Безопасность и VPN : Протоколы IPSec Negotiation/IKE

Настройка соединения через протокол IPSec между двумя маршрутизаторами и Cisco VPN Client 4.x

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (10 мая 2007) | Отзыв

Содержание

Общие сведения
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Настройка
      Схема сети
      Настройка
Проверка
      Виртуальная частная сеть Cisco 2611
      Виртуальная частная сеть Cisco 3640
Поиск и устранение неисправностей
      Команды поиска и устранения неисправностей
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Общие сведения

В этом документе показано, как настраивать соединение по протоколу IPSec между двумя маршрутизаторами Cisco и Cisco VPN Client 4.x. Операционная система Cisco IOS® Release 12.2(8)T и более поздних версий поддерживает соединения с Cisco VPN Client версии 3.x и более поздних.

Для получения дополнительных сведений о динамическом назначении IP-адреса оконечному сетевому устройству другим оконечным сетевым устройством L2L-туннеля см. документ под названием Настройка соединения по протоколу IPsec между одноранговыми узлами с динамической маршрутизацией LAN-to-LAN и клиентами VPN.

Предварительные условия

Требования

Перед проведением настройки убедитесь, что выполняются следующие условия:

  • Соединению по протоколу IPsec назначен пул адресов;

  • Для клиентов VPN группа с названием 3000clients обладает предварительно распространенным ключом коллективного пользования cisco123;

  • Для клиентов VPN аутентификация групп и пользователей осуществляется на маршрутизаторе локально;

  • Для туннеля между локальными сетями используется параметр no-xauth для команды ISAKMP key.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Маршрутизатор под управлением операционной системы Cisco IOS Release 12.2(8)T;

    Примечание.  Сведения, содержащиеся в данном документе, были недавно проверены для операционной системы Cisco IOS Release 12.3(1). В связи с этим никаких изменений вносить не требуется.

  • Cisco VPN Client для Windows версии 4.х (любая программа VPN Client версии 3.x и выше).

Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие на сеть всех команд.

Ниже приведены результаты выполнения команды show version на маршрутизаторе.

vpn2611#show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-JK9O3S-M), Version 12.2(8)T,
   RELEASE SOFTWARE (fc2)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Thu 14-Feb-02 16:50 by ccai
Image text-base: 0x80008070, data-base: 0x81816184

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

vpn2611 uptime is 1 hour, 15 minutes
System returned to ROM by reload
System image file is "flash:c2600-jk9o3s-mz.122-8.T"

cisco 2611 (MPC860) processor (revision 0x203) 
   with 61440K/4096K bytes of memory.
Processor board ID JAD04370EEG (2285146560)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
2 Ethernet/IEEE 802.3 interface(s)
1 Serial network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе "Технические рекомендации Cisco. Условные обозначения".

Настройка

В данном разделе приводятся сведения о настройке функций, описанных в этом документе.

Схема сети

В данном документе используется следующая схема сети:

ipsecrouter_vpn-h.gif

Примечание.  IP-адреса в данном примере не маршрутизируются в сети Интернет, так как они являются частными IP-адресами в лабораторной сети.

Настройки

Настройка маршрутизатора Cisco 2611

Маршрутизатор Cisco 2611

vpn2611#show run
Построение конфигурации...

Текущая конфигурация: 2265 байт
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn2611
!

!--- Разрешите AAA для аутентификации пользователя и
!--- и авторизации группы.

aaa new-model
!
!

!--- Чтобы разрешить X-Auth для аутентификации пользователя,
!--- разрешите выполнение команд aaa authentication.

aaa authentication login userauthen local


!--- Для выполнения авторизации группы разрешите
!--- выполнение команд aaa authorization.

aaa authorization network groupauthor local 
aaa session-id common
!


!--- Для локальной аутентификации пользователя по протоколу IPSec
!--- создайте учетную запись пользователя и установите для нее пароль.

username cisco password 0 cisco
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!


!--- Создайте политику Internet Security Association и
!--- Key Management Protocol (ISAKMP)
!--- первой фазы согласования для VPN Client 3.x.

crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!


!--- Создайте ISAKMP-политику для первой фазы
!--- согласования туннелей между локальными сетями.

crypto isakmp policy 10
hash md5
authentication pre-share


!--- Для туннеля между локальными сетями задайте п
!--- редварительно распространенный ключ коллективного пользования. 
!--- Убедитесь в том, что
!--- параметр no-xauth используется с ключом ISAKMP.

crypto isakmp key cisco123 address 172.18.124.199 no-xauth
!


!--- Создайте группу, которая используется
!--- для определения клиентами адресов WINS- и DNS-серверов
!--- наряду с предварительно распространенным
!--- ключом коллективного пользования для аутентификации.

crypto isakmp client configuration group 3000client
key cisco123
dns 10.10.10.10
wins 10.10.10.20
domain cisco.com
pool ippool
!
!


!--- Создайте политику второй фазы согласования для шифрования данных.

crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!


!--- Создайте динамическую карту и примените
!--- ранее созданный набор преобразования.

crypto dynamic-map dynmap 10
set transform-set myset
!
!


