
 tunnel source GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default

这是接口配置:

interface GigabitEthernet0/0
 ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/1
 ip address 172.16.10.1 255.255.255.0

ASA

请使用此接口配置:

interface GigabitEthernet3/0
 nameif outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0
interface GigabitEthernet3/1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0

输入此访问列表命令为了定义将加密的流量:

access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0 255.255.255.0

输入与NGE的此IPSec建议命令:

crypto ipsec ikev2 ipsec-proposal prop1
 protocol esp encryption aes-gcm
 protocol esp integrity null

加密算法地图命令:

crypto map mymap 10 match address 100
crypto map mymap 10 set peer 10.10.10.1
crypto map mymap 10 set ikev2 ipsec-proposal prop1
crypto map mymap 10 set trustpoint ec_ca
crypto map mymap interface outside

此命令配置与NGE的IKEv2策略:

crypto ikev2 policy 10
 encryption aes
 integrity sha256
 group 19
 prf sha256
 lifetime seconds 86400
crypto ikev2 enable outside

为对等体命令配置的隧道组:

tunnel-group 10.10.10.1 type ipsec-l2l
tunnel-group 10.10.10.1 ipsec-attributes
 peer-id-validate cert
 ikev2 remote-authentication certificate
 ikev2 local-authentication certificate ec_ca

连接验证

验证ECDSA密钥顺利地生成。

Router1#show crypto key mypubkey ec router1.cisco.com
% Key pair was generated at: 21:28:26 UTC Feb 19 2013
Key name: router1.cisco.com
Key type: EC KEYS
 Storage Device: private-config
 Usage: Signature Key
 Key is not exportable.
 Key Data:
<...omitted...>
 
ASA-1(config)#show crypto key mypubkey ecdsa
Key pair was generated at: 21:11:24 UTC Feb 19 2013
Key name: asa1.cisco.com
 Usage: General Purpose Key
 EC Size (bits): 256
 Key Data&colon;
<...omitted...>

验证证书顺利地导入,并且使用ECDSA。

Router1#show crypto pki certificates verbose
Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 0137
  Certificate Usage: General Purpose
  Issuer:
<...omitted...>
  Subject Key Info:
    Public Key Algorithm: rsaEncryption
    EC Public Key:  (256 bit)
  Signature Algorithm: SHA256 with ECDSA

 
ASA-1(config)#show crypto ca certificates
CA Certificate
  Status: Available
  Certificate Serial Number: 00a293f1fe4bd49189
  Certificate Usage: General Purpose
  Public Key Type: ECDSA (256 bits)
  Signature Algorithm: SHA256 with ECDSA Encryption
 <...omitted...>

验证IKEv2 SA顺利地创建并且使用已配置的NGE算法。

Router1#show crypto ikev2 sa  detailed
 IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
1         10.10.10.1/500        10.10.10.2/500        none/none            READY
      Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
        Auth verify: ECDSA
      Life/Active Time: 86400/94 sec
 
  
ASA-1#show crypto ikev2 sa detail

IKEv2 SAs:

Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                 Local                Remote     Status         Role
268364957        10.10.10.2/500        10.10.10.1/500      READY    INITIATOR
      Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
        Auth verify: ECDSA
      <...omitted...>
Child sa: local selector  192.168.1.0/0 - 192.168.1.255/65535
          remote selector 172.16.10.0/0 - 172.16.10.255/65535
          ESP spi in/out: 0xe847d8/0x12bce4d
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
          Encr: AES-GCM, keysize: 128, esp_hmac: N/A
          ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

验证IPSec SA顺利地创建并且使用已配置的NGE算法。

注意: FlexVPN能终止从支持IKEv2和IPSec协议的非IOS客户端的IPSec连接。

Router1#show crypto ipsec sa

interface: Virtual-Access1
    Crypto map tag: Virtual-Access1-head-0, local addr 10.10.10.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer 10.10.10.2 port 500
     PERMIT, flags={origin_is_acl,}
<...omitted...>

     inbound esp sas:
      spi: 0x12BCE4D(19648077)
        transform: esp-gcm ,
        in use settings ={Tunnel, }
     
ASA-1#show crypto ipsec sa detail
interface: outside
    Crypto map tag: mymap, seq num: 10, local addr: 10.10.10.2

      access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0
        255.255.255.0
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
      current_peer: 10.10.10.1
<...omitted...>
     

    inbound esp sas:
      spi: 0x00E847D8 (15222744)
         transform: esp-aes-gcm esp-null-hmac no compression
         in use settings ={L2L, Tunnel, IKEv2, }

欲知关于套件的思科的实施B的详情,参考下一代加密白皮书

参考下一代加密解决方案部分得知更多下一代加密的思科的实施。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 116008