Esta configuração de exemplo demonstra como formar um túnel de IPsec com chaves pré-compartilhada para juntar-se a duas redes privadas. Em nosso exemplo, as redes associadas são a rede privada 192.168.1.X dentro do Cisco Secure Pix Firewall (PIX) e a rede privada 10.32.50.X dentro do Ponto de Controle. Supõe-se que o tráfego do interior do PIX e do interior o Firewall do ponto de verificação 4.1 ao Internet (representado aqui pelas redes 172.18.124.X) flui antes de começar esta configuração.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
Software PIX versão 5.3.1
Checkpoint 4.1 Firewall
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Nota: Para localizar informações adicionais sobre os comandos usados neste documento, utilize a Ferramenta Command Lookup (somente clientes registrados).
Este documento utiliza a configuração de rede mostrada neste diagrama:
Este documento usa as configurações mostradas nesta seção.
Configuração de PIX |
---|
PIX Version 5.3(1) nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname cisco_endpoint fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 names access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0 access-list 115 deny ip 192.168.1.0 255.255.255.0 any pager lines 24 logging on no logging timestamp no logging standby no logging console logging monitor debugging no logging buffered logging trap debugging no logging history logging facility 20 logging queue 512 interface ethernet0 auto interface ethernet1 auto mtu outside 1500 mtu inside 1500 ip address outside 172.18.124.35 255.255.255.240 ip address inside 192.168.1.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm no failover failover timeout 0:00:00 failover poll 15 failover ip address outside 0.0.0.0 failover ip address inside 0.0.0.0 arp timeout 14400 global (outside) 1 172.18.124.36 nat (inside) 0 access-list 115 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 route outside 0.0.0.0 0.0.0.0 172.18.124.34 1 timeout xlate 3:00:00g SA 0x80bd6a10, conn_id = 0 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable !--- IPSec configuration sysopt connection permit-ipsec no sysopt route dnat crypto ipsec transform-set myset esp-des esp-sha-hmac crypto map rtpmap 10 ipsec-isakmp crypto map rtpmap 10 match address 115 crypto map rtpmap 10 set peer 172.18.124.157 crypto map rtpmap 10 set transform-set myset crypto map rtpmap 10 set security-association lifetime seconds 3600 kilobytes 4608000 crypto map rtpmap interface outside !--- IKE configuration isakmp enable outside isakmp key ******** address 172.18.124.157 netmask 255.255.255.240 isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash sha isakmp policy 10 group 1 isakmp policy 10 lifetime 86400 telnet timeout 5 ssh timeout 5 terminal width 80 Cryptochecksum:dc43c44e4513d3633a3fc7b1c3802c79 : end [OK] |
Como a duração padrão do IPSec e do IKE difere entre os fornecedores, selecione Properties (Propriedades) > Encryption (Criptografia) para definir a duração de Checkpoint de acordo com os padrões do PIX.
O duração de IKE padrão do PIX tem 86400 segundos (minutos =1440), modificável por este comando: isakmp policy # lifetime 86400
A duração de IKE PIX pode ser configurada entre 60-86400 segundos.
A duração de IPSec do padrão de PIX tem 28800 segundos, modificável por este comando: crypto ipsec security-association lifetime seconds #
Você pode configurar uma vida do PIX IPSec entre 120-86400 segundos.
Selecione Gerenciar > Objetos de rede > Novo (ou Editar) > Rede para configurar o objeto para a rede interna ("cpinside") por trás do ponto de controle.
Isto deve concordar com a rede (secundária) de destino neste comando pix: access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0
Selecione Manage > Network Objects > Edit para editar o objeto para o valor-limite do gateway (ponto de verificação “RTPCPVPN”) esse os pontos PIX neste comando: crypto map name # set peer ip_address
Em Local, selecione Interno. Para Tipo, selecione Gateway. Sob os módulos instalados, selecione a caixa de seleção VPN-1 & FireWall-1, e igualmente selecione a caixa de verificação da estação de gerenciamento:
Selecione Manage > Network Objects > New > Network para configurar o objeto para (“inside_cisco”) a rede externo atrás do PIX.
Isto deve concordar com a primeira) rede da fonte (neste comando pix: access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0
Selecione Manage (Gerenciar) > Network objects (Objetos de rede) > New (Novo) > Workstation (Estação de Trabalho) para adicionar um objeto referente ao gateway de PIX interno ("cisco_endpoint") . Esta é a interface de PIX a que este comando é aplicado: relação do nome de cripto mapa fora
Em Local, selecione Externo. Para Tipo, selecione Gateway.
Nota: Não selecione a caixa de seleção VPN-1/FireWall-1.
