Безопасность и VPN : Протоколы IPSec Negotiation/IKE

Введение в безопасность IP (IPSec) шифрование

25 декабря 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (8 февраля 2010) | Английский (29 сентября 2014) | Отзыв


Содержание


Введение

Этот документ вводит IPsec пользователям в быстром, но кратком формате. Этот документ содержит базовые конфигурации Интернет-обмена ключа (IKE) с предобщими ключами, IKE с Органом сертификации и IPsec. Это не исчерпывающий документ. Но, этот документ действительно помогает вам понять задачи и заказ, в котором они достигнуты.

warning Предупреждение: существуют серьезные ограничения на экспорт сильной криптографии. Если вы нарушаете Федеральный закон США, то вы, не Cisco, считаетесь ответственными. При возникновении любых вопросов связанные с контролем над экспортом, пошлите и электронная почта в export@cisco.com.

Примечание: Передача и Передача не поддержаны на нормальном LAN к тоннелям LAN или на клиентах VPN, которые заканчиваются на любых устройствах. Передача может быть передана только на тоннелях GRE. Это поддержано только на маршрутизаторах а не на VPN 3000 Концентраторов или брандмауэров (ASA/PIX).

Предпосылки

Требования

Нет никаких определенных требований для этого документа.

Используемые компоненты

Этот документ не ограничен определенными версиями программного и аппаратного обеспечения.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Фон

IPsec является сетевым слоем следующего поколения crypto платформа для платформ безопасности Cisco (программное обеспечение Cisco IOS®, PIX, и т.д). Первоначально описанный в 1825 - 1829 RFCs, которые являются теперь устаревшими, IPsec в настоящее время обсуждается во многих документах, представленных Рабочей группой безопасности IP IETF leavingcisco.com. IPsec в настоящее время поддерживает версию 4 IP unicast пакеты. В более позднее время должна прибыть поддержка IPv6 и передачи.

IPsec имеет эти преимущества по текущей Cisco crypto предложения:

  1. Разных производителей — Так как структура IPsec стандартизирована, клиенты не заперты ни в какой определенный продукт продавца. IPsec найден на маршрутизаторах, брандмауэрах и рабочих столах клиента (Windows, Mac, и т.д).

  2. Масштабируемость — IPsec разработан с крупными предприятиями в памяти. Поэтому, это имеет встроенный ключевой менеджмент.

Примечание: В то время как несколько платформ Cisco могут использовать IPsec, этот документ приспособлен к программному обеспечению Cisco IOS.

Малопонятный жаргон Crypto (словарь)

Необходимо знать эти условия для понимания IPsec, и прочитать остальную часть этого документа. Когда вы будете видеть акронимы в других частях этого документа, обратитесь к этой странице для определений.

Продвинутый стандарт шифрования (AES) — AES был завершен, поскольку Федеральный стандарт обработки информации (FIPS) - одобрил шифровальный алгоритм, который будет использоваться, для защиты электронной передачи данных (FIPS PUB 197). AES основан на алгоритме Rijndael, который определяет, как использовать ключи с длиной 128, 192, или 256 битов для шифровки блоков с длиной 128, 192, или 256 битов. Все девять комбинаций ключевой длины и размера блока возможны.

Заголовок идентификации (AH) — Это - протокол безопасности, который обеспечивает идентификацию и дополнительные услуги по обнаружению переигровки. AH включен в данные, которые будут защищены, например, полная дейтаграмма IP. AH Может использоваться или отдельно или с Сервисным полезным грузом шифрования (ESP). Обратитесь к RFC 2402 leavingcisco.com.

Идентификация — Это - одна из функций структуры IPsec. Идентификация устанавливает целостность Datastream и гарантирует, что в это не вмешиваются в пути. Это также обеспечивает подтверждение о происхождении Datastream.

Орган сертификации (CA) — Это - стороннее предприятие с обязанностью выпустить и отменить свидетельства. Каждое устройство, которое имеет его собственное свидетельство и открытый ключ CA, может подтвердить подлинность любого устройства в пределах данной области CA. Этот термин также относится к программному обеспечению сервера, которое предоставляет эти услуги.

Свидетельство — шифровальным образом подписанный объект, который содержит идентичность и открытый ключ, связанный с этой идентичностью.

Классический crypto — Это - Cisco составляющий собственность механизм шифрования, используемый в Выпуске 11.2 программного обеспечения Cisco IOS. Классический crypto доступен в Выпуске 11.3 программного обеспечения Cisco IOS. Но, IPsec не является retrofitted к Выпуску 11.2 программного обеспечения Cisco IOS. Можно также видеть классика имени crypto называемый Encryption Express или Технологией шифрования Cisco (CET) в маркетинговой литературе.

Список аннулирования свидетельства (CRL) — Это - в цифровой форме подписанное сообщение, которое перечисляет все текущие, но отменяемые свидетельства, перечисленные данным Приблизительно, Это походит на книгу украденных чисел платежной карточки, которые позволяют магазинам отклонять плохие кредитные карты.

Карта Crypto — Это - предприятие конфигурации программного обеспечения Cisco IOS, которое выполняет две первичных функции. Во-первых, это выбирает потоки данных та обработка безопасности потребности. Во-вторых, это определяет политику для этих потоков и пэра crypto, в которого должно пойти движение.

Карта crypto применена к интерфейсу. Понятие карты crypto было введено в классическом crypto, но было расширено для IPsec.

Целостность данных — Это - механизмы целостности данных, с помощью секретного ключа, базируемый или открытый ключ базировал алгоритмы, которые позволяют получателю части защищенных данных, чтобы проверить, что данные не были изменены в пути.

Конфиденциальность данных — Это - метод, где защищенными данными управляют так, чтобы никакой нападавший не мог прочитать его. Это обычно обеспечивается шифрованием данных и ключами, которые только доступны участвующим сторонам в коммуникации.

Идентификация происхождения данных — Это - служба безопасности, где приемник может проверить, что защищенные данные, возможно, произошли только от отправителя. Это обслуживание требует обслуживания целостности данных плюс ключевой механизм распределения, где секретный ключ разделен только между отправителем и управляющим.

Стандарт шифрования данных (DES) — DES был издан в 1977 Национальным Бюро Стандартов и является секретной ключевой схемой шифрования, основанной на алгоритме Люцифера от IBM. Контраст DES является открытым ключом. Cisco использует DES в классическом crypto (40-битные и 56-битные ключевые длины), IPsec crypto (56-битный ключ), и на Брандмауэре PIX (56-битный ключ).

Diffie-Hellman — Это - метод учреждения общего ключа по опасной среде. Diffie-Hellman является компонентом Оукли, который определен в этом списке определения.

DSS — Алгоритм цифровой подписи, разработанный Национальным институтом стандартов и технологий США (NIST), основанный на криптографии открытого ключа. DSS не делает пользовательского дейтаграммного шифрования. DSS является компонентом в классическом crypto, а также Redcreek IPsec карта, но не в IPsec, осуществленном в программном обеспечении Cisco IOS.

Сервисный адаптер шифрования (ESA) — Это - базируемый акселератор шифрования аппаратных средств, который используется в:

  • Cisco 7204 и 7206 маршрутизаторов

  • Второе поколение Универсальные Processor2-40-е Интерфейса (VIP2-40-е) во всех серийных маршрутизаторах Cisco 7500

  • VIP2-40 в серийных маршрутизаторах Cisco 7000, которые имеют серийный Процессор (RSP7000) Выключателя маршрута Cisco 7000 и серийный Интерфейс шасси Cisco 7000 (RSP7000CI) установленные карты.

IPsec не использует ускорение ESA, но это действительно работает в коробке, которая имеет карту ESA на основе только для программного обеспечения.

Заключение в капсулу полезного груза безопасности (ESP) — протокол безопасности, который обеспечивает конфиденциальность данных и защиту с дополнительными услугами по идентификации и обнаружению переигровки. ESP полностью заключает в капсулу пользовательские данные. ESP может использоваться или отдельно или вместе с AH. Обратитесь к RFC 2406: Заключение в капсулу полезного груза безопасности (ESP) IP leavingcisco.com.

Мешанина — Это - один путь функция, которая берет входной сигнал произвольной длины и производит обзор фиксированной длины. Cisco использует и Безопасный алгоритм хеширования (SHA) и мешанины Дайджеста сообщения 5 (MD5) в рамках нашего внедрения структуры IPsec. См. определение для HMAC для получения дополнительной информации.

