安全 : Cisco ASA 5500 系列自适应安全设备

IKEv1的很快迁移对IKEv2 L2L隧道配置的在ASA 8.4代码

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文提供关于IKEv2的信息和从IKEv1的迁移进程。

注意: 贡献用赫伯特Baerten, Atri巴苏和Gori Dawodu, Cisco TAC工程师。

先决条件

要求

保证您有运行IPsec以IKEv1预先共享密钥的思科ASA安全工具(PSK)认证方法,并且保证IPSec隧道在操作状态。

对于运行IPsec以IKEv1 PSK认证方法思科ASA安全工具的配置示例,参考PIX/ASA 7.x以上:PIX到PIX VPN隧道配置示例

使用的组件

本文档中的信息基于这些硬件与软件版本。

  • 以版本8.4.x和以上运行的Cisco ASA 5510系列安全工具。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

为什么对IKEv2的迁移?

  • IKEv2提供更加好的网络攻击弹性。当验证IPsec发起者时, IKEv2能减轻在网络的一次DOS攻击。为了使DoS漏洞困难使用,响应方能请求必须保证响应方的Cookie到发起者这是一正常连接。在IKEv2中,响应方Cookie减轻DOS攻击,以便响应方不保持IKE发起者的状态也不执行D-H操作,除非发起者返回响应方发送的Cookie。响应方使用最小CPU并且不承诺状态给安全关联(SA),直到能完全验证发起者。

  • IKEv2减少在IPsec建立的复杂性区别VPN产品之间。它增加互通性并且允许一个标准的方式传统认证方法。IKEv2提供在供应商中的一个无缝的IPSec互操作性,因为提供内置的技术例如对端死机检测(DPD)、NAT横越(NAT-T),或者初始联系。

  • IKEv2有较少开销。使用较少开销,它提供改善的SA设置延迟。多请求在运送中允许(例如,当孩子SAS的多个平行设置)时。

  • IKEv2有降低的SA延时。在IKEv1中,当数据包音量放大, SA创建延迟放大。当数据包音量放大时, IKEv2保持同一个平均延迟。当数据包音量放大时,时候加密和处理信息包报头放大。当一新的SA建立将创建时,更多时间要求。IKEv2生成的SA比IKEv1生成的那个是较少。对于一被放大的数据包大小,花费的时间创建SA几乎不变。

  • IKEv2有更加快速重新生成密钥时间。IKE v1比IKEv2花些更多时间重新生成密钥SAS。IKEv2为SA提供改善的安全性能重新生成密钥并且减小信息包丢失编号在转换的。由于IKEv1某些机制的重新定义(例如Tos SA寿命和SPI唯一性有效负载,选择)在IKEv2,少量数据包在IKEv2丢失并且被复制。所以,有较少需要重新生成密钥SAS。

注意: 由于网络安全可以只是一样强象最弱的链路, IKEv2与IKEv1不兼容。

迁移概述

如果您的IKEv1,甚至SSL,配置已经存在, ASA简化迁移进程。在line命令,请输入迁移命令:

migrate {l2l | remote-access {ikev2 | ssl} | overwrite}

注意事:

  • 关键字定义:

    • l2l -这转换当前IKEv1 l2l通道对IKEv2。

    • 远程访问-这转换远程访问配置。您能转换IKEv1或SSL隧道组到IKEv2。

    • 覆盖-如果有您希望覆盖的一IKEv2配置,则此关键字转换当前IKEv1配置并且删除过剩IKEv2配置。

  • 请注意IKEv2有能力使用对称以及不对称密钥PSK验证。当迁移命令在ASA时被输入, ASA自动地创建与一对称PSK的IKEv2 VPN。

  • 在命令被输入后,当前IKEv1配置没有删除。反而IKEv1和IKEv2在同一个加密映射运行的平行和配置。您能手工执行此。当IKEv1和IKEv2平行时运行,这允许IPSec VPN发起者对fallback从IKEv2到IKEv1,当协议或配置问题存在与可能导致连接尝试失败的IKEv2时。当IKEv1和IKEv2平行时运行,它也提供一回退机制并且使迁移更加容易。

