In questo documento viene illustrato come formare un tunnel IPSec con chiavi già condivise per collegarsi a due reti private:
La rete privata 172.16.15.x all'interno del router.
La rete privata 192.168.10.x all'interno di CheckpointTM Next Generation (NG).
Le procedure descritte nel presente documento si basano su queste ipotesi.
Il criterio di base CheckpointTM NG è impostato.
Vengono configurate tutte le impostazioni di accesso, NAT (Network Address Translation) e routing.
Il traffico tra il router e l'interno del checkpointTM NG e i flussi Internet.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Cisco 1751 Router
Software Cisco IOS® (C1700-K9O3SY7-M), versione 12.2(8)T4, RELEASE SOFTWARE (fc1)
CheckpointTM NG Build 50027
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Nel documento viene usata questa impostazione di rete:
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
Cisco VPN 1751 Router |
---|
version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname sv1-6 memory-size iomem 15 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero no ip domain-lookup ip audit notify log ip audit po max-events 100 !--- Internet Key Exchange (IKE) configuration. crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 1800 !--- IPSec configuration. crypto isakmp key aptrules address 209.165.202.129 ! crypto ipsec transform-set aptset esp-3des esp-md5-hmac ! crypto map aptmap 1 ipsec-isakmp set peer 209.165.202.129 set transform-set aptset match address 110 ! interface Ethernet0/0 ip address 209.165.202.226 255.255.255.224 ip nat outside half-duplex crypto map aptmap ! interface FastEthernet0/0 ip address 172.16.15.1 255.255.255.0 ip nat inside speed auto !--- NAT configuration. ip nat inside source route-map nonat interface Ethernet0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 209.165.202.225 no ip http server ip pim bidir-enable !--- Encryption match address access list. access-list 110 permit ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255 !--- NAT access list. access-list 120 deny ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 120 permit ip 172.16.15.0 0.0.0.255 any route-map nonat permit 10 match ip address 120 line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 password cisco login end |
CheckpointTM NG è una configurazione orientata agli oggetti. Gli oggetti e le regole di rete vengono definiti per creare il criterio relativo alla configurazione VPN da configurare. Questo criterio viene quindi installato utilizzando CheckpointTM NG Policy Editor per completare il lato CheckpointTM NG della configurazione VPN.
Creare la subnet di rete Cisco e la subnet di rete CheckpointTM NG come oggetti di rete. Questo è ciò che è criptato. Per creare gli oggetti, selezionare Gestisci > Oggetti di rete, quindi selezionare Nuovo > Rete. Immettere le informazioni di rete appropriate, quindi fare clic su OK.
In questi esempi viene illustrata una serie di oggetti denominati CP_Network e Cisco_Network.
Create gli oggetti Cisco_Router e Checkpoint_NG come oggetti workstation. Questi sono i dispositivi VPN. Per creare gli oggetti, selezionare Gestisci > Oggetti di rete, quindi selezionare Nuovo > Workstation.
È possibile utilizzare l'oggetto stazione di lavoro CheckpointTM NG creato durante l'impostazione iniziale di CheckpointTM NG. Selezionare le opzioni per impostare la workstation come Gateway e Dispositivo VPN interoperabile.
In questi esempi viene illustrata una serie di oggetti denominati chef e Cisco_Router.
Configurare IKE nella scheda VPN, quindi fare clic su Modifica.
Configurare il criterio di scambio chiavi e fare clic su Modifica segreti.
Impostare le chiavi già condivise da utilizzare, quindi fare clic su OK più volte fino a quando le finestre di configurazione non vengono visualizzate.
Selezionare Regole > Aggiungi regole > In alto per configurare le regole di crittografia per il criterio.
La regola in alto è la prima regola eseguita prima di qualsiasi altra regola che potrebbe ignorare la crittografia. Configurare l'origine e la destinazione in modo da includere CP_Network e Cisco_Network, come mostrato di seguito. Dopo aver aggiunto la sezione Azione crittografia della regola, fare clic con il pulsante destro del mouse su Azione e selezionare Modifica proprietà.
Con IKE selezionato ed evidenziato, fare clic su Modifica.
Confermare la configurazione IKE.
