6845

Налаштування IPSec VPN засобами IOS

Лабораторная работа

Информатика, кибернетика и программирование

Налаштування IPSecVPN засобами IOS Завдання роботи: Налаштування EIGRP на маршрутизаторах Створення IPSecVPN між двома маршрутизаторами Перевірка функціонування IPSec Топологія Сценарій У даній роботі ви налаштуєте VPN ...

Украинкский

2013-01-08

416 KB

5 чел.

Налаштування IPSec VPN засобами IOS

Завдання роботи:

  •  Налаштування EIGRP на маршрутизаторах
  •  Створення IPSec VPN між двома маршрутизаторами
  •  Перевірка функціонування IPSec

Топологія

Сценарій

У даній роботі ви налаштуєте VPN між двома сайтами. В результаті трафік, що передається між loopback інтерфейсам R1 і R3, буде зашифрований.

1. Адресація

Налаштуйте послідовні і loopback інтерфейси з адресами, вказаними на топології. Встановіть clock rate для DCE інтерфейсів і командою no shutdown активуйте всі фізичні з'єднання. Перевірте досяжність сусідів по всіх каналах зв’язку.

R1(config)# interface loopback0

R1(config-if)# ip address 172.16.1.1 255.255.255.0

R1(config-if)# interface fastethernet0/0

R1(config-if)# ip address 192.168.12.1 255.255.255.0

R1(config-if)# no shutdown

R2(config)# interface fastethernet0/0

R2(config-if)# ip address 192.168.12.2 255.255.255.0

R2(config-if)# no shutdown

R2(config-if)# interface serial0/0/1

R2(config-if)# ip address 192.168.23.2 255.255.255.0

R2(config-if)# clockrate 64000

R2(config-if)# no shutdown

R3(config)# interface loopback0

R3(config-if)# ip address 172.16.3.1 255.255.255.0

R3(config-if)# interface serial0/0/1

R3(config-if)# ip address 192.168.23.3 255.255.255.0

R3(config-if)# no shutdown

2. EIGRP маршрутизація

Для зв'язності мереж в даній топології реалізуємо EIGRP маршрутизацію. Додайте на кожному маршрутизаторі всі безпосередньо підключені мережі в EIGRP маршрутизацію даної автономної системи. Вимкніть автоматичну сумаризацію. Перевірте досяжність всіх мереж в даній топології.

R1(config)# router eigrp 1

R1(config-router)# no auto-summary

R1(config-router)# network 172.16.0.0

R1(config-router)# network 192.168.12.0

R2(config)# router eigrp 1

R2(config-router)# no auto-summary

R2(config-router)# network 192.168.12.0

R2(config-router)# network 192.168.23.0

R3(config)# router eigrp 1

R3(config-router)# no auto-summary

R3(config-router)# network 172.16.0.0

R3(config-router)# network 192.168.23.0

3. Налаштування IKE політик

IPSec - це схема застосування відкритих стандартів захисту інформації, розроблена IETF. IPSec забезпечує безпеку передачі інформації через незахищені мережі. IPSec функціонує як мережний рівень, аутентифікуючи і шифруючи IP пакети, що передаються між двома IPSec сторонами.

Налаштування IPSec VPN складається з налаштування параметрів IKE (Internet Кеу Exchange) і параметрів IPSec.

Для роботи IPSec необхідно активувати IKE:

R1(config)# crypto isakmp enable

Якщо ви не можете виконати цю команду, це означає що дана версія IOS не підтримує криптографічні функції.

Протокол IKE використовується для передачі і перевірки IKE політик (наборів параметрів) між сторонами. Потім сторони обмінюються і погоджують політики IPSec (аутентифікації і шифрування). Політика IKE визначає алгоритми аутентифікації і шифрування, функцію хеш-кодування, а також метод обміну ключами, що задіяні при IKE обміні (послідовному узгодженні параметрів сторін). Політика IPSec визначає алгоритми шифрування, які використовуються при передачі потоку даних через VPN тунель.

Налаштування 1-ої фази IKE полягає в створенні політики ISAKMP (Internet Security Association and Кеу Management Protocol) і налаштуванні асоціації сторін VPN, використовуючи цю політику. Політика IKE визначає алгоритми, які захищатимуть службовий трафік, що передається сторонами при IKE обміні. По закінченню 1-ї фази IKE сторони встановлюють «асоціацію захисту» (захищений канал).

Для налаштування параметрів політик IKE наберіть команду crypto isakmp policy

R1(config)# crypto isakmp policy 10

R1(config-isakmp)# ?

ISAKMP commands:

authentication  Set authentication method for protection suite

default  Set a command to its defaults

encryption  Set encryption algorithm for protection suite

exit  Exit from ISAKMP protection suite configuration mode

group  Set the Diffie-Hellman group

hash  Set hash algorithm for protection suite

lifetime  Set lifetime for ISAKMP security association

no  Negate a command or set its defaults

Від вибору алгоритмів шифрування, хешування, аутентифікації і кількості DH-групп залежить захищеність IKE трафіку між сторонами.

Вкажіть при налаштуванні IKE політики тип аутентифікації з домовленими ключами, використовуйте шифрування AES 256, SHA хешування і 5 DH-групп. Встановіть час існування політики 3600 секунд. Аналогічну політику налаштуйте на R3. Перевірте ідентичність IKE політик на обох сторонах.

R1(config)# crypto isakmp policy 10

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# encryption aes 256

R1(config-isakmp)# hash sha

R1(config-isakmp)# group 5

R1(config-isakmp)# lifetime 3600

R3(config)# crypto isakmp policy 10

R3(config-isakmp)# authentication pre-share

R3(config-isakmp)# encryption aes 256

R3(config-isakmp)# hash sha

R3(config-isakmp)# group 5

R3(config-isakmp)# lifetime 3600

Хоча достатньо налаштування всього однієї IKE політики для кожної сторони, проте ви можете сконфігурувати більше. Чим менше номер політики, тим вище її пріоритет (безпечність). Маршрутизатор почне вибір прийнятної політики починаючи з менших номерів. Щоб перевірити існуючі політики IKE введіть show crypto isakmp policy.

