Безопасность и VPN : Протоколы IPSec Negotiation/IKE

ASA 9.x: VPN/IPsec с Примером Конфигурации OSPF

11 августа 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (8 августа 2008) | Английский (21 июля 2015) | Отзыв

Введение

Этот документ обеспечивает типовую конфигурацию для VPN/IPsec с Открытым кратчайшим путем сначала (OSPF) на Адаптивном приборе безопасности (ASA) Cisco. ASA позволяет OSPF unicast переезжать существующую связь VPN. Вы больше не должны формировать тоннель Универсальной герметизации направления (GRE).

Внесенный Динкэром Шармой и Амандипом Сингхом, Cisco инженеры TAC.

Предпосылки

Требования

Cisco рекомендует иметь основное понимание от места к месту IPsec туннельная конфигурация VPN на ASA.

Используемые компоненты

Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:

  • 5500-x Прибор безопасности ASA, который управляет Версией 9.x программного обеспечения и позже

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Формировать

Примечание: Используйте Инструмент Поиска Команды (только зарегистрированные клиенты) для получения большей информации о командах, используемых в этой секции.

Сетевая диаграмма

Конфигурации командной строки

Этот документ перечисляет примеры конфигурации и с IKEv1 и с протоколами IKEv2, но тоннель IPsec был сформирован с только IKEv2.

Местный ASA

ASA Version 9.1(5)
!
hostname LOCAL-ASA
!

!--- Configure the Inside and Outside interface.

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0
ospf cost 10
ospf network point-to-point non-broadcast
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.20.1 255.255.255.0
!

!--- Configure a manual Network Address Translation (NAT) Rule so that traffic
!--- should not be translated.

object network NETWORK_OBJ_172.16.20.0_24
subnet 172.16.20.0 255.255.255.0
object network NETWORK_OBJ_172.16.30.0_24
subnet 172.16.30.0 255.255.255.0

nat (inside,outside) source static NETWORK_OBJ_172.16.20.0_24
NETWORK_OBJ_172.16.20.0_24 destination static NETWORK_OBJ_172.16.30.0_24
NETWORK_OBJ_172.16.30.0_24 no-proxy-arp route-lookup

!--- The traffic specified by this Access Control List (ACL) is traffic that is
!--- to be encrypted and sent across the VPN tunnel.


access-list outside_cryptomap extended permit ip 172.16.20.0 255.255.255.0
172.16.30.0 255.255.255.0
access-list outside_cryptomap extended permit ospf interface outside host 198.51.100.1

!---
Add this ARP entry in the ASA.


arp outside 198.51.100.1 c84c.7522.1a32

!--- Configure the OSPF router process.

router ospf 100
network 172.16.20.0 255.255.255.0 area 0
network 203.0.113.0 255.255.255.0 area 0
area 0 neighbor 198.51.100.1 interface outside
log-adj-changes
!
route outside 198.51.100.0 255.255.255.0 203.0.113.2 1


!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses ISAKMP policy 30 for IKEv1 and policy for IKEv2.
!--- The configuration commands here define the Phase 1 policy parameters that are used.

crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev2 policy 1
encryption aes-256
integrity sha group 5 2
prf sha
lifetime seconds 86400

!--- In order to create and manage the database of connection-specific records for
!--- ipsec-l2l-IPsec (LAN-to-LAN) tunnels, use the command tunnel-group in global
!--- configuration mode. For L2L connections the name of the tunnel group MUST be the
!--- IP address of the IPsec peer.


tunnel-group 198.51.100.1 type ipsec-l2l

!--- Enter the preshared key in order to configure the authentication method.

tunnel-group 198.51.100.1 ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****

!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.
!--- Define the transform set for Phase 2.

crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption 3des protocol esp
integrity sha-1 md5

!--- Define which traffic should be sent to the IPsec peer.

crypto map outside_map 1 match address outside_cryptomap

!--- Sets the IPsec peer.

crypto map outside_map 1 set peer 198.51.100.1

!--- Sets the IPsec transform set "ESP-AES-128-SHA" to be used with the crypto map
!--- entry "outside_map".

crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 set ikev2 ipsec-proposal DES

!--- Specifies the interface to be used with the settings defined in this
!--- configuration.

crypto map outside_map interface outside

!--- Enable IKEv1/IKEv2 on the outside interface.

crypto ikev2 enable outside
crypto ikev1 enable outside

Отдаленный ASA

ASA Version 9.1(5)
!
hostname REMOTE-ASA
!

