Vous êtes sur la page 1sur 7

Cisco IOS Configuration VPN

Scénario 1: passerelle-à-passerelle avec secrets pré-partagées

Ce qui suit est un exemple typique de passerelle à passerelle VPN qui utilise une pré-partagée secrète d'authentification.

10.5.6.0/24 172.23.9.0/24

-

| |

|

| + ----------- + / - ^ - ^ - ^ - ^ - \ + ----------- + |

| ----- | Portail A | ===== | Internet | ===== | Portail B | ----- |

| AL + ----------- + AW \ - vvvv-/ BW + ----------- + BL |

|

-

- 10.5.6.1 14.15.16.17 22.23.24.25 172.23.9.1 | -

|

| |

Une passerelle relie les 10.5.6.0/24 réseau interne à Internet. Une passerelle de Interface LAN dispose de l'adresse 10.5.6.1, et son WAN (Internet) interface a l'adresse 14.15.16.17.

Gateway B relie les 172.23.9.0/24 internes du LAN à l'Internet. Porte B WAN (Internet) interface a l'adresse 22.23.24.25. Gateway B LAN adresse de l'interface, 172.23.9.1, peut être utilisé pour les tests IPsec, mais n'est pas nécessaires pour la configuration de la passerelle A.

Les IKE Phase 1 Paramètres utilisés dans le scénario 1 sont les suivants:

* Le mode principal

* TripleDES

* SHA-1

* MODP groupe 2 (1024 bits)

* Secret pré-partagé de «hr5xb84l6aa9r6"

* SA durée de vie de 28800 secondes (huit heures) sans kbytes rekeying

Les IKE Phase 2 paramètres utilisés dans le scénario 1 sont les suivants:

* TripleDES

* SHA-1

* ESP en mode tunnel

* MODP groupe 2 (1024 bits)

* Perfect Forward Secrecy pour rekeying

* SA à vie de 3600 secondes (une heure) sans kbytes rekeying

* Sélecteurs pour tous les protocoles IP, tous les ports, entre 10.5.6.0/24 et 172.23.9.0/24, en utilisant des sous-réseaux IPv4

Pour configurer la passerelle A pour ce scénario, utilisez les étapes suivantes:

Cisco IOS IPSec prend en charge, en commençant avec les premières versions de l'IOS La version 12, mais les commandes ont changé au cours de l'évolution de l'IOS Communiqués Version 12 points. L'exemple suivant utilise la version actuelle version Cisco IOS version 12.2 (8) T4.

Cet exemple utilise un routeur Cisco 1700, qui dispose d'un port Ethernet et un port série. Le port Ethernet, FastEthernet0, sera à l'extérieur, ou Internet faisant face à l'interface. Le port série, Serial0, sera à l'intérieur interface. (Ceci est juste un exemple. Vos interfaces peuvent être différents.)

Tous les changements de configuration sont volatils, et immédiatement,

jusqu'à ce que le "write" commande est exécutée, lorsque la configuration est enregistrée à clignoter et sera rechargé après un redémarrage. A tout moment, vous pouvez examiner le fonctionnement configuration avec la commande "show running-configuration", ou voir la configuration sauvegardée avec la commande "show config". La plupart des commandes peuvent être en abrégé. Utilisez un? à l'invite de commande ou dans un pour voir les

options.

Configurer IP sur les interfaces:

Router # config terme

Entrez les commandes de configuration, un par ligne. Terminez avec CNTL /

Z.

Router (config) # int fa0 Router (config-if) # ip adresse 14.15.16.17 255.255.255.0 Router (config-if) # vitesse automatique Router (config-if) # ^ Z Router # config terme Entrez les commandes de configuration, un par ligne. Terminez avec CNTL /

Z.

Router (config) # int SER0 Router (config-if) # ip adresse 10.5.6.1 255.255.255.0 Router (config-if) # no shutdown Router (config-if) # ^ Z Routeur #

Définir la route par défaut:

Router # config terme Router (config) # ip route 0.0.0.0 0.0.0.0 14.15.16.1 Router (config) # exit

Cisco prend en charge qu'une seule stratégie IKE par routeur, vous devez donc concevoir une qui est acceptable pour tous les systèmes que vous allez interagir avec.

Affectez-

un numéro d'ordre de 5. Si vous voulez avoir plus d'une proposition dans la politique, les propositions seront donnés dans l'ordre défini par cette politique

numéro de commande. Configurer la stratégie IKE:

Router # config terme Router (config) # crypto ISAKMP politique 5 Router (config-isakmp) # cryptage 3des Router (config-isakmp) # groupe 2 Router (config-isakmp) # hachage SHA Router (config-isakmp) # durée de vie 28800 Router (config-isakmp) # authentification pré-partagée Router (config-isakmp) # exit

Depuis plusieurs pairs se partageront la même stratégie IKE, vous devez faire correspondre chaque par les pairs avec son secret pré-partagé:

Router # config terme Router (config) # crypto key isakmp hr5xb84l6aa9r6 adresse 22.23.24.25 Router (config-isakmp) # exit

La transformée IPSEC seront combinés plus tard avec le reste de la politique IPSEC dans une commande crypto map. Dans cette commande, "STRONG" est juste une étiquette. Étiquettes sont sensibles à la casse. Définir la transformée IPSEC:

Router # config terme Router (config) # crypto ipsec transform-set FORTE esp-3des esp-sha-hmac Router (config-isakmp) # exit

Cisco IOS utilise des listes d'accès pour les entrées de SPD. Plusieurs caractéristiques de listes d'accès (. Vérification ex drapeau TCP) ne fonctionnent pas dans IPSEC. Ce genre de liste d'accès DOIVENT être étiquetés avec un numéro à 3 chiffres. Le masque de réseau dans les listes d'accès Cisco sont inversés. Personne ne sait pourquoi, ils ne sont tout simplement. Cette liste indique «tout le trafic à partir 10.5.6.0/24 à 172.23.9.0/24, tous les ports, tous les protocoles IP ". Créez le Liste d'accès IPSEC:

Router # config terme Entrez les commandes de configuration, un par ligne. Terminez avec CNTL /

Z.

Router (config) # access-list 101 ip 10.5.6.0 0.0.0.255 permis 172.23.9.0

0.0.0.255

Router (config) # ip route 0.0.0.0 0.0.0.0 14.15.16.1 Router (config) # exit

Parce que l'IOS est un premier routeur et une seconde passerelle IPSEC, nous devons dire IOS qui interface pour envoyer des paquets sur la route par défaut si n'est pas suffisant. Dans ce scénario, nous n'avons pas besoin, mais dans d'autres situations, vous devrez peut-être définir un chemin pour le réseau distant protégé:

Router # config terme

Entrez les commandes de configuration, un par ligne. Terminez avec CNTL /

Z.

Router (config) # ip route 172.23.9.0 255.255.255.0 14.15.16.17

Router (config) # exit

Une carte cryptographique lie tous les paramètres assortis de chiffrement avec une télécommande spécifique passerelle. Plusieurs cartes cryptographiques liés à différentes passerelles distantes peuvent être regroupés dans une crypto map SET qui est ensuite lié à un départ interface. Le nombre qui suit le nom de crypto ensemble de cartes est l'ordre de

la carte de la série. Lier la politique avec une carte crypto, et lui donner l'étiquette CISCO:

Router # config terme Router (config) # crypto ipsec carte Cisco 10-isakmp

% NOTE: Cette nouvelle crypto map restera désactivé jusqu'à ce qu'un poste et une liste d'accès valide ont été configurés. Router (config-crypto-map) # régler les secondes de la vie de sécurité- association 3600 Router (config-crypto-map) # set transform-ensemble solide Router (config-crypto-map) # set pfs groupe2 Router (config-crypto-map) # set peer 22.23.24.25 Router (config-crypto-map) # correspondre à l'adresse 101 Router (config-crypto-map) # exit

Parce que Ciscos pourrait avoir de nombreuses interfaces, vous devez lier le SPD à l' interface de sortie:

Router # config terme Router (config) # interface fa0 Router (config-if) # crypto map CISCO Router (config-if) # ^ Z

Si vous avez eu plusieurs tunnels à plusieurs passerelles, vous devez créer un liste d'accès différent pour chaque tunnel, ajoutez une entrée pour chaque clé isakmp passerelle, et peut-être créer un autre ipsec transformer si votre sécurité politique est différente. Par exemple, disons que vous avez un autre poste distant à 23.23.24.25, pour lequel vous avez créé la liste d'accès 102. Vous pouvez ensuite ajouter une carte cryptographique à l'ensemble créé ci-dessus:

Router # config terme Router (config) # crypto ipsec carte CISCO 20-isakmp

% NOTE: Cette nouvelle crypto map restera désactivé jusqu'à ce qu'un poste et une liste d'accès valide ont été configurés. Router (config-crypto-map) # régler les secondes de la vie de sécurité- association 3600 Router (config-crypto-map) # set transform-ensemble solide Router (config-crypto-map) # set pfs groupe2 Router (config-crypto-map) # set peer 23.23.24.25 Router (config-crypto-map) # correspondre à l'adresse 102 Router (config-crypto-map) # exit

Maintenant, le FastEthernet0 interface de sortie comporte à la fois des cartes crypto, et il sera comparer le trafic à chaque carte afin de déterminer si le trafic l'exige cryptage.

Enregistrez la configuration:

Routeur # écrire Construire la configuration [OK]

Voici la partie achevée de la configuration IPSec Cisco:

Router # show config

!

crypto ISAKMP politique 5 encr 3des d'authentification pré-partagée groupe 2

durée de vie 28800 crypto ISAKMP clé hr5xb84l6aa9r6 adresse 22.23.24.25

!

crypto ipsec transform-set forte esp-3des esp-sha-hmac

!

crypto map CISCO 101 ipsec-isakmp mis par les pairs 22.23.24.25 mis transformer FORT-ensemble mis pfs groupe2 correspondre à l'adresse 101

!

interface FastEthernet0 adresse ip 14.15.16.17 255.255.255.0 automatique de vitesse crypto map CISCO

!

interface Serial0 10.5.6.1 255.255.255.0 adresse ip

!

access-list 101 ip 10.5.6.0 0.0.0.255 permis 172.23.9.0 0.0.0.255

!

Maintenant, mettre en place un tunnel! Les extensions IOS commande ping vous permettra de sélectionner l'interface source et l'adresse IP d'où, du ping:

Router # ping Protocole [ip]:

Adresse cible IP: 172.23.9.10 Répétez compter [5]:

Taille de datagramme [100]:

Délai en secondes [2]:

Commandes étendues [n]: y Adresse source ou de l'interface: serial0 Type de service [0]:

Définissez le bit DF en-tête IP? [No]:

Valider les données de réponse? [No]:

Données motif [0xABCD]:

Loose, Strict, enregistrement, horodatage, Verbose [none]:

Plage de balayage de tailles [n]:

Tapez la séquence d'échappement pour annuler. Envoi de 5, 100-octets ICMP Echos à 172.23.9.10, délai d'attente est de 2 secondes:

Le taux de réussite est de 0 pour cent (0/5)

Hmmmm

notions de base:

ce qui pourrait être le problème? Voyons maintenant quelques

Router # show ip int brève Interface Adresse IP OK? Status Protocol méthode FastEthernet0 14.15.16.17 OUI manuelle up up

Serial0 10.5.6.1 OUI manuel down down

Ah, l'interface série est en panne. Je dois effectivement le connecter à quelque chose à mettre en place l'interface. Maintenant, le ping fonctionne et affiche les SA.

Voir les SA avec ces commandes:

Router # show crypto ISAKMP SA dst src état conn-ID d'emplacement 14.15.16.17 22.23.24.25 QM_IDLE 1 0

Router # show crypto ipsec sa

Interface: FastEthernet0 Crypto map tag: CISCO, adresse locale. 14.15.16.17

ident local (adr / masque / prot / port): (10.5.6.0/255.255.255.0/0/0) distance ident (adr / masque / prot / port):

(172.23.9.0/255.255.255.0/0/0)

current_peer: 22.23.24.25 PERMIS, flags = {origin_is_acl,}

# Encaps PKTS: 12, # pkts chiffrer: 12, # 12 PKTS digest

# Decaps PKTS: 23, # pkts décrypter: 23, # 23 PKTS vérifier

# Pkts comprimé: 0, # pkts décompressé: 0

# Pkts pas compressé: 0, # pkts compr. a échoué: 0, # pkts décompresser échoué: 0

# Envoie erreurs 0, erreurs recv # 0

locale endpt crypto:. 14.15.16.17, à distance crypto endpt:.

22.23.24.25

chemin mtu 1500, les médias mtu 1500 courant sortant spi: 3C39A800

entrant esp sas:

spi: 0xD7228E4B (3609366091) transformée: esp-3des esp-sha-hmac, dans des contextes d'utilisation = {Tunnel,} emplacement: 0, conn id: 2000, flow_id: 1, crypto map: CISCO sa temporisation: durée de vie restante clé (k / s): (4607999/3574) Taille IV: 8 octets soutien détection de relecture: Y

ah sas d'arrivée:

entrant pcp sas:

ESP sortant sas:

spi: 0x3C39A800 (1010411520) transformée: esp-3des esp-sha-hmac, dans des contextes d'utilisation = {Tunnel,} emplacement: 0, conn id: 2001, flow_id: 2, crypto map: CISCO sa temporisation: durée de vie restante clé (k / s): (4607999/3574) Taille IV: 8 octets soutien détection de relecture: Y

ah sortant sas:

sortant pcp sas:

La meilleure façon de supprimer les SA d'un système Cisco IOS varie en fonction de la version, mais une de ces deux travaillent généralement:

RouterRouter # clear crypto ISAKMP RouterRouter # clear crypto sa

Pour activer le débogage dans l'IOS, vous devez activer le débogage ainsi que mettre l' déboguer moniteur, qui est normalement le terminal que vous êtes connecté sur:

Router # debug crypto verbose Router # debug crypto ISAKMP Routeur # moniteur terme

Pour désactiver le débogage:

Router # nodebug tous Routeur # terme sans moniteur