Cisco IOS Configuration VPN Scnario 1: passerelle--passerelle avec secrets pr-partages Ce qui suit est un exemple typique de passerelle

passerelle VPN qui utilise une pr-partage secrte d'authentification. 10.5.6.0/24 172.23.9.0/24 | | - | | | + ----------- + / - ^ - ^ - ^ - ^ - \ + ----------- + | | ----- | Portail A | ===== | Internet | ===== | Portail B | ----- | | AL + ----------- + AW \ - vvvv-/ BW + ----------- + BL | - | 10.5.6.1 14.15.16.17 22.23.24.25 172.23.9.1 | | | Une passerelle relie les 10.5.6.0/24 rseau interne Internet. Une passerelle de Interface LAN dispose de l'adresse 10.5.6.1, et son WAN (Internet) interface a l'adresse 14.15.16.17. Gateway B relie les 172.23.9.0/24 internes du LAN l'Internet. Porte B WAN (Internet) interface a l'adresse 22.23.24.25. Gateway B LAN adresse de l'interface, 172.23.9.1, peut tre utilis pour les tests IPsec, mais n'est pas ncessaires pour la configuration de la passerelle A. Les IKE Phase 1 Paramtres utiliss dans le scnario 1 sont les suivants: * * * * * * Le mode principal TripleDES SHA-1 MODP groupe 2 (1024 bits) Secret pr-partag de hr5xb84l6aa9r6" SA dure de vie de 28800 secondes (huit heures) sans kbytes rekeying

Les IKE Phase 2 paramtres utiliss dans le scnario 1 sont les suivants: * TripleDES * SHA-1 * ESP en mode tunnel * MODP groupe 2 (1024 bits) * Perfect Forward Secrecy pour rekeying * SA vie de 3600 secondes (une heure) sans kbytes rekeying * Slecteurs pour tous les protocoles IP, tous les ports, entre 10.5.6.0/24 et 172.23.9.0/24, en utilisant des sous-rseaux IPv4 Pour configurer la passerelle A pour ce scnario, utilisez les tapes suivantes: Cisco IOS IPSec prend en charge, en commenant avec les premires versions de l'IOS La version 12, mais les commandes ont chang au cours de l'volution de l'IOS Communiqus Version 12 points. L'exemple suivant utilise la version actuelle version Cisco IOS version 12.2 (8) T4.

Cet exemple utilise un routeur Cisco 1700, qui dispose d'un port Ethernet et un port srie. Le port Ethernet, FastEthernet0, sera l'extrieur, ou Internet faisant face l'interface. Le port srie, Serial0, sera l'intrieur interface. (Ceci est juste un exemple. Vos interfaces peuvent tre diffrents.) Tous les changements de configuration sont volatils, et immdiatement, jusqu' ce que le "write" commande est excute, lorsque la configuration est enregistre clignoter et sera recharg aprs un redmarrage. A tout moment, vous pouvez examiner le fonctionnement configuration avec la commande "show running-configuration", ou voir la configuration sauvegarde avec la commande "show config". La plupart des commandes peuvent tre en abrg. Utilisez un? l'invite de commande ou dans un pour voir les options. Configurer IP sur les interfaces: Router # config terme Entrez les commandes de configuration, un par ligne. Terminez avec CNTL / Z. Router (config) # int fa0 Router (config-if) # ip adresse 14.15.16.17 255.255.255.0 Router (config-if) # vitesse automatique Router (config-if) # ^ Z Router # config terme Entrez les commandes de configuration, un par ligne. Terminez avec CNTL / Z. Router (config) # int SER0 Router (config-if) # ip adresse 10.5.6.1 255.255.255.0 Router (config-if) # no shutdown Router (config-if) # ^ Z Routeur # Dfinir la route par dfaut: Router # config terme Router (config) # ip route 0.0.0.0 0.0.0.0 14.15.16.1 Router (config) # exit Cisco prend en charge qu'une seule stratgie IKE par routeur, vous devez donc concevoir une qui est acceptable pour tous les systmes que vous allez interagir avec. Affectezun numro d'ordre de 5. Si vous voulez avoir plus d'une proposition dans la politique, les propositions seront donns dans l'ordre dfini par cette politique numro de commande. Configurer la stratgie IKE: Router Router Router Router Router Router Router Router # config terme (config) # crypto (config-isakmp) # (config-isakmp) # (config-isakmp) # (config-isakmp) # (config-isakmp) # (config-isakmp) # ISAKMP politique 5 cryptage 3des groupe 2 hachage SHA dure de vie 28800 authentification pr-partage exit

Depuis plusieurs pairs se partageront la mme stratgie IKE, vous devez faire correspondre chaque par les pairs avec son secret pr-partag: Router # config terme Router (config) # crypto key isakmp hr5xb84l6aa9r6 adresse 22.23.24.25 Router (config-isakmp) # exit La transforme IPSEC seront combins plus tard avec le reste de la politique IPSEC dans une commande crypto map. Dans cette commande, "STRONG" est juste une tiquette. tiquettes sont sensibles la casse. Dfinir la transforme IPSEC: Router # config terme Router (config) # crypto ipsec transform-set FORTE esp-3des esp-sha-hmac Router (config-isakmp) # exit Cisco IOS utilise des listes d'accs pour les entres de SPD. Plusieurs caractristiques de listes d'accs (. Vrification ex drapeau TCP) ne fonctionnent pas dans IPSEC. Ce genre de liste d'accs DOIVENT tre tiquets avec un numro 3 chiffres. Le masque de rseau dans les listes d'accs Cisco sont inverss. Personne ne sait pourquoi, ils ne sont tout simplement. Cette liste indique tout le trafic partir 10.5.6.0/24 172.23.9.0/24, tous les ports, tous les protocoles IP ". Crez le Liste d'accs IPSEC: Router # config terme Entrez les commandes de configuration, un par ligne. Terminez avec CNTL / Z. Router (config) # access-list 101 ip 10.5.6.0 0.0.0.255 permis 172.23.9.0 0.0.0.255 Router (config) # ip route 0.0.0.0 0.0.0.0 14.15.16.1 Router (config) # exit Parce que l'IOS est un nous devons dire IOS qui interface pour pas suffisant. Dans ce scnario, nous vous devrez peut-tre dfinir un chemin pour Router Entrez Z. Router Router premier routeur et une seconde passerelle IPSEC, envoyer des paquets sur la route par dfaut si n'est n'avons pas besoin, mais dans d'autres situations, le rseau distant protg:

# config terme les commandes de configuration, un par ligne. Terminez avec CNTL / (config) # ip route 172.23.9.0 255.255.255.0 14.15.16.17 (config) # exit

Une carte cryptographique lie tous les paramtres assortis de chiffrement avec une tlcommande spcifique passerelle. Plusieurs cartes cryptographiques lis diffrentes passerelles distantes peuvent tre regroups dans une crypto map SET qui est ensuite li un dpart interface. Le nombre qui suit le nom de crypto ensemble de cartes est l'ordre de

la carte de la srie. Lier la politique avec une carte crypto, et lui donner l'tiquette CISCO: Router # config terme Router (config) # crypto ipsec carte Cisco 10-isakmp % NOTE: Cette nouvelle crypto map restera dsactiv jusqu' ce qu'un poste et une liste d'accs valide ont t configurs. Router (config-crypto-map) # rgler les secondes de la vie de scuritassociation 3600 Router (config-crypto-map) # set transform-ensemble solide Router (config-crypto-map) # set pfs groupe2 Router (config-crypto-map) # set peer 22.23.24.25 Router (config-crypto-map) # correspondre l'adresse 101 Router (config-crypto-map) # exit Parce que Ciscos pourrait avoir de nombreuses interfaces, vous devez lier le SPD l' interface de sortie: Router Router Router Router # config terme (config) # interface fa0 (config-if) # crypto map CISCO (config-if) # ^ Z

Si vous avez eu plusieurs tunnels plusieurs passerelles, vous devez crer un liste d'accs diffrent pour chaque tunnel, ajoutez une entre pour chaque cl isakmp passerelle, et peut-tre crer un autre ipsec transformer si votre scurit politique est diffrente. Par exemple, disons que vous avez un autre poste distant 23.23.24.25, pour lequel vous avez cr la liste d'accs 102. Vous pouvez ensuite ajouter une carte cryptographique l'ensemble cr ci-dessus: Router # config terme Router (config) # crypto ipsec carte CISCO 20-isakmp % NOTE: Cette nouvelle crypto map restera dsactiv jusqu' ce qu'un poste et une liste d'accs valide ont t configurs. Router (config-crypto-map) # rgler les secondes de la vie de scuritassociation 3600 Router (config-crypto-map) # set transform-ensemble solide Router (config-crypto-map) # set pfs groupe2 Router (config-crypto-map) # set peer 23.23.24.25 Router (config-crypto-map) # correspondre l'adresse 102 Router (config-crypto-map) # exit Maintenant, le FastEthernet0 interface de sortie comporte la fois des cartes crypto, et il sera comparer le trafic chaque carte afin de dterminer si le trafic l'exige cryptage. Enregistrez la configuration: Routeur # crire Construire la configuration ... [OK] Voici la partie acheve de la configuration IPSec Cisco:

Router # show config ! crypto ISAKMP politique 5 encr 3des d'authentification pr-partage groupe 2 dure de vie 28800 crypto ISAKMP cl hr5xb84l6aa9r6 adresse 22.23.24.25 ! crypto ipsec transform-set forte esp-3des esp-sha-hmac ! crypto map CISCO 101 ipsec-isakmp mis par les pairs 22.23.24.25 mis transformer FORT-ensemble mis pfs groupe2 correspondre l'adresse 101 ! interface FastEthernet0 adresse ip 14.15.16.17 255.255.255.0 automatique de vitesse crypto map CISCO ! interface Serial0 10.5.6.1 255.255.255.0 adresse ip ! access-list 101 ip 10.5.6.0 0.0.0.255 permis 172.23.9.0 0.0.0.255 ! Maintenant, mettre en place un tunnel! Les extensions IOS commande ping vous permettra de slectionner l'interface source et l'adresse IP d'o, du ping: Router # ping Protocole [ip]: Adresse cible IP: 172.23.9.10 Rptez compter [5]: Taille de datagramme [100]: Dlai en secondes [2]: Commandes tendues [n]: y Adresse source ou de l'interface: serial0 Type de service [0]: Dfinissez le bit DF en-tte IP? [No]: Valider les donnes de rponse? [No]: Donnes motif [0xABCD]: Loose, Strict, enregistrement, horodatage, Verbose [none]: Plage de balayage de tailles [n]: Tapez la squence d'chappement pour annuler. Envoi de 5, 100-octets ICMP Echos 172.23.9.10, dlai d'attente est de 2 secondes: ..... Le taux de russite est de 0 pour cent (0/5) Hmmmm ... ce qui pourrait tre le problme? Voyons maintenant quelques notions de base: Router # show ip int brve Interface Adresse IP OK? Status Protocol mthode FastEthernet0 14.15.16.17 OUI manuelle up up Serial0 10.5.6.1 OUI manuel down down

Ah, l'interface srie est en panne. Je dois effectivement le connecter quelque chose mettre en place l'interface. Maintenant, le ping fonctionne et affiche les SA. Voir les SA avec ces commandes: Router # show crypto ISAKMP SA dst src tat conn-ID d'emplacement 14.15.16.17 22.23.24.25 QM_IDLE 1 0 Router # show crypto ipsec sa Interface: FastEthernet0 Crypto map tag: CISCO, adresse locale. 14.15.16.17 ident local (adr / masque / prot / port): (10.5.6.0/255.255.255.0/0/0) distance ident (adr / masque / prot / port): (172.23.9.0/255.255.255.0/0/0) current_peer: 22.23.24.25 PERMIS, flags = {origin_is_acl,} # Encaps PKTS: 12, # pkts chiffrer: 12, # 12 PKTS digest # Decaps PKTS: 23, # pkts dcrypter: 23, # 23 PKTS vrifier # Pkts comprim: 0, # pkts dcompress: 0 # Pkts pas compress: 0, # pkts compr. a chou: 0, # pkts dcompresser chou: 0 # Envoie erreurs 0, erreurs recv # 0 locale endpt crypto:. 14.15.16.17, distance crypto endpt:. 22.23.24.25 chemin mtu 1500, les mdias mtu 1500 courant sortant spi: 3C39A800 entrant esp sas: spi: 0xD7228E4B (3609366091) transforme: esp-3des esp-sha-hmac, dans des contextes d'utilisation = {Tunnel,} emplacement: 0, conn id: 2000, flow_id: 1, crypto map: CISCO sa temporisation: dure de vie restante cl (k / s): (4607999/3574) Taille IV: 8 octets soutien dtection de relecture: Y ah sas d'arrive: entrant pcp sas: ESP sortant sas: spi: 0x3C39A800 (1010411520) transforme: esp-3des esp-sha-hmac, dans des contextes d'utilisation = {Tunnel,} emplacement: 0, conn id: 2001, flow_id: 2, crypto map: CISCO sa temporisation: dure de vie restante cl (k / s): (4607999/3574) Taille IV: 8 octets soutien dtection de relecture: Y ah sortant sas: sortant pcp sas:

La meilleure faon de supprimer les SA d'un systme Cisco IOS varie en fonction de la version, mais une de ces deux travaillent gnralement: RouterRouter # clear crypto ISAKMP RouterRouter # clear crypto sa Pour activer le dbogage dans l'IOS, vous devez activer le dbogage ainsi que mettre l' dboguer moniteur, qui est normalement le terminal que vous tes connect sur: Router # debug crypto verbose Router # debug crypto ISAKMP Routeur # moniteur terme Pour dsactiver le dbogage: Router # nodebug tous Routeur # terme sans moniteur