!--- Configure the Inside and Outside interface.


interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 198.51.100.1 255.255.255.0
ospf cost 10
ospf network point-to-point non-broadcast
!

interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.30.1 255.255.255.0
!

!--- Configure a manual NAT Rule so that traffic should not be translated.

object network NETWORK_OBJ_172.16.20.0_24
subnet 172.16.20.0 255.255.255.0
object network NETWORK_OBJ_172.16.30.0_24
subnet 172.16.30.0 255.255.255.0

nat (inside,outside) source static NETWORK_OBJ_172.16.30.0_24
NETWORK_OBJ_172.16.30.0_24 destination static NETWORK_OBJ_172.16.20.0_24
NETWORK_OBJ_172.16.20.0_24 no-proxy-arp route-lookup

!--- The traffic specified by this ACL is traffic that is to be encrypted and sent
!--- across the VPN tunnel.


access-list outside_cryptomap extended permit ip 172.16.30.0 255.255.255.0
172.16.20.0 255.255.255.0
access-list outside_cryptomap extended permit ospf interface outside host
203.0.113.1 log disable

!---
Add this ARP entry in ASA.


arp outside 203.0.113.1 c84c.7522.1a33

!--- Configure the OSPF router process.


router ospf 100
network 172.16.30.0 255.255.255.0 area 0
network 198.51.100.0 255.255.255.0 area 0
area 0 neighbor 203.0.113.1 interface outside
log-adj-changes !

route management 10.24.21.126 255.255.255.255 10.105.130.1 1
route outside 203.0.113.0 255.255.255.0 198.51.100.2 1

!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses isakmp policy 30 for IKEv1 and policy for IKEv2.
!--- The configuration commands here define the Phase 1 policy parameters that are used.



crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev2 policy 1
encryption aes-256
integrity sha group 5 2
prf sha
lifetime seconds 86400

!--- In order to create and manage the database of connection-specific records for
!--- ipsec-l2l-IPsec (LAN-to-LAN) tunnels, use the command tunnel-group in global
!--- configuration mode. For L2L connections the name of the tunnel group MUST be the
!--- IP address of the IPsec peer.


tunnel-group 203.0.113.1 type ipsec-l2l

!--- Enter the preshared key in order to configure the authentication method.

tunnel-group 203.0.113.1 ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key ***** !

!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.
!--- Define the transform set for Phase 2.

crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption 3des protocol esp
integrity sha-1 md5

!--- Define which traffic should be sent to the IPsec peer.

crypto map outside_map 1 match address outside_cryptomap

!--- Sets the IPsec peer.

crypto map outside_map 1 set peer 203.0.113.1

!--- Sets the IPsec transform set "TSET" to be used with the crypto map entry
!--- "outside_map".

crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 set ikev2 ipsec-proposal DES

!--- Specifies the interface to be used with the settings defined in this
!--- configuration.

crypto map outside_map interface outside

!--- Enable IKEv1/IKEv2 on the outside interface.

crypto ikev2 enable outside
crypto ikev1 enable outside

Примечание: необходимо связать crypto-карту с интерфейсом перед определением соседа OSPF, чтобы гарантировать, что обновления OSPF переданы через тоннель VPN. При закреплении crypto-карты с интерфейсом после того, как вы определяете соседа OSPF, входите в ясную команду местного хозяина для прояснения связей OSPF, таким образом, окрестности OSPF могут быть установлены по тоннелю VPN.

Конфигурация диспетчера устройств ASA

  1. Выберите Волшебников> Волшебник VPN для создания от места к месту тоннель VPN. В Волшебном окне VPN как показано здесь, нажмите Далее для начала конфигурации VPN.

  2. Войдите в IP-адрес пэра и интерфейс от того, где пэр достижим, и нажать Далее.

    Примечание: предполагается, что устройство пэра достижимо от местного устройства, то есть, необходимое направление для достижимости пэра уже присутствует.

  3. Войдите в местные и отдаленные подсети, между которыми вы хотите обеспечить коммуникацию и нажать Далее.

  4. Так как вы строите от места к месту VPN с предобщей ключевой идентификацией, входите в предобщий ключ, который будет использоваться и нажмет Далее.

