Seguridad : Cisco FlexVPN

Ejemplo de configuración del sitio a localizar de FlexVPN

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento proporciona una configuración de muestra para el túnel del (GRE) de la encapsulación de ruteo de la seguridad de protocolos en Internet del sitio a localizar de FlexVPN (IPSec) /Generic.

Contribuido por los jóvenes y Atri Basu de Jay, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Refiera a los convenios de los consejos técnicos de Cisco para la información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuración del túnel del PSK

El procedimiento en esta sección describe cómo utilizar una clave previamente compartida (PSK) para configurar los túneles en este entorno de red.

Izquierdo-router

  1. Configure el llavero del intercambio de claves de Internet versión 2 (IKEv2):
     crypto ikev2 keyring mykeys
    peer Right-Router
    address 172.20.5.43
    pre-shared-key Cisco123
    !
  2. Configure de nuevo el perfil predeterminado IKEv2 para:
    • haga juego en el IKE ID
    • fije los métodos de autentificación para el local y el telecontrol
    • refiérase al llavero enumerado al paso anterior
       crypto ikev2 profile default
      match identity remote address 172.20.5.43 255.255.255.255
      authentication local pre-share
      authentication remote pre-share
      keyring local mykeys
      dpd 60 2 on-demand
      !
  3. Configure de nuevo IPSec predeterminada el perfil para referirse al perfil del valor por defecto IKEv2:
    crypto ipsec profile default
    set ikev2-profile default
    !
    interface Tunnel0
    ip address 10.1.12.100 255.255.255.0
    tunnel source Ethernet0/0
    tunnel destination 172.20.5.43
    tunnel protection ipsec profile default
    !
  4. Configure el LAN y las interfaces de WAN:
     interface Ethernet0/0
    description WAN
    ip address 172.18.3.52 255.255.255.0
    !
    interface Ethernet0/1
    description LAN
    ip address 192.168.100.1 255.255.255.0
    !
    ip route 0.0.0.0 0.0.0.0 172.18.3.1 name route_to_internet

Derecho-router

Relance los pasos de la configuración del Izquierdo-router, pero con estos cambios necesarios:

 crypto ikev2 keyring mykeys
peer Left-Router
address 172.18.3.52
pre-shared-key Cisco123
!
crypto ikev2 profile default
match identity remote address 172.18.3.52 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local mykeys
dpd 60 2 on-demand
!
crypto ipsec profile default
set ikev2-profile default
!
interface Tunnel0
ip address 10.1.12.1 255.255.255.0
tunnel source Ethernet0/0
tunnel destination 172.18.3.52
tunnel protection ipsec profile default
!
interface Ethernet0/0
description WAN
ip address 172.20.5.43 255.255.255.0
!
interface Ethernet0/1
description LAN
ip address 192.168.200.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 172.20.5.1 name route_to_internet

Configuración del túnel PKI

Después de que el túnel de la sección anterior se complete con el PSK, puede ser cambiado fácilmente para utilizar el Public Key Infrastructure (PKI) para la autenticación. En este ejemplo, el Izquierdo-router se autentica con un certificado al Derecho-router. El Derecho-router continúa utilizando un PSK para autenticarse al Izquierdo-router. Esto se ha hecho para mostrar la autenticación asimétrica; sin embargo, es trivial conmutar ambos para utilizar la autenticación certificada.

Izquierdo-router

  1. Certificate Authority (CA) del ® del Cisco IOS de la configuración en el router:
    Left-Router#config t
    Left-Router(config)#ip http server
    Left-Router(config)#crypto pki server S2S-CA
    Left-Router(cs-server)#issuer-name cn="S2S-CA"
    Left-Router(cs-server)#grant auto
    Left-Router(cs-server)#no shut
    %Some server settings cannot be changed after CA certificate generation.
    % Please enter a passphrase to protect the private key
    % or type Return to exit
    Password:

    Re-enter password:
    % Generating 1024 bit RSA keys, keys will be non-exportable...
    [OK] (elapsed time was 0 seconds)
    % Exporting Certificate Server signing certificate and keys...
  2. Autentique y aliste el trustpoint ID:
    Left-Router#config t
    Left-Router(config)#ip domain name cisco.com
    Left-Router(config)#crypto pki trustpoint S2S-ID
    Left-Router(ca-trustpoint)#enrollment url http://172.18.3.52:80
    Left-Router(ca-trustpoint)#subject-name cn=Left-Router.cisco.com
    Left-Router(ca-trustpoint)#exit
    Left-Router(config)#crypto pki authenticate S2S-ID
    Certificate has the following attributes:
    Fingerprint MD5: C11CD575 EC2DEACD 97E9AA3A 2DACFCAB
    Fingerprint SHA1: A8A6E79B D1932175 F12652F1 4F967077 3AEFAF08

    % Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    Left-Router(config)#
    Left-Router(config)#crypto pki enroll S2S-ID
    %
    % Start certificate enrollment ..
    % Create a challenge password. You will need to verbally provide this
    password to the CA Administrator in order to revoke your certificate.
    For security reasons your password will not be saved in the configuration.
    Please make a note of it.

