Configurer GETVPN avec les serveurs de clés COOP et l'authentification de certificat

Options de téléchargement

  • PDF     (345.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (167.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (127.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:7 octobre 2025
ID du document:225161

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer Group Encrypted Transport VPN (GETVPN) pour utiliser des certificats numériques pour l'authentification et les serveurs de clés COOP.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    - VPN de transport chiffré de groupe (GETVPN) 

    -Infrastructure à clé publique (PKI)

    -Autorité de certification (CA)

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

    • CSR1000V - Cisco IOS® XE, version 16.12.03 - en tant que serveur de clés Cisco IOS® XE, membre du groupe et serveur AC.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Dans un déploiement GETVPN, le serveur de clés est l'entité la plus importante, car le KS gère le plan de contrôle. Avec un seul périphérique pour gérer un groupe GETVPN complet, il crée un point de défaillance unique.

    Pour atténuer ce scénario, GETVPN prend en charge plusieurs serveurs de clés appelés KS coopératifs (COOP) qui assurent la redondance et la récupération en cas d'inaccessibilité d'un serveur de clés.

    Configurer

    Diagramme du réseau

    GETVPN TopologyTopologie GETVPN

    Configurations

    PKI pour l'authentification

    L'ICP utilise son infrastructure pour surmonter les principales difficultés de gestion rencontrées lors de l'utilisation des clés prépartagées. L'infrastructure PKI agit en tant qu'autorité de certification (CA) qui émet (puis gère) des certificats d'identité.

    Tout routeur membre du groupe dont les informations de certificat correspondent à l'identité ISAKMP est autorisé et peut s'enregistrer auprès du KS.

    note-icon

    Remarque : Les certificats peuvent être émis par n'importe quelle autorité de certification. Pour ce guide, un routeur CSR1000V est configuré en tant qu'autorité de certification pour délivrer des certificats à tous les périphériques du déploiement afin d'authentifier leur identité.

    CA# show crypto pki server

    crypto pki server ca-server

    niveau base de données terminé

    database archive pkcs12 password 7 1511021F07257A767B73

    issuer-name CN=Root-CA.cisco.com OU=LAB

    octroi du hachage automatique sha255

    certificat à vie 5000

    certificat ca à vie 7300

    eku server-auth client-auth

    url de base de données nvram

    1.- Dans les déploiements basés sur l'ICP, le certificat d'identité d'une autorité de certification (AC) pour chaque périphérique doit être obtenu. Dans les routeurs Key Server et Group Member, créez une paire de clés RSA utilisée dans leur configuration de point de confiance.

    note-icon

    Remarque : Dans le cadre de la démonstration de ce guide, tous les routeurs de serveurs clés et de membres de groupe de cette topologie partagent la même configuration.

    Serveur de clés

    KS(config)# crypto key generate rsa modulus 2049 general-keys label pkikey The name for the keys will be: pkikey % The key modulus size is 2049 bits % Generating 2049 bit RSA keys, keys will be non-exportable...  [OK] (elapsed time was 0 seconds) KS(config)# crypto pki trustpoint GETVPN KS(config)# enrollment url http://10.191.61.120:80 KS(config)# subject-name OU=GETVPN_KS KS(config)# revocation-check none KS(config)# rsakeypair pkikey KS(config)# auto-enroll 70

    Membre du groupe 

    GM(config)# crypto key generate rsa modulus 2049 general-keys label pkikey The name for the keys will be: pkikey % The key modulus size is 2049 bits % Generating 2049 bit RSA keys, keys are non-exportable... [OK] (elapsed time was 0 seconds) GM(config)# crypto pki trustpoint GETVPN GM(ca-trustpoint)# enrollment url http://10.191.61.120:80

    GM(ca-trustpoint)# subject-name OU=GETVPN_GM

    GM(ca-trustpoint)# revocation-check none

    GM(ca-trustpoint)# rsakeypair pkikey

    GM(ca-trustpoint)# auto-enroll 70

    note-icon

    Remarque : Le nom de la clé RSA est réutilisé sur tous les périphériques pour assurer la cohérence et n'affecte pas les autres paramètres, car chaque clé RSA est unique dans sa valeur de calcul.

