Seguridad y VPN : Negociación IPSec/Protocolos IKE

Configuración de IPSec entre dos routers y Cisco VPN Client 4.x

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (10 Mayo 2007) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Configuración
     Diagrama de la red
     Configuraciones
Verificación
     Cisco VPN 2611
     Cisco VPN 3640
     Verificación de los números de secuencia de correspondencia de criptografía
Resolución de problemas
     Comandos para resolución de problemas

Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se muestra cómo configurar IPSec entre dos routers Cisco y Cisco VPN Client 4.x. Las versiones 12.2(8)T y posteriores del software Cisco IOS® admiten conexiones desde Cisco VPN Client 3.x y posterior.

Consulte Configuración de un par LAN a LAN dinámico de router IPSec y clientes VPN para obtener más información sobre una situación en la que un extremo del túnel L2L asigna dinámicamente una dirección IP al otro.

Requisitos previos

Requisitos

Antes de utilizar esta configuración, asegúrese de cumplir con los siguientes requisitos:

  • Un agrupamiento de direcciones que se asignarán para IPSec

  • Un grupo con el nombre 3000clients y la clave previamente compartida cisco123 para clientes VPN

  • La autenticación de grupo y usuario se realiza localmente en el router para clientes VPN.

  • El parámetro no-xauth se utiliza en el comando ISAKMP key para el túnel LAN a LAN.

Componentes utilizados

La información de este documento se basa en estas versiones de software y hardware.

  • Routers que ejecutan la versión 12.2(8)T del software Cisco IOS.

    Nota: este documento ha sido probado recientemente con la versión 12.3(1) del software Cisco IOS. No se requiere ningún cambio.

  • Cisco VPN Client para Windows versión 4.x (Cisco VPN Client 3.x y cualquier versión posterior).

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

A continuación se muestra el resultado del comando show version en el router.

vpn2611#show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-JK9O3S-M), Version 12.2(8)T,
   RELEASE SOFTWARE (fc2)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Thu 14-Feb-02 16:50 by ccai
Image text-base: 0x80008070, data-base: 0x81816184

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

vpn2611 uptime is 1 hour, 15 minutes
System returned to ROM by reload
System image file is "flash:c2600-jk9o3s-mz.122-8.T"

cisco 2611 (MPC860) processor (revision 0x203)
   with 61440K/4096K bytes of memory.
Processor board ID JAD04370EEG (2285146560)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
2 Ethernet/IEEE 802.3 interface(s)
1 Serial network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Configuración

En esta sección se presenta la información que se utiliza para configurar las características descritas en este documento.

Diagrama de la red

Este documento utiliza la siguiente configuración de red.

ipsecrouter_vpn-h.gif

Nota: en este ejemplo, las direcciones IP no son enrutables en Internet global porque son direcciones IP privadas en una red de laboratorio.

Configuraciones

Configuración del router Cisco 2611

Router Cisco 2611

vpn2611#show run
Building configuration...

Current configuration : 2265 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn2611
!

                     !--- Habilite AAA para la autenticación de usuario
!--- y la autorización de grupo.
                  

                  aaa new-model
!
!

                     !--- Para habilitar X-Auth para la autenticación de usuario,
!--- habilite los comandos aaa authentication.
                  

                  aaa authentication login userauthen local


                  
                     !--- Para habilitar la autorización de grupo, habilite
!--- los comandos aaa authorization.
                  

                  aaa authorization network groupauthor local
aaa session-id common
!


                     !--- Para la autenticación local del usuario IPSec,
!--- cree el usuario con una contraseña.
                  

                  username cisco password 0 cisco
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!


                     !--- Cree una política del Protocolo de asociación de
!--- seguridad en Internet y administración de claves (ISAKMP)
!--- para negociaciones de fase 1 para clientes VPN 3.x.
                  

                  crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!


