Безопасность и VPN : Протоколы IPSec Negotiation/IKE

Настройка IPSec между системой Microsoft Windows 2000 Server и устройством Cisco

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Cisco объявил о конце продаж для концентраторов Cisco VPN серии 5000. Для получения дополнительных сведений см. уведомление End-of-Sales.


Содержание


Введение

Этот документ демонстрирует формирование туннеля IPSec с предварительными общими ключами для подключения к двум частным сетям: частной сети (192.168.l. X) в устройства Сisco и частной сети (10.32.50. X) в Microsoft 2000 Server. Мы полагаем, что трафик из устройства Cisco и из 2000 Server в Интернет (представленный здесь сетями 172.18.124.X) идет до начала этой конфигурации.

Подробные сведения о настройке можно найти на сервере Windows 2000 server на веб-узле компании Майкрософт: http://support.microsoft.com/support/kb/articles/Q252/7/35. ASP leavingcisco.com

Перед началом работы

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Предварительные условия

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

При разработке и тестировании этих конфигураций использовались следующие версии программного и аппаратного обеспечения.

  • Сервер Microsoft Windows 2000 5.00.2195

  • Маршрутизатор Cisco 3640 с Cisco Выпуск ПО IOS� c3640-ik2o3s-mz.121-5. T. bin

  • Брандмауэр Cisco Secure PIX с ПО PIX выпуска 5.2.1

  • Концентратор Cisco VPN 3000 с программным обеспечением VPN 3000 Concentrator версии 2.5.2.F

  • Концентратор Cisco VPN 5000 с программным обеспечением для концентратора VPN 5000 версии 5.2.19

Сведения, представленные в этом документе, были получены от устройств в специфической лабораторной среде. Все устройства, используемые в этом документе, были запущены с чистой конфигурацией (конфигурацией по умолчанию). При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Схема сети

В данном документе используется сеть, изображенная на следующей схеме.

/image/gif/paws/14121/2000-01.gif

Настройка сервера Microsoft Windows 2000 для работы с устройствами Cisco

Выполненные задачи

На схеме показаны задачи, которые выполняются в конфигурации сервера Microsoft Windows 2000:

/image/gif/paws/14121/2000-flow.gif

Пошаговые инструкции

Как только вы начали следовать инструкциям по настройке на сайте Microsoft, используйте следующие шаги для проверки того, что ваша конфигурация может работать с устройствами Cisco. leavingcisco.com Комментарии и изменения указаны со снимками екрана.

  1. Нажмите кнопку Start > Run > secpol.msc в Microsoft Windows 2000 Server и проверьте данные на следующих экранах.

    После того, как инструкции на сайте Веб-узла Microsoft использовались для настройки сервера 2000 года, придерживающиеся сведения о туннеле были отображены.

    Примечание: Пример правила назван «to_cisco».

    /image/gif/paws/14121/2000-02.gif

  2. Правило данного примера содержит два фильтра: Microsoft-Cisco и Cisco-Microsoft.

    /image/gif/paws/14121/2000-03.gif

  3. Выберите Cisco-Microsoft IP Security Rule, затем нажмите Edit для просмотра Списков Фильтра IP.

    /image/gif/paws/14121/2000-03a.gif

  4. На вкладке "Общее > Расширенное" для этого правила указано время существования IKE (480 минут = 28800 секунд):

    /image/gif/paws/14121/2000-04.gif

  5. На вкладке правил General > Advanced > Methods (Общие > Дополнительно > Методы) имеется метод IKE-шифрования (DES), IKE-хеширования (SHA1) и группировки Диффи-Хермана (Low(1)):

    /image/gif/paws/14121/2000-05.gif

  6. Каждый фильтр имеет 5 вкладок:

    1. Способы проверки подлинности (Предварительно разрешенные для общего доступа ключи для обмена ключами по Интернету [IKE]):

      /image/gif/paws/14121/2000-06.gif

    2. Тип соединения (LAN):

      /image/gif/paws/14121/2000-07.gif

    3. Действие фильтра (IPSec):