                

    2.- Le certificat de l'autorité de certification doit être installé en premier dans le point de confiance. Cela peut être fait soit en authentifiant le point de confiance, soit en s'inscrivant directement. Aucun certificat CA n'étant installé, la procédure d'authentification du point de confiance est déclenchée en premier.

    Serveur de clés

    KS(config)# crypto pki enroll  GETVPN % You must authenticate the Certificate Authority before

    you can enroll with it. % Attempting authentication first.

    Certificate has the following attributes:         Fingerprint MD5: CD60821B 034ACFCF D1FD66D3 EA27D688      Fingerprint SHA1: 3F0C3A05 9BC786B4 8828007A 78A3973D B507F9C4  % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Start certificate enrollment ..  % Create a challenge password. You need to verbally provide this password to the CA Administrator in order to revoke your certificate.  For security reasons your password is not saved in the configuration.   Please make a note of it. Password:  Re-enter password:  % The subject name in the certificate includes: OU=GETVPN_KS % The subject name in the certificate includes: get-KS % Include the router serial number in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]: no Request certificate from CA? [yes/no]: yes % Certificate request sent to Certificate Authority % The 'show crypto pki certificate verbose GETVPN' command will show the fingerprint.

    Membre du groupe

    GM(config)# crypto pki enroll GETVPN % You must authenticate the Certificate Authority before

     you can enroll with it. % Attempting authentication first.

      Certificate has the following attributes:       Fingerprint MD5: E184D9EC 2D6499B3 D5D78E8A CD0B910C        Fingerprint SHA1: A31EE77D A4FFA2B7 90F39933 00337A6D 46CBE32E 

    % Do you accept this certificate? [yes/no]: y % Trustpoint CA certificate accepted. % Start certificate enrollment ..  % Create a challenge password. You need to verbally provide this    

    password to the CA Administrator in order to revoke your certificate.    

    For security reasons your password is not saved in the configuration.    

    Please make a note of it.

    Password: 

    Re-enter password: 

    % The subject name in the certificate will include: OU=GETVPN % The subject name in the certificate will include: get_GM % Include the router serial number in the subject name? [yes/no]: n % Include an IP address in the subject name? [no]: n Request certificate from CA? [yes/no]: y % Certificate request sent to Certificate Authority % The 'show crypto pki certificate verbose GETVPN' commandwill show the fingerprint.

    3-Vérifiez sur les deux périphériques que les certificats nouvellement émis sont importés dans leurs points de confiance authentifiés respectifs (le certificat CA doit également être importé) en utilisant la commande « show crypto pki certificates verbose ».

    Serveur de clés

    KS# show crypto pki certificates verbose GETVPN

    . Certificate Status: Available Version: 3 Certificate Serial Number (hex): 05 Certificate Usage: General Purpose Issuer: cn=Root-CA.cisco.com OU=LAB Subject: Name: get-KS hostname=get-KS ou=GETVPN_KS Validity Date: start date: 11:58:27 UTC Sep 9 2025 end date: 11:58:27 UTC May 19 2039 Subject Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2049 bit) Signature Algorithm: SHA256 with RSA Encryption Fingerprint MD5: 51576B28 1203C5EC 06FF408E F90B0E47 Fingerprint SHA1: 9D5B10E5 E9418C00 895E6DC7 9BE86624 B273CF15 X509v3 extensions: X509v3 Key Usage: A0000000 Digital Signature Key Encipherment X509v3 Subject Key ID: 3A1012CD 1FB41E07 5B64742B 778B1E24 E1F07A92 X509v3 Authority Key ID: 4F0F7126 6D21324A 585A0BF3 652EB561 17D18B2F Authority Info Access: Extended Key Usage: Client Auth Server Auth Cert install time: 11:58:28 UTC Sep 9 2025 Associated Trustpoints: GETVPN Storage: nvram:Root-CAcisco#5.cer Key Label: pkikey Key storage device: private config CA Certificate Status: Available Version: 3 Certificate Serial Number (hex): 01 Certificate Usage: Signature Issuer: cn=Root-CA.cisco.com OU=LAB Subject: cn=Root-CA.cisco.com OU=LAB Validity Date: start date: 11:28:11 UTC Sep 9 2025 end date: 11:28:11 UTC Sep 4 2045 Subject Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Signature Algorithm: SHA256 with RSA Encryption Fingerprint MD5: E184D9EC 2D6499B3 D5D78E8A CD0B910C Fingerprint SHA1: A31EE77D A4FFA2B7 90F39933 00337A6D 46CBE32E X509v3 extensions: X509v3 Key Usage: 86000000 Digital Signature Key Cert Sign CRL Signature X509v3 Subject Key ID: 4F0F7126 6D21324A 585A0BF3 652EB561 17D18B2F X509v3 Basic Constraints: CA: TRUE X509v3 Authority Key ID: 4F0F7126 6D21324A 585A0BF3 652EB561 17D18B2F Authority Info Access: Cert install time: 11:58:16 UTC Sep 9 2025 Associated Trustpoints: GETVPN Storage: nvram:Root-CAcisco#1CA.cer