Selecionar Manage > Network objetct > Edit para editar o ponto final do gateway do ponto de controle (chamado "RTPCPVPN") na guia VPN. Em Domain, selecione Other e, em seguida, selecione o lado interno da rede de ponto de controle (chamado “cpinside”) a partir da lista suspensa. Sob esquemas de criptografia definidos, selecione IKE e clique em Editar.
Mude as propriedades IKE para a criptografia DES para concordar com este comando:
isakmp policy # encryption des
Mude as propriedades IKE ao hashing SHA1 para concordar com este comando:
isakmp policy # hash sha
Mude estes ajustes:
Desative o Modo assertivo.
Selecione a caixa de seleção das sub-redes dos apoios.
Sob o método de autenticação, selecione a caixa de seleção do segredo pré-compartilhado. Isto concorda com este comando:
isakmp policy # authentication pre-share
O clique edita segredos para ajustar a chave pré-compartilhada para concordar com o comando pix:
isakmp key key address address netmask netmask
Selecione Gerenciar > Objetos de rede > Editar para editar a guia VPN “cisco_endpoint”. Em Domain (Domínio), selecione Other (Outro) e escolha a parte inteira da rede PIX (chamado de "inside_cisco"). Sob esquemas de criptografia definidos, selecione IKE e clique em Editar.
Mude a criptografia DES das propriedades IKE para concordar com este comando:
isakmp policy # encryption des
Mude as propriedades IKE ao hashing SHA1 para concordar com este comando:
crypto isakmp policy # hash sha
Mude estes ajustes:
Desative o Modo assertivo.
Selecione a caixa de seleção das sub-redes dos apoios.
Sob o método de autenticação, selecione a caixa de seleção do segredo pré-compartilhado. Esta ação concorda com este comando:
isakmp policy # authentication pre-share
O clique edita segredos para ajustar a chave pré-compartilhada para concordar com este comando pix:
isakmp key key address address netmask netmask
Na janela Policy Editor, insira uma regra com Source e Destination como "inside_cisco" e "cpinside" (bidirecional). Ajustar Serviço=Qualquer, Ação=Criptografar e Rastreio=Longo.
Sob o título da ação, clique o ícone verde de criptografia e selecione-o Edit Properties para configurar políticas de criptografia.
Selecione IKE e, em seguida, clique em Editar.
Nas propriedades IKE selecione, mude estas propriedades para concordar com o PIX IPSec transforma neste comando:
crypto ipsec transform-set myset esp-des esp-sha-hmac
Em Transform, selecione Encryption + Data Integrity (ESP). O algoritmo de criptografia deve ser DES, integridade de dados deve ser SHA1, e o gateway de peer permitido deve ser o PIX gateway externo (chamado “cisco_endpoint”). Clique em OK.
Depois que o ponto de verificação é configurado, a política seleta > instala no menu do ponto de controle para que as mudanças tomem o efeito.
Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.
A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.
Antes de emitir comandos de depuração, consulte Informações Importantes sobre Comandos de Depuração.
debug crypto engine - Exibe as mensagens de depuração sobre os mecanismos de criptografia que realizam a criptografia e a descriptografia.
debug crypto isakmp - Exibe mensagens sobre eventos IKE.
debug crypto ipsec—Exibe eventos IPSec.
show crypto isakmp sa - Ver todas as associações de segurança (SAs) IKE atuais no correspondente.
show crypto ipsec sa - Exibe as configurações usadas pelas associações de segurança atuais.
clear crypto isakmp sa — (do modo de configuração) cancele todas as conexões do IKE ativo.
clear crypto ipsec sa — (do modo de configuração) suprima de todas as associações de segurança IPSec.
Porque o seguimento foi ajustado para por muito tempo dentro a janela de editor de política mostrada em etapa 14, o tráfego negado aparece no vermelho no Log Viewer. Um mais verboso debuga pode ser obtido entrando:
C:\WINNT\FW1\4.1\fwstop C:\WINNT\FW1\4.1\fw d -d
e em outra janela:
C:\WINNT\FW1\4.1\fwstart
Nota: Esta era uma instalação de Microsoft Windows NT.
Você pode cancelar SA no ponto de verificação com estes comandos:
fw tab -t IKE_SA_table -x fw tab -t ISAKMP_ESP_table -x fw tab -t inbound_SPI -x fw tab -t ISAKMP_AH_table -x
e de resposta sim no é você certo? prompt.