      /image/gif/paws/14121/2000-08.gif

      Выберите Filter Action > IPSec tunnel > Edit > Edit (Действие фильтрации > Туннель IPSec > Правка > Правка) и нажмите Custom (Заказной):

      2000-09.gif

      Выберите "Настройки" - "Преобразования IPSec и срок существования IPSec":

      2000-10.gif

    4. Список Фильтра IP - источник и сети назначения, которые будут зашифрованы:

      Для Cisco-Microsoft:

      2000-11.gif

      Для Microsoft-Cisco:

      2000-12.gif

    5. Параметр туннеля – одноранговое шифрование:

      Для Cisco-Microsoft:

      2000-13.gif

      Для Microsoft-Cisco:

      2000-14.gif

Конфигурация устройств Cisco

Настройте маршрутизатор Cisco, PIX и Концентраторы VPN как показано в примерах ниже.

Настройка маршрутизатора Cisco 3640

Маршрутизатор Cisco 3640
Current configuration : 1840 bytes
!
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname moss
!
logging rate-limit console 10 except errors
!
ip subnet-zero
!
no ip finger
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 1

!--- The following are IOS defaults so they do not appear:
!--- IKE encryption method

encryption des

!--- IKE hashing

hash sha

!--- Diffie-Hellman group

group 1

!--- Authentication method

authentication pre-share

!--- IKE lifetime

lifetime 28800

!--- encryption peer

crypto isakmp key cisco123 address 172.18.124.157
!

!--- The following is the IOS default so it does not appear:
!--- IPSec lifetime

crypto ipsec security-association lifetime seconds 3600
!

!--- IPSec transforms

crypto ipsec transform-set rtpset esp-des esp-md5-hmac 
!
crypto map rtp 1 ipsec-isakmp 

!--- Encryption peer

set peer 172.18.124.157
set transform-set rtpset 

!--- Source/Destination networks defined

match address 115
!
call rsvp-sync
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
half-duplex
!
interface Ethernet0/1
ip address 172.18.124.35 255.255.255.240
ip nat outside
half-duplex
crypto map rtp
!
ip nat pool INTERNET 172.18.124.35 172.18.124.35 netmask 255.255.255.240
ip nat inside source route-map nonat pool INTERNET
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.36
no ip http server
!
access-list 101 deny ip 192.168.1.0 0.0.0.255 10.32.50.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any

!--- Source/Destination networks defined

access-list 115 permit ip 192.168.1.0 0.0.0.255 10.32.50.0 0.0.0.255
access-list 115 deny ip 192.168.1.0 0.0.0.255 any
route-map nonat permit 10
match ip address 101
!
line con 0
transport input none
line 65 94
line aux 0
line vty 0 4
!
end

Настройка PIX

PIX
PIX Version 5.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
names

!--- Source/Destination networks defined

access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0 
access-list 115 deny ip 192.168.1.0 255.255.255.0 any 
pager lines 24
logging on
no logging timestamp
no logging standby
no logging console
no logging monitor
no logging buffered
no logging trap
no logging history
logging facility 20
logging queue 512
interface ethernet0 auto
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.35 255.255.255.240
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400

!--- Except Source/Destination from Network Address Translation (NAT):

nat (inside) 0 access-list 115
route outside 0.0.0.0 0.0.0.0 172.18.124.36 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat

!--- IPSec transforms

crypto ipsec transform-set myset esp-des esp-md5-hmac 

!--- IPSec lifetime

crypto ipsec security-association lifetime seconds 3600
crypto map rtpmap 10 ipsec-isakmp

!--- Source/Destination networks

crypto map rtpmap 10 match address 115

!--- Encryption peer

crypto map rtpmap 10 set peer 172.18.124.157 
crypto map rtpmap 10 set transform-set myset
crypto map rtpmap interface outside
isakmp enable outside

!--- Encryption peer

isakmp key ******** address 172.18.124.157 netmask 255.255.255.240 
isakmp identity address

!--- Authentication method

isakmp policy 10 authentication pre-share

!--- IKE encryption method

isakmp policy 10 encryption des

!--- IKE hashing

isakmp policy 10 hash sha

!--- Diffie-Hellman group

isakmp policy 10 group 1

!--- IKE lifetime

isakmp policy 10 lifetime 28800
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:c237ed11307abea7b530bbd0c2b2ec08
: end

Настройка концентратора VPN 3000

Используйте опции меню и параметры, которые, как показывают ниже, настраивали Концентратор VPN, как необходимый.