R1# show crypto isakmp policy

Global IKE policy

Protection suite of priority 10

encryption algorithm: AES - Advanced Encryption Standard (256 bit

keys).

hash algorithm: Secure Hash Standard

authentication method: Pre-Shared Key

Diffie-Hellman group: #5 (1536 bit)

lifetime: 3600 seconds, no volume limit

Default protection suite

encryption algorithm: DES - Data Encryption Standard (56 bit keys).

hash algorithm: Secure Hash Standard

authentication method: Rivest-Shamir-Adleman Signature

Diffie-Hellman group: #1 (768 bit)

lifetime: 86400 seconds, no volume limit

R3# show crypto isakmp policy

Global IKE policy

Protection suite of priority 10

encryption algorithm: AES - Advanced Encryption Standard (256 bit

keys).

hash algorithm: Secure Hash Standard

authentication method: Pre-Shared Key

Diffie-Hellman group: #5 (1536 bit)

lifetime: 3600 seconds, no volume limit

Default protection suite

encryption algorithm: DES - Data Encryption Standard (56 bit keys).

hash algorithm: Secure Hash Standard

authentication method: Rivest-Shamir-Adleman Signature

Diffie-Hellman group: #1 (768 bit)

lifetime: 86400 seconds, no volume limit

4. Налаштування поділюваних ключів

Оскільки як метод аутентифікації в IKE політиках обрано механізм поділюваних ключів, то слід налаштувати співпадаючі ключі на кожній із сторін. Для введення ключів застосуйте команду crypto isakmp key key-string address address. Вкажіть IP-адресу інтерфейсу, з якого даний маршрутизатор отримуватиме трафік протилежної сторони з’єднання. Замість IP-адреси протилежної сторони може бути вказане ім'я хоста (параметр hostname замість address). В цьому випадку слід забезпечити відповідність IP-адрес та імен хостів або застосувати службу доменних імен.

R1(config)# crypto isakmp key cisco address 192.168.23.3

R3(config)# crypto isakmp key cisco address 192.168.12.1

5. Налаштування набору IPSec перетворень

Набор IPSec перетворень - наступний параметр, що погоджується сторонами в процесі встановлення асоціації захисту. Подібно до політик ISAKMP, може бути задано декілька наборів IPSec перетворень. Сторони послідовно порівнюють свої набори перетворень з пропонованими іншою стороною, поки порівнювані набори в точності не збіжаться.

Задайте набір IPSec перетворень за допомогую команди crypto ipsec transform-set tag parameters. Використовуйте параметр ? щоб подивитись списки існуючих параметрів. На маршрутизаторах R1 і R3 створіть набори під номерами 50 з перетвореннями ESP з AES 256 шифруванням, ESP з SHA хеш-функцией і AH з SHA.

R1(config)#crypto ipsec transform-set ?

WORD Transform set tag

R1(config)#crypto ipsec transform-set 50 ?

ah-md5-hmac AH-HMAC-MD5 transform

ah-sha-hmac AH-HMAC-SHA transform

comp-lzs IP Compression using the LZS compression algorithm

esp-3des ESP transform using 3DES(EDE) cipher (168 bits)

esp-aes ESP transform using AES cipher

esp-des ESP transform using DES cipher (56 bits)

esp-md5-hmac ESP transform using HMAC-MD5 auth

esp-null ESP transform w/o cipher

esp-seal ESP transform using SEAL cipher (160 bits)

esp-sha-hmac ESP transform using HMAC-SHA auth

R1(config)#crypto ipsec transform-set 50 esp-aes ?

128 128 bit keys.

192 192 bit keys.

256 256 bit keys.

ah-md5-hmac AH-HMAC-MD5 transform

ah-sha-hmac AH-HMAC-SHA transform

comp-lzs IP Compression using the LZS compression algorithm

esp-md5-hmac ESP transform using HMAC-MD5 auth

esp-sha-hmac ESP transform using HMAC-SHA auth

<cr>

R1(config)#crypto ipsec transform-set 50 esp-aes 256 ?

ah-md5-hmac AH-HMAC-MD5 transform

ah-sha-hmac AH-HMAC-SHA transform

comp-lzs IP Compression using the LZS compression algorithm

esp-md5-hmac ESP transform using HMAC-MD5 auth

esp-sha-hmac ESP transform using HMAC-SHA auth

<cr>

R1(config)#crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac ?

ah-md5-hmac AH-HMAC-MD5 transform

ah-sha-hmac AH-HMAC-SHA transform

comp-lzs IP Compression using the LZS compression algorithm

<cr>

Після введення цієї команди ви потрапите в режим налаштування параметрів криптоперетворень. Оскільки налаштування таких параметрів не обов'язкове, вийдіть з цього режиму.

R1(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac ah-sha-hmac

R1(cfg-crypto-trans)# exit

R1(config)#

R3(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac ah-sha-hmac

R3(cfg-crypto-trans)# exit

R3(config)#

Також можливо змінити час життя асоціацій IPSec із значень за замовчуваням (3600 секунд або 460800 кілобайт, яка з подій відбудеться раніше). Використовуйте глобальну команду crypto ipsec security-association lifetime seconds seconds або crypto ipsec security-association lifetime kilobytes kilobytes і встановіть час існування IPSec асоціації 30 хвилин або 1800 секунд.