                     !--- Cree una política ISAKMP para negociaciones de fase 1
!--- para túneles LAN a LAN.
                  

                  crypto isakmp policy 10
hash md5
authentication pre-share


                  
                     !--- Especifique la clave previamente compartida para el túnel LAN a LAN.
!--- Asegúrese de utilizar el parámetro
!--- no-xauth con su clave ISAKMP.
                  

                  crypto isakmp key cisco123 address 172.18.124.199 no-xauth
!


                     !--- Cree un grupo que sirva para
!--- especificar las direcciones de servidores WINS, DNS
!--- hacia el cliente, junto con la clave previamente compartida
!--- para la autenticación.
                  

                  crypto isakmp client configuration group 3000client
key cisco123
dns 10.10.10.10
wins 10.10.10.20
domain cisco.com
pool ippool
!
!


                     !--- Cree la política de la fase 2 para el cifrado de datos real.
                  

                  crypto ipsec transform-set myset esp-3des esp-md5-hmac
!


                     !--- Cree una correspondencia dinámica y
!--- aplique el conjunto de transformación creado arriba.
                  

                  crypto dynamic-map dynmap 10
set transform-set myset
!
!


                     !--- Cree la correspondencia de criptografía real
!--- y aplique las listas AAA creadas
!--- anteriormente. También cree una nueva instancia para su
!--- túnel LAN a LAN. Especifique la dirección IP de par,
!--- un conjunto de transformación y una lista de control de acceso (ACL)
!--- para esta instancia.
                  

                  crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp
set peer 172.18.124.199
set transform-set myset
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
fax interface-type fax-mail
mta receive maximum-recipients 0
!
!


                     !--- Aplique crypto map a la interfaz externa.
                  

                  interface Ethernet0/0

                  ip address 172.18.124.159 255.255.255.0
half-duplex
crypto map clientmap
!
interface Serial0/0
no ip address
shutdown
!
interface Ethernet0/1
ip address 10.10.10.1 255.255.255.0
no keepalive
half-duplex
!
!

                     !--- Cree un agrupamiento de direcciones para ser
!--- asignado a clientes VPN.
                  

                  ip local pool ippool 14.1.1.100 14.1.1.200
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip http server
ip pim bidir-enable
!
!


                     !--- Cree una ACL para el tráfico
!--- que será cifrado. En este ejemplo,
!--- el tráfico de 10.10.10.0/24 a 10.10.20.0/24
!--- está cifrado.
                  

                  access-list 100 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
!
!
snmp-server community foobar RO
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
!
!
end

Configuración del router 3640

Router Cisco 3640

vpn3640#show run
Building configuration...

Current configuration : 1287 bytes
!
! Last configuration change at 13:47:37 UTC Wed Mar 6 2002
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3640
!
!
ip subnet-zero
ip cef
!

                     !--- Cree una política ISAKMP para negociaciones de fase 1
!--- para túneles LAN a LAN.
                  

                  crypto isakmp policy 10
hash md5
authentication pre-share


                  
                     !--- Especifique la clave previamente compartida para el túnel LAN a
!--- LAN. No necesita agregar el parámetro
!--- X-Auth, ya que este
!--- router no realiza la autenticación IPSec del cliente Cisco
!--- Unity.
                  

                  crypto isakmp key cisco123 address 172.18.124.159
!
!


                     !--- Cree la política de la fase 2 para el cifrado de datos real.
                  

                  crypto ipsec transform-set myset esp-3des esp-md5-hmac
!


                     !-- Cree la correspondencia de criptografía real. Especifique
!--- la dirección IP de par, el conjunto de
!--- transformación y una ACL para esta instancia.
                  

                  crypto map mymap 10 ipsec-isakmp
set peer 172.18.124.159
set transform-set myset
match address 100
!
call RSVP-sync
!
!
!


                     !--- Aplique la correspondencia de criptografía en la interfaz externa.
                  

                  interface Ethernet0/0
ip address 172.18.124.199 255.255.255.0
half-duplex
crypto map mymap
!
interface Ethernet0/1
ip address 10.10.20.1 255.255.255.0
half-duplex
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip http server
ip pim bidir-enable
!