    Membre du groupe

    GM# show crypto pki certificates verbose GETVPN Certificate Status: Available Version: 3 Certificate Serial Number (hex): 08 Certificate Usage: General Purpose Issuer: cn=Root-CA.cisco.com OU=LAB Subject: Name: get_GM hostname=get_GM ou=GETVPN Validity Date: start date: 12:05:19 UTC Sep 9 2025 end date: 12:05:19 UTC May 19 2039 Subject Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2049 bit) Signature Algorithm: SHA256 with RSA Encryption Fingerprint MD5: CA8AF53B B7424CD6 4C94F689 6FDD441F Fingerprint SHA1: 8ACE3BC0 5BC6BBF1 D9696805 2998AFDB 2A73A65E X509v3 extensions: X509v3 Key Usage: A0000000 Digital Signature Key Encipherment X509v3 Subject Key ID: F3C5E024 F93B09A0 4F99215E 34EB9C88 553C7CAD X509v3 Authority Key ID: 4F0F7126 6D21324A 585A0BF3 652EB561 17D18B2F Authority Info Access: Extended Key Usage: Client Auth Server Auth Associated Trustpoints: GETVPN Storage: nvram:Root-CAcisco#8.cer Key Label: pkikey CA Certificate Status: Available Version: 3 Certificate Serial Number (hex): 01 Certificate Usage: Signature Issuer: cn=Root-CA.cisco.com OU=LAB Subject: cn=Root-CA.cisco.com OU=LAB Validity Date: start date: 11:28:11 UTC Sep 9 2025 end date: 11:28:11 UTC Sep 4 2045 Subject Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Signature Algorithm: SHA256 with RSA Encryption Fingerprint MD5: E184D9EC 2D6499B3 D5D78E8A CD0B910C Fingerprint SHA1: A31EE77D A4FFA2B7 90F39933 00337A6D 46CBE32E X509v3 extensions: X509v3 Key Usage: 86000000 Digital Signature Key Cert Sign CRL Signature X509v3 Subject Key ID: 4F0F7126 6D21324A 585A0BF3 652EB561 17D18B2F X509v3 Basic Constraints: CA: TRUE X509v3 Authority Key ID: 4F0F7126 6D21324A 585A0BF3 652EB561 17D18B2F Authority Info Access: Associated Trustpoints: GETVPN Storage: nvram:Root-CAcisco#1CA.cer

    note-icon

    Remarque : Pour l'authentification de certificat, assurez-vous que le certificat fourni dispose des paramètres corrects pour valider l'identité du périphérique, tels que le nom commun (CN), l'utilisation de clé étendue (EKU), la date de validité.

    Configurer GETVPN

    Les fonctionnalités importantes de GETVPN reposent sur la configuration précédente, qu'il est recommandé d'avoir configurée avant les fonctionnalités ISAKMP et GDOI.

    4.- Sur le serveur de clés principal, générez une clé RSA exportable avec l'étiquette « getKey ». Cette clé doit être identique sur tous les serveurs de clés. Par conséquent, la fonctionnalité exportable est essentielle pour les étapes suivantes :

    KS(config)# crypto key generate rsa general-keys label getKey modulus 1024 exportable  The name for the keys will be: getKey % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys are exportable. .. [OK]  (elapsed time was 0 seconds)

    5.- Définissez une liste de contrôle d’accès étendue avec le trafic intéressant que les routeurs membres du groupe doivent chiffrer lors de leur passage. Sur le serveur de clés secondaire, définissez la même liste de contrôle d'accès en utilisant le même nom.