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Quando as redes internas adjacentes do múltiplo são configuradas no domínio da criptografia no ponto de verificação, o dispositivo pode automaticamente resumi-las no que diz respeito ao tráfego interessante. Se o ACL cripto no PIX não é configurado para combinar, o túnel falha provavelmente. Por exemplo, se as redes internas de 10.0.0.0 /24 e de 10.0.1.0 /24 são configuradas para ser incluídas no túnel, podem ser resumidas a 10.0.0.0 /23.
cisco_endpoint# show debug debug crypto ipsec 1 debug crypto isakmp 1 debug crypto engine debug fover status tx Off rx Off open Off cable Off txdmp Off rxdmp Off ifc Off rxip Off txip Off get Off put Off verify Off switch Off fail Off fmsg Off cisco_endpoint# term mon cisco_endpoint# ISAKMP (0): beginning Quick Mode exchange, M-ID of 2112882468:7df00724IPSEC(key_engine): got a queue event... IPSEC(spi_response): getting spi 0x9d71f29c(2641490588) for SA from 172.18.124.157 to 172.18.124.35 for prot 3 70 crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.35 OAK_QM exchange oakley_process_quick_mode: OAK_QM_IDLE ISAKMP (0): processing SA payload. message ID = 2112882468 ISAKMP : Checking IPSec proposal 1 ISAKMP: transform 1, ESP_DES ISAKMP: attributes in transform: ISAKMP: encaps is 1 ISAKMP: SA life type in seconds ISAKMP: SA life duration (basic) of 28800 ISAKMP: SA life type in kilobytes ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 ISAKMP: authenticator is HMAC-SHA ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) dest= 172.18.124.157, src= 172.18.124.35, dest_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4 ISAKMP (0): processing NONCE payload. message ID = 2112882468 ISAKMP (0): processing ID payload. message ID = 2112882468 ISAKMP (0): processing ID payload. message ID = 2112882468map_alloc_entry: allocating entry 3 map_alloc_entry: allocating entry 4 ISAKMP (0): Creating IPSec SAs inbound SA from 172.18.124.157 to 172.18.124.35 (proxy 10.32.50.0 to 192.168.1.0) has spi 2641490588 and conn_id 3 and flags 4 lifetime of 28800 seconds lifetime of 4608000 kilobytes outbound SA from 172.18.124.35 to 172.18.124.157 (proxy 192.168.1.0 to 10.32.50.0) has spi 3955804195 and conn_id 4 and flags 4 lifetime of 28800 seconds lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event... IPSEC(initialize_sas): , (key eng. msg.) dest= 172.18.124.35, src= 172.18.124.157, dest_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), src_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 28800s and 4608000kb, spi= 0x9d71f29c(2641490588), conn_id= 3, keysize= 0, flags= 0x4 IPSEC(initialize_sas): , (key eng. msg.) src= 172.18.124.35, dest= 172.18.124.157, src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 28800s and 4608000kb, spi= 0xebc8c823(3955804195), conn_id= 4, keysize= 0, flags= 0x4 return status is IKMP_NO_ERROR2303: sa_request, (key eng. msg.) src= 172.18.124.35, dest= 172.18.124.157, src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 28800s and 4608000kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004 602301: sa created, (sa) sa_dest= 172.18.124.35, sa_prot= 50, sa_spi= 0x9d71f29c(2641490588), sa_trans= esp-des esp-sha-hmac , sa_conn_id= 3 602301: sa created, (sa) sa_dest= 172.18.124.157, sa_prot= 50, sa_spi= 0xebc8c823(3955804195), sa_trans= esp-des esp-sha-hmac , sa_conn_id= 4 cisco_endpoint# sho cry ips sa interface: outside Crypto map tag: rtpmap, local addr. 172.18.124.35 local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer: 172.18.124.157 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 172.18.124.35, remote crypto endpt.: 172.18.124.157 path mtu 1500, ipsec overhead 0, media mtu 1500 current outbound spi: 0 inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.32.50.0/255.255.255.0/0/0) current_peer: 172.18.124.157 PERMIT, flags={origin_is_acl,} #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 local crypto endpt.: 172.18.124.35, remote crypto endpt.: 172.18.124.157 path mtu 1500, ipsec overhead 56, media mtu 1500 current outbound spi: ebc8c823 inbound esp sas: spi: 0x9d71f29c(2641490588) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 3, crypto map: rtpmap sa timing: remaining key lifetime (k/sec): (4607999/28777) IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xebc8c823(3955804195) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 4, crypto map: rtpmap sa timing: remaining key lifetime (k/sec): (4607999/28777) IV size: 8 bytes replay detection support: Y outbound ah sas: outbound pcp sas: cisco_endpoint# sho cry is sa dst src state pending created 172.18.124.157 172.18.124.35 QM_IDLE 0 2