  • 当平行运行的IKEv1和IKEv2, ASA使用呼叫通道的一个模块manager/IKE普通在发起者确定加密映射和IKE协议版本使用连接。ASA总是喜欢启动IKEv2,但是,如果不能,下跌回到IKEv1。

  • 用于冗余的多个对等项不支持与在ASA的IKEv2。在IKEv1中,当您输入set peer命令时,为冗余目的,一个能有超过一对等体在同一个加密映射下。第一对等体主要的,并且,如果发生故障,第二对等体起动。参考Cisco Bug ID CSCud22276 (仅限注册用户), ENH :多个对等项为IKEv2支持。

迁移进程

配置

在本例中,使用预先共享密钥的IKEv1 VPN (PSK)验证在ASA存在。

注意: 显示的配置此处与VPN通道只是相关的。

与当前IKEv1 VPN的ASA配置(在迁移前)

ASA-2(config)# sh run
ASA Version 8.4(2)
!
hostname ASA-2
!
crypto ipsec IKEv1 transform-set goset esp-3des esp-sha-hmac
crypto map vpn 12 match address NEWARK
crypto map vpn 12 set pfs group5
crypto map vpn 12 set peer <peer_ip-address>
crypto map vpn 12 set IKEv1 transform-set goset
crypto map vpn interface outside
crypto isakmp disconnect-notify
crypto IKEv1 enable outside
crypto IKEv1 policy 1
 authentication pre-share
 encryption 3des
 hash sha
 group 5
 lifetime 86400
!
tunnel-group <peer_ip-address> type ipsec-l2l
tunnel-group <peer_ip-address> ipsec-attributes
 IKEv1 pre-shared-key *****
 isakmp keepalive threshold 10 retry 3

ASA IKEv2配置(在迁移以后)

注意: 被标记的变化在黑斜体粗斜体上。

ASA-2(config)# migrate l2l
ASA-2(config)# sh run
ASA Version 8.4(2)
!
hostname ASA-2
!
crypto ipsec IKEv1 transform-set goset esp-3des esp-sha-hmac

crypto ipsec IKEv2 ipsec-proposal goset
 protocol esp encryption 3des
 protocol esp integrity sha-1

crypto map vpn 12 match address NEWARK
crypto map vpn 12 set pfs group5
crypto map vpn 12 set peer <peer_ip-address>
crypto map vpn 12 set IKEv1 transform-set goset

crypto map vpn 12 set IKEv2 ipsec-proposal goset

crypto map vpn interface outside
crypto isakmp disconnect-notify

crypto IKEv2 policy 1
 encryption 3des
 integrity sha 
 group 5
 prf sha
 lifetime seconds 86400
crypto IKEv2 enable outside

crypto IKEv1 enable outside
crypto IKEv1 policy 1
 authentication pre-share
 encryption 3des
 hash sha
 group 5
 lifetime 86400
!
tunnel-group <peer_ip-address> type ipsec-l2l
tunnel-group <peer_ip-address> ipsec-attributes
 IKEv1 pre-shared-key *****
 isakmp keepalive threshold 10 retry 3
 
IKEv2 remote-authentication pre-shared-key *****
 IKEv2 local-authentication pre-shared-key *****

IKEv2隧道建立验证

ASA1# sh cry IKEv2 sa detail

IKEv2 SAs:
Session-id:12, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id   Local                Remote     Status        Role
102061223 192.168.1.1/500  192.168.2.2/500  READY    INITIATOR
     Encr: 3DES, Hash: SHA96, DH Grp:5, Auth sign: PSK,Auth verify: PSK
     Life/Active Time: 86400/100 sec
     Status Description: Negotiation done
     Local spi: 297EF9CA996102A6       Remote spi: 47088C8FB9F039AD
     Local id: 192.168.1.1
     Remote id: 192.168.2.2
      DPD configured for 10 seconds, retry 3
     NAT-T is not detected
Child sa: local selector  10.10.10.0/0 - 10.10.10.255/65535
         remote selector 10.20.20.0/0 - 10.20.20.255/65535
         ESP spi in/out: 0x637df131/0xb7224866
         