HMAC — Это - механизм для идентификации сообщения, которая использует шифровальные мешанины, такие как SHA и MD5. Обратитесь к RFC 2104 leavingcisco.com для исчерпывающего обсуждения HMAC.

Интернет-обмен ключа (IKE) — гибридный протокол, который использует часть Оукли и часть другого набора протокола под названием SKEME в интернет-Протоколе Сопоставления безопасности и Ключевого менеджмента (ISAKMP) структура. IKE используется для установления общей политики безопасности и заверенных ключей для услуг, таких как IPsec, которые требуют ключей. Прежде чем любое движение IPsec может быть передано, каждый маршрутизатор/брандмауэр/хозяин должен быть в состоянии проверить личность своего пэра. Вручную войдите в предварительно разделенные ключи в обоих хозяев обслуживанием CA или предстоящим безопасным DNS (DNSSec), чтобы сделать это. Это - протокол, раньше известный как ISAKMP/Oakley, и определено в RFC 2409: Интернет-обмен ключа (IKE) leavingcisco.com. Потенциальный пункт беспорядка - то, что акронимы, ISAKMP и IKE оба используются в программном обеспечении Cisco IOS для обращения к той же самой вещи. Эти два пункта несколько отличаются.

Интернет-Сопоставление безопасности и Протокол Ключевого менеджмента (ISAKMP) — Это - структура протокола, которая определяет механику внедрения ключевого обменного протокола и переговоров политики безопасности. ISAKMP определен в интернет-Протоколе Сопоставления безопасности и Ключевого менеджмента (ISAKMP).

IPsec Прозрачность NAT — особенность Прозрачности NAT IPsec вводит поддержку безопасности IP (IPsec) движение для путешествия через пункты Сетевого перевода адреса (NAT) или Перевода адреса пункта (PAT) в сети путем обращения ко многим известным несовместимостям между NAT и IPsec. Пересечение NAT является особенностью, которая является автомобилем, обнаруженным устройствами VPN. Нет никаких шагов конфигурации для маршрутизатора, который управляет Выпуском 12.2 (13) T программного обеспечения Cisco IOS и позже. Если и устройства VPN являются способным NAT-T, Пересечение NAT является обнаруженным автомобилем и автомобилем, о котором договариваются.

ISAKMP/Oakley — Посмотрите IKE.

Дайджест сообщения 5 (MD5) — Это - один путь алгоритм хеширования, который производит 128-битную мешанину. И MD5 и Безопасный алгоритм хеширования (SHA) являются изменениями на MD4, который разработан для укрепления безопасности этого алгоритма хеширования. SHA более безопасен, чем MD4 и MD5. Cisco использует мешанины для идентификации в пределах структуры IPsec.

Оукли — Это - ключевой обменный протокол, который определяет, как приобрести заверенный вводящий материал. Основной механизм для Оукли является ключевым обменным алгоритмом Diffie-Hellman. Можно найти стандарт в RFC 2412: Ключевой Протокол Определения OAKLEY leavingcisco.com.

Прекрасная передовая тайна (PFS) — PFS гарантирует, что данный ключ IPsec SA не был получен ни из какой другой тайны, как некоторые другие ключи. Другими словами, если кто-то ломает ключ, PFS гарантирует, что нападавший не в состоянии получить любой другой ключ. Если PFS не позволен, кто-то может потенциально сломать ключ тайны IKE SA, скопировать защищенные данные всего IPsec, и затем использовать знание тайны IKE SA, чтобы поставить под угрозу установку SAs IPsec этой IKE SA. С PFS, ломая IKE не предоставляет нападавшему непосредственный доступ к IPsec. Нападавший должен сломать каждую IPsec SA индивидуально. Cisco IOS внедрение IPsec использует группу 1 PFS (D-H 768 битов) по умолчанию.

Обнаружение переигровки — Это - служба безопасности, где приемник может отклонить старые или двойные пакеты для нанесения поражения нападений переигровки. Нападения переигровки полагаются на нападавшего, чтобы отослать более старые или двойные пакеты приемнику и приемнику, чтобы думать, что поддельное движение законно. Обнаружение переигровки сделано при помощи порядковых номеров, объединенных с идентификацией, и является стандартной функцией IPsec.

RSA — Это - криптографический алгоритм с открытым ключом, названный в честь его изобретателей, Ривеста, Шамира и Адлемена, с переменной ключевой длиной. Главная слабость RSA - то, что он значительно не спешит вычислять по сравнению с популярными алгоритмами с закрытым ключом, такими как DES. Внедрение Cisco IKE использует обмен Diffie-Hellman для получения секретных ключей. Этот обмен может быть заверен с RSA или предобщими ключами. С обменом Diffie-Hellman ключ DES никогда не пересекает сеть, даже в зашифрованном виде, который не имеет место с RSA, шифруют и подписывают технику. RSA не является общественным достоянием и должен лицензироваться от Защиты информации RSA.

Сопоставление безопасности (SA) — Это - случай политики безопасности, и включение материала относилось к потоку данных. И IKE и IPsec используют SAs, хотя SAs независим от друг друга. IPsec SAs однонаправлен и они уникальны в каждом протоколе безопасности. Ряд SAs необходим для защищенной трубы данных, один за направление за протокол. Например, если у вас есть труба, которая поддерживает ESP между пэрами, одна ESP SA требуется для каждого направления. SAs однозначно определен местом назначения (конечная точка IPsec) адрес, протокол безопасности (AH или ESP), и индекс параметра безопасности (SPI).

IKE договаривается и устанавливает SAs от имени IPsec. Пользователь может также установить SAs IPsec вручную.

IKE SA используется IKE только. В отличие от IPsec SA, это двунаправлено.

Безопасный алгоритм хеширования (SHA) — Это - один путь мешанина, выдвинутая NIST. SHA близко смоделирован после MD4 и производит 160-битный обзор. Поскольку SHA производит 160-битный обзор, это является более стойким к нападениям "в лоб", чем 128-битные мешанины (такие как MD5), но это медленнее.

Туннелирование разделения — Это - процесс разрешения отдаленного пользователя VPN для доступа к общедоступной сети, обычно Интернет, в то же самое время, когда пользователю разрешают получить доступ к ресурсам в отдаленном офисе. Этот метод сетевого доступа позволяет пользователю получить доступ к удаленным устройствам, таким как сетевой принтер и серверы в то же время, что и получить доступ к общедоступной сети (Интернет). Преимущество использования туннелирования разделения состоит в том, что это облегчает узкие места и сохраняет полосу пропускания, поскольку интернет-движение не должно проходить через сервер VPN. Недостаток этого метода - то, что он по существу отдает уязвимое VPN для нападения, поскольку это доступно через общественную, нережимную сеть.

Преобразуйте — A, преобразовывают, описывает протокол безопасности (AH или ESP) с его соответствующими алгоритмами. Например, ESP с алгоритмом шифра DES и HMAC-SHA для идентификации.

Способ транспортировки — Это - способ герметизации для AH/ESP. Способ транспортировки заключает в капсулу верхний полезный груз слоя, такой как протокол TCP (TCP) или Пользовательский дейтаграммный протокол (UDP), оригинальной дейтаграммы IP. Когда пэры являются конечными точками коммуникации, этот способ может только использоваться. Контраст Способа транспортировки является Туннельным Способом.

Туннельный Способ — Это - герметизация полной Дейтаграммы IP для IPsec. Туннельный Способ используется на заказе защитить дейтаграммы, поставленные от или предназначенный к системам non-IPsec, такой как в сценарии Виртуальной частной сети (VPN).

Формируйте ISAKMP

IKE существует только для установления SAs для IPsec. Прежде чем это сможет сделать это, IKE должен договориться о SA (ISAKMP SA) отношения с пэром. Так как IKE договаривается о его собственной политике, возможно формировать многократные программные заявления с различными заявлениями конфигурации, затем позволить двум хозяевам приходить к соглашению. ISAKMP ведет переговоры:

  • Алгоритм Шифрования — Это ограничено 56-битным DES только.

  • Алгоритм хеширования — MD5 или SHA

  • Идентификация — подписи RSA, RSA Зашифрованные данные случаи (случайные числа) или предварительно разделенные ключи

  • Целая жизнь SA — В секундах

В настоящее время существует два метода, используемые для формирования ISAKMP:

  1. Используйте предварительно разделенные ключи, которые просты формировать.

  2. Используйте CA, который масштабируем всюду по Предприятию.