    Serveur de clé primaire

    KS(config)# ip access-list extended data_plane KS(config-ext-nacl)# 10 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.255.255 KS(config-ext-nacl)# 20 permit ip 172.16.0.0 0.0.255.255 10.0.0.0 0.0.0.255

    Serveur de clés secondaire

    KS2(config)# ip access-list extended data_plane KS2(config-ext-nacl)# 10 permit ip 10.0.0 0.0.0.255 172.16.0.0 0.0.255.255 KS2(config-ext-nacl)# 20 permit ip 172.16.0.0 0.0.255.255 10.0.0.0 0.0.0.255

    6- Configurez la stratégie ISAKMP , le jeu de transformation IPsec et le profil IPsec utilisés pour établir la connectivité sécurisée avec les GM pour commencer par l'échange de messages de groupe GDOI.

    KS(config)# crypto isakmp policy 10 KS(config-isakmp)# encryption aes 256 KS(config-iskamp)# hash sha256 KS(config-iskamp)# group 14 KS(config-iskamp)# lifetime 3600

    KS(config)# crypto ipsec transform-set get-ts esp-aes esp-sha-hmac  KS(config)# crypto ipsec profile gdoi-profile KS(ipsec-profile)# set security-association lifetime seconds 7200 KS(ipsec-profile)# set transform-set get-ts

    Configuration de COOP 

    7.- Dans une implémentation coopérative, les serveurs de clés impliqués doivent avoir une configuration identique. Exportez la clé RSA exportable précédemment créée à partir du serveur de clés primaire et importez les clés privée et publique dans le serveur de clés secondaire (KS2). Dans un scénario où le serveur de clés principal ne répond plus, le serveur de clés secondaire continue à contrôler la nouvelle clé pour tous les périphériques GM du groupe. 

    Serveur de clé primaire

    KS(config)# crypto key export rsa  getKey pem  terminal 3des cisco123 % Key name: getKey Usage: General Purpose Key Key data: -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCFtHBAdGV3ZPaGQcsAqO 1H9gmJWJNEeQvTND/oSrhN+jSSm+8f27RvDnIMYLDl9MndZ+rPqCPM/3NXE07 5bOsrT7B2uOpCBmAJK9iiTsfr01Qc4Izu5fwWcK2CN5OvLhyR2pKPviqwkSmGS zbaErQCH7evvjutYHE6DhOTTLubxQIDAQAB -----END PUBLIC KEY----- -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,AA98923B28E00DCCto1Wym6cRvqEXBlt97UZdGyusf3cW/iumb7oD9/09q5if4ouoE

    brPykL3No0WMI7h56WQPiAHzLu5IZ+CTQHwwgYvXwHNpOHjmTMOgf9FG856GosM3kjP58QDupSc1W70+C9

    zsCM3QmwbRs6JGBP5Rb36f+895xoyqzWA8G5sQlizE1oP4lM3Zx5DukgTXLzIDL7w0dPEYBd1aDhAJQf8dB/Zu

    GvQWxad4gL6SssEyzigbzdSdRwBS+0DLOm05hOUU8rNiWit1TCsTPflwuTjlyxgRbyKvtXdoURvuTP3M6/DOppe2

    n26bXC2DcURk8nMtIrIHAPvvh5KbxdyHtBrvgmlZH/ryKfx33fPoVu/TaYggMoWFTizfBgr643UoFOIcFgdhasQsn8Lb

    AI286GHqCOw2AxDcoMzcanQYw1VNgHG7SUsbaday7enuJtwbf2Pjkf9u0vo7bw2y8OiIXgrhQ9FOugNVqL+Ik7C

    2PkLiQvQwuYi8J9SgM+391aFrf0NRXFHrM7T9MQcBBIcbo0BtfG4ICBuIltpG+BpCty/XW99dvuhqh9hjqfy2sKqF4H

    K3EGAmhHSTV2wqxTvK/UQbNt7zbXwLGy326tDdYg6BSQYNjcaTADwPzd1PBa5JJJ1v9ZIRJSy42l7wWcuYAZpJ

    9CRnKpLvW1CGhNqk5kmJzypqmurWtuzxJQiJhysp5halOicdjEKVVr1SHLOxxmCJ09rJe27degR2iwvvWQjewrA0K

    5Bu+jzxSeQAxbUAXGiIfp9hCL8jq4ac/g+OafCqyHETJd8m5Yr6W9/0bGLnsEzNLbhgPR7A==

    -----END RSA PRIVATE KEY-----

    Serveur de clés secondaire

    KS2(config)# crypto key import rsa getKey pem exportable terminal cisco123

    % Enter PEM-formatted public General Purpose key or certificate.

