Diese Beispielkonfiguration zeigt, wie ein privates Netzwerk hinter einem Router, auf dem die Cisco IOS® Software ausgeführt wird, mit einem privaten Netzwerk hinter dem Cisco VPN 3000 Concentrator verbunden wird. Die Geräte in den Netzwerken kennen sich untereinander durch ihre privaten Adressen aus.
Für dieses Dokument bestehen keine speziellen Anforderungen.
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Cisco 2611-Router mit Cisco IOS-Software, Version 12.3.(1)a
Hinweis: Stellen Sie sicher, dass die Router der Cisco Serie 2600 mit einem IPsec-VPN-IOS-Image installiert sind, das die VPN-Funktion unterstützt.
Cisco VPN 3000 Concentrator mit 4,0,1 B
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.
Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Dokument verwendeten Befehlen zu erhalten.
In diesem Dokument wird diese Netzwerkeinrichtung verwendet.
In diesem Dokument wird diese Konfiguration verwendet.
Routerkonfiguration |
---|
version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname dude ! memory-size iomem 15 ip subnet-zero ! ip audit notify log ip audit po max-events 100 ! !--- IKE policies. crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco123 address 200.1.1.2 ! !--- IPsec policies. crypto ipsec transform-set to_vpn esp-3des esp-md5-hmac ! crypto map to_vpn 10 ipsec-isakmp set peer 200.1.1.2 set transform-set to_vpn !--- Traffic to encrypt. match address 101 ! interface Ethernet0/0 ip address 203.20.20.2 255.255.255.0 ip nat outside half-duplex crypto map to_vpn ! interface Ethernet0/1 ip address 172.16.1.1 255.255.255.0 ip nat inside half-duplex ! ip nat pool mypool 203.20.20.3 203.20.20.3 netmask 255.255.255.0 ip nat inside source route-map nonat pool mypool overload ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 203.20.20.1 ip route 172.16.20.0 255.255.255.0 172.16.1.2 ip route 172.16.30.0 255.255.255.0 172.16.1.2 ! !--- Traffic to encrypt. access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.50.0 0.0.0.255 access-list 101 permit ip 172.16.20.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 101 permit ip 172.16.20.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 101 permit ip 172.16.20.0 0.0.0.255 192.168.50.0 0.0.0.255 access-list 101 permit ip 172.16.30.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 101 permit ip 172.16.30.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 101 permit ip 172.16.30.0 0.0.0.255 192.168.50.0 0.0.0.255 !--- Traffic to except from the NAT process. access-list 110 deny ip 172.16.1.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 110 deny ip 172.16.1.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 110 deny ip 172.16.1.0 0.0.0.255 192.168.50.0 0.0.0.255 access-list 110 deny ip 172.16.20.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 110 deny ip 172.16.20.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 110 deny ip 172.16.20.0 0.0.0.255 192.168.50.0 0.0.0.255 access-list 110 deny ip 172.16.30.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 110 deny ip 172.16.30.0 0.0.0.255 192.168.40.0 0.0.0.255 access-list 110 deny ip 172.16.30.0 0.0.0.255 192.168.50.0 0.0.0.255 access-list 110 permit ip 172.16.1.0 0.0.0.255 any ! route-map nonat permit 10 match ip address 110 ! line con 0 line aux 0 line vty 0 4 ! end |
In dieser Übung wird zuerst auf den VPN Concentrator über den Konsolenport zugegriffen und eine minimale Konfiguration hinzugefügt, sodass die weitere Konfiguration über die grafische Benutzeroberfläche (GUI) vorgenommen werden kann.
Wählen Sie Administration > System Reboot > Schedule reboot > Reboot with Factory/Default Configuration, um sicherzustellen, dass der VPN Concentrator keine vorhandene Konfiguration enthält.
Der VPN Concentrator wird in der Schnellkonfiguration angezeigt, und diese Artikel werden nach dem Neustart konfiguriert:
Uhrzeit/Datum
Schnittstellen/Masken in Konfiguration > Schnittstellen (public=200.1.1.2/24, private=192.168.10.1/24)
Standard-Gateway in Konfiguration > System > IP-Routing > Default_Gateway (200.1.1.1)
Der Zugriff auf den VPN Concentrator erfolgt über HTML aus dem internen Netzwerk.
Hinweis: Da der VPN Concentrator von außen verwaltet wird, müssen Sie auch Folgendes auswählen:
Konfiguration > Schnittstellen > 2-public > IP Filter > 1 auswählen. Private (Standard).
Administration > Access Rights > Access Control List > Add Manager Workstation zum Hinzufügen der IP-Adresse des externen Managers
Dies ist nur erforderlich, wenn Sie den VPN Concentrator von außen verwalten.
Wählen Sie Configuration > Interfaces (Konfiguration > Schnittstellen) aus, um die Schnittstellen nach dem Aufrufen der Benutzeroberfläche erneut zu überprüfen.
Wählen Sie Configuration > System > IP Routing > Default Gateways (Konfiguration > System > IP Routing > Default Gateways (Standard-(Internet)-Gateway) und Tunnel Default (inside) Gateway für IPsec, um die anderen Subnetze im privaten Netzwerk zu erreichen.
Wählen Sie Configuration > Policy Management > Network Lists (Konfiguration > Richtlinienmanagement > Netzwerklisten), um die Netzwerklisten zu erstellen, die den zu verschlüsselnden Datenverkehr definieren.