Примечание: переговоры IKE сделаны на UDP 500. IPsec использует протоколы 50 и 51 IP. Удостоверьтесь, что они разрешены в любых списках доступа, которые вы имеете между пэрами.

1. Предобщие ключи

Это - быстрый и грязный метод, используемый для формирования IKE. В то время как конфигурация IKE проста, и вы не используете CA, она не измеряет очень хорошо.

Необходимо сделать их для формирования IKE:

  • Формируйте набор (ы) защиты ISAKMP.

  • Формируйте ключ ISAKMP.

Формируйте набор (ы) защиты ISAKMP

Эта команда создает стратегический объект ISAKMP. Возможно иметь многократную политику, но в этом примере существует только один:

dt3-45a(config)#crypto isakmp policy 1

dt3-45a(config-isakmp)#

С командой группы можно объявить что модуль размера использовать для вычисления Diffie-Hellman. Группа 1 768 битов длиной, и группа 2 1024 бита длиной. Почему вы использовали бы один по другому? Не вся группа поддержки продавцов 2. Кроме того, группой 2 является также значительно больше CPU, интенсивный, чем группа один. Поэтому вы не хотите использовать группу 2 на низкокачественных маршрутизаторах как ряд Cisco 2500 или меньше. Но, группа 2 более безопасна, чем группа 1. Так как этот пример использует Cisco 4500, группа 2 используется, и удостоверьтесь, что пэр также формируется для использования группы 2. Неплатеж является группой 1. Когда вы делаете написать предельную команду, при отборе свойств по умолчанию линии группы 1 не обнаруживаются.

dt3-45a(config-isakmp)#group 2

MD5 является нашим алгоритмом хеширования в этой линии. В то время как внедрение SHA и MD5 оба обязательно, не, все пэры могут формироваться для ведения переговоров один или другой. Неплатеж в Cisco IOS является SHA, который более безопасен, чем MD5.

dt3-45a(config-isakmp)#hash md5

Целую жизнь SA, 500 секунд в этом случае, показывают в этой команде. Если вы не устанавливаете целую жизнь, она не выполняет своих обязательств к 86400 секундам, или однажды. Когда пожизненный таймер стреляет, SA пересмотрен как мера по безопасности.

dt3-45a(config-isakmp)#lifetime 500

В этой команде IKE вручную сказан что ключ использовать. Поэтому, команда перед акцией используется. Двумя вариантами помимо команды перед акцией является rsa-encr и команды rsa-сигнала. Команда rsa-encr формирует RSA, Зашифрованные данные случаи и команда rsa-сигнала формируют Подпись RSA. rsa-encr и команды rsa-сигнала обращены в Использовании секция CA. На данный момент помните, что rsa-сигнал является неплатежом.

dt3-45a(config-isakmp)#authentication pre-share

Формируйте ключ ISAKMP

В этих командах IKE сказан что ключ использовать. У пэра, 192.168.10.38 в этом случае, должна быть та же самая ключевая Slurpee-машина в ее конфигурации.

dt3-45a(config-isakmp)#exit
dt3-45a(config)#crypto isakmp key Slurpee-Machine address 192.168.10.38

Вы теперь сделаны с конфигурацией IKE. Эти линии являются конфигурацией IKE пэра. Полные конфигурации для обоих маршрутизаторов находятся в Типовой части Конфигураций этого документа:

crypto isakmp policy 1
 hash md5
 group 2
 authentication pre-share
crypto isakmp key Slurpee-Machine address 192.168.10.66

2. Используйте CA

Использование CA является сложным методом, используемым для формирования IKE. Так как это очень масштабируемо в IPsec, необходимо использовать IPsec вместо классического crypto. Когда Выпуск 11.3 (3) программного обеспечения Cisco IOS выпущен, там только будут несколькими продавцами CA тот продукт судна. Первоначально, большинство конфигураций реализовано с использованием предобщих ключей. VeriSign, Поручите, Microsoft и Netscape, и вероятно масса других, работают над продуктами CA. Для этого примера используется VeriSign CA.

Необходимо сделать их для использования CA:

  • Создайте пару (ы) ключей RSA для маршрутизатора.

  • Просите свидетельство CA.

  • Зарегистрируйте свидетельства на маршрутизатор клиента.

  • Формируйте набор (ы) защиты ISAKMP.

Создайте пары ключей RSA для маршрутизатора

crypto ключевой генерал rsa команда ключей использования может смутить вас. Эта команда создает две пары ключей для RSA:

  • одна пара ключей для шифрования

  • одна пара ключей для цифровых подписей

Пара ключей относится к открытому ключу и его соответствующему секретному ключу. Если вы не определяете ключи использования в конце команды, маршрутизатор производит только одну пару ключей RSA и использует ее и для шифрования и для цифровых подписей. Как предупреждение, что эта команда может использоваться для создания ключей DSS. Но DSS является частью классического crypto, не IPsec.

dt3-45a(config)#crypto key gen rsa usage-keys
The name for the keys will be: dt3-45a.cisco.com
%You already have RSA keys defined for dt3-45a.cisco.com.
%Do you really want to replace them? [yes/no] yes

Так как некоторые ключи RSA уже существуют на этой коробке, она спрашивает, хотите ли вы избавиться от ключей, которые существуют. Так как ответ да, подтвердите команду. Это вызывает, возвращен:

Choose the size of the key modulus in the range of 
   360 to 2048 for your Signature keys.
Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]: <return>
Generating RSA keys...
[OK]

Choose the size of the key modulus in the range of 
   360 to 2048 for your Encryption keys.
Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]: <return>
Generating RSA keys...
[OK]
dt3-45a(config)#

Пары ключей RSA с модулем 512 битов по умолчанию теперь созданы. Выход из config способа и входит в шоу crypto ключ mypubkey rsa команда. Можно теперь видеть открытый ключ (и) RSA. Частная ключевая часть пары ключей никогда не замечается. Даже если у вас нет существующих ранее ключей, вы видите ту же самую вещь от ранее.

Примечание: Не забудьте экономить свою конфигурацию, как только вы произвели свои пары ключей.

Просите свидетельство CA

Теперь необходимо формировать маршрутизатор, чтобы говорить Приблизительно, Это включает несколько шагов. Необходимо в конечном счете скоординировать с администратором CA.

В этих линиях конфигурации доменное имя добавлено к маршрутизатору. Это создает hostname ciscoca-крайнее, и говорит маршрутизатор, что его IP-адрес, и серверы имени. У вас должны быть или hostnames, определенный для CA или DNS, который работает над коробкой. Cisco рекомендует иметь DNS, который работает над коробкой.

dt3-45a(config)#ip host ciscoca-ultra 171.69.54.46
dt3-45a(config)#ip domain-name cisco.com
dt3-45a(config)#ip name-server 171.692.132
dt3-45a(config)#ip name-server 198.92.30.32

Начните формировать параметры CA. verisign-ca является просто произвольным именем.

dt3-45a(config)#crypto ca identity verisign-ca
dt3-45a(ca-identity)#

В этой продукции протокол регистрации Cisco использует HTTP, чтобы говорить Приблизительно dt3-45a (идентичность CA) #enrollment URL http://, ciscoca-крайняя команда говорит маршрутизатору идти в указанный URL для взаимодействия с Приблизительно, dt3-45a (идентичность CA) #crypto приблизительно подтверждают подлинность команды verisign-ca, приказывает маршрутизатору приносить свидетельство о Приблизительно, Прежде чем можно будет зарегистрироваться в CA, необходимо удостовериться, что вы говорите с реальным, Приблизительно Проверяют свидетельство о CA с администратором CA для обеспечения подлинности.

dt3-45a(ca-identity)#enrollment url http://ciscoca-ultra 
dt3-45a(ca-identity)#exit
dt3-45a(ca-identity)#crypto ca authenticate verisign-ca

Зарегистрируйте свидетельства на маршрутизатор клиента

Выйдите crypto приблизительно регистрируют команду verisign-ca для начала регистрации с Приблизительно существует несколько шагов к этому. Во-первых, необходимо проверить идентичность CA, тогда CA должен проверить идентичность маршрутизатора. Если когда-нибудь необходимо отменять свидетельство, прежде чем оно истечет при изменении нумерации интерфейсов маршрутизатора или если вы полагаете, что ваше свидетельство поставилось под угрозу, необходимо предоставить пароль администратору CA. Войдите в это, как иллюстрирован в этой продукции. После ввода пароля маршрутизатор продолжается.

dt3-45a(config)#crypto ca enroll verisign-ca
%Start certificate enrollment ..
%Create a challenge password. You will need to verbally provide this password 
to the CA Administrator in order to revoke your certificate.  
For security reasons your password will not be saved in the configuration.  
Please make a note of it.