Uno dei problemi principali con l'esecuzione della VPN tra i dispositivi Cisco e altri dispositivi IPSec è la rinegoziazione dello scambio di chiavi. Verificare che l'impostazione per lo scambio IKE sul router Cisco sia esattamente la stessa di quella configurata sul checkpointTM NG.
Nota: il valore effettivo di questo parametro dipende dal criterio di sicurezza aziendale specifico.
Nell'esempio, la configurazione IKE sul router è stata impostata su 30 minuti con il comando lifetime 1800. Lo stesso valore deve essere impostato sul checkpointTM NG.
Per impostare questo valore su CheckpointTM NG, selezionare Gestisci oggetto di rete, quindi selezionare l'oggetto CheckpointTM NG e fare clic su Modifica. Quindi selezionare VPN e modificare IKE. Selezionare Avanzamento e configurare i parametri di rigenerazione delle chiavi. Dopo aver configurato lo scambio di chiave per l'oggetto di rete CheckpointTM NG, eseguire la stessa configurazione della rinegoziazione dello scambio di chiave per l'oggetto di rete Cisco_Router.
Nota: verificare di aver selezionato il gruppo Diffie-Hellman corretto in modo che corrisponda a quello configurato sul router.
Configurazione dei criteri completata. Salvare il criterio e selezionare Criterio > Installa per attivarlo.
Durante la compilazione del criterio, nella finestra di installazione vengono visualizzate note sullo stato di avanzamento.
Quando la finestra di installazione indica che l'installazione del criterio è stata completata, fare clic su Chiudi per completare la procedura.
Le informazioni contenute in questa sezione permettono di verificare che la configurazione funzioni correttamente.
Alcuni comandi show sono supportati dallo strumento Output Interpreter (solo utenti registrati); lo strumento permette di visualizzare un'analisi dell'output del comando show.
show crypto isakmp sa: visualizza tutte le associazioni di sicurezza IKE correnti in un peer.
show crypto ipsec sa: visualizza le impostazioni utilizzate dalle associazioni di protezione correnti.
Per visualizzare i log, selezionare Finestra > Log Viewer.
Per visualizzare lo stato del sistema, selezionare Finestra > Stato sistema.
Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.
Per ulteriori informazioni sulla risoluzione dei problemi, consultare il documento sulla risoluzione dei problemi di sicurezza IP - descrizione e uso dei comandi di debug.
Nota: prima di usare i comandi di debug, consultare le informazioni importanti sui comandi di debug.
debug crypto engine: visualizza i messaggi di debug sui motori di crittografia, che eseguono la crittografia e la decrittografia.
debug crypto isakmp: visualizza i messaggi sugli eventi IKE.
debug crypto ipsec: visualizza gli eventi IPSec.
clear crypto isakmp: cancella tutte le connessioni IKE attive.
clear crypto sa: cancella tutte le SA IPSec.
Output log di debug riuscito
18:05:32: ISAKMP (0:0): received packet from 209.165.202.129 (N) NEW SA 18:05:32: ISAKMP: local port 500, remote port 500 18:05:32: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Old State = IKE_READY New State = IKE_R_MM1 18:05:32: ISAKMP (0:1): processing SA payload. message ID = 0 18:05:32: ISAKMP (0:1): processing vendor id payload 18:05:32: ISAKMP (0:1): vendor ID seems Unity/DPD but bad major 18:05:32: ISAKMP (0:1): found peer pre-shared key matching 209.165.202.129 18:05:32: ISAKMP (0:1): Checking ISAKMP transform 1 against priority 1 policy 18:05:32: ISAKMP: encryption 3DES-CBC 18:05:32: ISAKMP: hash MD5 18:05:32: ISAKMP: auth pre-share 18:05:32: ISAKMP: default group 2 18:05:32: ISAKMP: life type in seconds 18:05:32: ISAKMP: life duration (VPI) of 0x0 0x0 0x7 0x8 18:05:32: ISAKMP (0:1): atts are acceptable. Next payload is 0 18:05:33: ISAKMP (0:1): processing vendor id payload 18:05:33: ISAKMP (0:1): vendor