    % End with a blank line or "quit" on a line by itself. -----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCFtHBAdGV3ZPaGQcsAqO 1H9gmJWJNEeQvTND/oSrhN+jSSm+8f27RvDnIMYLDl9MndZ+rPqCPM/3NXE07 5bOsrT7B2uOpCBmAJK9iiTsfr01Qc4Izu5fwWcK2CN5OvLhyR2pKPviqwkSmGSz baErQCH7evvjutYHE6DhOTTLubxQIDAQAB -----END PUBLIC KEY----- quit % Enter PEM-formatted encrypted private General Purpose key.

    % End with "quit" on a line by itself. -----BEGIN RSA PRIVATE KEY-----

    Proc-Type: 4,ENCRYPTED

    DEK-Info: DES-EDE3-CBC,AA98923B28E00DCCto1Wym6cRvqEXBlt97UZdGyusf3cW/iumb7oD9/09q5if4ouoE

    brPykL3No0WMI7h56WQPiAHzLu5IZ+CTQHwwgYvXwHNpOHjmTMOgf9FG856GosM3kjP58QDupSc1W70+C9

    zsCM3QmwbRs6JGBP5Rb36f+895xoyqzWA8G5sQlizE1oP4lM3Zx5DukgTXLzIDL7w0dPEYBd1aDhAJQf8dB/Zu

    GvQWxad4gL6SssEyzigbzdSdRwBS+0DLOm05hOUU8rNiWit1TCsTPflwuTjlyxgRbyKvtXdoURvuTP3M6/DOppe2

    n26bXC2DcURk8nMtIrIHAPvvh5KbxdyHtBrvgmlZH/ryKfx33fPoVu/TaYggMoWFTizfBgr643UoFOIcFgdhasQsn8Lb

    AI286GHqCOw2AxDcoMzcanQYw1VNgHG7SUsbaday7enuJtwbf2Pjkf9u0vo7bw2y8OiIXgrhQ9FOugNVqL+Ik7C

    2PkLiQvQwuYi8J9SgM+391aFrf0NRXFHrM7T9MQcBBIcbo0BtfG4ICBuIltpG+BpCty/XW99dvuhqh9hjqfy2sKqF4H

    K3EGAmhHSTV2wqxTvK/UQbNt7zbXwLGy326tDdYg6BSQYNjcaTADwPzd1PBa5JJJ1v9ZIRJSy42l7wWcuYAZpJ

    9CRnKpLvW1CGhNqk5kmJzypqmurWtuzxJQiJhysp5halOicdjEKVVr1SHLOxxmCJ09rJe27degR2iwvvWQjewrA0K

    5Bu+jzxSeQAxbUAXGiIfp9hCL8jq4ac/g+OafCqyHETJd8m5Yr6W9/0bGLnsEzNLbhgPR7A==

    -----END RSA PRIVATE KEY----- 

    quit

    % Key pair import succeeded.

    8- Le protocole ISAKMP périodique doit être configuré pour les KS COOP. Ainsi, le KS principal peut surveiller les serveurs de clés secondaires

    Serveur de clé primaire


    KS(config)# crypto isakmp keepalive 15 periodic

    Serveurs de clés secondaires

    KS2(config)# crypto isakmp keepalive 15 periodic

    Les serveurs de clés COOP échangent des communications unidirectionnelles du primaire vers le secondaire. Si un KS secondaire n'entend pas le KS principal au cours d'un intervalle de 30 secondes, le KS secondaire tente de contacter le KS principal et demande des informations mises à jour. Si le KS secondaire n'entend pas le KS primaire au cours d'un intervalle de 60 secondes, un processus de réélection COOP est déclenché et un nouveau KS primaire est sélectionné.

    note-icon

    Remarque : La DPD périodique entre GM et KS n'est pas requise.

    Le choix entre les serveurs de clés est basé sur la valeur de priorité la plus élevée configurée. S'ils sont identiques, il est basé sur l'adresse IP la plus élevée. Configurez sur chaque serveur de clés le même groupe GDOI en utilisant les mêmes politiques de chiffrement, listes de contrôle d’accès étendues.