Password:
Re-enter password:

Вы теперь видите, что отпечаток (ки) пальца от Приблизительно Проверяет, что отпечаток (ки) пальца правилен с администратором CA. Кроме того, если вы делаете шоу crypto приблизительно команда свидетельства, вы видите свидетельство (а) CA, в дополнение к вашим собственным свидетельствам. Свидетельства CA перечислены как ожидающий в это время.

% The subject name for the keys will be: dt3-45a.cisco.com
% Include the router serial number in the subject name? [yes/no]: yes
% The serial number in the certificate will be: 01204044
% Include an IP address in the subject name? [yes/no]: yes
Interface: Ethernet 0
Request certificate from CA? [yes/no]: yes

Свяжитесь с администратором CA, потому что этот человек хочет подтвердить идентичность шланга, прежде чем будет выпущено свидетельство. Как только CA выпускает свидетельство, статус нашего свидетельства изменяется от ожидания до доступного. С этим регистрация CA завершена. Но, вы не сделаны. Все еще необходимо формировать стратегический объект (ы) ISAKMP.

Формируйте набор (ы) защиты ISAKMP

Неплатеж rsa-сигнала используется в этой продукции. У вас может быть многократный набор (ы) защиты, но в этом примере существует только один. В случае multipleprotection наборов политика представлена пэру в числовом заказе, и пэр ведет переговоры который использовать. Необходимо сделать это, если вы знаете, что все ваши пэры не поддерживают определенные функции. Маршрутизатор не пытается договориться о вещах, которые не имеют смысла. Например, если вы формируете свою политику для rsa-сигнала, и у вас нет свидетельства, маршрутизатор не договаривается об этом.

dt3-45a(config)#crypto isakmp policy 1
dt3-45a(config-isakmp)#hash md5
dt3-45a(config-isakmp)#lifetime 4000
dt3-45a(config-isakmp)#exit

Формируйте IPsec

Используете ли вы предварительно разделенные ключи или формируете CA, однажды вы интернет-Обмен Ключа установки IKE, у вас все еще есть к установке IPsec. Независимо от которого метода IKE вы используете, шаги конфигурации для IPsec являются тем же самым.

Необходимо сделать их для формирования IPsec:

Создайте расширенный ACL

Эта команда является очень простым ACL, который позволяет маршрутизаторам говорить с друг другом, например, TELNET от одного маршрутизатора до следующего.

dt3-45a(config)#access-list 101 permit ip host 192.168.10.38
                  host 192.168.10.66

Более реалистический ACL похож на эту команду. Эта команда является расширенным ACL дежурного блюда, где 192.168.3.0 подсеть позади рассматриваемого маршрутизатора, и 10.3.2.0 подсеть где-нибудь позади маршрутизатора пэра. Помните, что средства разрешения шифруют и отрицают, что средства не шифруют.

dt3-45a(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 
                  10.3.2.0 0.0.0.255

Создайте IPsec, преобразовывают (s)

Создайте три, преобразовывают наборы. Первый использует ESP только, второй использует AH, объединенный с ESP, и последний использует только AH. Во время переговоров IPsec SA все три предлагаются пэру, который выбирает тот. Кроме того, для всех трех преобразовывать-наборов используйте туннельный способ по умолчанию. Способ транспортировки может использоваться только, когда crypto конечные точки являются также конечными точками коммуникации. Способ трансгоршка может быть определен транспортной командой способа под установленной в преобразование конфигурацией. Туннельный способ используется прежде всего для сценария VPN. Также обратите внимание на то, что особенно-rfc1829 и ах-rfc1828 основаны на оригинальном RFCs для этой технологии и устаревшие преобразования, включенные для назад совместимости. Не все продавцы поддерживают эти преобразования, но другие продавцы поддерживают только эти преобразования.

Наборы преобразования в этих командах являются не обязательно самыми практичными. Например, и PapaBear и BabyBear имеют нестандартные преобразовывать-наборы. Используйте esp-rfc1829 и ах-rfc1828 вместе в установленном в преобразование том же самом.

dt3-45a(config)#crypto ipsec transform-set PapaBear esp-rfc1829
 dt3-45a(cfg-crypto-trans)#exit
 dt3-45a(config)#crypto ipsec transform-set MamaBear ah-md5-hmac esp-des
 dt3-45a(cfg-crypto-trans)#exit
 dt3-45a(config)#crypto ipsec transform-set BabyBear ah-rfc1828
 dt3-45a(cfg-crypto-trans)#exit
 dt3-45a(config)#

Создайте карту Crypto

Признак ipsec-isakmp говорит маршрутизатору, что эта карта crypto является IPsec crypto карта. Хотя существует только один пэр, объявленный в этой карте crypto, у вас могут быть многократные пэры в рамках данной карты crypto. Целая жизнь сеансового ключа может быть выражена в любом килобайты (x-сумма движения, после изменения ключа), или секунды, как показан в этих командах. Цель этого состоит в том, чтобы приложить усилия потенциального более трудного нападавшего. Установленная в преобразование команда набора - то, где вы связываете преобразования с картой crypto. Кроме того, заказ, в котором вы объявляете преобразования, является значительным. MamaBear более предпочтен в этой конфигурации, и затем остальных в порядке убывания предпочтения через к BabyBear. Адрес матча 101 средство команды использовать список 101 доступа для определения, какое движение релевантно. У вас могут быть многократные карты crypto с тем же самым именем, которое является армадиллом в этом примере и различных порядковых номерах, который равняется 10 в этом примере. Комбинация многократных карт crypto и различных порядковых номеров разрешает вас классику смешивания и подгонки crypto и IPsec. Можно также изменить конфигурацию PFS здесь. PFS group1 является неплатежом в этом примере. Можно изменить PFS на group2 или повернуть его от всех вместе, которые вы не должны делать.

dt3-45a(config)#crypto map armadillo 10 ipsec-isakmp
dt3-45a(config-crypto-map)#set peer 192.168.10.38
dt3-45a(config-crypto-map)#set session-key lifetime seconds 4000
dt3-45a(config-crypto-map)#set transform-set MamaBear PapaBear BabyBear
dt3-45a(config-crypto-map)#match address 101

Примените карту Crypto для установления связи

Эти команды применяют карту crypto к интерфейсу. Можно назначить только один набор карты crypto на интерфейс. Если многократный crypto записи карты имеют то же самое имя карты, но различная seq-цифра, они - часть того же самого набора и все применены к интерфейсу. Прибор безопасности оценивает вход карты crypto с самой низкой seq-цифрой сначала.

dt3-45a(config)#interface e0
dt3-45a(config-if)#crypto map armadillo

Память и соображения CPU

Пакеты, которые обработаны IPsec, медленнее, чем пакеты, которые обработаны через классический crypto. Существует несколько причин этого, и они могли бы вызвать значительные исполнительные проблемы:

  1. IPsec вводит расширение пакета, которое, более вероятно, потребует фрагментации и соответствующей повторной сборки дейтаграмм IPsec.

  2. Зашифрованные пакеты, вероятно, заверены, что означает, что существует две шифровальных операции, которые выполнены для каждого пакета.

  3. Алгоритмы идентификации являются медленными, хотя работа была сделана для ускорения вещей как вычислений Diffie-Hellman.

Кроме того, ключевой обмен Diffie-Hellman, используемый в IKE, является возведением в степень очень больших количеств (между 768 и 1024 байтами) и может занять до четырех секунд на Cisco 2500. Исполнение RSA зависит от размера простого числа, выбранного для пары ключей RSA.

Для каждого маршрутизатора база данных SA поднимает приблизительно 300 байтов плюс 120 байтов для каждого SA там. В ситуациях, где существует два SAs IPsec, один прибывающий и один за границу, 540 байтов требуются в большинстве случаев. Каждый вход IKE SA составляет приблизительно 64 байта каждый. Единственное время у вас есть одна IPsec SA для потока информации, - когда коммуникация является односторонней.

IPsec и IKE влияют на работу, когда активный. Обмены ключа Diffie-Hellman, идентификация открытого ключа и шифрование/декодирование потребляют существенное количество ресурсов. Хотя, много усилия было приложено для уменьшения этого воздействия.