!--- Создайте актуальную криптокарту и
!--- примените ранее созданные списки AAA.
!--- earlier. !--- Также создайте новый экземпляр
!--- туннеля между локальными сетями. Задайте  IP-адрес однорангового узла,
!--- набор преобразования и список управления доступом для этого
!--- экземпляра.

crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp
set peer 172.18.124.199
set transform-set myset
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
fax interface-type fax-mail
mta receive maximum-recipients 0
!
!


!--- Примените криптокарту к внешнему интерфейсу.

interface Ethernet0/0
ip address 172.18.124.159 255.255.255.0
half-duplex
crypto map clientmap
!
interface Serial0/0
no ip address
shutdown
!
interface Ethernet0/1
ip address 10.10.10.1 255.255.255.0
no keepalive
half-duplex
!
!

!--- Создайте пул адресов, которые должны быть
!--- назначены клиентам VPN.

ip local pool ippool 14.1.1.100 14.1.1.200
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip http server
ip pim bidir-enable
!
!


!--- Создайте список управления доступом для трафика, 
!--- который предполагается шифровать. В этом примере — 
!--- трафик от узла с адресом 10.10.10.0/24 к узлу 10.10.20.0/24
!--- будет шифроваться.

access-list 100 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
!
!
snmp-server community foobar RO
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
!
!
end

Настройка маршрутизатора 3640

Маршрутизатор Cisco 3640

vpn3640#show run
Построение конфигурации...

Текущая конфигурация: 1287 байт
!
! Последние изменение конфигурации в 13:47:37 UTC среда  6 марта 2002
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3640
!
!
ip subnet-zero
ip cef
!

!--- Создайте ISAKMP-политику для первой фазы
!--- согласования туннелей между локальными сетями.

crypto isakmp policy 10
hash md5
authentication pre-share


!--- Для туннеля между локальными сетями задайте предварительно 
!--- распространенный ключ коллективного пользования.
!--- tunnel. Добавление параметра X-Auth поскольку 
!--- маршрутизатор не выполняет аутентификацию Cisco Unity Client IPsec.


crypto isakmp key cisco123 address 172.18.124.159
!
!


!--- Создайте политику второй фазы согласования для шифрования данных.

crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!


!--- Создайте актуальную криптокарту. Задайте
!--- IP-адрес однорангового узла, 
!--- набор преобразования и список управления доступом для этого экземпляра.

crypto map mymap 10 ipsec-isakmp
set peer 172.18.124.159
set transform-set myset
match address 100
!
call RSVP-sync
!
!
!


!--- Примените криптокарту к внешнему интерфейсу.

interface Ethernet0/0
ip address 172.18.124.199 255.255.255.0
half-duplex
crypto map mymap
!
interface Ethernet0/1
ip address 10.10.20.1 255.255.255.0
half-duplex
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip http server
ip pim bidir-enable
!


!--- Создайте список управления доступом для трафика, 
!--- который будет шифроваться. В этом примере — 
!--- трафик от узла с адресом 10.10.20.0/24 к узлу 10.10.10.0/24
!--- будет шифроваться.

access-list 100 permit ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
snmp-server community foobar RO
!
dial-peer cor custom
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end

Настройка VPN Client 4.x

Для настройки Cisco VPN Client 4.x выполните следующие действия.

  1. Запустите VPN Client, а затем нажмите кнопку New, чтобы создать новое соединение.

    ipsecrouter_vpn-a.gif

  2. Введите необходимую информацию, а затем нажмите кнопку Save.

    ipsecrouter_vpn-b.gif

  3. Щелкните правой кнопкой мыши на вновь созданном экземпляре соединения, а затем выберите пункт меню Connect для установки соединения с маршрутизатором.

    ipsecrouter_vpn-f.gif

  4. Во время согласований по протоколу IPsec будет предложено ввести имя пользователя и пароль.

    ipsecrouter_vpn-g.gif

  5. В окне появятся сообщения "Negotiating security profiles" (Выполняется согласование профилей безопасности) и "Your link is now secure" (Безопасность канала обеспечена).

Проверка

В данном разделе приводятся сведения о проверке правильности функционирования вышенастроенной конфигурации.

Некоторые команды show поддерживаются служебной программой Output Interpreter Tool (только для зарегистрированных пользователей), что позволяет просматривать результаты выполнения команды show.

Виртуальная частная сеть Cisco 2611

vpn2611#show crypto isakmp sa
dst src state conn-id slot
172.18.124.159 172.18.124.199 QM_IDLE 5 0    

!--- Для однорангового узла туннеля между локальными виртуальными сетями.

172.18.124.159 64.102.55.142 QM_IDLE 6 0     

!--- Для однорангового узла туннеля Cisco Unity Client.



vpn2611#show crypto ipsec sa

interface: Ethernet0/0
Crypto map tag: clientmap, local addr. 172.18.124.159

protected vrf:
local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.199:500		

!--- Для однорангового узла туннеля между локальными виртуальными сетями.

PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress 
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.: 
172.18.124.199
path mtu 1500, media mtu 1500
current outbound spi: 892741BC

inbound esp sas:
spi: 0x7B7B2015(2071666709)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/1182)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound ESP sas:
spi: 0x892741BC(2301051324)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/1182)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:

protected vrf:
local ident (addr/mask/prot/port): (172.18.124.159/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (14.1.1.106/255.255.255.255/0/0)
current_peer: 64.102.55.142:500		

!--- Для однорангового узла туннеля Cisco Unity Client.

PERMIT, flags={}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress 
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.: 
64.102.55.142
path mtu 1500, media mtu 1500
current outbound spi: 81F39EFA

inbound ESP sas:
spi: 0xC4483102(3293065474)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2002, flow_id: 3, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3484)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound PCP sas:

outbound ESP sas:
spi: 0x81F39EFA(2180226810)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2003, flow_id: 4, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3484)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:

protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (14.1.1.106/255.255.255.255/0/0)
current_peer: 64.102.55.142:500		

!--- Для однорангового узла туннеля Cisco Unity Client.

PERMIT, flags={}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 20, #pkts decrypt: 20, #pkts verify 20
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress 
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.: 
64.102.55.142
path mtu 1500, media mtu 1500
current outbound spi: B7F84138

inbound ESP sas:
spi: 0x5209917C(1376358780)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2004, flow_id: 5, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607998/3474)
IV size: 8 bytes
replay detection support: Y
spi: 0xDE6C99C0(3731659200)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2006, flow_id: 7, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607998/3493)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound PCP sas:

outbound ESP sas:
spi: 0x58886878(1485334648)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2005, flow_id: 6, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3474)
IV size: 8 bytes
replay detection support: Y
spi: 0xB7F84138(3086500152)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2007, flow_id: 8, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/3486)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:



vpn2611#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
5 Ethernet0/0 172.18.124.159 set HMAC_MD5+DES_56_CB 0 0
6 Ethernet0/0 172.18.124.159 set HMAC_SHA+3DES_56_C 0 0
2000 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 4
2001 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 4 0
2002 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2003 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2004 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 9
2005 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2006 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 79
2007 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 4 0
vpn2611#

Виртуальная частная сеть Cisco 3640

vpn3640#show crypto isakmp sa
 DST src state conn-id slot
 172.18.124.159 172.18.124.199 QM_IDLE 4 0        

 !--- Для однорангового узла туннеля между локальными виртуальными сетями.

 
 vpn3640#show crypto ipsec sa
 
 interface: Ethernet0/0
 Crypto map tag: mymap, local addr. 172.18.124.199
 
protected vrf:
 local ident (addr/mask/prot/port): (10.10.20.0/255.255.255.0/0/0)
 remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
 current_peer: 172.18.124.159:500            
 
!--- Для однорангового узла туннеля между локальными виртуальными сетями.

 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
 #send errors 11, #recv errors 0
 
 local crypto endpt.: 172.18.124.199, remote crypto endpt.: 172.18.124.159
 path mtu 1500, media mtu 1500
 current outbound spi: 7B7B2015
 
 inbound ESP sas:
 spi: 0x892741BC(2301051324)
 transform: esp-3des esp-md5-hmac ,
 in use settings ={Tunnel, }
 slot: 0, conn id: 940, flow_id: 1, crypto map: mymap
 sa timing: remaining key lifetime (k/sec): (4607998/1237)
 IV size: 8 bytes
 replay detection support: Y
 
 inbound ah sas:
 
 inbound PCP sas:
 
 outbound ESP sas:
 spi: 0x7B7B2015(2071666709)
 transform: esp-3des esp-md5-hmac ,
 in use settings ={Tunnel, }
 slot: 0, conn id: 941, flow_id: 2, crypto map: mymap
 sa timing: remaining key lifetime (k/sec): (4607999/1237)
 IV size: 8 bytes
 replay detection support: Y
 
 outbound ah sas:
 
 outbound PCP sas:
 
 
 vpn3640# show crypto engine connection active
 
 ID Interface IP-Address State Algorithm Encrypt Decrypt
 4 <none> <none> set HMAC_MD5+DES_56_CB 0 0
940 Ethernet0/0 172.18.124.199 set HMAC_MD5+3DES_56_C 0 4
 941 Ethernet0/0 172.18.124.199 set HMAC_MD5+3DES_56_C 4 0

Устранение неполадок

В данном разделе содержатся сведения, помогающие при поиске и устранении неполадок конфигурации.

Команды поиска и устранения неисправностей

Некоторые команды show поддерживаются служебной программой Output Interpreter Tool (только для зарегистрированных пользователей), что позволяет просматривать результаты выполнения команды show.

Примечание.  Перед использованием команд отладки debug  ознакомьтесь с документом под названием Важные сведения о командах Debug.

  • debug crypto ipsec  — отображает события IPsec. Параметр no отключает вывод результатов выполнения этой команды.

  • debug crypto isakmp — отображает сообщения о событиях IKE. Параметр no отключает вывод результатов выполнения этой команды.

  • debug crypto engine — отображает сведения о механизме шифрования, например, при выполнении операционной системой Cisco IOS операций шифрования и дешифрования.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 20982