ID seems Unity/DPD but bad major 18:05:33: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE Old State = IKE_R_MM1 New State = IKE_R_MM1 18:05:33: ISAKMP (0:1): sending packet to 209.165.202.129 (R) MM_SA_SETUP 18:05:33: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE Old State = IKE_R_MM1 New State = IKE_R_MM2 18:05:33: ISAKMP (0:1): received packet from 209.165.202.129 (R) MM_SA_SETUP 18:05:33: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Old State = IKE_R_MM2 New State = IKE_R_MM3 18:05:33: ISAKMP (0:1): processing KE payload. message ID = 0 18:05:33: ISAKMP (0:1): processing NONCE payload. message ID = 0 18:05:33: ISAKMP (0:1): found peer pre-shared key matching 209.165.202.129 18:05:33: ISAKMP (0:1): SKEYID state generated 18:05:33: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE Old State = IKE_R_MM3 New State = IKE_R_MM3 18:05:33: ISAKMP (0:1): sending packet to 209.165.202.129 (R) MM_KEY_EXCH 18:05:33: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE Old State = IKE_R_MM3 New State = IKE_R_MM4 18:05:33: ISAKMP (0:1): received packet from 209.165.202.129 (R) MM_KEY_EXCH 18:05:33: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Old State = IKE_R_MM4 New State = IKE_R_MM5 18:05:33: ISAKMP (0:1): processing ID payload. message ID = 0 18:05:33: ISAKMP (0:1): processing HASH payload. message ID = 0 18:05:33: ISAKMP (0:1): SA has been authenticated with 209.165.202.129 18:05:33: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE Old State = IKE_R_MM5 New State = IKE_R_MM5 18:05:33: ISAKMP (0:1): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR 18:05:33: ISAKMP (1): ID payload next-payload : 8 type : 1 protocol : 17 port : 500 length : 8 18:05:33: ISAKMP (1): Total payload length: 12 18:05:33: ISAKMP (0:1): sending packet to 209.165.202.129 (R) QM_IDLE 18:05:33: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE Old State = IKE_R_MM5 New State = IKE_P1_COMPLETE 18:05:33: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE 18:05:33: ISAKMP (0:1): received packet from 209.165.202.129 (R) QM_IDLE 18:05:33: ISAKMP (0:1): processing HASH payload. message ID = -1335371103 18:05:33: ISAKMP (0:1): processing SA payload. message ID = -1335371103 18:05:33: ISAKMP (0:1): Checking IPSec proposal 1 18:05:33: ISAKMP: transform 1, ESP_3DES 18:05:33: ISAKMP: attributes in transform: 18:05:33: ISAKMP: SA life type in seconds 18:05:33: ISAKMP: SA life duration (VPI) of 0x0 0x0 0xE 0x10 18:05:33: ISAKMP: authenticator is HMAC-MD5 18:05:33: ISAKMP: encaps is 1 18:05:33: ISAKMP (0:1): atts are acceptable. 18:05:33: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= 209.165.202.226, remote= 209.165.202.129, local_proxy= 172.16.15.0/255.255.255.0/0/0 (type=4), remote_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-md5-hmac , lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4 18:05:33: ISAKMP (0:1): processing NONCE payload. message ID = -1335371103 18:05:33: ISAKMP (0:1): processing ID payload. message ID = -1335371103 18:05:33: ISAKMP (0:1): processing ID payload. message ID = -1335371103 18:05:33: ISAKMP (0:1): asking for 1 spis from ipsec 18:05:33: ISAKMP (0:1): Node -1335371103, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH Old State = IKE_QM_READY New State = IKE_QM_SPI_STARVE 18:05:33: IPSEC(key_engine): got a queue event... 