Существует маленькое уменьшение в работе для незашифрованных пакетов, которые проходят интерфейс, который делает crypto. Это вызвано тем, что все пакеты должны быть проверены против карты crypto. Нет никакого исполнительного воздействия на пакеты, которые пересекают маршрутизатор, которые избегают интерфейса, который делает crypto. Самое большое воздействие находится на потоках зашифрованных данных.

Используйте Группу 1 для ключевых обменов Diffie-Hellman в пределах IKE, используйте MD5 в качестве своего алгоритма хеширования и используйте более длинные сроки службы для уменьшения воздействия crypto подсистемы на остальной части маршрутизатора. В компромиссе для этой исполнительной настройки можно получить слабую криптографию. В конечном счете, именно до политики безопасности клиента для определения особенностей для использования и чтобы оставить в покое.

Продукция от выставочных Команд

Примечание: захваты в этих секциях взяты от различного ряда тестов, чем используемые в предыдущих частях этого документа. Следовательно, эти захваты могут иметь различные IP-адреса и отразить немного отличающиеся конфигурации. Другая серия выставочных команд обеспечена в части информации об Отладке этого документа.

СВЯЗАННАЯ С IKE продукция

Изучите эти команды для проверки регистрации VeriSign CA. Эти команды показывают открытые ключи, которые вы используете для шифрования RSA и подписей.

dt1-45a#show crypto key mypubkey rsa
% Key pair was generated at: 11:31:59 PDT Apr 9 1998
Key name: dt1-45a.cisco.com
 Usage: Signature Key
 Key Data:
  305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C11854
39A9C75C
  4E34C987 B4D7F36C A058D697 13172767 192166E1 661483DD 0FDB907B
F9C10B7A
  CB5A034F A41DF385 23BEB6A7 C14344BE E6915A12 1C86374F 83020301 0001
% Key pair was generated at: 11:32:02 PDT Apr 9 1998
Key name: dt1-45a.cisco.com
 Usage: Encryption Key
 Key Data:
  305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DCF5AC
360DD5A6
C69704CF 47B2362D 65123BD4 424B6FF6 AD10C33E 89983D08 16F1EA58
3700BCF9
  1EF17E71 5931A9FC 18D60D9A E0852DDD 3F25369C F09DFB75 05020301 0001

Эта команда показывает свидетельства, что маршрутизатор признает. Свидетельство, которое имеет надвигающийся статус, было представлено CA для одобрения.

dt1-45a#show crypto ca certificates
Certificate
  Subject Name
    Name: dt1-45a.cisco.com
    Serial Number: 01193485
  Status: Available
  Certificate Serial Number: 650534996414E2BE701F4EF3170EDFAD
  Key Usage: Signature
 
CA Certificate
  Status: Available
  Certificate Serial Number: 3051DF7169BEE31B821DFE4B3A338E5F
  Key Usage: Not Set

Certificate
  Subject Name
    Name: dt1-45a.cisco.com
    Serial Number: 01193485
  Status: Available
  Certificate Serial Number: 1e621faf3b9902bc5b49d0f99dc66d14
  Key Usage: Encryption

Эта продукция показывает открытые ключи маршрутизатора и где маршрутизатор узнал о них.

dt1-45a#show crypto key pubkey-chain rsa
Codes: M - Manually configured, C - Extracted from certificate
 
Code Usage   IP-Address       Name
C    Signing                  Cisco SystemsDevtestCISCOCA-ULTRA
C    General 172.21.30.71     dt1-7ka.cisco.com

Это - ISAKMP (IKE) стол SA. Здесь вы видите, что SA в настоящее время существует между 172.21.30.71 и 172.21.30.70. У пэра должен быть вход SA в том же самом государстве как продукция этого маршрутизатора.

dt1-7ka#show crypto isakmp sa
    dst           src          state        conn-id   slot
172.21.30.70   172.21.30.71   QM_IDLE           47      5

Эти линии показывают стратегические формируемые объекты. В этом случае политика 1, 2, и 4 используется, в дополнение к неплатежу. Политика предложена пэру в заказе, с 1 как самое предпочтительное.

dt1-45a#show crypto isakmp policy
Protection suite of priority 1
encryption algorithm:   DES - Data Encryption Standard (56 bit
keys).
hash algorithm:         Message Digest 5
authentication method:  Rivest-Shamir-Adleman Signature
Diffie-Hellman group:   #1 (768 bit)
lifetime:               180 seconds, no volume limit

Protection suite of priority 2
encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
hash algorithm:         Secure Hash Standard
authentication method:  Pre-Shared Key
Diffie-Hellman group:   #2 (1024 bit)
lifetime:               180 seconds, no volume limit
Protection suite of priority 4
encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
hash algorithm:         Message Digest 5
authentication method:  Pre-Shared Key
Diffie-Hellman group:   #2 (1024 bit)
lifetime:               180 seconds, no volume limit

Default protection suite
encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
hash algorithm:         Secure Hash Standard
authentication method:  Rivest-Shamir-Adleman Signature
Diffie-Hellman group:   #1 (768 bit)
lifetime:               86400 seconds, no volume limit

IPsec-связанные выставочные Команды

Эта команда показывает, что crypto наносят на карту ToOtherRouter, ACLs, и предложения по преобразованию относились к этой карте crypto, пэрам и ключевой целой жизни.

S3-2513-2#show crypto map
Crypto Map "ToOtherRouter" 10 ipsec-isakmp
        Peer = 192.168.1.1
        Extended IP access list 101
            access-list 101 permit ip
                source: addr = 192.168.45.0/0.0.0.255
                dest:   addr = 192.168.3.0/0.0.0.255
        Connection Id = UNSET    (0 established,    0 failed)
        Current peer: 192.168.1.1
        Session key lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): N
        Transform proposals={ Elvis, Bubba, BarneyDino, }

Эта конфигурация использует тот же самый маршрутизатор в качестве предыдущей продукции, но различных команд. Вы видите, что все преобразовывают предложения, о каких параметрах настройки они договариваются, и неплатежи.

S3-2513-2#show crypto ipsec transform-set
Transform proposal Elvis: { ah-sha-hmac  }
   supported settings = { Tunnel,  },
   default settings = { Tunnel,  },
   will negotiate = { Tunnel,  },
 
   { esp-des  }
   supported settings = { Tunnel,  },
   default settings = { Tunnel,  },
   will negotiate = { Tunnel,  },
 
Transform proposal Bubba: { ah-rfc1828  }
   supported settings = { Tunnel,  },
   default settings = { Tunnel,  },
   will negotiate = { Tunnel,  },
 
   { esp-des esp-md5-hmac  }
supported settings = { Tunnel,  },
   default settings = { Tunnel,  },
   will negotiate = { Tunnel,  },
 
Transform proposal BarneyDino: { ah-md5-hmac  }
   supported settings = { Tunnel,  },
   default settings = { Tunnel,  },
   will negotiate = { Tunnel,  },

Эта команда показывает текущие Сопоставления безопасности IPsec этого маршрутизатора. Маршрутизатор имеет одну AH SA и для поступающего и для отбывающего.

S3-2513-2#show crypto ip session
Session key lifetime: 4608000 kilobytes/3600 seconds

S3-2513-2#show crypto ipsec sa
 
interface: Ethernet0
    Crypto map tag: ToOtherRouter, local addr. 192.168.1.2
 
   local  ident (addr/mask/prot/port): (192.168.45.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
   current_peer: 192.168.1.1
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
    #send errors 5, #recv errors 0
 
     local crypto endpt.: 192.168.1.2, remote crypto endpt.: 192.168.1.1
     path mtu 1500, media mtu 1500
     current outbound spi: 25081A81

     inbound esp sas:
 
 
     inbound ah sas:
      spi: 0x1EE91DDC(518594012)
        transform: ah-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 16, crypto map: ToOtherRouter
        sa timing: remaining key lifetime (k/sec): (4608000/3423)
        replay detection support: Y
 
 
     outbound esp sas:
 
 
     outbound ah sas:
      spi: 0x25081A81(621288065)
        transform: ah-md5-hmac ,
in use settings ={Tunnel, }
        slot: 0, conn id: 17, crypto map: ToOtherRouter
        sa timing: remaining key lifetime (k/sec): (4608000/3424)
        replay detection support: Y

Типовые конфигурации

Эта конфигурация использует предобщие ключи. Эта конфигурация маршрутизатора используется для создания продукции отладки, перечисленной в секции информации об Отладке. Эта конфигурация позволяет сети, названной X расположенный позади Исходного Маршрутизатора говорить с сетью по имени Y, расположенный позади Маршрутизатора Пэра. Консультируйтесь с документацией программного обеспечения Cisco IOS для своей версии Cisco IOS или используйте Инструмент Поиска Команды (только зарегистрированные клиенты) для получения дополнительной информации об особой команде. Этот инструмент позволяет пользователю искать подробное описание или рекомендации по конфигурации для особой команды.