    Serveur de clé primaire

    KS(config)# crypto gdoi group GETVPN KS(config-gkm-group)# identity number 484 KS(config-gkm-group)# server local KS(gkm-local-server)# rekey lifetime seconds 86400 KS(gkm-local-server)# rekey retransmit 40 number 2 KS(gkm-local-server)#rekey authentication mypubkey rsa getKey KS(gkm-local-server)# rekey transport unicast

    9.- Dans les mêmes paramètres de serveur local, activez les politiques de chiffrement destinées au trafic du plan de données et à la liste d’accès précédemment configurées.


    KS(gkm-local-server)# sa ipsec 10 KS(gkm-sa-ipsec)# profile gdoi-profile KS(gkm-sa-ipsec)# match address ipv4 data_plane

    Sur les paramètres du serveur local se trouve le niveau de configuration où la fonction de serveur de clés COOP est activée, la priorité définie décide du rôle de ce serveur de clés.  Les serveurs de clés secondaires doivent être configurés explicitement pour que tous les KS se connaissent.

    KS(gkm-sa-ipsec)# exit KS(gkm-local-server)# redundancy  KS(gdoi-coop-ks-config)# local priority 100 KS(gdoi-coop-ks-config)# peer  address ipv4 172.18.5.2

    La dernière partie de la configuration du serveur de clés COOP est la définition de l'adresse IP source du paquet de clés, qui est une adresse IP configurée dans l'une des interfaces du routeur du serveur de clés.

    KS(gdoi-coop-ks-config)# exit KS(gkm-local-server)# address ipv4 172.16.4.2

    Répliquez les mêmes étapes de configuration sur le serveur de clés secondaire, en configurant une priorité inférieure pour identifier le routeur en tant que serveur secondaire et enregistrer l'adresse KS principale.

    Serveur de clés secondaire

    KS2(config)# crypto gdoi group  GETVPN KS2(config-gkm-group)# identity number 484 KS2(config-gkm-group)# server local KS2(gkm-local-server)# rekey lifetime seconds 86400 KS2(gkm-local-server)# rekey retransmit 40 number 2 KS2(gkm-local-server)# rekey authentication mypubkey rsa getKey KS2(gkm-local-server)# rekey transport unicast  KS2(gkm-local-server)# sa ipsec 10 KS2(gkm-sa-ipsec)# profile gdoi-profile KS2(gkm-sa-ipsec)# match address ipv4 data_plane KS2(gkm-sa-ipsec)# exit KS2(gkm-local-server)# redundancy  KS2(gdoi-coop-ks-config)# local priority 78 KS2(gdoi-coop-ks-config)# peer address ipv4 172.16.4.2 KS2(gdoi-coop-ks-config)# exit  KS2(gkm-local-server)# address ipv4 172.18.5.2

    10.- Sur un routeur membre d’un groupe, les paramètres du groupe GDOI sont moins configurés que les serveurs de clés. Un membre du groupe n'est requis que pour avoir la stratégie ISAKMP configurée , utiliser la même méthode d'authentification, le groupe GDOI, et avoir les adresses IP des serveurs clés auxquels le routeur GM peut s'inscrire.                                                                                                                                                                                                                                                           

                                                                                                                                                                                                                                                     

    Membre du groupe

    GM(config)# crypto isakmp policy 10 GM(config-isakmp)# encryption aes 256 GM(config-isakmp)# hash sha256 GM(config-isakmp)# group 14 GM(config-isakmp)# lifetime 3600

    GM(config)# crypto gdoi group GETVPN GM(config-gkm-group)# identity number 484 GM(config-gkm-group)# server address ipv4 172.18.5.2 

    GM(config)# crypto map getvpn 10 gdoi GM(config-crypto-map)# set group GETVPN

    GM(config)# interface GigabitEthernet1 GM(config-if)# crypto map getvpn  

    Membre du groupe 2

    GM2(config)# crypto isakmp policy 10 GM2(config-isakmp)# encryption aes 256 GM2(config-isakmp)# hash sha256 GM2(config-isakmp)# group 14 GM2(config-isakmp)# lifetime 3600  GM2(config)# crypto gdoi group GETVPN GM2(config-gkm-group)# identity number 484 GM2(config-gkm-group)# server address ipv4 172.16.4.2 GM2(config-gkm-group)# server address ipv4 172.18.5.2  GM2(config)# crypto map getvpn 10 gdoi GM2(config-crypto-map)# set group GETVPN GM2(config)# interface GigabitEthernet1 GM2(config-if)# crypto map getvpn

    Vérifier

    Vérifiez les paramètres à chaque étape de la configuration comme suit :

    ACL pour le trafic du plan de données sur les serveurs clés

    Cette commande show est utilisée pour confirmer qu'il n'y a pas d'erreur avec le trafic intéressant défini.