    Password:
    Re-enter password:
    *Oct 29 15:15:50.287: %CRYPTO-6-AUTOGEN: Generated new 512 bit key pair

    % The subject name in the certificate will include: cn=R1.cisco.com
    % The subject name in the certificate will include: R1.cisco.com
    % Include the router serial number in the subject name? [yes/no]: no
    % Include an IP address in the subject name? [no]: no
    Request certificate from CA? [yes/no]: yes
    % Certificate request sent to Certificate Authority
    % The 'show crypto pki certificate verbose S2S-ID' command will show the fingerprint.

    *Oct 29 15:15:57.722: CRYPTO_PKI: Certificate Request Fingerprint MD5:
    CA34FD51 A85007EF A785E058 60D8877D
    *Oct 29 15:15:57.722: CRYPTO_PKI: Certificate Request Fingerprint SHA1:
    E37AAE3C 851953C3 9FABE1FD 2F0EACD5 566F361E
    Left-Router(config)#exit
    Left-Router#
    *Oct 29 15:16:57.829: %PKI-6-CERTRET: Certificate received from Certificate Authority
  3. Configure de nuevo el perfil IKEv2:
     crypto ikev2 profile default
    authentication local rsa-sig
    identity local dn
    pki trustpoint S2S-ID

Derecho-router

  1. Autentique el trustpoint de CA de modo que el router pueda verificar el certificado del Izquierdo-router:
    Right-Router#config t
    Right-Router(config)#ip domain name cisco.com
    Right-Router(config)#crypto pki trustpoint S2S-ID
    Right-Router(ca-trustpoint)#enrollment url http://172.18.3.52:80
    Right-Router(ca-trustpoint)#revocation-check none
    Right-Router(ca-trustpoint)#exit
    Right-Router(config)#crypto pki authenticate S2S-IDCertificate has the following attributes:
    Fingerprint MD5: C11CD575 EC2DEACD 97E9AA3A 2DACFCAB
    Fingerprint SHA1: A8A6E79B D1932175 F12652F1 4F967077 3AEFAF08

    % Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    Right-Router(config)#
  2. Configure de nuevo el perfil IKEv2 para hacer juego la conexión entrante:
     crypto pki certificate map S2S-Cert-Map 10
    issuer eq cn=S2S-CA
    crypto ikev2 profile default
    match certificate S2S-Cert-Map
    authentication remote rsa-sig

Verificación

Utilice el comando detailed crypto ikev2 sa de la demostración para verificar la configuración.

El Derecho-router muestra esto:

  • Muestra del auth = cómo este router se autentica al Izquierdo-router = a la clave previamente compartida
  • El auth verifica = cómo el Izquierdo-router se autentica a este router = RSA (el certificado)
  • Local/ID remoto = las identidades ISAKMP intercambiadas
 IPv4 Crypto IKEv2  SA

Tunnel-id Local Remote fvrf/ivrf Status
1 172.20.5.43/500 172.18.3.52/500 none/none READY
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth
verify: RSA
Life/Active Time: 86400/3165 sec
CE id: 1043, Session-id: 22
Status Description: Negotiation done
Local spi: 3443E884EB151E8D Remote spi: 92779BC873F58132
Local id: 172.20.5.43
Remote id: hostname=Left-Router.cisco.com,cn=Left-Router.cisco.com
Local req msg id: 0 Remote req msg id: 4
Local next msg id: 0 Remote next msg id: 4
Local req queued: 0 Remote req queued: 4
Local window: 5 Remote window: 5
DPD configured for 60 seconds, retry 2
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : No

IPv6 Crypto IKEv2 SA

Configuración de Ruteo

El ejemplo de la configuración previa permite que el túnel sea establecido, pero no proporciona ninguna información sobre la encaminamiento (es decir, qué destinos están disponibles sobre el túnel). Con IKEv2, hay dos maneras de intercambiar esta información: Dynamic Routing Protocol y rutas IKEv2.

Dynamic Routing Protocol

Puesto que el túnel es un túnel GRE de punto a punto, se comporta como cualquier otra interfaz Point-to-Point (por ejemplo: el serial, el marcador), y es posibles ejecutar cualquier Interior Gateway Protocol (IGP)/Exterior Gateway Protocol (EGP) sobre el link para intercambiar la información de ruteo. Aquí está un ejemplo del Enhanced Interior Gateway Routing Protocol (EIGRP):

  1. Configure al Izquierdo-router para habilitar y hacer publicidad del EIGRP en el LAN y las interfaces del túnel:
    router eigrp 100
    no auto-summary
    network 10.1.12.0 0.0.0.255
    network 192.168.100.0 0.0.0.255
  2. Configure al Derecho-router para habilitar y hacer publicidad del EIGRP en el LAN y las interfaces del túnel:
    router eigrp 100
    no auto-summary
    network 10.1.12.0 0.0.0.255
    network 192.168.200.0 0.0.0.255
  3. Confirme que la ruta a 192.168.200.0/24 es docta sobre el túnel vía el EIGRP:
    Left-Router#show ip route
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
    + - replicated route, % - next hop override

    Gateway of last resort is 172.18.3.1 to network 0.0.0.0

    S* 0.0.0.0/0 [1/0] via 172.18.3.1
    10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
    C 10.1.12.0/24 is directly connected, Tunnel0
    L 10.1.12.100/32 is directly connected, Tunnel0
    172.18.0.0/16 is variably subnetted, 2 subnets, 2 masks
    C 172.18.3.0/24 is directly connected, Ethernet0/0
    L 172.18.3.52/32 is directly connected, Ethernet0/0
    192.168.100.0/24 is variably subnetted, 2 subnets, 2 masks
    C 192.168.100.0/24 is directly connected, Ethernet0/1
    L 192.168.100.1/32 is directly connected, Ethernet0/1
    D 192.168.200.0/24 [90/27008000] via 10.1.12.1, 00:00:22, Tunnel0

Rutas IKEv2

En vez de usar las rutas del Dynamic Routing Protocol para aprender los destinos a través del túnel, las rutas se pudieron intercambiar durante el establecimiento de una asociación de seguridad IKEv2 (SA).

  1. En el Izquierdo-router, configure una lista de las subredes de que el Izquierdo-router hace publicidad al Derecho-router:
    ip access-list standard Net-List
    permit 192.168.100.0 0.0.0.255
  2. En el Izquierdo-router, configure una directiva de la autorización para especificar las subredes para hacer publicidad:
    • /32 configuró en la interfaz del túnel
    • ruta de /24 referida al ACL
    crypto ikev2 authorization policy default
    route set interface
    route set access-list Net-List
  3. En el Izquierdo-router, configure de nuevo el perfil IKEv2 para referirse a la directiva de la autorización cuando se utilizan las claves previamente compartidas:
    crypto ikev2 profile default
    aaa authorization group psk list default default
  4. En el Derecho-router, relance los pasos 1 y 2 y ajuste el perfil IKEv2 para referirse a la directiva de la autorización cuando se utilizan los Certificados:
    ip access-list standard Net-List
    permit 192.168.200.0 0.0.0.255

    crypto ikev2 authorization policy default
    route set interface
    route set access-list Net-List

    crypto ikev2 profile default
    aaa authorization group cert list default default
  5. Utilice los comandos shut and no shut en la interfaz del túnel para forzar nuevo IKEv2 SA para ser construido.

  6. Verifique que las rutas IKEv2 estén intercambiadas. Vea las “subredes remotas” en esta salida de muestra:
    Right-Router#show crypto ikev2 sa detailed 
    IPv4 Crypto IKEv2 SA

    Tunnel-id Local Remote fvrf/ivrf Status
    1 172.20.5.43/500 172.18.3.52/500 none/none READY
    Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth verify: RSA
    Life/Active Time: 86400/3165 sec
    CE id: 1043, Session-id: 22
    Status Description: Negotiation done
    Local spi: 3443E884EB151E8D Remote spi: 92779BC873F58132
    Local id: 172.20.5.43
    Remote id: hostname=R100.cisco.com,cn=R100.cisco.com
    Local req msg id: 0 Remote req msg id: 4
    Local next msg id: 0 Remote next msg id: 4
    Local req queued: 0 Remote req queued: 4
    Local window: 5 Remote window: 5
    DPD configured for 60 seconds, retry 2
    NAT-T is not detected
    Cisco Trust Security SGT is disabled Initiator of SA : No

    Remote subnets:
    10.1.12.100 255.255.255.255
    192.168.100.0 255.255.255.0

    IPv6 Crypto IKEv2 SA

Información Relacionada



Document ID: 115782