ASA1# sh crypto ipsec sa
interface: outside
   Crypto map tag: vpn, seq num: 12, local addr: 192.168.1.1
     access-list NEWARK extended permit ip 10.10.10.0 255.255.255.0 
     10.20.20.0 255.255.255.0
     local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
     current_peer: 192.168.2.2
     #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4

在迁移以后的PSK验证

为了验证您的PSK,您能运行此in命令全局配置模式:

more system: running-config | beg tunnel-group

IKEv2和通道管理器进程

如上所述, ASA使用呼叫通道的一个模块manager/IKE普通在发起者确定加密映射和IKE协议版本使用连接。输入此命令监控模块:

debug crypto ike-common <level>

当流量通过发起IKEv2通道时,调试记录日志,和显示命令收集了。为了清晰,某些输出省略。

ASA1(config)# logging enable
ASA1(config)# logging list IKEv2 message 750000-752999
ASA1(config)# logging console IKEv2
ASA1(config)# exit
ASA1# debug crypto IKEv2 platform 4
ASA1# debug crypto IKEv2 protocol  4
ASA1# debug crypto ike-common 5

%ASA-5-752003: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv2.
Map Tag = vpn.  Map Sequence Number = 12.
%ASA-5-750001: Local:192.168.1.1:500 Remote:192.168.2.2:500 Username:Unknown
Received request to establish an IPsec tunnel; local traffic selector = Address Range: 
10.10.10.11-10.10.10.11 Protocol: 0 
Port Range: 0-65535; remote traffic selector = Address Range: 
10.20.20.21-10.20.20.21 Protocol: 0 Port Range: 0-65535
Mar 22 15:03:52 [IKE COMMON DEBUG]Tunnel Manager dispatching a KEY_ACQUIRE 
message to IKEv2.  Map Tag = vpn.  Map Sequence Number = 12.
IKEv2-PLAT-3: attempting to find tunnel group for IP: 192.168.2.2
IKEv2-PLAT-3: mapped to tunnel group 192.168.2.2 using peer IP
    26%ASA-5-750006: Local:192.168.1.1:500 Remote:192.168.2.2:500 
Username:192.168.2.2 SA UP. Reason: New Connection Established
43%ASA-5-752016: IKEv2 was successful at setting up a tunnel.  
Map Tag = vpn. Map Sequence Number = 12.
%ASA-7-752002: Tunnel Manager Removed entry.  Map Tag = vpn.  
Map Sequence Number = 12.
IKEv2-PLAT-4: SENT PKT [IKE_SA_INIT] [192.168.1.1]:500->[192.168.2.2]:500 
InitSPI=0x297ef9ca996102a6 RespSPI=0x0000000000000000 MID=00000000
IKEv2-PROTO-3: (12): Insert SA
IKEv2-PLAT-4: RECV PKT [IKE_SA_INIT] [192.168.2.2]:500->[192.168.1.1]:500 
InitSPI=0x297ef9ca996102a6 RespSPI=0x47088c8fb9f039ad MID=00000000
IKEv2-PLAT-4: SENT PKT [IKE_AUTH] [192.168.1.1]:500->[192.168.2.2]:500 
InitSPI=0x297ef9ca996102a6 RespSPI=0x47088c8fb9f039ad MID=00000001
IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.2.2]:500->[192.168.1.1]:500 
InitSPI=0x297ef9ca996102a6 RespSPI=0x47088c8fb9f039ad MID=00000001
IKEv2-PROTO-3: (12): Verify peer's policy
IKEv2-PROTO-3: (12): Get peer authentication method
IKEv2-PROTO-3: (12): Get peer's preshared key for 192.168.2.2
IKEv2-PROTO-3: (12): Verify authentication data
IKEv2-PROTO-3: (12): Use preshared key for id 192.168.2.2, key len 5
IKEv2-PROTO-2: (12): SA created; inserting SA into database
IKEv2-PLAT-3:
CONNECTION STATUS: UP... peer: 192.168.2.2:500, phase1_id: 192.168.2.2
IKEv2-PROTO-3: (12): Initializing DPD, configured for 10 seconds
IKEv2-PLAT-3: (12) DPD Max Time will be: 10
IKEv2-PROTO-3: (12): Checking for duplicate SA
Mar 22 15:03:52 [IKE COMMON DEBUG]IKEv2 was successful at setting up a tunnel.  
Map Tag = vpn. Map Sequence Number = 12.
Mar 22 15:03:52 [IKE COMMON DEBUG]Tunnel Manager Removed entry.  
Map Tag = vpn.  Map Sequence Number = 12.