R1(config)# crypto ipsec security-association lifetime seconds 1800

R3(config)# crypto ipsec security-association lifetime seconds 1800

6. Визначення захищуваного трафіку

Налаштуйте розширені списки контролю доступу, що вказують маршрутизаторам який трафік слід шифрувати. У списках контролю доступу, що визначают захищуваний трафік, дії permit і deny мають не звичне для ACL значення, а вказують, чи слід шифрувати такі дані чи ні. Тобто трафік, до якого застосовується дія deny, не буде скинутий, а буде відправлений незашифрованим. Як і у всіх ACL, в кінці передбачається неявне deny. Це означає, що решта всього трафіку, що не потрапив під дію ACL, буде передана незашифрованою.

У даному сценарії належить шифрувати трафік, що виходить з loopback-мережі маршрутизатора R1 до loopback-мережі R2, і навпаки. Дані ACL застосовуються у вихідному напрямі. ACL на R1 має бути дзеркальним відображенням ACL на R3.

R1(config)# access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0

0.0.0.255

R3(config)# access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0

0.0.0.255

7. Створення і застосування криптографічних карт

Тепер слід об'єднати всі налаштовані раніше параметри разом за допомогою криптокарти. Криптографічна карта зв'язує разом налаштування IKE і IPSec з адресою іншої сторони VPN тунеля і ACL, що описує захищуваний трафік. Криптокарти можуть описувати декілька відповідностей, тобто один трафік, що описується деяким ACL, передається зашифрованим одному IPSec партнерові, а інший трафік, що описується іншим ACL, передається зашифрованим іншому партнерові. Після того, як криптографічна карта створена, вона може бути застосована до одного і більше інтерфейсів. Інтерфейс, до якого застосовується криптокарта, має бути направлений у бік IPSec партнера.

Створення криптокарти потребує глобальної команди crypto map name sequence-num type, після чого CLI переходить в режим конфігурації даної криптокарти (з вказаним порядковим номером). Декілька інструкцій з різними порядковими номерами можуть належати до однієї криптокарти і обробляються в порядку зростання номерів.

Вкажіть тип криптокарти ipsec-isakmp. Це означає, що для встановлення IPSec асоціації використовуватиметься протокол IKE. (Інший можливий тип криптокарти - ipsec-manual. В цьому випадку для створення асоціації захисту IPSec протокол IKE застосовуватися не буде). Назвіть криптокарту «mymap» і призначте їй номер 10. Увійдіть до режиму конфігурації криптокарти на R1. При цьому криптокарта буде створена і видано попередження, що перш ніж карта стане активною, повинен бути повністю сконфігурований і IPSec - партнер.

R1(config)# crypto map MYMAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

Введіть команду match address access-list щоб вказати ACL, який визначає захищуваний трафік.

 R1(config-crypto-map)# match address 101

При конфігурації криптокарти доступно декілька інструкцій set:

R1(config-crypto-map)# set ?

identity Identity restriction.

ip Interface Internet Protocol config commands

isakmp-profile Specify isakmp Profile

nat Set NAT translation

peer Allowed Encryption/Decryption peer.

pfs Specify pfs settings

security-association Security association parameters

transform-set Specify list of transform sets in priority order

За допомогою інструкції set peer address вкажіть IP адресу інтерфейсу VPN-партнера. Вкажіть криптоперетворення, яке використовуватиметься (set transform tag).

Для використання PFS вкажіть set pfs type. Змініть значення тривалості існування IPSec - асоціації, задане за замовчуванням (set security-association lifetime seconds). Список інших доступних інструкцій set можна проглянути за допомогою ключа ?. Створіть на R3 відповідну криптокарту, що використовує дзеркальний ACL для визначення захищуваного трафіка.

R1(config-crypto-map)# set peer 192.168.23.3

R1(config-crypto-map)# set pfs group5

R1(config-crypto-map)# set transform-set 50

R1(config-crypto-map)# set security-association lifetime seconds 900

R3(config)# crypto map MYMAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R3(config-crypto-map)# match address 101

R3(config-crypto-map)# set peer 192.168.12.1

R3(config-crypto-map)# set pfs group5

R3(config-crypto-map)# set transform-set 50

R3(config-crypto-map)# set security-association lifetime seconds 900

Останній крок налаштування VPN між двома сайтами - застосувати створені криптографічні карти до інтерфейсів (команда режиму конфігурації інтерфейсу crypto map name). Хоча процедура налаштування на цьому буде закінчена, проте асоціація захисту (SA) не встановиться, поки криптокарта не буде активована трафіком, що задовольняє заданому раніше ACL. (Не відправляйте такий трафік, поки не активуєте команди відладки, щоб мати можливість простежити процедури встановлення асоціації захисту). Маршрутизатор видасть повідомлення, що ISAKMP активований.

R1(config)# interface fastethernet0/0

R1(config-if)# crypto map MYMAP

*Jan 17 04:09:09.150: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R3(config)# interface serial0/0/1

R3(config-if)# crypto map MYMAP

*Jan 17 04:10:54.138: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

8. Перевірка налаштувань IPSec

Раніше ви використовували команду show crypto isakmp policy, щоб проглянути налаштування ISAKMP політик. Аналогічно, команда  show crypto ipsec transform-set покаже налаштування IPSec перетворень.

R1# show crypto ipsec transform-set

Transform set 50: { ah-sha-hmac }

will negotiate = { Tunnel, },

{ esp-256-aes esp-sha-hmac }

will negotiate = { Tunnel, },

R3# show crypto ipsec transform-set

Transform set 50: { ah-sha-hmac }

will negotiate = { Tunnel, },

{ esp-256-aes esp-sha-hmac }

will negotiate = { Tunnel, },

Введіть show crypto map, щоб подивитись налаштовані криптокарти.