Сетевая диаграмма

IPSECpart8.gif

Конфигурации

Исходный маршрутизатор
Current configuration:
!
version 11.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname goss-e4-2513
!
enable secret 5 $1$ZuRD$YBaAh3oIv4iltIn0TMCUX1
enable password ww
!

!--- IKE configuration

crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key Slurpee-Machine address 20.20.20.21    
!

!--- IPsec configuration

crypto ipsec transform-set BearPapa esp-rfc1829 
crypto ipsec transform-set BearMama ah-md5-hmac esp-des 
crypto ipsec transform-set BearBaby ah-rfc1828 
 !
 crypto map armadillo 1 ipsec-isakmp  
 set peer 20.20.20.21
 set security-association lifetime seconds 190
 set transform-set BearPapa BearMama BearBaby 

 !--- Traffic to encrypt

 match address 101
!
interface Ethernet0
 ip address 60.60.60.60 255.255.255.0
 no mop enabled
!
interface Serial0
 ip address 20.20.20.20 255.255.255.0
 no ip mroute-cache
 no fair-queue
 crypto map armadillo
!
interface Serial1
 no ip address
 shutdown 
!
interface TokenRing0
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 20.20.20.21

!--- Traffic to encrypt

access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 password ww
 login
!         
end

Маршрутизатор пэра
Current configuration:
!
version 11.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname goss-c2-2513
!
enable secret 5 $1$DBTl$Wtg2eS7Eb/Cw5l.nDhkEi/
enable password ww
!
ip subnet-zero
!

!--- IKE configuration

crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key Slurpee-Machine address 20.20.20.20    
!

!--- IPsec configuration

crypto ipsec transform-set PapaBear esp-rfc1829 
crypto ipsec transform-set MamaBear ah-md5-hmac esp-des 
crypto ipsec transform-set BabyBear ah-rfc1828 
!
 !
 crypto map armadillo 1 ipsec-isakmp  
 set peer 20.20.20.20
 set security-association lifetime seconds 190
 set transform-set MamaBear PapaBear BabyBear 
 
!--- Traffic to encrypt

 match address 101
!
!
!
interface Ethernet0
 ip address 50.50.50.50 255.255.255.0
 no ip directed-broadcast
!
interface Serial0
 ip address 20.20.20.21 255.255.255.0
 no ip directed-broadcast
 no ip mroute-cache
 no fair-queue
 clockrate 9600
 crypto map armadillo
!         
interface Serial1
 no ip address
 no ip directed-broadcast
 shutdown
!
interface TokenRing0
 no ip address
 no ip directed-broadcast
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 20.20.20.20

!--- Traffic to encrypt

access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
!
line con 0
 exec-timeout 0 0
 transport input none
line aux 0
line aux 0
line vty 0 4
 password ww
 login
!
end

Информация об отладке

Этой секции производили отладку от нормальной сессии IKE/IPsec между двумя маршрутизаторами. Конфигурации прибывают из Типовой части Конфигураций этого документа. Маршрутизаторы используют предобщий ключ. Оба маршрутизатора имеют отладку crypto isakmp, отлаживают crypto ipsec и отлаживают crypto позволенные команды двигателя. Это было проверено с расширенным звоном от Исходного Маршрутизатора интерфейс Ethernet к Маршрутизатору Пэра интерфейс Ethernet (60.60.60.60 к 50.50.50.50).

Примечание: синие, курсивные заявления в этой типовой продукции отладки являются примечаниями, чтобы помочь вам следовать за тем, что происходит, они не часть продукции отладки.

Исходный маршрутизатор
goss-e4-2513#show clock
goss-e4-2513#ping
Protocol [ip]: 
Target IP address: 50.50.50.50
Repeat count [5]: 10
Datagram size [100]: 
Timeout in seconds [2]: 
Extended commands [n]: y
Source address or interface: 60.60.60.60
Type of service [0]: 
Set DF bit in IP header? [no]: 
Validate reply data? [no]: 
Data pattern [0xABCD]: 
Loose, Strict, Record, Timestamp, Verbose[none]: 
Sweep range of sizes [n]: 
Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 50.50.50.50, timeout is 2 seconds:

Apr  2 12:03:55.347: IPSEC(sa_request): ,
  (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21, 
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), 
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 , 
    lifedur= 190s and 4608000kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004
Apr  2 12:03:55.355: IPSEC(sa_request): ,
  (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21, 
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), 
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= AH, transform= ah-md5-hmac , 
    lifedur= 190s and 4608000kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004
Apr  2 12:03:55.363: IPSEC(sa_request): ,
  (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21, 
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), 
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des , 
    lifedur= 190s and 4608000kb, 
    spi= 0x0(0), conn_id= 0, keysi.ze= 0, flags= 0x4004
Apr  2 12:03:55.375: IPSEC(sa_request): ,
  (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21, 
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), 
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= AH, transform= ah-rfc1828 , 
    lifedur= 190s and 4608000kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004


!--- Note that the router offers to the peer all of the 
!--- available transforms.


Apr  2 12:03:55.391: ISAKMP (14): beginning Main Mode exchange
Apr  2 12:03:57.199: ISAKMP (14): processing SA payload. message ID = 0
Apr  2 12:03:57.203: ISAKMP (14): Checking ISAKMP transform 1 against 
    priority 1 policy
Apr  2 12:03:57.203: ISAKMP:      encryption DES-CBC
Apr  2 12:03:57.207: ISAKMP:      hash MD5
Apr  2 12:03:57.207: ISAKMP:      default group 1
Apr  2 12:03:57.207: ISAKMP:      auth pre-share
Apr  2 12:03:57.211: ISAKMP (14): atts are acceptable. Next payload is 0
Apr  2 12:03:57.215: Crypto engine 0: generate alg param

Apr  2 12:03:5.8.867: CRYPTO_ENGINE: Dh phase 1 status: 0
Apr  2 12:03:58.871: ISAKMP (14): SA is doing pre-shared key authentication..
Apr  2 12:04:01.291: ISAKMP (14): processing KE payload. message ID = 0
Apr  2 12:04:01.295: Crypto engine 0: generate alg param

Apr  2 12:04:03.343: ISAKMP (14): processing NONCE payload. message ID = 0
Apr  2 12:04:03.347: Crypto engine 0: create ISAKMP SKEYID for conn id 14
Apr  2 12:04:03.363: ISAKMP (14): SKEYID state generated
Apr  2 12:04:03.367: ISAKMP (14): processing vendor id payload
Apr  2 12:04:03.371: ISAKMP (14): speaking to another IOS box!
Apr  2 12:04:03.371: generate hmac context for conn id 14
Apr  2 12:04:03.615: ISAKMP (14): processing ID payload. message ID = 0
Apr  2 12:04:03.615: ISAKMP (14): processing HASH payload. message ID = 0
Apr  2 12:04:03.619: generate hmac context for conn id 14
Apr  2 12:04:03.627: ISAKMP (14): SA has been authenticated
Apr  2 12:04:03.627: ISAKMP (14): beginning Quick Mode exchange, M-ID of 1628162439


!--- These lines represent verification that the policy
!--- attributes are fine, and the final authentication of the IKE SA.
!--- Once the IKE SA is authenticated, a valid IKE SA exists.
!--- New IKE kicks off IPsec negotiation:


Apr  2 12:04:03.635: IPSEC(key_engine): got a queue event...
Apr  2 12:04:03.635: IPSEC(spi_response): getting spi 303564824ld for SA 
        .!!!from 20.20.20.21     to 20.20.20.20     for prot 3
Apr  2 12:04:03.639: IPSEC(spi_response): getting spi 423956280ld for SA 
        from 20.20.20.21     to 20.20.20.20     for prot 2
Apr  2 12:04:03.643: IPSEC(spi_response): getting spi 415305621ld for SA 
        from 20.20.20.21     to 20.20.20.20     for prot 3
Apr  2 12:04:03.647: IPSEC(spi_response): getting spi 218308976ld for SA 
        from 20.20.20.21     to 20.20.20.20     for prot 2
Apr  2 12:04:03.891: generate hmac context for conn id 14
Apr  2 12:04:04.!!
Success rate is 50 percent (5/10), round-trip min/avg/max = 264/265/268 ms
goss-e4-2513#723: generate hmac context for conn id 14
Apr  2 12:04:04.731: ISAKMP (14): processing SA payload. message ID = 1628162439
Apr  2 12:04:04.731: ISAKMP (14): Checking IPSec proposal 1
Apr  2 12:04:04.735: ISAKMP: transform 1, ESP_DES_IV64
Apr  2 12:04:04.735: ISAKMP:   attributes in transform:
Apr  2 12:04:04.735: ISAKMP:      encaps is 1
Apr  2 12:04:04.739: ISAKMP:      SA life type in seconds
Apr  2 12:04:04.739: ISAKMP:      SA life duration (basic) of 190
Apr  2 12:04:04.739: ISAKMP:      SA life type in kilobytes
Apr  2 12:04:04.743: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0 
Apr  2 12:04:04.747: ISAKMP (14): atts are acceptable.