对IKEv1回退机制的IKEv2

使用平行IKEv1和IKEv2, ASA总是喜欢启动IKEv2。如果ASA不能,下跌回到IKEv1。通道manager/IKE普通的模块管理此进程。在本例中在发起者的,清除了IKEv2 SA,并且IKEv2故意当前被不正确配置(IKEv2建议删除)展示划分为上一步机制。

ASA1# clear  crypto  IKEv2 sa
%ASA-5-750007: Local:192.168.1.1:500 Remote:192.168.2.2:500 
Username:192.168.2.2 SA DOWN. Reason: operator request
ASA1(config)# no crypto map vpn 12 set IKEv2 ipsec-proposal GOSET
ASA1# (config ) logging enable
ASA1# (config ) logging list IKEv2 message 750000-752999
ASA1# (config ) logging console IKEv2
ASA1# (config ) exit
ASA1# debug crypto IKEv2 platform 4
ASA1# debug crypto IKEv2 protocol  4
ASA1# debug crypto ike-common 5
%ASA-5-752004: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv1.  
Map Tag = vpn.  Map Sequence Number = 12.
%ASA-4-752010: IKEv2 Doesn't have a proposal specified
Mar 22 15:11:44 [IKE COMMON DEBUG]Tunnel Manager dispatching a KEY_ACQUIRE 
message to IKEv1.  Map Tag = vpn.  Map Sequence Number = 12.
Mar 22 15:11:44 [IKE COMMON DEBUG]IKEv2 Doesn't have a proposal specified
%ASA-5-752016: IKEv1 was successful at setting up a tunnel.  Map Tag = vpn. 
Map Sequence Number = 12.
%ASA-7-752002: Tunnel Manager Removed entry.  Map Tag = vpn.  
Map Sequence Number = 12.
Mar 22 15:11:44 [IKE COMMON DEBUG]IKEv1 was successful at setting up a tunnel.  
Map Tag = vpn. Map Sequence Number = 12.
Mar 22 15:11:44 [IKE COMMON DEBUG]Tunnel Manager Removed entry.  Map Tag = vpn.  
Map Sequence Number = 12.

ASA1(config)# sh cry IKEv2 sa
There are no IKEv2 SAs
ASA1(config)# sh cry IKEv1 sa
IKEv1 SAs:
  Active SA: 1
  Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1   IKE Peer: 192.168.2.2
   Type    : L2L             Role    : initiator
   Rekey   : no              State   : MM_ACTIVE

硬化IKEv2

为了提供附加安全性,当使用时IKEv2,这些可选命令是高度推荐的:

  • crypto IKEv2 Cookie挑战:使ASA发送对对等设备的Cookie挑战以回应半打开SA启动的数据包。

  • crypto IKEv2限制麦斯SA :限制IKEv2在ASA的连接数量。默认情况下,允许的最大数量IKEv2连接等于ASA许可证指定的最大连接数。

  • crypto IKEv2限制麦斯在协商SA :限制IKEv2协商(请打开)在ASA的SAS编号。当使用与crypto IKEv2 Cookie挑战命令一道,比此限制请保证Cookie挑战阈值更低。

  • 请使用不对称密钥。在迁移以后,可以修改配置使用不对称密钥如显示此处:

    ASA-2(config)# more system:running-config
    tunnel-group <peer_ip-address> type ipsec-l2l
    tunnel-group <peer_ip-address> ipsec-attributes
     IKEv1 pre-shared-key cisco1234
     IKEv2 remote-authentication pre-shared-key cisco1234
     IKEv2 local-authentication pre-shared-key cisco123
    

意识到是重要的配置在IKEv2预共享密钥的另一对等体需要被反映。如果选择并且粘贴从一端的配置到其他,它不会工作。

注意: 默认情况下这些命令禁用。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 113597