R1# show crypto map

Crypto Map "MYMAP" 10 ipsec-isakmp

Peer = 192.168.23.3

Extended IP access list 101

access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255

Current peer: 192.168.23.3

Security association lifetime: 4608000 kilobytes/900 seconds

PFS (Y/N): Y

DH group: group5

Transform sets={

50,

}

Interfaces using crypto map MYMAP:

FastEthernet0/0

R3# show crypto map

Crypto Map "MYMAP" 10 ipsec-isakmp

Peer = 192.168.12.1

Extended IP access list 101

access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255

Current peer: 192.168.12.1

Security association lifetime: 4608000 kilobytes/900 seconds

PFS (Y/N): Y

DH group: group5

Transform sets={

50,

}

Interfaces using crypto map MYMAP:

Serial0/0/1

Результат цих команд не зміниться, навіть коли з'явиться захищуваний трафік.

9. Перевірка IPSec операцій

Виконавши команду show crypto isakmp sa, ви виявите, що ніяких асоціацій захисту IKE ще не існує. Після того, як в майбутньому трафік, що цікавить, буде відправлений, виведення команди зміниться.

R1# show crypto isakmp sa

dst src state conn-id slot status

R3# show crypto isakmp sa

dst src state conn-id slot status

Команда show crypto ipsec sa  покаже наявність пасивної асоціації захисту між R1 і R3. Зверніть увагу на число переданих пакетів і відсутність SA в кінці лістингу.

R1# show crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: MYMAP, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (172.16.3.0/255.255.255.0/0/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0

#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

local crypto endpt.: 192.168.12.1, remote crypto endpt.: 192.168.23.3

path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0

current outbound spi: 0x0(0)

inbound esp sas:

inbound ah sas:

inbound pcp sas:

outbound esp sas:

outbound ah sas:

outbound pcp sas:

R3# show crypto ipsec sa

interface: Serial0/0/1

Crypto map tag: MYMAP, local addr 192.168.23.3

protected vrf: (none)

local ident (addr/mask/prot/port): (172.16.3.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)

current_peer 192.168.12.1 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0

#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

local crypto endpt.: 192.168.23.3, remote crypto endpt.: 192.168.12.1

path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/1

current outbound spi: 0x0(0)

inbound esp sas:

inbound ah sas:

inbound pcp sas:

outbound esp sas:

outbound ah sas:

outbound pcp sas:

10. Дослідження роботи IPSec.

Протокол ISAKMP узгоджує створення асоціацій захисту між сторонами VPN. Фаза 1 IKE (ISAKMP) узгоджує безпечний канал між сторонами, аутентифікує сторони, грунтуючись на секретному ключі і аутентифікує партнера по захищеному каналу. Обмін в 1-й  фазі IKE проходить в «основному режимі» і є обміном 6-ма пакетами за 3 кроки. В результаті встановлюється двостороння асоціація захисту ISAKMP.

2-а фаза IKE (IPSec) узгоджує IPSec тунель між сторонами VPN, аутентифікує їх і встановлює захищений тунель між ними. Обмін 2-ої фази проходить в «швидкому режимі». В результаті 2-ї фази встановлюються дві однонаправлені асоціації захисту.

Спостерігатимемо за ISAKMP обміном, послуговуючись командами відладки.

На R1 активуйте дві команди відладки: debug crypto isakmp і debug crypto ipsec.

R1# debug crypto isakmp

Crypto ISAKMP debugging is on

R1# debug crypto ipsec

Crypto IPSEC debugging is on

Зараз відправте розширений ping з loopback R1 на loopback R3 і подивіться результати відладки на обох маршрутизаторах. Ви побачите як процедури узгодження ISAKMP, так і встановлення асоціацій захисту IPSec.

R1# ping

Protocol [ip]:

Target IP address: 172.16.3.1

Repeat count [5]:

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 172.16.1.1

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.3.1, timeout is 2 seconds:

Packet sent with a source address of 172.16.1.1

*Jan 17 05:11:39.142: IPSEC(sa_request): ,

(key eng. msg.) OUTBOUND local= 192.168.12.1, remote= 192.168.23.3,

local_proxy= 172.16.1.0/255.255.255.0/0/0 (type=4),

remote_proxy= 172.16.3.0/255.255.255.0/0/0 (type=4),

protocol= ESP, transform= NONE (Tunnel),

lifedur= 900s and 4608000kb,

spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0

...

Коли R1 виявить трафік, що цікавить, у напрямі R3, crypto map, задана на Fast Ethernet інтерфейсі R1, змінить стан IPSec з неактивного на активний. IPSec зробить спробу встановить асоціацію захисту між R1 і R3 із заданими раніше параметрами. ISAKMP процеси на кожній із сторін тепер знають, що SA встановлюватимуться і готові до обміну ISAKMP політик.

...

*Jan 17 05:11:39.146: ISAKMP:(0): SA request profile is (NULL)

*Jan 17 05:11:39.146: ISAKMP: Created a peer struct for 192.168.23.3, peer

port 500

*Jan 17 05:11:39.146: ISAKMP: New peer created peer = 0x46F56220 peer_handle =

0x80000002

*Jan 17 05:11:39.146: ISAKMP: Locking peer struct 0x46F56220, refcount 1 for

isakmp_initiator

*Jan 17 05:11:39.146: ISAKMP: local port 500, remote port 500

*Jan 17 05:11:39.146: ISAKMP: set new node 0 to QM_IDLE

*Jan 17 05:11:39.146: insert sa successfully sa = 477B9850

...

IOS створює в пам'яті структури даних, необхідні для зберігання параметрів і політик в 1-й фазі IKE обміну. Для обміну ISAKMP пакетами між сторонами використовується 500-й порт на кожній із сторін. ISAKMP створює структури даних, що представляють асоціації захисту ISAKMP.

...

*Jan 17 05:11:39.146: ISAKMP:(0):Can not start Aggressive mode, trying Main

mode

*Jan 17 05:11:39.146: ISAKMP:(0):found peer pre-shared key matching

192.168.23.3

*Jan 17 05:11:39.146: ISAKMP:(0): constructed NAT-T vendor-07 ID

*Jan 17 05:11:39.150: ISAKMP:(0): constructed NAT-T vendor-03 ID

*Jan 17 05:11:39.150: ISAKMP:(0): constructed NAT-T vendor-02 ID

*Jan 17 05:11:39.150: ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM

*Jan 17 05:11:39.150: ISAKMP:(0):Old State = IKE_READY New State = IKE_I_MM1

...

Процес обміну в агресивному режимі 1-ї фази складається тільки з одного кроку обміну пакетами. Агресивний режим значно менш безпечний, ніж основний режим, який грунтується на 3-х кроковому обміні пакетами: обмін політиками ISAKMP, обмін ключами Діффі - Хелмана (DH) і зашифрована процедура аутентифікації, що встановлює асоціації захисту, використовувані в 2-й фазі.

...

*Jan 17 05:11:39.150: ISAKMP:(0): beginning Main Mode exchange

*Jan 17 05:11:39.150: ISAKMP:(0): sending packet to 192.168.23.3 my_port 500

peer_port 500 (I) MM_NO_STATE

*Jan 17 05:11:39.282: ISAKMP (0:0): received packet from 192.168.23.3 dport

500 sport 500 Global (I) MM_NO_STATE

*Jan 17 05:11:39.286: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH

*Jan 17 05:11:39.286: ISAKMP:(0):Old State = IKE_I_MM1 New State = IKE_I_MM2

*Jan 17 05:11:39.286: ISAKMP:(0): processing SA payload. message ID = 0

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 52/54/56 ms

R1#

*Jan 17 05:11:39.286: ISAKMP:(0): processing vendor id payload

*Jan 17 05:11:39.286: ISAKMP:(0): vendor ID seems Unity/DPD but major 245

mismatch

*Jan 17 05:11:39.286: ISAKMP (0:0): vendor ID is NAT-T v7

*Jan 17 05:11:39.286: ISAKMP:(0):found peer pre-shared key matching

192.168.23.3

*Jan 17 05:11:39.286: ISAKMP:(0): local preshared key found

*Jan 17 05:11:39.286: ISAKMP : Scanning profiles for xauth ...

*Jan 17 05:11:39.286: ISAKMP:(0):Checking ISAKMP transform 1 against priority

10 policy

*Jan 17 05:11:39.286: ISAKMP: encryption AES-CBC

*Jan 17 05:11:39.286: ISAKMP: keylength of 256

*Jan 17 05:11:39.286: ISAKMP: hash SHA

*Jan 17 05:11:39.286: ISAKMP: default group 5

*Jan 17 05:11:39.286: ISAKMP: auth pre-share

*Jan 17 05:11:39.286: ISAKMP: life type in seconds

*Jan 17 05:11:39.286: ISAKMP: life duration (basic) of 3600

*Jan 17 05:11:39.286: ISAKMP:(0):atts are acceptable. Next payload is 0

*Jan 17 05:11:39.286: ISAKMP:(0): processing vendor id payload

*Jan 17 05:11:39.286: ISAKMP:(0): vendor ID seems Unity/DPD but major 245

mismatch

*Jan 17 05:11:39.286: ISAKMP (0:0): vendor ID is NAT-T v7

*Jan 17 05:11:39.290: ISAKMP:(0):Input = IKE_MESG_INTERNAL,

IKE_PROCESS_MAIN_MODE

*Jan 17 05:11:39.290: ISAKMP:(0):Old State = IKE_I_MM2 New State = IKE_I_MM2

...

На першому кроці обміну ініціатор в першому повідомленні відправляє його політику захисту іншій стороні, яка також посилає свою політику в другому повідомленні.

Тобто, кожен з IKE партнерів посилає свою ISAKMP політику іншій стороні.

Потім R1 обробляє вміст пакету, отриманого від R3, і визначає, що у нього є поділюваний ключ, пов'язаний з адресою R3. R1 порівнює набір перетворень (політику) ISAKMP, отриману від R3, зі своєю власною, що має пріоритет 10. R1 визначає, що параметри ISAKMP політик узгоджуються і сигналізує ISAKMP процесу приступати до наступного кроку обміну. Нарешті, R1 повідомляє R3, що політика прийнята і починає другий крок обміну з R3.

...

*Jan 17 05:11:39.290: ISAKMP:(0): sending packet to 192.168.23.3 my_port 500

peer_port 500 (I) MM_SA_SETUP

*Jan 17 05:11:39.290: ISAKMP:(0):Input = IKE_MESG_INTERNAL,

IKE_PROCESS_COMPLETE

*Jan 17 05:11:39.290: ISAKMP:(0):Old State = IKE_I_MM2 New State = IKE_I_MM3

*Jan 17 05:11:39.502: ISAKMP (0:0): received packet from 192.168.23.3 dport

500 sport 500 Global (I) MM_SA_SETUP

*Jan 17 05:11:39.502: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH

*Jan 17 05:11:39.502: ISAKMP:(0):Old State = IKE_I_MM3 New State = IKE_I_MM4

*Jan 17 05:11:39.506: ISAKMP:(0): processing KE payload. message ID = 0

*Jan 17 05:11:39.638: ISAKMP:(0): processing NONCE payload. message ID = 0

*Jan 17 05:11:39.638: ISAKMP:(0):found peer pre-shared key matching

192.168.23.3

*Jan 17 05:11:39.642: ISAKMP:(1001): processing vendor id payload

*Jan 17 05:11:39.642: ISAKMP:(1001): vendor ID is Unity

*Jan 17 05:11:39.642: ISAKMP:(1001): processing vendor id payload

*Jan 17 05:11:39.642: ISAKMP:(1001): vendor ID is DPD

*Jan 17 05:11:39.642: ISAKMP:(1001): processing vendor id payload

*Jan 17 05:11:39.642: ISAKMP:(1001): speaking to another IOS box!

