Безопасность и VPN : Протоколы IPSec Negotiation/IKE

IPSec Настройки - предварительные совместно используемые подстановочные ключи с Cisco Secure VPN Client и Config без режимов

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (24 августа 2015) | Отзыв


Cisco Secure VPN Client 1.x является поддержкой закончена. Для получения дополнительной информации сошлитесь на Информационные листки продукта 938.


Содержание


Введение

Этот пример конфигурации иллюстрирует маршрутизатор, настроенный для предварительных совместно используемых подстановочных ключей — все ПК - клиенты совместно используют общий ключ. Удаленный пользователь вводит сеть, поддерживая собственный IP-адрес; данные между ПК удаленного пользователя и маршрутизатором зашифрованы.

Предварительные условия

Требования

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения, содержащиеся в данном документе, относятся к следующим версиям программного и аппаратного обеспечения.

  • Cisco выпуск ПО IOS� 12.2.8. T1

  • Версия 1.0 или 1.1 Cisco Secure VPN Client — поддержка закончена

  • Маршрутизатор Cisco с DES или образом 3DES

Сведения, представленные в этом документе, были получены от устройств в специфической лабораторной среде. Все устройства, используемые в этом документе, были запущены с чистой конфигурацией (конфигурацией по умолчанию). При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Дополнительные сведения о командах, используемых в данном документе, можно получить с помощью средства поиска команд (только для зарегистрированных клиентов).

Схема сети

В данном документе используется сеть, изображенная на следующей схеме.

/image/gif/paws/14148/wild_no_mode.gif

Конфигурации

В данном документе используются следующие конфигурации.

Конфигурация маршрутизатора
Current configuration:
!
version 12.2

service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RTCisco
!
enable password hjwwkj
!
!
ip subnet-zero
ip domain-name cisco.com
ip name-server 203.71.57.242
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key mysecretkey address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set mypolicy esp-des esp-md5-hmac
!
crypto dynamic-map dyna 10
set transform-set mypolicy
!
crypto map test 10 ipsec-isakmp dynamic dyna
!
!
interface Serial0
ip address 203.71.90.182 255.255.255.252
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
crypto map test
!
interface Ethernet0
ip address 88.88.88.1 255.255.255.0
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 203.71.90.181
!
!
line con 0
transport input none
line aux 0
transport input all
line vty 0 4
password cscscs
login
!
end

Конфигурация клиента VPN
Network Security policy:


1- Myconn
    My Identity
         Connection security: Secure
         Remote Party Identity and addressing
         ID Type: IP subnet
         88.88.88.0
         255.255.255.0
         Port all Protocol all


    Connect using secure tunnel
         ID Type: IP address
         203.71.90.182


    Authentication (Phase 1)
    Proposal 1

        Authentication method: Preshared key
        Encryp Alg: DES
        Hash Alg: MD5
        SA life:  Unspecified
        Key Group: DH 1

    Key exchange (Phase 2)
    Proposal 1
        Encapsulation ESP
        Encrypt Alg: DES
        Hash Alg: MD5
        Encap: tunnel
        SA life: Unspecified
        no AH

2- Other Connections
       Connection security: Non-secure
       Local Network Interface
         Name: Any
         IP Addr: Any
         Port: All

Проверка.

В данном разделе содержатся сведения о проверке работы конфигурации.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

  • show crypto isakmp sa – Показывает сопоставления безопасности фазы 1.

  • show crypto ipsec sa сопоставления безопасности Фазы 1 и прокси, инкапсуляцию, шифрование, декапсуляцию и информацию для расшифровки.

  • show crypto engine connection active — Показывают текущие соединения и информацию относительно зашифрованных и расшифрованных пакетов.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Команды для устранения неполадок

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

Примечание: Прежде чем вызывать команды debug, обратитесь к разделу Важные сведения о командах отладки.

Примечание: Необходимо очистить сопоставления безопасности на обоих узлах. Выполните команды маршрутизатора в запрещающем режиме.

Примечание: Необходимо выполнить эти отладки на обоих Узлах IPsec.

  • "debug crypto isakmp" - отображаются ошибки, возникающие в фазе 1.

  • "debug crypto ipsec" – отображает ошибки в фазе 2.

  • debug crypto engine – отображает информацию от криптографического модуля.

  • clear crypto isakmp —Очищает связи безопасности в фазе 1.

  • clear crypto sa – удаляет связи безопасности, соответствующие второму этапу.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 14148