!--- The ISAKMP debug is listed because IKE is the
!--- entity that negotiates IPsec SAs on behalf of IPsec.


Apr  2 12:04:04.747: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= 20.20.20.21, src= 20.20.20.20, 
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4), 
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 , 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
Apr  2 12:04:04.759: ISAKMP (14): processing NONCE payload. message ID = 1628162439
Apr  2 12:04:04.759: ISAKMP (14): processing ID payload. message ID = 1628162439
Apr  2 12:04:04.763: ISAKMP (14): processing ID payload. message ID = 1628162439
Apr  2 12:04:04.767: generate hmac context for conn id 14
Apr  2 12:04:04.799: ISAKMP (14): Creating IPSec SAs
Apr  2 12:04:04.803:         inbound SA from 20.20.20.21 to 20.20.20.20 
    (proxy 50.50.50.0 to 60.60.60.0)
Apr  2 12:04:04.803:         has spi 303564824 and conn_id 15 and flags 4
Apr  2 12:04:04.807:         lifetime of 190 seconds
Apr  2 12:04:04.807:         lifetime of 4608000 kilobytes
Apr  2 12:04:04.811:         outbound SA from 20.20.20.20 to 20.20.20.21 
    (proxy 60.60.60.0 to 50.50.50.0)
Apr  2 12:04:04.811:         has spi 183903875 and conn_id 16 and flags 4
Apr  2 12:04:04.815:         lifetime of 190 seconds
Apr  2 12:04:04.815:         lifetime of 4608000 kilobytes
Apr  2 12:04:04.823: IPSEC(key_engine): got a queue event...
Apr  2 12:04:04.823: IPSEC(initialize_sas): ,
  (key eng. msg.) dest= 20.20.20.20, src= 20.20.20.21, 
    dest_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), 
    src_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 , 
    lifedur= 190s and 4608000kb, 
    spi= 0x12180818(303564824), conn_id= 15, keysize= 0, flags= 0x4
Apr  2 12:04:04.831: IPSEC(initialize_sas): ,
  (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21, 
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), 
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 , 
    lifedur= 190s and 4608000kb, 
    spi= 0xAF62683(183903875), conn_id= 16, keysize= 0, flags= 0x4
Apr  2 12:04:04.839: IPSEC(create_sa): sa created,
  (sa) sa_dest= 20.20.20.20, sa_prot= 50, 
    sa_spi= 0x12180818(303564824), 
    sa_trans= esp-rfc1829 , sa_conn_id= 15
Apr  2 12:04:04.843: IPSEC(create_sa): sa created,
  (sa) sa_dest= 20.20.20.21, sa_prot= 50, 
    sa_spi= 0xAF62683(183903875), 
    sa_trans= esp-rfc1829 , sa_conn_id= 16


!--- These lines show that IPsec SAs are created and
!--- encrypted traffic can now pass.

Исходный Маршрутизатор показывает Продукцию Команды После Переговоров IKE/IPsec
goss-e4-2513#
goss-e4-2513#show crypto isakmp sa
    dst           src          state        conn-id   slot
20.20.20.21    20.20.20.20    QM_IDLE           14      0

goss-e4-2513#show crypto ipsec sa

interface: Serial0
    Crypto map tag: armadillo, local addr. 20.20.20.20

   local  ident (addr/mask/prot/port): (60.60.60.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (50.50.50.0/255.255.255.0/0/0)
   current_peer: 20.20.20.21
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest 0
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify 0
    #send errors 5, #recv errors 0

     local crypto endpt.: 20.20.20.20, remote crypto endpt.: 20.20.20.21
     path mtu 1500, media mtu 1500
     current outbound spi: AF62683

     inbound esp sas:
      spi: 0x12180818(303564824)
        transform: esp-rfc1829 ,
        in use settings ={Var len IV, Tunnel, }
        slot: 0, conn id: 15, crypto map: armadillo
        sa timing: remaining key lifetime (k/sec): (4607999/135)
        IV size: 8 bytes
        replay detection support: N


     inbound ah sas:


     outbound esp sas:
      spi: 0xAF62683(183903875)
        transform: esp-rfc1829 ,
        in use settings ={Var len IV, Tunnel, }
        slot: 0, conn id: 16, crypto map: armadillo
        sa timing: remaining key lifetime (k/sec): (4607999/117)
        IV size: 8 bytes
        replay detection support: N


     outbound ah sas:



goss-e4-2513#show crypto isakmp policy
Protection suite of priority 1
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Message Digest 5
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
goss-e4-2513#show crypto map
Crypto Map "armadillo" 1 ipsec-isakmp
        Peer = 20.20.20.21
        Extended IP access list 101
                access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
        Current peer: 20.20.20.21
        Security association lifetime: 4608000 kilobytes/190 seconds
        PFS (Y/N): N
        Transform sets={ BearPapa, BearMama, BearBaby, }

Маршрутизатор пэра с той же самой последовательностью звона, как замечено по другой стороне
goss-c2-2513#show debug
Cryptographic Subsystem:
  Crypto ISAKMP debugging is on
  Crypto Engine debugging is on
  Crypto IPSEC debugging is on
goss-c2-2513#
Apr  2 12:03:55.107: ISAKMP (14): processing SA payload. message ID = 0
Apr  2 12:03:55.111: ISAKMP (14): Checking ISAKMP transform 1 against 
     priority 1 policy
Apr  2 12:03:55.111: ISAKMP:      encryption DES-CBC
Apr  2 12:03:55.111: ISAKMP:      hash MD5
Apr  2 12:03:55.115: ISAKMP:      default group 1
Apr  2 12:03:55.115: ISAKMP:      auth pre-share
Apr  2 12:03:55.115: ISAKMP (14): atts are acceptable. Next payload is 0


!--- IKE performs its operation, and then kicks off IPsec.


Apr  2 12:03:55.119: Crypto engine 0: generate alg param

Apr  2 12:03:56.707: CRYPTO_ENGINE: Dh phase 1 status: 0
Apr  2 12:03:56.711: ISAKMP (14): SA is doing pre-shared key authentication
Apr  2 12:03:58.667: ISAKMP (14): processing KE payload. message ID = 0
Apr  2 12:03:58.671: Crypto engine 0: generate alg param