18:05:33: IPSEC(spi_response): getting spi 2147492563 for SA from 209.165.202.226 to 209.165.202.129 for prot 3 18:05:33: ISAKMP: received ke message (2/1) 18:05:33: ISAKMP (0:1): sending packet to 209.165.202.129 (R) QM_IDLE 18:05:33: ISAKMP (0:1): Node -1335371103, Input = IKE_MESG_FROM_IPSEC, IKE_SPI_REPLY Old State = IKE_QM_SPI_STARVE New State = IKE_QM_R_QM2 18:05:33: ISAKMP (0:1): received packet from 209.165.202.129 (R) QM_IDLE 18:05:33: ISAKMP (0:1): Creating IPSec SAs 18:05:33: inbound SA from 209.165.202.129 to 209.165.202.226 (proxy 192.168.10.0 to 172.16.15.0) 18:05:33: has spi 0x800022D3 and conn_id 200 and flags 4 18:05:33: lifetime of 3600 seconds 18:05:33: outbound SA from 209.165.202.226 to 209.165.202.129 (proxy 172.16.15.0 to 192.168.10.0 ) 18:05:33: has spi -2006413528 and conn_id 201 and flags C 18:05:33: lifetime of 3600 seconds 18:05:33: ISAKMP (0:1): deleting node -1335371103 error FALSE reason "quick mode done (await()" 18:05:33: ISAKMP (0:1): Node -1335371103, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH Old State = IKE_QM_R_QM2 New State = IKE_QM_PHASE2_COMPLETE 18:05:33: IPSEC(key_engine): got a queue event... 18:05:33: IPSEC(initialize_sas): , (key eng. msg.) INBOUND local= 209.165.202.226, remote=209.165.202.129, local_proxy= 172.16.15.0/255.255.255.0/0/0 (type=4), remote_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-md5-hmac , lifedur= 3600s and 0kb, spi= 0x800022D3(2147492563), conn_id= 200, keysize= 0, flags= 0x4 18:05:33: IPSEC(initialize_sas): , (key eng. msg.) OUTBOUND local= 209.165.202.226, remote=209.165.202.129, local_proxy= 172.16.15.0/255.255.255.0/0/0 (type=4), remote_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-md5-hmac , lifedur= 3600s and 0kb, spi= 0x88688F28(2288553768), conn_id= 201, keysize= 0, flags= 0xC 18:05:33: IPSEC(create_sa): sa created, (sa) sa_dest= 209.165.202.226, sa_prot= 50, sa_spi= 0x800022D3(2147492563), sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 200 18:05:33: IPSEC(create_sa): sa created, (sa) sa_dest= 209.165.202.129, sa_prot= 50, sa_spi= 0x88688F28(2288553768), sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 201 18:05:34: ISAKMP (0:1): received packet from 209.165.202.129 (R) QM_IDLE 18:05:34: ISAKMP (0:1): phase 2 packet is a duplicate of a previous packet. 18:05:34: ISAKMP (0:1): retransmitting due to retransmit phase 2 18:05:34: ISAKMP (0:1): ignoring retransmission, because phase2 node marked dead -1335371103 18:05:34: ISAKMP (0:1): received packet from 209.165.202.129 (R) QM_IDLE 18:05:34: ISAKMP (0:1): phase 2 packet is a duplicate of a previous packet. 18:05:34: ISAKMP (0:1): retransmitting due to retransmit phase 2 18:05:34: ISAKMP (0:1): ignoring retransmission, because phase2 node marked dead -1335371103 sv1-6#show crypto isakmp sa dst src state conn-id slot 209.165.202.226 209.165.202.129 QM_IDLE 1 0 sv1-6#show crypto ipsec sa interface: Ethernet0/0 Crypto map tag: aptmap, local addr. 209.165.202.226 local ident (addr/mask/prot/port): (172.16.15.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0) current_peer: 209.165.202.129 PERMIT, flags={origin_is_acl,} #pkts encaps: 21, #pkts encrypt: 21, #pkts digest 21 #pkts decaps: 24, #pkts decrypt: 24, #pkts verify 24 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 209.165.202.226, remote crypto endpt.: 209.165.202.129 path mtu 1500, media mtu 1500 current outbound spi: 88688F28 inbound esp sas: spi: 0x800022D3(2147492563) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 200, flow_id: 1, crypto map: aptmap sa timing: remaining key lifetime (k/sec): (4607997/3559) IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x88688F28(2288553768) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 201, flow_id: 2, crypto map: aptmap sa timing: remaining key lifetime (k/sec): (4607997/3550) IV size: 8 bytes replay detection support: Y outbound ah sas: outbound pcp sas: sv1-6#show crypto engine conn act ID Interface IP- Address State Algorithm Encrypt Decrypt 1 Ethernet0/0 209.165.202.226 set HMAC_MD5+3DES_56_C 0 0 200 Ethernet0/0 209.165.202.226 set HMAC_MD5+3DES_56_C 0 24 201 Ethernet0/0 209.165.202.226 set HMAC_MD5+3DES_56_C 21 0
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
14-Jan-2008 |
Versione iniziale |