  • Чтобы добавить предложение IKE, выберите Configuration > System > Tunneling Protocols > IPSec > IKE Proposals > Add a proposal.

    Proposal Name = DES-SHA
    
    !--- Authentication method
    
    Authentication Mode = Preshared Keys
    
    !--- IKE hashing
    
    Authentication Algorithm = SHA/HMAC-160
    
    !--- IKE encryption method
    
    Encryption Algorithm = DES-56
    
    !--- Diffie-Hellman group
    
    Diffie Hellman Group = Group 1 (768-bits) 
    Lifetime Measurement = Time
    Date Lifetime = 10000
    
    !--- IKE lifetime
    
    Time Lifetime = 28800 
    
  • Для определения туннеля между локальными сетями (LAN-to-LAN) выберите Configuration> System> Tunneling Protocols> IPSec LAN-to-LAN.

    Name = to_2000
    Interface = Ethernet 2 (Public) 172.18.124.35/28
    
    !--- Encryption peer
    
    Peer = 172.18.124.157
    
    !--- Authentication method
    
    Digital Certs = none (Use Pre-shared Keys)
    Pre-shared key = cisco123
    
    !--- IPSec transforms
    
    Authentication = ESP/MD5/HMAC-128
    Encryption = DES-56
    
    !--- Use the IKE proposal
    
    IKE Proposal = DES-SHA
    Autodiscovery = off
    
    !--- Source network defined
    
    Local Network 
    Network List = Use IP Address/Wildcard-mask below
    IP Address 192.168.1.0
    Wildcard Mask = 0.0.0.255
    
    !--- Destination network defined
    
    Remote Network
    Network List = Use IP Address/Wildcard-mask below
    IP Address 10.32.50.0 
    Wildcard Mask 0.0.0.255 
    
  • Для изменения сопоставления безопасности выберите Configuration> Policy Management> Traffic Management> Security Associations> Modify.

    SA Name = L2L-to_2000
    Inheritance = From Rule
    IPSec Parameters
    
    !--- IPSec transforms
    
    Authentication Algorithm = ESP/MD5/HMAC-128
    Encryption Algorithm = DES-56
    Encapsulation Mode = Tunnel
    PFS = Disabled
    Lifetime Measurement = Time
    Data Lifetime = 10000
    
    !--- IPSec lifetime
    
    Time Lifetime = 3600
    Ike Parameters
    
    !--- Encryption peer
    
    IKE Peer = 172.18.124.157
    Negotiation Mode = Main
    
    !--- Authentication method
    
    Digital Certificate = None (Use Preshared Keys)
    
    !--- Use the IKE proposal
    
    IKE Proposal DES-SHA 
    

Настройка концентратора VPN 5000

Концентратор VPN 5000
[ IP Ethernet 1:0 ]
Mode = Routed
SubnetMask = 255.255.255.240
IPAddress = 172.18.124.35

[ General ]
IPSecGateway = 172.18.124.36
DeviceName = "cisco"
EthernetAddress = 00:00:a5:f0:c8:00
DeviceType = VPN 5002/8 Concentrator
ConfiguredOn = Timeserver not configured
ConfiguredFrom = Command Line, from Console

[ IP Ethernet 0:0 ]
Mode = Routed
SubnetMask = 255.255.255.0
IPAddress = 192.168.1.1

[ Tunnel Partner VPN 1 ]

!--- Encryption peer

Partner = 172.18.124.157

!--- IPSec lifetime

KeyLifeSecs = 3600

BindTo = "ethernet 1:0"