Apr  2 12:04:00.687: ISAKMP (14): processing NONCE payload. message ID = 0
Apr  2 12:04:00.695: Crypto engine 0: create ISAKMP SKEYID for conn id 14
Apr  2 12:04:00.707: ISAKMP (14): SKEYID state generated
Apr  2 12:04:00.711: ISAKMP (14): processing vendor id payload
Apr  2 12:04:00.715: ISAKMP (14): speaking to another IOS box!
Apr  2 12:04:03.095: ISAKMP (14): processing ID payload. message ID = 0
Apr  2 12:04:03.095: ISAKMP (14): processing HASH payload. message ID = 0
Apr  2 12:04:03.099: generate hmac context for conn id 14
Apr  2 12:04:03.107: ISAKMP (14): SA has been authenticated
Apr  2 12:04:03.111: generate hmac context for conn id 14
Apr  2 12:04:03.835: generate hmac context for conn id 14
Apr  2 12:04:03.839: ISAKMP (14): processing SA payload. message ID = 1628162439
Apr  2 12:04:03.843: ISAKMP (14): Checking IPSec proposal 1
Apr  2 12:04:03.843: ISAKMP: transform 1, ESP_DES_IV64
Apr  2 12:04:03.847: ISAKMP:   attributes in transform:
Apr  2 12:04:03.847: ISAKMP:      encaps is 1
Apr  2 12:04:03.847: ISAKMP:      SA life type in seconds
Apr  2 12:04:03.851: ISAKMP:      SA life duration (basic) of 190
Apr  2 12:04:03.851: ISAKMP:      SA life type in kilobytes
Apr  2 12:04:03.855: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0 
Apr  2 12:04:03.855: ISAKMP (14): atts are acceptable.
Apr  2 12:04:03.859: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= 20.20.20.21, src= 20.20.20.20, 
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4), 
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 , 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
Apr  2 12:04:03.867: ISAKMP (14): processing NONCE payload. message ID = 1628162439
Apr  2 12:04:03.871: ISAKMP (14): processing ID payload. message ID = 1628162439
Apr  2 12:04:03.871: ISAKMP (14): processing ID payload. message ID = 1628162439
Apr  2 12:04:03.879: IPSEC(key_engine): got a queue event...
Apr  2 12:04:03.879: IPSEC(spi_response): getting spi 183903875ld for SA 
        from 20.20.20.20     to 20.20.20.21     for prot 3
Apr  2 12:04:04.131: generate hmac context for conn id 14
Apr  2 12:04:04.547: generate hmac context for conn id 14
Apr  2 12:04:04.579: ISAKMP (14): Creating IPSec SAs
Apr  2 12:04:04.579:         inbound SA from 20.20.20.20 to 20.20.20.21 
    (proxy 60.60.60.0 to 50.50.50.0)
Apr  2 12:04:04.583:         has spi 183903875 and conn_id 15 and flags 4
Apr  2 12:04:04.583:         lifetime of 190 seconds
Apr  2 12:04:04.587:         lifetime of 4608000 kilobytes
Apr  2 12:04:04.587:         outbound SA from 20.20.20.21 to 20.20.20.20 
    (proxy 50.50.50.0 to 60.60.60.0)
Apr  2 12:04:04.591:         has spi 303564824 and conn_id 16 and flags 4
Apr  2 12:04:04.591:         lifetime of 190 seconds
Apr  2 12:04:04.595:         lifetime of 4608000 kilobytes
Apr  2 12:04:04.599: IPSEC(key_engine): got a queue event...
Apr  2 12:04:04.599: IPSEC(initialize_sas): ,
  (key eng. msg.) dest= 20.20.20.21, src= 20.20.20.20, 
    dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4), 
    src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 , 
    lifedur= 190s and 4608000kb, 
    spi= 0xAF62683(183903875), conn_id= 15, keysize= 0, flags= 0x4
Apr  2 12:04:04.607: IPSEC(initialize_sas): ,
  (key eng. msg.) src= 20.20.20.21, dest= 20.20.20.20, 
    src_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4), 
    dest_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-rfc1829 , 
    lifedur= 190s and 4608000kb, 
    spi= 0x12180818(303564824), conn_id= 16, keysize= 0, flags= 0x4
Apr  2 12:04:04.615: IPSEC(create_sa): sa created,
  (sa) sa_dest= 20.20.20.21, sa_prot= 50, 
    sa_spi= 0xAF62683(183903875), 
    sa_trans= esp-rfc1829 , sa_conn_id= 15
Apr  2 12:04:04.619: IPSEC(create_sa): sa created,
  (sa) sa_dest= 20.20.20.20, sa_prot= 50, 
    sa_spi= 0x12180818(303564824), 
    sa_trans= esp-rfc1829 , sa_conn_id= 16


!--- The IPsec SAs are created, and ICMP traffic can flow.

Маршрутизатор пэра показывает Команды

!--- This illustrates a series of show command output after
!--- IKE/IPsec negotiation takes place.


goss-c2-2513#show crypto isakmp sa
    dst           src          state        conn-id   slot
20.20.20.21    20.20.20.20    QM_IDLE           14      0

goss-c2-2513#show crypto ipsec sa

interface: Serial0
    Crypto map tag: armadillo, local addr. 20.20.20.21

   local  ident (addr/mask/prot/port): (50.50.50.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (60.60.60.0/255.255.255.0/0/0)
   current_peer: 20.20.20.20
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 5, #pkts encrypt: 5, #pkts digest 0
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 20.20.20.21, remote crypto endpt.: 20.20.20.20
     path mtu 1500, media mtu 1500
     current outbound spi: 12180818

     inbound esp sas:
      spi: 0xAF62683(183903875)
        transform: esp-rfc1829 ,
        in use settings ={Var len IV, Tunnel, }
        slot: 0, conn id: 15, crypto map: armadillo
        sa timing: remaining key lifetime (k/sec): (4607999/118)
        IV size: 8 bytes
        replay detection support: N


     inbound ah sas:


     outbound esp sas:
      spi: 0x12180818(303564824)
        transform: esp-rfc1829 ,
        in use settings ={Var len IV, Tunnel, }
        slot: 0, conn id: 16, crypto map: armadillo
        sa timing: remaining key lifetime (k/sec): (4607999/109)
        IV size: 8 bytes
        replay detection support: N


     outbound ah sas:



goss-c2-2513#show crypto isakmp policy
Protection suite of priority 1
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Message Digest 5
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
goss-c2-2513#show crypto map
Crypto Map "armadillo" 1 ipsec-isakmp
        Peer = 20.20.20.20
        Extended IP access list 101
                access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255
        Current peer: 20.20.20.20
        Security association lifetime: 4608000 kilobytes/190 seconds
        PFS (Y/N): N
        Transform sets={ MamaBear, PapaBear, BabyBear, }

Советы внедрения для IPsec

Это некоторые советы внедрения для IPsec:

  • Удостоверьтесь, что у вас есть возможность соединения между конечными точками коммуникации перед формированием crypto.

  • Удостоверьтесь, что или DNS работает над маршрутизатором, или вы вошли в CA hostname, если вы используете Приблизительно

  • IPsec использует протоколы 50 и 51 IP, и движение IKE передает протокол 17, порт 500 (UDP 500). Удостоверьтесь, что они разрешены соответственно.

  • Бойтесь использовать слово любой в вашем ACL. Это вызывает проблемы. Обратитесь к Рекомендациям по Использованию для списка доступа в ссылке команды PIX для получения дополнительной информации.

  • Рекомендуемый преобразовывают комбинации:

    esp-des and esp-sha-hmac
    	ah-sha-hmac and esp-des
  • Помните, что AH является просто заверенным заголовком. Фактический пользователь Datastream не зашифрован. Вы нуждаетесь в ESP для шифрования Datastream. При использовании только AH и видите, что cleartext идет по сети, не удивляйтесь. Также используйте ESP при использовании AH. Обратите внимание на то, что ESP может также выполнить идентификацию. Поэтому, можно использовать комбинацию преобразования такой как особенно-des и esp-sha-hmac.

  • ах-rfc1828 и особенно-rfc1829 устаревшие преобразования, включенные для назад совместимости с более старыми внедрениями IPsec. Если пэр не поддерживает более новые преобразования, попробуйте их вместо этого.

  • SHA медленнее и более безопасен, чем MD5, тогда как MD5 быстрее и менее безопасен это SHA. В некоторых сообществах уровень комфорта с MD5 является очень низким.

  • Когда в сомнении, используйте туннельный способ. Туннельный способ является неплатежом, и это может использоваться в способе транспортировки, а также для его возможностей VPN.

  • Для классических crypto пользователей, которые модернизируют до Выпуска 11.3 программного обеспечения Cisco IOS, crypto методы хранения команд в конфигурации, изменился для обеспечения IPsec. Следовательно, если классические crypto пользователи когда-нибудь возвращаются к Выпуску 11.2 программного обеспечения Cisco IOS, эти пользователи должны повторно войти в свои crypto конфигурации.

  • Если вы делаете тест звона через зашифрованную связь при окончании конфигурации процесс переговоров может занять время, приблизительно шесть секунд на Cisco 4500, и приблизительно 20 секунд на Cisco 2500, потому что еще не договорились о SAs. Даже при том, что все формируется правильно, ваш звон может первоначально потерпеть неудачу. Отладка crypto ipsec и отладка crypto isakmp команды показывают вам, что происходит. Как только ваши зашифрованные Datastream закончили свой набор, звон хорошо работает.

  • Если вы сталкиваетесь с проблемой со своими переговорами (ами) и вносите изменения конфигурации, использование, которое ясный crypto и ясный crypto sa команды для смывания баз данных перед повторением. Это вынуждает переговоры начать снова без любых устаревших переговоров мешать. Ясный crypto, и четкий крик sa команды очень полезны этим способом.

Помощь и соответствующие связи

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Информация о IPsec


Document ID: 16439