*Jan 17 05:11:39.642: ISAKMP:(1001):Input = IKE_MESG_INTERNAL,

IKE_PROCESS_MAIN_MODE

*Jan 17 05:11:39.642: ISAKMP:(1001):Old State = IKE_I_MM4 New State =

IKE_I_MM4

...

Під час другого кроку ініціатор обміну відправляє іншій стороні RSA-нонс (випадкове число, яке буде використано алгоритмом Діффі-хелмана) разом з результатом функції Діффі - Хелмана. Це третє повідомлення основного режиму. Потім R3 відповідає четвертим повідомлення, що містить відповідні ключ і нонс. Оскільки R1 і R3 мають однакові ключі, то ключ, отриманий від іншої сторони, збігається з ключем, обчисленим локально. Таким чином R1 і R3 аутентіфікують один одного.

Після цього R1 може передати R3 повідомлення по захищеному каналу. Це повідомлення буде використано R3 для аутентифікації R1 (як сторони асоціації захисту ISAKMP).

...

*Jan 17 05:11:39.642: ISAKMP:(1001):Send initial contact

*Jan 17 05:11:39.646: ISAKMP:(1001):SA is doing pre-shared key authentication

using id type ID_IPV4_ADDR

*Jan 17 05:11:39.646: ISAKMP (0:1001): ID payload

next-payload : 8

type : 1

address : 192.168.12.1

protocol : 17

port : 500

length : 12

*Jan 17 05:11:39.646: ISAKMP:(1001):Total payload length: 12

*Jan 17 05:11:39.646: ISAKMP:(1001): sending packet to 192.168.23.3 my_port

500 peer_port 500 (I) MM_KEY_EXCH

*Jan 17 05:11:39.646: ISAKMP:(1001):Input = IKE_MESG_INTERNAL,

IKE_PROCESS_COMPLETE

*Jan 17 05:11:39.646: ISAKMP:(1001):Old State = IKE_I_MM4 New State =

IKE_I_MM5

*Jan 17 05:11:39.690: ISAKMP (0:1001): received packet from 192.168.23.3 dport

500 sport 500 Global (I) MM_KEY_EXCH

*Jan 17 05:11:39.690: ISAKMP:(1001): processing ID payload. message ID = 0

*Jan 17 05:11:39.690: ISAKMP (0:1001): ID payload

next-payload : 8

type : 1

address : 192.168.23.3

protocol : 17

port : 500

length : 12

*Jan 17 05:11:39.690: ISAKMP:(0):: peer matches *none* of the profiles

*Jan 17 05:11:39.690: ISAKMP:(1001): processing HASH payload. message ID = 0

*Jan 17 05:11:39.690: ISAKMP:(1001):SA authentication status:

authenticated

*Jan 17 05:11:39.690: ISAKMP:(1001):SA has been authenticated with

192.168.23.3

...

Коли R1 отримає аутентифікаційний пакет від R3, будуть перевірені ID і хеш-функція цього пакету. Якщо аутентифікація ISAKMP по захищеному каналу буде успішною, то 1-а фаза IKE буде завершена, а асоціація захисту буде встановлена.

...

*Jan 17 05:11:39.690: ISAKMP: Trying to insert a peer

192.168.12.1/192.168.23.3/500/, and inserted successfully 46F56220.

*Jan 17 05:11:39.690: ISAKMP:(1001):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH

*Jan 17 05:11:39.690: ISAKMP:(1001):Old State = IKE_I_MM5 New State =

IKE_I_MM6

*Jan 17 05:11:39.694: ISAKMP:(1001):Input = IKE_MESG_INTERNAL,

IKE_PROCESS_MAIN_MODE

*Jan 17 05:11:39.694: ISAKMP:(1001):Old State = IKE_I_MM6 New State =

IKE_I_MM6

*Jan 17 05:11:39.694: ISAKMP:(1001):Input = IKE_MESG_INTERNAL,

IKE_PROCESS_COMPLETE

*Jan 17 05:11:39.694: ISAKMP:(1001):Old State = IKE_I_MM6 New State =

IKE_P1_COMPLETE

...

Нарешті R1 заповнює структуру даних, створену на початку, інформацією про партнера. Використовуючи асоціацію захисту, створену в 1-й фазі IKE, R1 приступає до 2-ої фази IKE.

...

*Jan 17 05:11:39.694: ISAKMP:(1001):beginning Quick Mode exchange, M-ID of

787769575

*Jan 17 05:11:39.694: ISAKMP:(1001):QM Initiator gets spi

*Jan 17 05:11:39.698: ISAKMP:(1001): sending packet to 192.168.23.3 my_port

500 peer_port 500 (I) QM_IDLE

*Jan 17 05:11:39.698: ISAKMP:(1001):Node 787769575, Input = IKE_MESG_INTERNAL,

IKE_INIT_QM

*Jan 17 05:11:39.698: ISAKMP:(1001):Old State = IKE_QM_READY New State =

IKE_QM_I_QM1

*Jan 17 05:11:39.698: ISAKMP:(1001):Input = IKE_MESG_INTERNAL,

IKE_PHASE1_COMPLETE

*Jan 17 05:11:39.698: ISAKMP:(1001):Old State = IKE_P1_COMPLETE New State =

IKE_P1_COMPLETE

...

Швидкий режим використовує всього 3 повідомлення для створення асоціації IPSec. Ініціатор  R1 відправляє перше повідомлення, що містить хеш-кодування, політики IPSec, нонс і код, обчислений по ключу, що розділяється, і двох значеннях ID. R3 обробляє IPSec пропозиції, отримані від R1 і відповідає зустрічним повідомленням зі своїми значеннями перерахованих параметрів.

