本文說明如何使用高級加密標準(AES)作為加密演算法,在Cisco VPN 3000集中器和思科路由器之間配置IPsec隧道。
AES是由美國國家標準與技術研究所(NIST)建立的新聯邦資訊處理標準(FIPS)出版物,用於加密方法。此標準指定一個AES對稱加密演算法,該演算法取代資料加密標準(DES)作為IPsec和Internet金鑰交換(IKE)的隱私轉換。AES有三種不同的金鑰長度,一個128位金鑰(預設),一個192位金鑰和一個256位金鑰。Cisco IOS®中的AES功能新增了對IPsec對具有密碼塊連結(CBC)模式的新加密標準AES的支援。
有關AES的詳細資訊,請參閱NIST電腦保安資源中心站點 。
有關VPN 3000集中器和PIX防火牆之間的LAN到LAN隧道配置的詳細資訊,請參閱Cisco VPN 3000集中器和PIX防火牆之間的LAN到LAN IPsec隧道配置示例。
有關PIX軟體版本7.1的詳細資訊,請參閱PIX 7.x和VPN 3000集中器之間的IPsec隧道配置示例。
本文檔需要對IPsec協定有基本的瞭解。請參閱IPSec加密簡介以瞭解有關IPsec的詳細資訊。
嘗試此組態之前,請確保符合以下要求:
路由器要求 — AES功能是在Cisco IOS軟體版本12.2(13)T中匯入。為了啟用AES,您的路由器必須支援IPsec並使用「k9」長金鑰運行IOS映像(「k9」子系統)。
註:Cisco 2600XM、2691、3725和3745 AES加速VPN模組也提供AES硬體支援。此功能沒有配置影響,如果兩個模組都可用,將自動選擇硬體模組。
VPN集中器要求 — AES功能的軟體支援是在3.6版中引入的。硬體支援通過新的增強型可擴展加密處理器(SEP-E)提供。 此功能不涉及配置。
注意:在Cisco VPN 3000 Concentrator 3.6.3版中,由於Cisco錯誤ID CSCdy88797(僅限註冊客戶),通道不會與AES協商。 3.6.4版中已解決此問題。
注意:Cisco VPN 3000 Concentrator使用SEP或SEP-E模組,而不是同時使用兩者。請勿將兩者安裝在同一裝置上。如果在已經包含SEP模組的VPN集中器上安裝SEP-E模組,則VPN集中器會禁用SEP模組並僅使用SEP-E模組。
本檔案中的資訊是根據軟體和硬體版本:
採用Cisco IOS軟體版本12.3(5)的Cisco 3600系列路由器
軟體版本4.0.3的Cisco VPN 3060集中器
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
本節提供用於設定本文件中所述功能的資訊。
註:使用Command Lookup Tool(僅供已註冊客戶使用)可獲取本節中使用的命令的詳細資訊。
本檔案會使用以下網路設定:
本檔案會使用以下設定:
ipsec_router組態 |
---|
version 12.3 service timestamps debug uptime service timestamps log datetime msec no service password-encryption ! hostname ipsec_router ! memory-size iomem 10 no aaa new-model ip subnet-zero ! !--- Configuration for IKE policies. crypto isakmp policy 1 !--- Enables the IKE policy configuration (config-isakmp) command mode, !--- where you can specify the parameters to be used during !--- an IKE negotiation. encryption aes 256 !--- Specifies the encryption algorithm as AES with a 256 !--- bit key within an IKE policy. authentication pre-share group 2 crypto isakmp key cisco123 address 20.20.20.1 !--- Specifies the preshared key "cisco123" which !--- should be identical at both peers. ! !--- Configuration for IPsec policies. crypto ipsec security-association lifetime seconds 28800 !--- Specifies the lifetime of the IPsec security association (SA). ! crypto ipsec transform-set vpn esp-aes 256 esp-md5-hmac !--- Enables the crypto transform configuration mode, where you can !--- specify the transform sets to be used during an IPsec negotiation. ! crypto map vpn 10 ipsec-isakmp !--- Indicates that IKE is used to establish the IPsec SA for protecting !--- the traffic specified by this crypto map entry. set peer 20.20.20.1 !--- Sets the IP address of the remote end (VPN Concentrator). set transform-set vpn !--- Configures IPsec to use the transform-set "vpn" defined earlier. ! !--- Specifies the traffic to be encrypted. match address 110 ! interface Ethernet1/0 ip address 30.30.30.1 255.255.255.0 ip nat outside half-duplex crypto map vpn !--- Configures the interface to use the crypto map "vpn" for IPsec. ! interface FastEthernet2/0 ip address 192.168.20.1 255.255.255.0 ip nat inside duplex auto speed auto ! ip nat pool mypool 30.30.30.3 30.30.30.3 netmask 255.255.255.0 ip nat inside source route-map nonat pool mypool overload ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 30.30.30.2 ! access-list 110 permit ip 192.168.20.0 0.0.0.255 172.16.0.0 0.0.255.255 !--- This crypto ACL-permit identifies the matching traffic !--- flows to be protected via encryption. !--- Specifies the traffic not to be encrypted. access-list 120 deny ip 192.168.20.0 0.0.0.255 172.16.0.0 0.0.255.255 !--- This crypto ACL-deny identifies the matching traffic flows not to be encrypted. ! access-list 120 permit ip 192.168.20.0 0.0.0.255 any !--- The access control list (ACL) used in the NAT configuration exempts !--- the LAN-to-LAN traffic from the NAT process, !--- but allows all traffic going to the Internet to be translated. ! route-map nonat permit 10 !--- The traffic flows not encrypted from the !--- peer network are allowed. match ip address 120 ! line con 0 line aux 0 line vty 0 4 login ! end |
注意:雖然ACL語法未更改,但加密ACL的含義略有不同。在加密ACL中,permit指定應加密匹配的資料包,而deny指定不需要加密匹配的資料包。
VPN集中器出廠設定中未預先設定IP地址。必須使用控制檯埠來配置初始配置,這些配置是基於選單的命令列介面(CLI)。 有關如何通過控制檯進行配置的資訊,請參閱通過控制檯配置VPN集中器。
在Ethernet 1(專用)介面上配置IP地址後,可以使用CLI或通過瀏覽器介面配置其餘地址。瀏覽器介面同時支援HTTP和HTTP over Secure Socket Layer(SSL)。
這些引數是通過控制檯配置的:
時間/日期 — 正確的時間和日期非常重要。它們有助於確保日誌記錄和會計分錄準確無誤,並且系統可以建立有效的安全證書。
Ethernet 1(private)interface - IP地址和掩碼(來自我們的網路拓撲172.16.1.1/24)。
此時,可從內部網路通過HTML瀏覽器訪問VPN集中器。有關在CLI模式下配置VPN集中器的資訊,請參閱使用CLI快速配置。
從Web瀏覽器鍵入專用介面的IP地址以啟用GUI介面。
按一下save needed圖示將更改儲存到記憶體。出廠預設使用者名稱和密碼是「admin」,區分大小寫。
啟動GUI後,選擇Configuration > Interfaces > Ethernet 2(Public)以設定Ethernet 2介面。
選擇Configuration > System > IP Routing > Default Gateways,為IPsec配置預設(Internet)網關和隧道預設(內部)網關,以到達專用網路中的其他子網。
在此場景中,內部網路中只有一個可用的子網。
選擇Configuration > Policy Management > Traffic Management > Network Lists > Add以建立定義要加密的流量的網路清單。
清單中提到的網路可以到達遠端網路。以下清單顯示的網路是本地網路。按一下Generate Local List時,還可以通過RIP自動生成本地網路清單。
此清單中的網路是遠端網路,需要手動配置。為此,請為每個可到達子網輸入網路/萬用字元。
完成後,以下是兩個網路清單:
選擇Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN > Add,然後定義LAN到LAN隧道。
此視窗有三個部分。頂部用於網路資訊,底部兩部分用於本地和遠端網路清單。在Network Information(網路資訊)部分,選擇AES加密、身份驗證型別、IKE建議,然後鍵入預共用金鑰。在底部部分中,分別指向您已建立的本地和遠端網路清單。
按一下Add後,如果連線正確,系統將顯示一個IPSec LAN-to-LAN-Add-Done視窗。
此視窗顯示隧道配置資訊的概要。它還自動配置組名、SA名和過濾器名。可以編輯此表中的任何引數。
此時已設定IPsec LAN到LAN隧道,您可以開始工作。如果由於某種原因,通道無法正常工作,您可以檢查是否配置錯誤。
選擇Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN時,您可以檢視或修改先前建立的LAN到LAN IPsec引數。
此圖顯示「測試」為通道名稱,依照案例,遠端的公共介面為30.30.30.1。
有時,如果您的IKE建議在「非活動建議」清單中,則通道可能無法啟動。選擇Configuration > System > Tunneling Protocols > IPSec > IKE Proposals以配置活動的IKE提議。
如果您的IKE建議位於「非活動建議」清單中,則可以在選擇IKE建議並按一下啟用按鈕時啟用它。在此圖中,選定的建議「IKE-AES256-SHA」位於活動建議清單中。
選擇Configuration > Policy Management > Traffic Management > Security Associations以驗證SA引數是否正確。
按一下SA名稱(在本例中為L2L:test),然後按一下Modify以驗證SA。
如果任何引數與遠端對等配置不匹配,可以在此處對其進行更改。
本節提供的資訊可用於確認您的組態是否正常運作。
輸出直譯器工具(僅供註冊客戶使用)支援某些show命令,此工具可讓您檢視show命令輸出的分析。
show crypto isakmp sa — 顯示對等體上的所有當前IKE SA。狀態QM_IDLE表示SA保持其對等體的身份驗證,可用於後續的快速模式交換。它處於靜止狀態。
ipsec_router#show crypto isakmp sa dst src state conn-id slot 20.20.20.1 30.30.30.1 QM_IDLE 1 0
show crypto ipsec sa — 顯示當前SA使用的設定。檢查對等IP地址、可在本地和遠端端訪問的網路,以及使用的轉換集。有兩個ESP SA,每個方向一個。由於使用了AH轉換集,因此它是空的。
ipsec_router#show crypto ipsec sa interface: Ethernet1/0 Crypto map tag: vpn, local addr. 30.30.30.1 protected vrf: local ident (addr/mask/prot/port): (192.168.20.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0) current_peer: 20.20.20.1:500 PERMIT, flags={origin_is_acl,} #pkts encaps: 145, #pkts encrypt: 145, #pkts digest 145 #pkts decaps: 51, #pkts decrypt: 51, #pkts verify 51 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 6, #recv errors 0 local crypto endpt.: 30.30.30.1, remote crypto endpt.: 20.20.20.1 path mtu 1500, media mtu 1500 current outbound spi: 54FA9805 inbound esp sas: spi: 0x4091292(67703442) transform: esp-256-aes esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn sa timing: remaining key lifetime (k/sec): (4471883/28110) IV size: 16 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x54FA9805(1425709061) transform: esp-256-aes esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: vpn sa timing: remaining key lifetime (k/sec): (4471883/28110) IV size: 16 bytes replay detection support: Y outbound ah sas: outbound pcp sas:
show crypto engine connections active — 顯示所有加密引擎的當前活動加密會話連線。每個連線ID都是唯一的。加密和解密的資料包數量顯示在最後兩列中。
ipsec_router#show crypto engine connections active ID Interface IP-Address State Algorithm Encrypt Decrypt 1 Ethernet1/0 30.30.30.1 set HMAC_SHA+AES_256_C 0 0 2000 Ethernet1/0 30.30.30.1 set HMAC_MD5+AES_256_C 0 19 2001 Ethernet1/0 30.30.30.1 set HMAC_MD5+AES_256_C 19 0
完成以下步驟以驗證VPN集中器配置。
與路由器上的show crypto ipsec sa和show crypto isakmp sa命令類似,在VPN集中器上選擇Monitoring > Statistics > IPSec時,可以檢視IPsec和IKE統計資訊。
與路由器上的show crypto engine connections active命令類似,可以使用VPN集中器上的Administration-Sessions視窗檢視所有活動IPsec LAN到LAN連線或通道的引數和統計資訊。
本節提供的資訊可用於對組態進行疑難排解。
輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。
附註:使用 debug 指令之前,請先參閱有關 Debug 指令的重要資訊。
debug crypto engine — 顯示加密的流量。加密引擎是執行加密和解密的實際機制。加密引擎可以是軟體或硬體加速器。
debug crypto isakmp — 顯示IKE第1階段的網際網路安全關聯和金鑰管理協定(ISAKMP)協商。
debug crypto ipsec — 顯示IKE第2階段的IPsec協商。
如需更多詳細資訊和範例輸出,請參閱IPSec疑難排解 — 瞭解和使用debug命令。
與Cisco路由器上的debug命令類似,您可以配置事件類以檢視所有警報。
選擇Configuration > System > Events > Classes > Add以開啟事件類的日誌記錄。
以下類可用於IPsec:
IKE
IKEDBG
IKEDECODE
IPSEC
IPSECDBG
IPSECDECODE
新增時,您還可以根據警報傳送的嚴重性級別選擇每個類的嚴重性級別。
可通過以下方法之一處理警報:
按日誌
顯示在控制檯上
傳送到UNIX系統日誌伺服器
作為電子郵件傳送
以陷阱形式傳送到簡單網路管理協定(SNMP)伺服器
選擇Monitoring > Filterable Event Log以監視已啟用的警報。