Konfiguration von Router-Router-IPsec (vor der Firewall) auf GRE-Tunnel mit IOS-Router und NAT
Inhalt
Einführung
Dieses Dokument zeigt eine grundlegende Konfiguration der Cisco IOS® Firewall mit Network Address Translation (NAT). Diese Konfiguration ermöglicht die Initiierung des Datenverkehrs aus den Netzwerken 10.1.1.x und 172.16.1.x ins Internet und NATed während des Vorgangs. Dem Tunnel-IP- und IPX-Datenverkehr zwischen zwei privaten Netzwerken wird ein Generic Routing Encapsulation (GRE)-Tunnel hinzugefügt. Wenn ein Paket an der ausgehenden Schnittstelle des Routers eingeht und über den Tunnel gesendet wird, wird es zuerst mithilfe der GRE gekapselt und dann mit IPsec verschlüsselt. Anders ausgedrückt: Der Datenverkehr, der in den GRE-Tunnel geleitet werden darf, wird ebenfalls über IPsec verschlüsselt.
Informationen zur Konfiguration des GRE-Tunnels über IPsec mit Open Shortest Path First (OSPF) finden Sie unter Konfigurieren eines GRE-Tunnels über IPSec mit OSPF.
Informationen zum Konfigurieren eines Hub-and-Spoke-IPsec-Designs zwischen drei Routern finden Sie unter Konfigurieren von IPsec-Router-zu-Router-Hub and Spoke mit der Kommunikation zwischen den Spokes.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
-
Cisco IOS Softwareversion 12.2(21a) und 12.3(5a)
-
Cisco 3725 und 3640
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Hintergrundinformationen
Die Tipps in diesem Abschnitt helfen Ihnen, die Konfiguration zu implementieren:
-
Implementieren Sie NAT auf beiden Routern, um die Internetverbindung zu testen.
-
Fügen Sie GRE zur Konfiguration und zum Test hinzu. Nicht verschlüsselter Datenverkehr sollte zwischen den privaten Netzwerken fließen.
-
Fügen Sie der Konfiguration und dem Test IPsec hinzu. Der Datenverkehr zwischen den privaten Netzwerken sollte verschlüsselt werden.
-
Fügen Sie die Cisco IOS Firewall zu den externen Schnittstellen, der Liste der ausgehenden Überprüfungen und der Liste der eingehenden Zugriffe hinzu, und testen Sie.
-
Wenn Sie eine Cisco IOS Software-Version vor 12.1.4 verwenden, müssen Sie IP-Datenverkehr zwischen 172.16.1.x und - 10.0.0.0 in der Zugriffsliste 103 zulassen. Weitere Informationen finden Sie unter Cisco Bug ID CSCdu58486 (nur registrierte Kunden) und Cisco Bug ID CSCdm01118 (nur registrierte Kunden).
Konfiguration
In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.
Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Dokument verwendeten Befehlen zu erhalten.
Hinweis: Die in dieser Konfiguration verwendeten IP-Adressierungsschemata sind im Internet nicht rechtlich routbar. Es handelt sich um RFC 1918-Adressen, die in einer Laborumgebung verwendet wurden.
Netzwerkdiagramm
In diesem Dokument wird diese Netzwerkeinrichtung verwendet.
Konfigurationen
In diesem Dokument werden diese Konfigurationen verwendet.
| DAPHNE-Konfiguration |
|---|
version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname daphne ! boot-start-marker boot-end-marker ! enable secret 5 $1$r2sh$XKZR118vcId11ZGzhbz5C/ ! no aaa new-model ip subnet-zero ! ! !--- This is the Cisco IOS Firewall configuration and what to inspect. !--- This is applied outbound on the external interface. ip inspect name myfw tcp ip inspect name myfw udp ip inspect name myfw ftp ip inspect name myfw realaudio ip inspect name myfw smtp ip inspect name myfw streamworks ip inspect name myfw vdolive ip inspect name myfw tftp ip inspect name myfw rcmd ip inspect name myfw http ip telnet source-interface FastEthernet0/0 ! ip audit notify log ip audit po max-events 100 no ftp-server write-enable ! !--- This is the IPsec configuration. ! crypto isakmp policy 10 authentication pre-share crypto isakmp key ciscokey address 192.168.2.2 ! ! crypto ipsec transform-set to_fred esp-des esp-md5-hmac ! crypto map myvpn 10 ipsec-isakmp set peer 192.168.2.2 set transform-set to_fred match address 101 ! ! ! ! ! !--- This is one end of the GRE tunnel. ! interface Tunnel0 ip address 192.168.3.1 255.255.255.0 !--- Associate the tunnel with the physical interface. tunnel source FastEthernet0/1 tunnel destination 192.168.2.2 !--- This is the internal network. interface FastEthernet0/0 ip address 10.0.0.2 255.255.255.0 ip nat inside speed 100 full-duplex ! !--- This is the external interface and one end of the GRE tunnel. interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip access-group 103 in ip nat outside ip inspect myfw out speed 100 full-duplex crypto map myvpn ! !--- Define the NAT pool. ip nat pool ourpool 192.168.1.10 192.168.1.20 netmask 255.255.255.0 ip nat inside source route-map nonat pool ourpool overload ip classless ip route 0.0.0.0 0.0.0.0 192.168.1.2 !--- Force the private network traffic into the tunnel. - ip route 172.16.1.0 255.255.255.0 192.168.3.2 ip http server no ip http secure-server ! ! !--- All traffic that enters the GRE tunnel is encrypted by IPsec. !--- Other ACE statements are not necessary. access-list 101 permit gre host 192.168.1.1 host 192.168.2.2 !--- Access list for security reasons. Allow !--- IPsec and GRE traffic between the private networks. access-list 103 permit gre host 192.168.2.2 host 192.168.1.1 access-list 103 permit esp host 192.168.2.2 host 192.168.1.1 access-list 103 permit udp host 192.168.2.2 eq isakmp host 192.168.1.1 access-list 103 deny ip any any log !--- See the Background Information section if you use !--- a Cisco IOS Software release earlier than 12.1.4 for access list 103. access-list 175 deny ip 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 175 permit ip 10.0.0.0 0.0.0.255 any !--- Use access list in route-map to address what to NAT. route-map nonat permit 10 match ip address 175 ! ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 password ww login ! ! end |
| Konfiguration des Lüfters |
|---|
version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname fred ! enable secret 5 $1$AtxD$MycLGaJvF/tAIFXkikCes1 ! ip subnet-zero ! ! ip telnet source-interface FastEthernet0/0 ! ip inspect name myfw tcp ip inspect name myfw udp ip inspect name myfw ftp ip inspect name myfw realaudio ip inspect name myfw smtp ip inspect name myfw streamworks ip inspect name myfw vdolive ip inspect name myfw tftp ip inspect name myfw rcmd ip inspect name myfw http ip audit notify log ip audit po max-events 100 ! crypto isakmp policy 10 authentication pre-share - crypto isakmp key ciscokey address 192.168.1.1 ! ! crypto ipsec transform-set to_daphne esp-des esp-md5-hmac ! crypto map myvpn 10 ipsec-isakmp set peer 192.168.1.1 set transform-set to_daphne match address 101 ! call rsvp-sync ! ! ! ! ! ! ! ! interface Tunnel0 - ip address 192.168.3.2 255.255.255.0 tunnel source FastEthernet0/1 - tunnel destination 192.168.1.1 ! interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 ip nat inside speed 100 full-duplex ! interface Serial0/0 no ip address clockrate 2000000 ! interface FastEthernet0/1 ip address 192.168.2.2 255.255.255.0 ip access-group 103 in ip nat outside ip inspect myfw out speed 100 full-duplex crypto map myvpn ! !--- Output is supressed. ! ip nat pool ourpool 192.168.2.10 192.168.2.20 netmask 255.255.255.0 ip nat inside source route-map nonat pool ourpool overload ip classless ip route 0.0.0.0 0.0.0.0 192.168.2.1 ip route 10.0.0.0 255.255.255.0 192.168.3.1 ip http server ! access-list 101 permit gre host 192.168.2.2 host 192.168.1.1 access-list 103 permit gre host 192.168.1.1 host 192.168.2.2 access-list 103 permit udp host 192.168.1.1 eq isakmp host 192.168.2.2 access-list 103 permit esp host 192.168.1.1 host 192.168.2.2 access-list 175 deny ip 172.16.1.0 0.0.0.255 10.0.0.0 0.0.0.255 access-list 175 permit ip 172.16.1.0 0.0.0.255 any route-map nonat permit 10 match ip address 175 ! ! ! dial-peer cor custom ! ! ! ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 password ww login ! end |
Überprüfung
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
Versuchen Sie, von einem Host im Netzwerk 172.16.1.x einen Ping an den Host im Remote-Subnetz 10.0.0.x zu senden, um die VPN-Konfiguration zu überprüfen. Dieser Datenverkehr sollte den GRE-Tunnel durchlaufen und verschlüsselt werden.
Verwenden Sie den Befehl show crypto ipsec sa, um zu überprüfen, ob der IPsec-Tunnel aktiv ist. Überprüfen Sie zuerst, ob die SPI-Nummern größer als 0 sind. Außerdem sollte die Anzahl der Zähler für die Verschlüsselung von Paketen und die Entschlüsselung von Paketen zunehmen.
-
show crypto ipsec sa - Überprüft, ob der IPsec-Tunnel aktiv ist.
-
show access-lists 103 - Überprüft, ob die Konfiguration der Cisco IOS Firewall ordnungsgemäß funktioniert.
-
show ip nat translations - Überprüft, ob NAT ordnungsgemäß funktioniert.
fred#show crypto ipsec sa
interface: FastEthernet0/1
Crypto map tag: myvpn, local addr. 192.168.2.2
local ident (addr/mask/prot/port): (192.168.2.2/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/47/0)
current_peer: 192.168.1.1
PERMIT, flags={transport_parent,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
-
local crypto endpt.: 192.168.2.2, remote crypto endpt.: 192.168.1.1
path mtu 1500, media mtu 1500
current outbound spi: 0
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
-
local ident (addr/mask/prot/port): (192.168.2.2/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/0/0)
current_peer: 192.168.1.1
PERMIT, flags={origin_is_acl,parent_is_transport,}
#pkts encaps: 42, #pkts encrypt: 42, #pkts digest 42
#pkts decaps: 39, #pkts decrypt: 39, #pkts verify 39
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0
local crypto endpt.: 192.168.2.2, remote crypto endpt.: 192.168.1.1
path mtu 1500, media mtu 1500
current outbound spi: 3C371F6D
inbound esp sas:
spi: 0xF06835A9(4033361321)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 940, flow_id: 1, crypto map: myvpn
sa timing: remaining key lifetime (k/sec): (4607998/2559)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x3C371F6D(1010245485)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 941, flow_id: 2, crypto map: myvpn
sa timing: remaining key lifetime (k/sec): (4607998/2559)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound pcp sas:
Führen Sie zuerst diesen Befehl aus, um zu überprüfen, ob die Konfiguration der Cisco IOS Firewall ordnungsgemäß funktioniert.
fred#show access-lists 103
Extended IP access list 103
permit gre host 192.168.1.1 host 192.168.2.2 (4 matches)
permit udp host 192.168.1.1 eq isakmp host 192.168.2.2 (4 matches)
permit esp host 192.168.1.1 host 192.168.2.2 (4 matches)
Versuchen Sie dann von einem Host im Netzwerk 172.16.1.x zu Telnet zu einem Remotehost im Internet. Sie können zunächst überprüfen, ob NAT ordnungsgemäß funktioniert. Die lokale Adresse 172.16.1.2 wurde in 192.168.2.10 übersetzt.