Dies sind die lokalen Netzwerke:
Dies sind die Remote-Netzwerke:
Nach Fertigstellung werden die folgenden beiden Netzwerklisten angezeigt:
Hinweis: Wenn der IPsec-Tunnel nicht angezeigt wird, prüfen Sie, ob der interessante Datenverkehr auf beiden Seiten übereinstimmt. Der interessante Datenverkehr wird durch die Zugriffsliste auf dem Router und den PIX-Feldern definiert. Sie werden durch Netzwerklisten in den VPN Concentrators definiert.
Wählen Sie Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN aus, und definieren Sie den LAN-to-LAN-Tunnel.
Wenn Sie auf Apply klicken, wird dieses Fenster mit der anderen Konfiguration angezeigt, die automatisch als Ergebnis der LAN-zu-LAN-Tunnelkonfiguration erstellt wird.
Die zuvor erstellten LAN-to-LAN IPsec-Parameter können unter Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN angezeigt oder geändert werden.
Wählen Sie Configuration > System > Tunneling Protocols > IPSec > IKE-Vorschläge aus, um das aktive IKE-Angebot zu bestätigen.
Wählen Sie Configuration > Policy Management > Traffic Management > Security Associations (Konfiguration > Richtlinienmanagement > Datenverkehrsmanagement > Sicherheitszuordnungen, um die Liste der Sicherheitszuordnungen anzuzeigen.
Klicken Sie auf den Namen der Sicherheitszuordnung, und klicken Sie dann auf Ändern, um die Sicherheitszuordnungen zu überprüfen.
In diesem Abschnitt werden die in dieser Konfiguration verwendeten show-Befehle aufgelistet.
Dieser Abschnitt enthält Informationen zur Bestätigung, dass Ihre Konfiguration ordnungsgemäß funktioniert.
Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
show crypto ipsec sa: Zeigt die von aktuellen Sicherheitszuordnungen verwendeten Einstellungen.
show crypto isakmp sa - Zeigt alle aktuellen Internet Key Exchange Security Associations in einem Peer an.
show crypto engine connection active - Zeigt die aktuell aktiven verschlüsselten Sitzungsverbindungen für alle Krypto Engines an.
Sie können das IOS Command Lookup Tool (nur registrierte Kunden) verwenden, um weitere Informationen zu bestimmten Befehlen anzuzeigen.
Wählen Sie Configuration > System > Events > Classes > Modify, um die Protokollierung zu aktivieren. Diese Optionen sind verfügbar:
IKE
IKEDBG
IKEDECODE
IPSEC
IPSECDBG
IPSECDECODE
Schweregrad des Protokolls = 1-13
Schweregrad der Konsole = 1-3
Wählen Sie Monitoring > Event Log (Ereignisprotokoll) aus, um das Ereignisprotokoll abzurufen.
Weitere Informationen zu Debug-Befehlen finden Sie unter Wichtige Informationen, bevor Sie Debugbefehle ausführen.
debug crypto engine: Zeigt den verschlüsselten Datenverkehr an.
debug crypto ipsec: Zeigt die IPsec-Aushandlungen für Phase 2 an.
debug crypto isakmp: Zeigt die ISAKMP-Verhandlungen für Phase 1 an.
Fehlermeldung
20932 10/26/2007 14:37:45.430 SEV=3 AUTH/5 RPT=1863 10.19.187.229 Authentication rejected: Reason = Simultaneous logins exceeded for user handle = 623, server = (none), user = 10.19.187.229, domain = <not specified>
Lösung
Gehen Sie wie folgt vor, um die gewünschte Anzahl gleichzeitiger Anmeldungen zu konfigurieren oder die gleichzeitigen Anmeldungen für diese SA auf 5 festzulegen:
Gehen Sie zu Configuration > User Management > Groups > Modify 10.19.187.229 > General > Simultaneouts Logins, und ändern Sie die Anzahl der Anmeldungen in 5.
Bei IPsec-Verhandlungen stellt Perfect Forward Secrecy (PFS) sicher, dass jeder neue kryptografische Schlüssel nicht mit einem vorherigen Schlüssel in Beziehung steht. Aktivieren oder deaktivieren Sie PFS auf beiden Tunnel-Peers. Andernfalls wird der LAN-to-LAN (L2L)-IPsec-Tunnel nicht in Routern eingerichtet.
Um anzugeben, dass IPsec PFS anfordern soll, wenn neue Sicherheitszuordnungen für diesen Crypto Map-Eintrag angefordert werden oder dass IPsec PFS erfordert, wenn sie Anforderungen für neue Sicherheitszuordnungen empfängt, verwenden Sie den set pfs-Befehl im Konfigurationsmodus "crypto map". Um anzugeben, dass IPsec kein PFS anfordern soll, verwenden Sie die no-Form dieses Befehls.
set pfs [group1 | group2] no set pfs
Für den Befehl set pfs:
group1 - Gibt an, dass IPsec die 768-Bit-Diffie-Hellman-Primmodulusgruppe verwenden soll, wenn der neue Diffie-Hellman-Austausch durchgeführt wird.
group2 - Gibt an, dass IPsec die 1024-Bit-Diffie-Hellman-Primmodulusgruppe verwenden soll, wenn der neue Diffie-Hellman-Austausch durchgeführt wird.
PFS wird standardmäßig nicht angefordert. Wenn mit diesem Befehl keine Gruppe angegeben wird, wird group1 als Standardwert verwendet.
Beispiel:
Router(config)#crypto map map 10 ipsec-isakmp Router(config-crypto-map)#set pfs group2
Weitere Informationen zum Befehl set pfs finden Sie in der Cisco IOS Security Command Reference.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
24-Mar-2008 |
Erstveröffentlichung |