  5. Проверьте выбор формировать освобождение NAT для местных и отдаленных подсетей и выбрать исходный интерфейс, то есть, интерфейс, связанный с местной подсетью. Нажать Далее.

  6. Рассмотрите резюме конфигурации для точности и затем нажмите Finish.

  7. Необходимо определить торговлю OSPF crypto ACL так, чтобы движение OSPF было зашифровано и послано через тоннель VPN. Чтобы сделать это, выберите Конфигурацию> От места к месту VPN> Продвинутый> менеджер по ACL. Выберите crypto ACL, что вы формировали в шаге 3, и выберите, Добавляют>, Добавляет ACE на вершине. Выберите источник в качестве внешнего интерфейса, место назначения как отдаленный IP-адрес пэра и обслуживание как OSPF и нажмите OK. Нажмите Apply для подталкивания изменений ASA.

  8. Для формирования OSPF выберите Конфигурацию> Установка Устройства> Направление> OSPF> Установка. Щелкните вкладкой Process Instances, позвольте процесс OSPF и войдите, OSPF обрабатывают ID.

  9. Щелкните счетом области/Сетей и нажмите Add, чтобы формировать область ID (0 в этом случае) и добавить сети, в которых вы управляете процессом OSPF. Добавьте внутреннюю часть и внешнюю подсеть и затем нажмите OK.

  10. Нажмите Apply для подталкивания изменений конфигурации ASA.

  11. Формируйте внешний интерфейс так, чтобы он мог сформировать двухточечное соседство с отдаленным пэром по VPN. Выберите Конфигурацию> Установка Устройства> Направление> OSPF> интерфейс. Щелкните вкладкой Properties и выберите внешний интерфейс. Нажмите Edit. В окне редактирования снимите флажок с флажком вещания и нажмите OK. Нажмите Apply для подталкивания изменений.

  12. Определите отдаленного пэра как статического соседа OSPF. Выберите Конфигурацию> Установка Устройства> Направление> OSPF> Статический Сосед и нажмите Add. В Добавлении Соседнего окна Входа Ospf, для Процесса OSPF ID, определенный в шаге 8, определяют отдаленного пэра IP как соседа и интерфейс как снаружи. Нажмите OK и затем нажмите Apply.

  13. Формируйте статический вход Протокола резолюции адреса (ARP) на Местном-жителе-ASA для отдаленного IP-адреса пэра. Причина этого состоит в том, что маршруты, которые этот ASA изучит через OSPF, будут иметь IP-адрес пэра 198.51.100.1 как следующий перелет. Для достижения 198.51.100.1, ASA должен будет снова сделать поиск маршрута, который не возможен, потому что ASA не поддерживает рекурсивный поиск маршрута. Для отправления пакетов для отдаленных мест назначения ASA нуждается в Слое 2 адреса, которые соответствуют IP-адресу пэра. Дайте статический ARP для отображения Мак адреса следующего IP-адреса перелета пэру VPN IP-адрес. Чтобы сделать это, выберите Конфигурацию> управление Устройством> Продвинутый> ARP> ARP Статический Стол и нажмите Add для формирования статического ARP как показано здесь. Необходимо будет дать подобный статический вход ARP на отдаленном конце также.

  14. Для тестирования целей позвольте управленческий доступ во внутреннем интерфейсе через тоннель VPN. Чтобы сделать это, выберите Конфигурацию> управление Устройством> управленческий Доступ> управленческий Интерфейс и определите управленческий Интерфейс Доступа как внутри.

Проверить

Используйте эту секцию, чтобы подтвердить, что ваша конфигурация работает должным образом.

Переводчик Продукции Тул (только зарегистрированные клиенты) поддерживает определенные выставочные команды. Используйте переводчика Продукции Тула для просмотра анализа выставочной продукции команды.

покажите, что crypto isakmp sa - Показывает интернет-Протокол Сопоставления безопасности и Ключевого менеджмента (ISAKMP) сопоставление безопасности (SA), которое построено между пэрами.