fred#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 192.168.2.10:11006 172.16.1.2:11006 192.168.2.1:23 192.168.2.1:23
Wenn Sie die Zugriffsliste erneut überprüfen, sehen Sie, dass eine zusätzliche Zeile dynamisch hinzugefügt wird.
fred#show access-lists 103
Extended IP access list 103
permit tcp host 192.168.2.1 eq telnet host 192.168.2.10 eq 11006 (11 matches)
permit gre host 192.168.1.1 host 192.168.2.2 (4 matches)
permit udp host 192.168.1.1 eq isakmp host 192.168.2.2 (4 matches)
permit esp host 192.168.1.1 host 192.168.2.2 (4 matches)
Fehlerbehebung
In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.
Befehle zur Fehlerbehebung
Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
Hinweis: Beachten Sie vor der Verwendung von Debug-Befehlen die Informationen zu Debug-Befehlen.
NAT:
-
debug ip nat access-list number: Zeigt Informationen über IP-Pakete an, die durch die IP NAT-Funktion übersetzt wurden.
IPSec:
-
debug crypto ipsec: Zeigt IPsec-Ereignisse an.
-
debug crypto isakmp: Zeigt Meldungen über IKE-Ereignisse (Internet Key Exchange) an.
-
debug crypto engine: Zeigt Informationen vom Crypto Engine an.
CBAC:
-
debug ip inspect {protocol | detail}: Zeigt Meldungen über Cisco IOS Firewall-Ereignisse an.
Zugriffslisten:
-
debug ip packet (ohne ip route-cache auf der Schnittstelle): Zeigt allgemeine IP-Debugging-Informationen und IPSO-Sicherheitstransaktionen (IP-Sicherheitsoption) an.
daphne#show version
Cisco Internetwork Operating System Software
IOS (tm) 3700 Software (C3725-ADVSECURITYK9-M), Version 12.3(5a), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Mon 24-Nov-03 20:36 by kellythw
Image text-base: 0x60008AF4, data-base: 0x613C6000
ROM: System Bootstrap, Version 12.2(8r)T2, RELEASE SOFTWARE (fc1)
daphne uptime is 6 days, 19 hours, 39 minutes
System returned to ROM by reload
System image file is "flash:c3725-advsecurityk9-mz.123-5a.bin"
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
cisco 3725 (R7000) processor (revision 0.1) with 196608K/65536K bytes of memory.
Processor board ID JHY0727K212
R7000 CPU at 240MHz, Implementation 39, Rev 3.3, 256KB L2 Cache
Bridging software.
X.25 software, Version 3.0.0.
2 FastEthernet/IEEE 802.3 interface(s)
1 Virtual Private Network (VPN) Module(s)
DRAM configuration is 64 bits wide with parity disabled.
55K bytes of non-volatile configuration memory.
125952K bytes of ATA System CompactFlash (Read/Write)
Configuration register is 0x2002
fred#show version
Cisco Internetwork Operating System Software
IOS (tm) 3600 Software (C3640-JK9O3S-M), Version 12.2(21a), RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Fri 09-Jan-04 16:23 by kellmill
Image text-base: 0x60008930, data-base: 0x615DE000
ROM: System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
fred uptime is 6 days, 19 hours, 36 minutes
System returned to ROM by reload
System image file is "flash:c3640-jk9o3s-mz.122-21a.bin"
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
cisco 3640 (R4700) processor (revision 0x00) with 124928K/6144K bytes of memory.
Processor board ID 25120505
R4700 CPU at 100Mhz, Implementation 33, Rev 1.0
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
2 FastEthernet/IEEE 802.3 interface(s)
4 Serial network interface(s)
4 Serial(sync/async) network interface(s)
1 Virtual Private Network (VPN) Module(s)
DRAM configuration is 64 bits wide with parity disabled.
125K bytes of non-volatile configuration memory.
32768K bytes of processor board System flash (Read/Write)
Configuration register is 0x2002
Hinweis: Wenn diese Konfiguration schrittweise implementiert wird, hängt der zu verwendende Befehl debug vom fehlerhaften Teil ab.
Feedback