    KS# show ip access-lists data_plane Extended IP access list data_plane 10 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.255.255 20 permit ip 172.16.0.0 0.0.255.255 10.0.0.0 0.0.0.255  KS2# show ip access-lists data_plane Extended IP access list data_plane 10 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.255.255 20 permit ip 172.16.0.0 0.0.255.255 10.0.0.0 0.0.0.255

    État d'enregistrement COOP :

    La commande 'show crypto gkm ks coop' affiche l'état COOP actuel entre les serveurs de clés, en indiquant qui est le serveur de clés principal, le groupe GDOI auquel ils appartiennent, leur priorité individuelle et homologue et les minuteurs concernant les prochains messages à envoyer des serveurs principaux aux serveurs secondaires.

    Serveur de clé primaire

    KS# show crypto gkm ks coop Crypto Gdoi Group Name :GETVPN Group handle: 1073741826, Local Key Server handle: 1073741826 Local Address: 10.191.61.114 Local Priority: 100 Local KS Role: Primary , Local KS Status: Alive Local KS version: 1.0.27 Primary Timers: Primary Refresh Policy Time: 20 Remaining Time: 5 Per-user timer remaining time: 0 Antireplay Sequence Number: 63046 Peer Sessions: Session 1: Server handle: 1073741827 Peer Address: 10.191.61.115 Peer Version: 1.0.23 Peer Priority: 75 Peer KS Role: Secondary , Peer KS Status: Alive Antireplay Sequence Number: 0 IKE status: Established Counters: Ann msgs sent: 63040 Ann msgs sent with reply request: 3 Ann msgs recv: 32 Ann msgs recv with reply request: 4 Packet sent drops: 3 Packet Recv drops: 0 Total bytes sent: 42550002 Total bytes recv: 22677

    Serveur de clés secondaire

    KS2# show crypto gkm ks coop Crypto Gdoi Group Name :GETVPN Group handle: 1073741829, Local Key Server handle: 1073741827 Local Address: 10.191.61.115 Local Priority: 75 Local KS Role: Secondary , Local KS Status: Alive Local KS version: 1.0.23 Secondary Timers: Sec Primary Periodic Time: 30 Remaining Time: 11, Retries: 0 Invalid ANN PST recvd: 0 New GM Temporary Blocking Enforced?: No Per-user timer remaining time: 0 Antireplay Sequence Number: 4 Peer Sessions: Session 1: Server handle: 1073741828 Peer Address: 10.191.61.114 Peer Version: 1.0.27 Peer Priority: 100 Peer KS Role: Primary , Peer KS Status: Alive Antireplay Sequence Number: 30 IKE status: Established Counters: Ann msgs sent: 2 Ann msgs sent with reply request: 1 Ann msgs recv: 28 Ann msgs recv with reply request: 1 Packet sent drops: 1 Packet Recv drops: 0 Total bytes sent: 468 Total bytes recv: 16913

    Affiche des informations sur le groupe GETVPN et des informations sur la version du serveur de clés coopératif.

    KS# show crypto gdoi group GETVPN ks coop version Cooperative key server infra Version : 2.0.0 Client : KS_POLICY_CLIENT Version : 2.0.0 Client : GROUP_MEMBER_CLIENT Version : 2.0.1 Client : SID_CLIENT Version : 1.0.1

