Seguridad y VPN : Negociación IPSec/Protocolos IKE

Configuración de IPSec de router a router con sobrecarga de NAT y Cisco Secure VPN Client

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (1 Mayo 2007) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Configuración
     Diagrama de la red
     Configuraciones
Verificación
Resolución de problemas
     Comandos para resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En esta configuración de ejemplo se cifra tráfico procedente de la red que se encuentra detrás de Light a la red que se encuentra detrás de House (red de 192.168.100.x a 192.168.200.x). También se efectúa una sobrecarga de traducción de direcciones de red (NAT). Las conexiones de VPN Client cifradas se permiten en Light con comodín, claves previamente compartidas y configuración de modo. El tráfico a Internet se traduce pero no se cifra.

Requisitos previos

Requisitos

No hay requisitos específicos para este documento.

Componentes utilizados

La información de este documento se basa en estas versiones de software y hardware:

  • Cisco IOS® versiones 12.2.7 y 12.2.8T

  • Cisco Secure VPN Client 1.1 (mostrado como 2.1.12 en el menú Help > About del cliente de IRE

  • Routers Cisco 3600

    Nota: si utiliza los routers de la serie Cisco 2600 para este tipo de escenario VPN, los routers se deben instalar con imágenes IOS crypto IPsec VPN.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Configuración

En esta sección se presenta la información para configurar las funciones descritas en este documento.

Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para buscar más información sobre los comandos utilizados en este documento.

Diagrama de la red

Este documento utiliza esta configuración de red:

ios_D-a.gif

Configuraciones

Este documento usa estas configuraciones.

Configuración de Light

 Current configuration : 2047 bytes
 !
 version 12.2
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname Light
 !
 boot system flash:c3660-ik9o3s-mz.122-8T
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 ip ssh time-out 120
 ip ssh authentication-retries 3
 !

                     !--- Política del Protocolo de asociación de seguridad en
!--- Internet y administración de claves (ISAKMP) de IPSec.
                  

                  crypto isakmp policy 5
  hash md5
  authentication pre-share

                  
                     !--- Clave ISAKMP para túnel de LAN a LAN estático
!--- sin autenticación extendida (xauth).
                  

                  crypto isakmp key cisco123 address 10.64.10.45 no-xauth

                  
                     !--- Clave ISAKMP para VPN Client dinámico.
                  

                  crypto isakmp key 123cisco address 0.0.0.0 0.0.0.0

                  
                     !--- Asigne la dirección IP a VPN Client.
                  

                  crypto isakmp client configuration address-pool local test-pool
 !
 !
 !
 crypto ipsec transform-set testset esp-des esp-md5-hmac 
 !
 crypto dynamic-map test-dynamic 10
  set transform-set testset 
 !
 !

                     !---Negociación de configuración del modo VPN Client,
!--- como asignación de dirección IP y xauth.
                  

                  crypto map test client configuration address initiate
 crypto map test client configuration address respond

                  
                     !---Correspondencia de criptografía estática para el túnel de LAN a LAN.
                  

                  crypto map test 5 ipsec-isakmp
  set peer 10.64.10.45
  set transform-set testset 

                  
                     !--- Incluya el tráfico de red privada a red privada
!--- en el proceso de cifrado.
                  

                  match address 115

                  
                     !---Correspondencia de criptografía dinámica para VPN Client.
                  

                  crypto map test 10 ipsec-isakmp dynamic test-dynamic 
 !


 call rsvp-sync
 !
 !
 !
 !
 !
 fax interface-type modem
 mta receive maximum-recipients 0
 !
 controller E1 2/0
 !
 !
 !
 interface FastEthernet0/0
  ip address 10.64.10.44 255.255.255.224
  ip nat outside
  duplex auto
  speed auto
  crypto map test
 !
 interface FastEthernet0/1
  ip address 192.168.100.1 255.255.255.0
  ip nat inside
  duplex auto
  speed auto
 !
 interface BRI4/0
  no ip address
  shutdown
 !
 interface BRI4/1
  no ip address
  shutdown
 !
 interface BRI4/2
  no ip address
  shutdown
 !
 interface BRI4/3
  no ip address
  shutdown
 !
 
                     !--- Defina la agrupación de direcciones IP para VPN Client.
                  

                  ip local pool test-pool 192.168.1.1 192.168.1.254

                  
                     !--- Excluya el tráfico de la red privada y VPN Client
!--- del proceso NAT.
                  

                  ip nat inside source route-map nonat interface FastEthernet0/0 overload 
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.64.10.33
 ip http server
 ip pim bidir-enable
 !

                     !--- Excluya el tráfico de la red privada y VPN Client
!--- del proceso NAT.
                  

                  access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
 access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
 access-list 110 permit ip 192.168.100.0 0.0.0.255 any

                  
                     !--- Incluya el tráfico de red privada a red privada
!--- en el proceso de cifrado.
                  

                  access-list 115 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
 !

                     !--- Excluya el tráfico de la red privada y VPN Client
!--- del proceso NAT.
                  

                  route-map nonat permit 10
  match ip address 110
 !
 !
 dial-peer cor custom
 !
 !
 !
 !
 !
 line con 0
 line 97 108
 line aux 0
 line vty 0 4
 !
 end

Configuración de House

Current configuration : 1689 bytes
 !
 version 12.2
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname house
 !
 boot system flash:c3660-jk8o3s-mz.122-7.bin
 !
 ip subnet-zero
 !
 !
 no ip domain-lookup
 !
 ip audit notify log
 ip audit po max-events 100
 ip ssh time-out 120
 ip ssh authentication-retries 3
 !

                     !--- Política ISAKMP de IPSec.
                  

                  crypto isakmp policy 5
  hash md5
  authentication pre-share

                  
                     !--- Clave ISAKMP para túnel de LAN a LAN estático sin autenticación xauth.
                  

                  crypto isakmp key cisco123 address 10.64.10.44 no-xauth
 !
 !
 crypto ipsec transform-set testset esp-des esp-md5-hmac 
 !

                     !---Correspondencia de criptografía estática para el túnel de LAN a LAN.
                  

                  crypto map test 5 ipsec-isakmp
  set peer 10.64.10.44
  set transform-set testset 

                  
                     !--- Incluya el tráfico de red privada a red privada
!--- en el proceso de cifrado.
                  

                   match address 115 
 !
 call rsvp-sync
 cns event-service server
 !
 !
 !
 !
 !
 fax interface-type modem
 mta receive maximum-recipients 0
 !
 !
 !
 interface FastEthernet0/0
  ip address 10.64.10.45 255.255.255.224
  ip nat outside
  duplex auto
  speed auto
  crypto map test
 !
 interface FastEthernet0/1
  ip address 192.168.200.1 255.255.255.0
  ip nat inside
  duplex auto
  speed auto
 !
 interface BRI2/0
  no ip address
  shutdown
 !
 interface BRI2/1
  no ip address
  shutdown
 !
 interface BRI2/2
  no ip address
  shutdown
 !
 interface BRI2/3
  no ip address
  shutdown
 !
 interface FastEthernet4/0
  no ip address
  shutdown
  duplex auto
  speed auto
 !
 
                     !--- Excluya el tráfico de red privada
!--- del proceso NAT dinámico (asociación dinámica a una agrupación).
                  

                  ip nat inside source route-map nonat interface FastEthernet0/0 overload
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.64.10.33
 no ip http server
 ip pim bidir-enable
 !
 
                     !--- Excluya el tráfico de red privada del proceso de NAT.
                  

                  access-list 110 deny ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
 access-list 110 permit ip 192.168.200.0 0.0.0.255 any

                  
                     !--- Incluya el tráfico de red privada a red privada
!--- en el proceso de cifrado.
                  

                  access-list 115 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255

                  
                     !--- Excluya el tráfico de red privada del proceso de NAT.
                  

                  route-map nonat permit 10
  match ip address 110
 !
 !
 !
 dial-peer cor custom
 !
 !
 !
 !
 !
 line con 0
 line aux 0
 line vty 0 4
  login
 !
 end

Configuración de cliente VPN

Network Security policy:
       1- TOLIGHT
       My Identity
       Connection security: Secure
       Remote Party Identity and addressing
       ID Type: IP subnet
       192.168.100.0
       255.255.255.0
       Port all Protocol all

  Connect using secure tunnel
         ID Type: IP address
         10.64.10.44


  Pre-shared Key=123cisco


  Authentication (Phase 1)
         Proposal 1
         Authentication method: pre-shared key
         Encryp Alg: DES
         Hash Alg: MD5
         SA life: Unspecified
         Key Group: DH 1


  Key exchange (Phase 2)
         Proposal 1
         Encapsulation ESP
         Encrypt Alg: DES
         Hash Alg: MD5
         Encap: tunnel
         SA life: Unspecified
         no AH


  2- Other Connections
         Connection security: Non-secure
         Local Network Interface
         Name: Any
         IP Addr: Any
         Port: All

Verificación

Utilice esta sección para confirmar que la configuración funciona de manera adecuada.

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

  • show crypto ipsec sa: muestra las asociaciones de seguridad (SA) de la fase 2.

  • show crypto isakmp sa: muestra las SA de la fase 1.

Resolución de problemas

Utilice esta sección para solucionar los problemas de configuración.

Comandos para resolución de problemas

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

Nota: consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de utilizar los comandos debug.

  • debug crypto ipsec: muestra las negociaciones IPSec de la fase 2.

  • debug crypto isakmp: muestra las negociaciones ISAKMP de la fase 1.

  • debug crypto engine: muestra el tráfico que está cifrado.

  • clear crypto isakmp: elimina las SA relacionadas con la fase 1.

  • clear crypto sa: elimina las SA relacionadas con la fase 2.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 14132