LOCAL-ASA# show crypto isakmp sa

There are no IKEv1 SAs

IKEv2 SAs:

Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local Remote Status Role
5924753 203.0.113.1/500 198.51.100.1/500 READY INITIATOR
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/7922 sec
Child sa: local selector 203.0.113.1/0 - 203.0.113.1/0
remote selector 198.51.100.1/0 - 198.51.100.1/0
ESP spi in/out: 0x28b5cd3d/0xb785cc6d


REMOTE-ASA# show crypto isakmp sa
There are no IKEv1 SAs
IKEv2 SAs:

Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local Remote Status Role
1760437 198.51.100.1/500 203.0.113.1/500 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/7934 sec
Child sa: local selector 198.51.100.1/0 - 198.51.100.1/0
remote selector 203.0.113.1/0 - 203.0.113.1/0
ESP spi in/out: 0xb785cc6d/0x28b5cd3d

покажите, что crypto ipsec sa - Показывает каждой Фазе 2 SA, который построен и сумма движения, которое посылают.

LOCAL-ASA# show crypto ipsec sa
interface: outside
Crypto map tag: outside_map, seq num: 1, local addr: 203.0.113.1

access-list outside_cryptomap extended permit ospf interface outside host
198.51.100.1 log disable
local ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/89/0)
remote ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/89/0)
current_peer: 198.51.100.1


#pkts encaps: 828, #pkts encrypt: 828, #pkts digest: 828
#pkts decaps: 814, #pkts decrypt: 814, #pkts verify: 814
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 828, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 203.0.113.1/500, remote crypto endpt.: 198.51.100.1/500
path mtu 1500, ipsec overhead 74(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: B785CC6D
current inbound spi : 28B5CD3D

inbound esp sas:
spi: 0x28B5CD3D (683003197)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 126976, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4239306/20803)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0xB785CC6D (3078999149)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 126976, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4193224/20803)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001


REMOTE-ASA# show crypto ipsec sa
interface: outside
Crypto map tag: outside_map, seq num: 1, local addr: 198.51.100.1

access-list outside_cryptomap extended permit ospf interface outside host
203.0.113.1 log disable
local ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/89/0)
remote ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/89/0)
current_peer: 203.0.113.1


#pkts encaps: 814, #pkts encrypt: 814, #pkts digest: 814
#pkts decaps: 829, #pkts decrypt: 829, #pkts verify: 829
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 814, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 198.51.100.1/500, remote crypto endpt.: 203.0.113.1/500
path mtu 1500, ipsec overhead 74(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: 28B5CD3D
current inbound spi : B785CC6D

inbound esp sas:
spi: 0xB785CC6D (3078999149)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 61440, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4008904/20796)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x28B5CD3D (683003197)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 61440, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4054986/20796)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001

покажите, что сосед ospf - Показывает соседнее семейное положение OSPF.

LOCAL-ASA# show ospf neighbor

Neighbor ID Pri State Dead Time Address Interface
198.51.100.1 1 FULL/ - 0:00:32 198.51.100.1 outside

REMOTE-ASA# show ospf neighbor

Neighbor ID Pri State Dead Time Address Interface
203.0.113.1 1 FULL/ - 0:00:39 203.0.113.1 outside

покажите, что маршрут - Показывает записи таблицы маршрутизации IP.

LOCAL-ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

C 203.0.113.0 255.255.255.0 is directly connected, outside
O 172.16.30.0 255.255.255.0 [110/20] via 198.51.100.1, 1:45:52, outside
C 172.16.20.0 255.255.255.0 is directly connected, inside
S 198.51.100.0 255.255.255.0 [1/0] via 203.0.113.2, outside
S 10.24.21.126 255.255.255.255 [1/0] via 10.105.130.1, management
C 10.105.130.0 255.255.255.0 is directly connected, management


REMOTE-ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

S 203.0.113.0 255.255.255.0 [1/0] via 198.51.100.2, outside
C 172.16.30.0 255.255.255.0 is directly connected, inside
O 172.16.20.0 255.255.255.0 [110/20] via 203.0.113.1, 1:45:57, outside
C 198.51.100.0 255.255.255.0 is directly connected, outside
S 10.24.21.126 255.255.255.255 [1/0] via 10.105.130.1, management
C 10.105.130.0 255.255.255.0 is directly connected, management

Свистят внутренние интерфейсы устройства пэра от каждого устройства для подтверждения возможности соединения.

LOCAL-ASA# ping inside 172.16.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms


REMOTE-ASA# ping inside 172.16.20.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.20.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Расследовать

В настоящее время нет никакой определенной информации о поиске неисправностей, доступной для этой конфигурации.

Соответствующая информация


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 63882