                     !--- Cree una ACL para el tráfico
!--- que será cifrado. En este ejemplo,
!--- el tráfico de 10.10.20.0/24 a 10.10.10.0/24
!--- está cifrado.
                  

                  access-list 100 permit ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
snmp-server community foobar RO
!
dial-peer cor custom
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end

Configuración del cliente VPN 4.x

Siga estos pasos para configurar Cisco VPN Client 4.x.

  1. Ejecute el cliente VPN y, a continuación, haga clic en New para crear una conexión nueva.

    ipsecrouter_vpn-a.gif

  2. Introduzca la información necesaria y haga clic en Save al finalizar.

    ipsecrouter_vpn-b.gif

  3. Haga clic con el botón derecho del ratón en la entrada de conexión recién creada y seleccione Connect para conectarse al router.

    ipsecrouter_vpn-f.gif

  4. Durante las negociaciones IPSec, se le solicitará un nombre de usuario y una contraseña.

    ipsecrouter_vpn-g.gif

  5. La ventana muestra los siguientes mensajes "Negotiating security profiles" y "Your link is now secure".

Verificación

En esta sección encontrará información que le ayudará a confirmar que la configuración funciona adecuadamente.

Algunos comandos show son compatibles con la herramienta intérprete de resultados ( sólo para clientes registrados) , que permite ver un análisis del resultado del comando show.

Cisco VPN 2611

vpn2611#show crypto isakmp sa
dst src state conn-id slot
172.18.124.159 172.18.124.199 QM_IDLE 5 0

            
               !--- Para el par de túnel LAN a LAN.
            

            172.18.124.159 64.102.55.142 QM_IDLE 6 0

            
               !--- Para el par de túnel de cliente Cisco Unity.
            


vpn2611#show crypto ipsec sa


            interface: Ethernet0/0:
Crypto map tag: clientmap, local addr. 172.18.124.159

protected vrf:
local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.199:500

            
               !--- Para el par de túnel LAN a LAN.
            
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.:
172.18.124.199
path mtu 1500, media mtu 1500
current outbound spi: 892741BC

inbound esp sas:
spi: 0x7B7B2015(2071666709)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/1182)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound ESP sas:
spi: 0x892741BC(2301051324)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/1182)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:

protected vrf:
local ident (addr/mask/prot/port): (172.18.124.159/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (14.1.1.106/255.255.255.255/0/0)
current_peer: 64.102.55.142:500

            
               !--- Para el par de túnel de cliente Cisco Unity.
            
PERMIT, flags={}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.:
64.102.55.142
path mtu 1500, media mtu 1500
current outbound spi: 81F39EFA

inbound ESP sas:
spi: 0xC4483102(3293065474)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2002, flow_id: 3, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3484)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound PCP sas:

outbound ESP sas:
spi: 0x81F39EFA(2180226810)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2003, flow_id: 4, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3484)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:

protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (14.1.1.106/255.255.255.255/0/0)
current_peer: 64.102.55.142:500

            
               !--- Para el par de túnel de cliente Cisco Unity.
            
PERMIT, flags={}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 20, #pkts decrypt: 20, #pkts verify 20
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.:
64.102.55.142
path mtu 1500, media mtu 1500
current outbound spi: B7F84138

inbound ESP sas:
spi: 0x5209917C(1376358780)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2004, flow_id: 5, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607998/3474)
IV size: 8 bytes
replay detection support: Y
spi: 0xDE6C99C0(3731659200)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2006, flow_id: 7, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607998/3493)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound PCP sas:

outbound ESP sas:
spi: 0x58886878(1485334648)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2005, flow_id: 6, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3474)
IV size: 8 bytes
replay detection support: Y
spi: 0xB7F84138(3086500152)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2007, flow_id: 8, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/3486)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:



vpn2611#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
5 Ethernet0/0 172.18.124.159 set HMAC_MD5+DES_56_CB 0 0
6 Ethernet0/0 172.18.124.159 set HMAC_SHA+3DES_56_C 0 0
2000 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 4
2001 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 4 0
2002 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2003 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2004 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 9
2005 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2006 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 79
2007 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 4 0
vpn2611#
         