!--- Authentication method

SharedKey = "cisco123"
KeyManage = Auto

!--- IPSec transforms

Transform = esp(md5,des)
Mode = Main

!--- Destination network defined

Peer = "10.32.50.0/24"

!--- Source network defined

LocalAccess = "192.168.1.0/24"

[ IP Static ]
10.32.50.0 255.255.255.0 VPN 1 1

[ IP VPN 1 ]
Mode = Routed
Numbered = Off

[ IKE Policy ]

!--- IKE hashing, encryption, Diffie-Hellman group

Protection = SHA_DES_G1

Configuration size is 1088 out of 65500 bytes.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Этот раздел предоставляет сведения, можно использовать для устранения проблем конфигураций.

Команды для устранения неполадок

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

Примечание: Прежде чем применять команды отладки, ознакомьтесь с разделом "Важные сведения о командах отладки".

Маршрутизатор Cisco 3640

  • debug crypto engine- Показывает сообщения отладки о ядрах шифрования, которые выполняют шифрование и расшифровку.

  • команда debug crypto isakmp отображает сообщения о событиях IKE.

  • команда debug crypto ipsec – отображает события IPSec.

  • show crypto isakmp sa—отображает все текущие сопоставления безопасности IKE (SA) на одноранговом узле.

  • show crypto ipsec sa – отображает текущие настройки связей безопасности.

  • clear crypto isakmp- (от режима конфигурации), очищает все соединения активного предложения IKE.

  • clear crypto sa - (из режима конфигурации) удаляет все сопоставления безопасности IPSec.

PIX

  • {\f3 debug crypto ipsec}–{\f3 показывает согласование IPSec на 2-м этапе.}

  • {\f3 debug crypto isakmp}–{\f3 показывает согласование протокола ISAKMP (протокол управления ассоциациями безопасности и ключами в Интернете) на 1-м этапе.}

  • debug crypto engine — отображает зашифрованный трафик.

  • {\f3 show crypto ipsec sa}–{\f3 показывает ассоциации безопасности, соответствующие второму этапу.}

  • {\f3 show crypto isakmp sa}–{\f3 показывает ассоциации безопасности, соответствующие первому этапу.}

  • clear crypto isakmp – (из режима конфигурации) Удаляет связи безопасности Internet Key Exchange (IKE).

  • clear crypto ipsec sa - (от режима конфигурации), очищает Сопоставления безопасности IPSec.

Концентратор VPN 3000

  • Начните отладку концентратора VPN 3000, выбрав пункт Configuration > System > Events > Classes (Severity to Log=1-13, Severity to Console=1-3): IKE, IKEDBG, IKEDECODE, IPSEC, IPSECDBG, IPSECDECODE

  • - Журнал событий может быть очищен с помощью выбора команды Monitoring > Event Log.

  • - Туннельный трафик между локальными сетями можно просмотреть в меню Monitoring > Sessions.

  • - Туннель может быть очищен на Administration> Administer Sessions>> Actions - Logout сеансов между локальными сетями.

Концентратор VPN 5000

  • команда vpn trace dump all – отображает сведения о всех соответствующих подключениях VPN, включая сведения о времени, числе VPN, фактический IP-адрес однорангового узла, какие сценарии запущены, а в случае ошибки – в какой подпрограмме и номере строки произошла ошибка.

  • команда show vpn statistics отображает следующие данные для пользователей, партнеров и итог для обеих групп. (Для модульных моделей показ включает раздел для каждого модульного слота. Активные – активные в данный момент подключения. In Negot — В настоящий момент подключения согласуются. High Water - наибольшее число одновременных активных подключений с момента последней перезагрузки. Промежуточная сумма – общее число успешных подключений с момента последней перезагрузки. Tunnel Starts – число запускаемых туннелей. Tunnel OK – Количество туннелей, в которых не было ошибок. Tunnel Error – число туннелей с ошибками.

  • show vpn statistics verbose: отображает статистику согласования ISAKMP и прочие статистические данные для активных соединений.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 14121