Безопасность и VPN : Протоколы IPSec Negotiation/IKE

Настройка маршрутизатора: Mode-config (конфигурация режима), Wild-card (подстановочные символы), Pre-shared Keys (предварительно распределяемые ключи), no NAT (без трансляции сетевых адресов)

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В этом примере конфигурации маршрутизатор настроен для конфигурации режима (получите IP-адрес от пула), подстановочный знак, предварительные общие ключи (все ПК - клиенты совместно используют общий ключ), без Технологии NAT. Сторонний пользователь может ввести сеть и назначать внутренний IP-адрес от пула. Пользователям будет казаться, что они находятся в сети. Устройства в сети установлены с маршрутами к немаршрутизуемому 10.2.1.x пул.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco программное обеспечение IOS� 12.0.7T или позже

  • Оборудование, поддерживающее данные редакции ПО

  • Cisco Secure VPN Client 1.0/10A или 1.1 (показывается, соответственно, как 2.0.7/E или 2.1.12, см. Help > About [Справка > О программе])

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Дополнительные сведения о командах, используемых в данном документе, можно получить с помощью средства поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/14135/ipsec_c.gif

Конфигурации

Эти конфигурации используются в данном документе:

  • VPN-клиент

  • Маршрутизатор

VPN-клиент
Network Security policy: 

1- Myconn 
        My Identity = ip address
                Connection security: Secure 
                Remote Party Identity and addressing 
                        ID Type: IP subnet 
                        88.88.88.0
                        Port all Protocol all 

                Connect using secure tunnel 
                        ID Type: IP address 
                        99.99.99.1
                        Pre-shared key = cisco123

        Authentication (Phase 1) 
        Proposal 1 
                Authentication method: pre-shared key 
                Encryp Alg: DES 
                Hash Alg: MD5 
                SA life: Unspecified
                Key Group: DH 1 

        Key exchange (Phase 2) 
        Proposal 1 
                Encapsulation ESP 
                Encrypt Alg: DES 
                Hash Alg: MD5 
                Encap: tunnel 
                SA life: Unspecified 
                no AH 

2- Other Connections 
            Connection security: Non-secure 
            Local Network Interface 
                Name: Any 
                IP Addr: Any 
                Port: All 

Маршрутизатор
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname router
!
enable password ww
!
username cisco password 0 cisco
!
clock timezone EST -5
ip subnet-zero
cns event-service server
!

crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0        
crypto isakmp client configuration address-pool local ourpool
!
crypto ipsec transform-set trans1 esp-des esp-md5-hmac 
!
crypto dynamic-map dynmap 10
 set transform-set trans1 
crypto map intmap client configuration address initiate
crypto map intmap client configuration address respond
crypto map intmap 10 ipsec-isakmp dynamic dynmap
!
interface Ethernet0
 
 ip address 99.99.99.1 255.255.255.0
 no ip directed-broadcast
 no ip route-cache
 no ip mroute-cache
 
 crypto map intmap
!
interface Ethernet1
 ip address 88.88.88.1 255.255.255.0
 no ip directed-broadcast
!

ip local pool ourpool 10.2.1.1 10.2.1.254
ip classless
no ip http server
!
line con 0
 exec-timeout 0 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

Проверка.

В данном разделе содержатся сведения о проверке работы конфигурации.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

  • show crypto engine connections active – отображает зашифрованные и расшифрованные пакеты.

  • show crypto ipsec sa - вывод связей безопасности фазы 2.

  • команда show crypto isakmp sa †отображает сопоставления безопасности, соответствующие первому этапу.

Эти отладки должны работать на обоих Маршрутизаторах IPSec (узлы). Удаление ассоциаций безопасности должно быть выполнено на обоих соединениях.

  • команда debug crypto ipsec отображает согласование IPSec на втором этапе.

  • debug crypto isakmp Isakmp - согласование фазы 1.

  • "debug crypto engine" - отображается зашифрованный трафик.

  • {\f3 clear crypto isakmp}–{\f3 удаляет ассоциации безопасности, соответствующие первому этапу.}

  • команда "clear crypto sa вЂ" удаляет сопоставления безопасности (SA), соответствующие второму этапу.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 14135