Cisco VPN 3640

vpn3640#show crypto isakmp sa
 DST src state conn-id slot
 172.18.124.159 172.18.124.199 QM_IDLE 4 0

            
                !--- Para el par de túnel LAN a LAN.
            

 vpn3640#show crypto ipsec sa


            interface: Ethernet0/0:
 Crypto map tag: mymap, local addr. 172.18.124.199

protected vrf:
 local ident (addr/mask/prot/port): (10.10.20.0/255.255.255.0/0/0)
 remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
 current_peer: 172.18.124.159:500

            
               !--- Para el par de túnel LAN a LAN.
            
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
 #send errors 11, #recv errors 0

 local crypto endpt.: 172.18.124.199, remote crypto endpt.: 172.18.124.159
 path mtu 1500, media mtu 1500
 current outbound spi: 7B7B2015

 inbound ESP sas:
 spi: 0x892741BC(2301051324)
 transform: esp-3des esp-md5-hmac ,
 in use settings ={Tunnel, }
 slot: 0, conn id: 940, flow_id: 1, crypto map: mymap
 sa timing: remaining key lifetime (k/sec): (4607998/1237)
 IV size: 8 bytes
 replay detection support: Y

 inbound ah sas:

 inbound PCP sas:

 outbound ESP sas:
 spi: 0x7B7B2015(2071666709)
 transform: esp-3des esp-md5-hmac ,
 in use settings ={Tunnel, }
 slot: 0, conn id: 941, flow_id: 2, crypto map: mymap
 sa timing: remaining key lifetime (k/sec): (4607999/1237)
 IV size: 8 bytes
 replay detection support: Y

 outbound ah sas:

 outbound PCP sas:


 vpn3640# show crypto engine connection active

 ID Interface IP-Address State Algorithm Encrypt Decrypt
 4 <none> <none> set HMAC_MD5+DES_56_CB 0 0

            940 Ethernet0/0 172.18.124.199 set HMAC_MD5+3DES_56_C 0 4
 941 Ethernet0/0 172.18.124.199 set HMAC_MD5+3DES_56_C 4 0
         

Verificación de los números de secuencia de correspondencia de criptografía

Si se configuran pares estáticos y dinámicos en la misma correspondencia de criptografía, el orden de las entradas de la correspondencia de criptografía es muy importante. El número de secuencia de la entrada de la correspondencia de criptografía dinámica debe ser mayor que todas las entradas estáticas. Si los números de las entradas estáticas son mayores que el de la dinámica, las conexiones con esos pares fallan.

A continuación se muestra un ejemplo de correspondencia de criptografía correctamente numerada que contiene una entrada estática y una entrada dinámica. Tenga en cuenta que la entrada dinámica tiene el número de secuencia mayor y que se ha dejado espacio para agregar entradas estáticas adicionales:

crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap 1 ipsec-isakmp
set peer 172.18.124.199
set transform-set myset
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap 
         

Resolución de problemas

En esta sección encontrará información que ayudará en la resolución de problemas de la configuración.

Comandos para resolución de problemas

Algunos comandos show son compatibles con la herramienta intérprete de resultados ( sólo para clientes registrados) , que permite ver un análisis del resultado del comando show.

Nota: consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de ejecutar los comandos debug.

  • debug crypto ipsec: muestra eventos IPSec. La forma no de este comando inhabilita el resultado de la depuración.

  • debug crypto isakmp: muestra mensajes sobre eventos IKE. La forma no de este comando inhabilita el resultado de la depuración.

  • debug crypto engine: muestra información que pertenece al motor de criptografía, como cuando el software Cisco IOS realiza operaciones de cifrado y descifrado.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 20982