    Inscription des membres du groupe 

    GM# show crypto gkm group GETVPN Group Name : GETVPN Group Identity : 484 Group Type : GDOI (ISAKMP) Crypto Path : ipv4 Key Management Path : ipv4 Rekeys received : 0 IPSec SA Direction : Both Group Server list : 10.191.61.115 Group Member Information For Group GETVPN: IPSec SA Direction : Both ACL Received From KS : gdoi_group_GETVPN_temp_acl Group member : 10.191.61.116 vrf: None Local addr/port : 10.191.61.116/848 Remote addr/port : 10.191.61.115/848 fvrf/ivrf : None/None Version : 1.0.25 Registration status : Registered Registered with : 10.191.61.115 Re-registers in : 5642 sec Succeeded registration: 1 Attempted registration: 1 Last rekey from : UNKNOWN Last rekey seq num : 0 Unicast rekey received: 0 Rekey ACKs sent : 0 Rekey Received : never PFS Rekey received : 0 DP Error Monitoring : OFF IPSEC init reg executed : 0 IPSEC init reg postponed : 0 Active TEK Number : 1 SA Track (OID/status) : disabled Fail-Close Revert : Disabled allowable rekey cipher: any allowable rekey hash : any allowable transformtag: any ESP Rekeys cumulative Total received : 0 After latest register : 0 Rekey Acks sents : 0 ACL Downloaded From KS 10.191.61.115: access-list permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.255.255 access-list permit ip 172.16.0.0 0.0.255.255 10.0.0.0 0.0.0.255 KEK POLICY: Rekey Transport Type : Unicast Lifetime (secs) : 85185 Encrypt Algorithm : 3DES Key Size : 192 Sig Hash Algorithm : HMAC_AUTH_SHA Sig Key Length (bits) : 1296 TEK POLICY for the current KS-Policy ACEs Downloaded: GigabitEthernet1: IPsec SA: spi: 0x535F673B(1398761275) transform: esp-aes esp-sha-hmac sa timing:remaining key lifetime (sec): (5988) Anti-Replay(Counter Based) : 64 tag method : disabled alg key size: 16 (bytes) sig key size: 20 (bytes) encaps: ENCAPS_TUNNEL KGS POLICY: REG_GM: local_addr 10.191.61.116 overall chech P2P POLICY: REG_GM: local_addr 10.191.61.116

    Dépannage

    Choix du serveur de clés COOP 

    Les messages syslog peuvent aider à suivre et à identifier les problèmes liés au processus COOP. Activez le débogage GDOI sur les serveurs de clés COOP pour afficher uniquement les informations relatives à ce processus.

    KS# debug crypto gdoi ks coop

    Lorsque le processus de sélection COOP commence, le message syslog suivant s'affiche sur tous les serveurs de clés.

     %GDOI-5-COOP_KS_ELECTION: KS entering election mode in group GETVPN (Previous Primary = NONE)

    Une fois le processus de sélection terminé, le message "COOP_KS_TRANS_TO_PRI" affiche des informations sur le nouveau serveur de clés principal, le message est affiché sur les serveurs de clés principal et secondaire. La mention « AUCUN » devrait figurer à la primaire précédente au premier moment du processus électoral.

    %GDOI-5-COOP_KS_TRANS_TO_PRI: KS 172.16.4.2 in group GETVPN transitioned to Primary (Previous Primary = NONE)

    En cas de nouvelle sélection du serveur de clés, le message inclut l'adresse IP du serveur principal précédent.

    %GDOI-5-COOP_KS_TRANS_TO_PRI: KS 172.18.5.2 in group GETVPN transitioned to Primary (Previous Primary = 172.16.4.2)

    Lorsque la connectivité est perdue pour les serveurs de clés secondaires COOP, le message "COOP_KS_UNREACH" s'affiche. Le KS principal suit l'état de tous les KS secondaires et utilise ce message pour indiquer la perte de connectivité à un KS secondaire. Un KS secondaire ne suit que l'état du KS principal. Ce message sur le KS secondaire indique une perte de connectivité avec le KS principal.

    %GDOI-3-COOP_KS_UNREACH: Cooperative KS 172.18.5.2 Unreachable in group GETVPN

    Lorsque la connectivité est rétablie entre les KS COOP, un message "COOP_KS_REACH" s'affiche.

    %GDOI-5-COOP_KS_REACH: Reachability restored with Cooperative KS 172.18.5.2 in group GETVPN.

    Problèmes d'inscription PKI

    Lors du débogage des problèmes d'inscription ou d'authentification de trustpoint, utilisez les débogages PKI.

    debug crypto pki messages debug crypto pki transactions debug crypto pki validation debug crypto pki api debug crypto pki callback

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    07-Oct-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Angel Sanchez Garcia
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits