Безопасность : Cisco FlexVPN

Пример конфигурации от сайта к сайту FlexVPN

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ предоставляет пример конфигурации для протокола IPSEC (Internet Protocol Security) от сайта к сайту FlexVPN (IPSec) / Туннель универсальной инкапсуляции маршрутизации (GRE).

Внесенный Джеем Янгом и Атри Базу, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Обратитесь к Cisco Technical Tips Conventions для получения информации об условных обозначениях в документации.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).  

Схема сети

В этом документе использованы параметры данной сети:

Конфигурация туннеля PSK

Процедура в этом разделе описывает, как использовать предварительный общий ключ (PSK) для настройки туннелей в этой сетевой среде.

Лево-маршрутизатор

  1. Настройте брелок второй версии протокола Internet Key Exchange (IKEv2):
     crypto ikev2 keyring mykeys
    peer Right-Router
    address 172.20.5.43
    pre-shared-key Cisco123
    !
  2. Реконфигурируйте профиль по умолчанию IKEv2 чтобы к:
    • соответствие на ID IKE
    • установите методы аутентификации для локального и удаленного
    • сошлитесь на брелок, перечисленный в предыдущем шаге
       crypto ikev2 profile default
      match identity remote address 172.20.5.43 255.255.255.255
      authentication local pre-share
      authentication remote pre-share
      keyring local mykeys
      dpd 60 2 on-demand
      !
  3. Реконфигурируйте профиль IPSec по умолчанию для ссылки на профиль IKEv2 по умолчанию:
    crypto ipsec profile default
    set ikev2-profile default
    !
    interface Tunnel0
    ip address 10.1.12.100 255.255.255.0
    tunnel source Ethernet0/0
    tunnel destination 172.20.5.43
    tunnel protection ipsec profile default
    !
  4. Настройте LAN и Интерфейсы WAN:
     interface Ethernet0/0
    description WAN
    ip address 172.18.3.52 255.255.255.0
    !
    interface Ethernet0/1
    description LAN
    ip address 192.168.100.1 255.255.255.0
    !
    ip route 0.0.0.0 0.0.0.0 172.18.3.1 name route_to_internet

Правильный маршрутизатор

Повторите шаги от Лево-конфигурации маршрутизатора, но с этими необходимыми изменениями:

 crypto ikev2 keyring mykeys
peer Left-Router
address 172.18.3.52
pre-shared-key Cisco123
!
crypto ikev2 profile default
match identity remote address 172.18.3.52 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local mykeys
dpd 60 2 on-demand
!
crypto ipsec profile default
set ikev2-profile default
!
interface Tunnel0
ip address 10.1.12.1 255.255.255.0
tunnel source Ethernet0/0
tunnel destination 172.18.3.52
tunnel protection ipsec profile default
!
interface Ethernet0/0
description WAN
ip address 172.20.5.43 255.255.255.0
!
interface Ethernet0/1
description LAN
ip address 192.168.200.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 172.20.5.1 name route_to_internet

Конфигурация туннеля PKI

После того, как туннель от предыдущего раздела завершен с PSK, это может легко быть изменено для использования Инфраструктуры открытых ключей (PKI) для аутентификации. В данном примере Лево-маршрутизатор подтверждает подлинность себя с вправо-маршрутизатором сертификата. Правильный Маршрутизатор продолжает использовать PSK для аутентификации себя налево-маршрутизатор. Это было сделано для показа асимметричной аутентификации; однако, это тривиально для коммутации обоих для использования проверки подлинности сертификата.

Лево-маршрутизатор

  1. Настройте Cisco IOS® Certificate Authority (CA) на маршрутизаторе:
    Left-Router#config t
    Left-Router(config)#ip http server
    Left-Router(config)#crypto pki server S2S-CA
    Left-Router(cs-server)#issuer-name cn="S2S-CA"
    Left-Router(cs-server)#grant auto
    Left-Router(cs-server)#no shut
    %Some server settings cannot be changed after CA certificate generation.
    % Please enter a passphrase to protect the private key
    % or type Return to exit
    Password:

    Re-enter password:
    % Generating 1024 bit RSA keys, keys will be non-exportable...
    [OK] (elapsed time was 0 seconds)
    % Exporting Certificate Server signing certificate and keys...
  2. Подтвердите подлинность и зарегистрируйте точку доверия ID:
    Left-Router#config t
    Left-Router(config)#ip domain name cisco.com
    Left-Router(config)#crypto pki trustpoint S2S-ID
    Left-Router(ca-trustpoint)#enrollment url http://172.18.3.52:80
    Left-Router(ca-trustpoint)#subject-name cn=Left-Router.cisco.com
    Left-Router(ca-trustpoint)#exit
    Left-Router(config)#crypto pki authenticate S2S-ID
    Certificate has the following attributes:
    Fingerprint MD5: C11CD575 EC2DEACD 97E9AA3A 2DACFCAB
    Fingerprint SHA1: A8A6E79B D1932175 F12652F1 4F967077 3AEFAF08

    % Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    Left-Router(config)#
    Left-Router(config)#crypto pki enroll S2S-ID
    %
    % Start certificate enrollment ..
    % Create a challenge password. You will need to verbally provide this
    password to the CA Administrator in order to revoke your certificate.
    For security reasons your password will not be saved in the configuration.
    Please make a note of it.

    Password:
    Re-enter password:
    *Oct 29 15:15:50.287: %CRYPTO-6-AUTOGEN: Generated new 512 bit key pair

    % The subject name in the certificate will include: cn=R1.cisco.com
    % The subject name in the certificate will include: R1.cisco.com
    % Include the router serial number in the subject name? [yes/no]: no
    % Include an IP address in the subject name? [no]: no
    Request certificate from CA? [yes/no]: yes
    % Certificate request sent to Certificate Authority
    % The 'show crypto pki certificate verbose S2S-ID' command will show the fingerprint.

    *Oct 29 15:15:57.722: CRYPTO_PKI: Certificate Request Fingerprint MD5:
    CA34FD51 A85007EF A785E058 60D8877D
    *Oct 29 15:15:57.722: CRYPTO_PKI: Certificate Request Fingerprint SHA1:
    E37AAE3C 851953C3 9FABE1FD 2F0EACD5 566F361E
    Left-Router(config)#exit
    Left-Router#
    *Oct 29 15:16:57.829: %PKI-6-CERTRET: Certificate received from Certificate Authority
  3. Реконфигурируйте профиль IKEv2:
     crypto ikev2 profile default
    authentication local rsa-sig
    identity local dn
    pki trustpoint S2S-ID

Правильный маршрутизатор

  1. Подтвердите подлинность точки доверия CA так, чтобы маршрутизатор мог проверить Лево-сертификат маршрутизатора:
    Right-Router#config t
    Right-Router(config)#ip domain name cisco.com
    Right-Router(config)#crypto pki trustpoint S2S-ID
    Right-Router(ca-trustpoint)#enrollment url http://172.18.3.52:80
    Right-Router(ca-trustpoint)#revocation-check none
    Right-Router(ca-trustpoint)#exit
    Right-Router(config)#crypto pki authenticate S2S-IDCertificate has the following attributes:
    Fingerprint MD5: C11CD575 EC2DEACD 97E9AA3A 2DACFCAB
    Fingerprint SHA1: A8A6E79B D1932175 F12652F1 4F967077 3AEFAF08

    % Do you accept this certificate? [yes/no]: yes
    Trustpoint CA certificate accepted.
    Right-Router(config)#
  2. Реконфигурируйте профиль IKEv2 для соответствия с входящим соединением:
     crypto pki certificate map S2S-Cert-Map 10
    issuer eq cn=S2S-CA
    crypto ikev2 profile default
    match certificate S2S-Cert-Map
    authentication remote rsa-sig

Проверка.

Используйте покажите крипто-ikev2 sa детализированная команда для подтверждения конфигурации.

Правильный Маршрутизатор показывает это:

  • Подлинный Знак =, Как этот маршрутизатор подтверждает подлинность себя к Лево-маршрутизатору = Предварительный общий ключ
  • Аутентификация Проверяет =, Как Лево-маршрутизатор подтверждает подлинность себя к этому маршрутизатору = RSA (Сертификат)
  • Локальным/Удаленным идентификатором = ISAKMP - идентичность обмениваются
 IPv4 Crypto IKEv2  SA

Tunnel-id Local Remote fvrf/ivrf Status
1 172.20.5.43/500 172.18.3.52/500 none/none READY
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth
verify: RSA
Life/Active Time: 86400/3165 sec
CE id: 1043, Session-id: 22
Status Description: Negotiation done
Local spi: 3443E884EB151E8D Remote spi: 92779BC873F58132
Local id: 172.20.5.43
Remote id: hostname=Left-Router.cisco.com,cn=Left-Router.cisco.com
Local req msg id: 0 Remote req msg id: 4
Local next msg id: 0 Remote next msg id: 4
Local req queued: 0 Remote req queued: 4
Local window: 5 Remote window: 5
DPD configured for 60 seconds, retry 2
NAT-T is not detected
Cisco Trust Security SGT is disabled
Initiator of SA : No

IPv6 Crypto IKEv2 SA

Конфигурация маршрутизации

Пример предыдущей конфигурации позволяет туннелю быть установленным, но не предоставляет информации о маршрутизации (т.е. какие назначения доступны по туннелю). С IKEv2 существует два способа обмениваться этой информацией: Протоколы динамической маршрутизации и Маршруты IKEv2.

Протоколы динамической маршрутизации

Так как туннелем является Туннель GRE "точка-точка", он ведет себя как любой другой интерфейс точка-точка (например: последовательный, номеронабиратель), и возможно выполнить любой Протокол IGP / Протокол EGP по ссылке для обмена сведениями о маршрутизации. Вот пример Протокола EIGRP:

  1. Настройте Лево-маршрутизатор, чтобы включить и объявить EIGRP на LAN и туннельных интерфейсах:
    router eigrp 100
    no auto-summary
    network 10.1.12.0 0.0.0.255
    network 192.168.100.0 0.0.0.255
  2. Настройте Правильный Маршрутизатор, чтобы включить и объявить EIGRP на LAN и туннельных интерфейсах:
    router eigrp 100
    no auto-summary
    network 10.1.12.0 0.0.0.255
    network 192.168.200.0 0.0.0.255
  3. Подтвердите, что маршрут к 192.168.200.0/24 изучен по туннелю через EIGRP:
    Left-Router#show ip route
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
    + - replicated route, % - next hop override

    Gateway of last resort is 172.18.3.1 to network 0.0.0.0

    S* 0.0.0.0/0 [1/0] via 172.18.3.1
    10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
    C 10.1.12.0/24 is directly connected, Tunnel0
    L 10.1.12.100/32 is directly connected, Tunnel0
    172.18.0.0/16 is variably subnetted, 2 subnets, 2 masks
    C 172.18.3.0/24 is directly connected, Ethernet0/0
    L 172.18.3.52/32 is directly connected, Ethernet0/0
    192.168.100.0/24 is variably subnetted, 2 subnets, 2 masks
    C 192.168.100.0/24 is directly connected, Ethernet0/1
    L 192.168.100.1/32 is directly connected, Ethernet0/1
    D 192.168.200.0/24 [90/27008000] via 10.1.12.1, 00:00:22, Tunnel0

Маршруты IKEv2

Вместо того, чтобы использовать маршруты протокола динамической маршрутизации для обучения назначений по туннелю, маршрутами можно было бы обменяться во время установления Сопоставления безопасности (SA) IKEv2.

  1. Слева-маршрутизатор, настройте список подсетей, что Лево-маршрутизатор объявляет вправо-маршрутизатор:
    ip access-list standard Net-List
    permit 192.168.100.0 0.0.0.255
  2. Слева-маршрутизатор, настройте политику авторизации для определения подсетей для объявления:
    • /32 настроенный на туннельном интерфейсе
    • /24 на маршрут ссылаются в ACL
    crypto ikev2 authorization policy default
    route set interface
    route set access-list Net-List
  3. Слева-маршрутизатор, реконфигурируйте профиль IKEv2 для ссылки на политику авторизации, когда используются предварительные общие ключи:
    crypto ikev2 profile default
    aaa authorization group psk list default default
  4. Справа-маршрутизатор, повторите шаги 1 и 2 и отрегулируйте профиль IKEv2 для ссылки на политику авторизации, когда используются сертификаты:
    ip access-list standard Net-List
    permit 192.168.200.0 0.0.0.255

    crypto ikev2 authorization policy default
    route set interface
    route set access-list Net-List

    crypto ikev2 profile default
    aaa authorization group cert list default default
  5. Используйте команды закрывающему и no shut   на туннельном интерфейсе, чтобы вынудить новую IKEv2 SA быть созданными.

  6. Проверьте, что обмениваются маршрутами IKEv2. См. "Удаленные подсети" в этом примере выходных данных:
    Right-Router#show crypto ikev2 sa detailed 
    IPv4 Crypto IKEv2 SA

    Tunnel-id Local Remote fvrf/ivrf Status
    1 172.20.5.43/500 172.18.3.52/500 none/none READY
    Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth verify: RSA
    Life/Active Time: 86400/3165 sec
    CE id: 1043, Session-id: 22
    Status Description: Negotiation done
    Local spi: 3443E884EB151E8D Remote spi: 92779BC873F58132
    Local id: 172.20.5.43
    Remote id: hostname=R100.cisco.com,cn=R100.cisco.com
    Local req msg id: 0 Remote req msg id: 4
    Local next msg id: 0 Remote next msg id: 4
    Local req queued: 0 Remote req queued: 4
    Local window: 5 Remote window: 5
    DPD configured for 60 seconds, retry 2
    NAT-T is not detected
    Cisco Trust Security SGT is disabled Initiator of SA : No

    Remote subnets:
    10.1.12.100 255.255.255.255
    192.168.100.0 255.255.255.0

    IPv6 Crypto IKEv2 SA

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.