...

*Jan 17 05:11:40.014: ISAKMP (0:1001): received packet from 192.168.23.3 dport

500 sport 500 Global (I) QM_IDLE

*Jan 17 05:11:40.018: ISAKMP:(1001): processing HASH payload. message ID =

787769575

*Jan 17 05:11:40.018: ISAKMP:(1001): processing SA payload. message ID =

787769575

*Jan 17 05:11:40.018: ISAKMP:(1001):Checking IPSec proposal 1

*Jan 17 05:11:40.018: ISAKMP: transform 1, AH_SHA

*Jan 17 05:11:40.018: ISAKMP: attributes in transform:

*Jan 17 05:11:40.018: ISAKMP: encaps is 1 (Tunnel)

*Jan 17 05:11:40.018: ISAKMP: SA life type in seconds

*Jan 17 05:11:40.018: ISAKMP: SA life duration (basic) of 900

*Jan 17 05:11:40.018: ISAKMP: SA life type in kilobytes

*Jan 17 05:11:40.018: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50

0x0

*Jan 17 05:11:40.018: ISAKMP: group is 5

*Jan 17 05:11:40.018: ISAKMP: authenticator is HMAC-SHA

*Jan 17 05:11:40.018: ISAKMP:(1001):atts are acceptable.

*Jan 17 05:11:40.018: ISAKMP:(1001):Checking IPSec proposal 1

*Jan 17 05:11:40.018: ISAKMP: transform 1, ESP_AES

*Jan 17 05:11:40.018: ISAKMP: attributes in transform:

*Jan 17 05:11:40.018: ISAKMP: encaps is 1 (Tunnel)

*Jan 17 05:11:40.018: ISAKMP: SA life type in seconds

*Jan 17 05:11:40.018: ISAKMP: SA life duration (basic) of 900

*Jan 17 05:11:40.018: ISAKMP: SA life type in kilobytes

*Jan 17 05:11:40.018: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50

0x0

*Jan 17 05:11:40.018: ISAKMP: authenticator is HMAC-SHA

*Jan 17 05:11:40.018: ISAKMP: key length is 256

*Jan 17 05:11:40.018: ISAKMP: group is 5

*Jan 17 05:11:40.018: ISAKMP:(1001):atts are acceptable.

...

R3 відповідає другим аналогічним повідомленням. R1 перевіряє значення хеш-функції та політику IPSec і визначає, що запропонована політика R3 узгоджується з його власною.

Зауважимо, що при інкапсуляції буде використано відразу два перетворення: AH- заголовок зверху ESP - інкапсуляції і шифрування. Пакет, що маршрутизується на R1, відравлений з 172.16.1.1 і адресований 172.16.3.1, спочатку буде зашифрований і інкапсульований як ESP пакет і лише потім до нього буде доданий аутентифікуючий заголовок AH. Отриманий пакет буде посланий з адресою відправника 192.168.12.1 і адресою одержувача 192.168.23.3.

...

*Jan 17 05:11:40.018: IPSEC(validate_proposal_request): proposal part #1

*Jan 17 05:11:40.018: IPSEC(validate_proposal_request): proposal part #1,

(key eng. msg.) INBOUND local= 192.168.12.1, remote= 192.168.23.3,

local_proxy= 172.16.1.0/255.255.255.0/0/0 (type=4),

remote_proxy= 172.16.3.0/255.255.255.0/0/0 (type=4),

protocol= AH, transform= ah-sha-hmac (Tunnel),

lifedur= 0s and 0kb,

spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0

*Jan 17 05:11:40.018: IPSEC(validate_proposal_request): proposal part #2

*Jan 17 05:11:40.018: IPSEC(validate_proposal_request): proposal part #2,

(key eng. msg.) INBOUND local= 192.168.12.1, remote= 192.168.23.3,

local_proxy= 172.16.1.0/255.255.255.0/0/0 (type=4),

remote_proxy= 172.16.3.0/255.255.255.0/0/0 (type=4),

protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Tunnel),

lifedur= 0s and 0kb,

spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0

*Jan 17 05:11:40.022: Crypto mapdb : proxy_match

src addr : 172.16.1.0

dst addr : 172.16.3.0

protocol : 0

src port : 0

dst port : 0

*Jan 17 05:11:40.022: ISAKMP:(1001): processing NONCE payload. message ID =

787769575

*Jan 17 05:11:40.022: ISAKMP:(1001): processing KE payload. message ID =

787769575

*Jan 17 05:11:40.158: ISAKMP:(1001): processing ID payload. message ID =

787769575

*Jan 17 05:11:40.158: ISAKMP:(1001): processing ID payload. message ID =

787769575

...

R1 звіряє отримані пропозиції зі своїми IPSec політиками. Відмітимо, що використовувані при визначенні захищуваного трафіку розширені ACL можуть фільтрувати трафік також і за іншими параметрами.

Підписані дані пакету і значення нонса підтверджують, що ключі обох сторін збігаються. Закінчивши обробку другого повідомлення, R1 повинен створити асоціацію IPSec і трафік шифруватиметься відповідно до узгоджених раніше політик.

Оскільки в наборі tranasform-set два перетворення, то дві асоціації і дві пропозиції мають бути створені в кожному напрямі між сторонами тунеля.

...

*Jan 17 05:11:40.158: ISAKMP:(1001): Creating IPSec SAs

*Jan 17 05:11:40.158: inbound SA from 192.168.23.3 to 192.168.12.1

(f/i) 0/ 0

(proxy 172.16.3.0 to 172.16.1.0)

*Jan 17 05:11:40.158: has spi 0x588AA60C and conn_id 0

*Jan 17 05:11:40.158: lifetime of 900 seconds

*Jan 17 05:11:40.158: lifetime of 4608000 kilobytes

*Jan 17 05:11:40.158: outbound SA from 192.168.12.1 to 192.168.23.3

(f/i) 0/0

(proxy 172.16.1.0 to 172.16.3.0)

*Jan 17 05:11:40.162: has spi 0x897F9209 and conn_id 0

*Jan 17 05:11:40.162: lifetime of 900 seconds

*Jan 17 05:11:40.162: lifetime of 4608000 kilobytes

*Jan 17 05:11:40.162: ISAKMP:(1001): Creating IPSec SAs

*Jan 17 05:11:40.162: inbound SA from 192.168.23.3 to 192.168.12.1

(f/i) 0/ 0

(proxy 172.16.3.0 to 172.16.1.0)

*Jan 17 05:11:40.162: has spi 0x2E2954C0 and conn_id 0

*Jan 17 05:11:40.162: lifetime of 900 seconds

*Jan 17 05:11:40.162: lifetime of 4608000 kilobytes

*Jan 17 05:11:40.162: outbound SA from 192.168.12.1 to 192.168.23.3

(f/i) 0/0

(proxy 172.16.1.0 to 172.16.3.0)

*Jan 17 05:11:40.162: has spi 0xAE4C8E5A and conn_id 0

*Jan 17 05:11:40.162: lifetime of 900 seconds

*Jan 17 05:11:40.162: lifetime of 4608000 kilobytes

*Jan 17 05:11:40.162: ISAKMP:(1001): sending packet to 192.168.23.3 my_port

500 peer_port 500 (I) QM_IDLE

*Jan 17 05:11:40.162: ISAKMP:(1001):deleting node 787769575 error FALSE reason

"No Error"

*Jan 17 05:11:40.162: ISAKMP:(1001):Node 787769575, Input =

IKE_MESG_FROM_PEER, IKE_QM_EXCH

*Jan 17 05:11:40.162: ISAKMP:(1001):Old State = IKE_QM_I_QM1 New State =

IKE_QM_PHASE2_COMPLETE

*Jan 17 05:11:40.166: IPSEC(key_engine): got a queue event with 1 KMI

message(s)

*Jan 17 05:11:40.166: Crypto mapdb : proxy_match

src addr : 172.16.1.0

dst addr : 172.16.3.0

protocol : 0

src port : 0

dst port : 0

*Jan 17 05:11:40.166: IPSEC(crypto_IPSec_sa_find_ident_head): reconnecting

with the same proxies and peer 192.168.23.3

*Jan 17 05:11:40.166: IPSEC(policy_db_add_ident): src 172.16.1.0, dest

172.16.3.0, dest_port 0

*Jan 17 05:11:40.166: IPSEC(create_sa): sa created,

(sa) sa_dest= 192.168.12.1, sa_proto= 51,

sa_spi= 0x588AA60C(1485481484),

sa_trans= ah-sha-hmac , sa_conn_id= 2001

*Jan 17 05:11:40.166: IPSEC(create_sa): sa created,

(sa) sa_dest= 192.168.23.3, sa_proto= 51,

sa_spi= 0x897F9209(2306839049),

sa_trans= ah-sha-hmac , sa_conn_id= 2002

*Jan 17 05:11:40.166: IPSEC(create_sa): sa created,

(sa) sa_dest= 192.168.12.1, sa_proto= 50,

sa_spi= 0x2E2954C0(774460608),

sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 2001

*Jan 17 05:11:40.166: IPSEC(create_sa): sa created,

(sa) sa_dest= 192.168.23.3, sa_proto= 50,

sa_spi= 0xAE4C8E5A(2924252762),

sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 2002

*Jan 17 05:11:40.166: IPSEC(update_current_outbound_sa): updated peer

192.168.23.3 current outbound sa to SPI AE4C8E5A

*Jan 17 05:12:30.162: ISAKMP:(1001):purging node 787769575

Зараз R1 встановив чотири асоціації з R3: дві у вихідному напрямі, та дві у вхідному. Одна з двох асоціацій пов'язана з AH перетворенням, а інша - з ESP. Тепер ICMP echo-reply пакети відправлятимуться через IPSec тунель.

Відключіть режим відладки.

R1# undebug all

All possible debugging has been turned off

Хоча виведення команд відладки надмірно детальне, його аналіз може допомогти при пошуку проблем в роботі IPSec.

R1# show crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: MYMAP, local addr 192.168.12.1

protected vrf: (none)

local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (172.16.3.0/255.255.255.0/0/0)

current_peer 192.168.23.3 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4

#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 1, #recv errors 0

local crypto endpt.: 192.168.12.1, remote crypto endpt.: 192.168.23.3

path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0

current outbound spi: 0xAE4C8E5A(2924252762)

inbound esp sas:

spi: 0x2E2954C0(774460608)

transform: esp-256-aes esp-sha-hmac ,

in use settings ={Tunnel, }

conn id: 2001, flow_id: NETGX:1, crypto map: MYMAP

sa timing: remaining key lifetime (k/sec): (4506913/334)

IV size: 16 bytes

replay detection support: Y

Status: ACTIVE

inbound ah sas:

spi: 0x588AA60C(1485481484)

transform: ah-sha-hmac ,

in use settings ={Tunnel, }

conn id: 2001, flow_id: NETGX:1, crypto map: MYMAP

sa timing: remaining key lifetime (k/sec): (4506913/332)

replay detection support: Y

Status: ACTIVE

inbound pcp sas:

outbound esp sas:

spi: 0xAE4C8E5A(2924252762)

transform: esp-256-aes esp-sha-hmac ,

in use settings ={Tunnel, }

conn id: 2002, flow_id: NETGX:2, crypto map: MYMAP

sa timing: remaining key lifetime (k/sec): (4506913/332)

IV size: 16 bytes

replay detection support: Y

Status: ACTIVE

outbound ah sas:

spi: 0x897F9209(2306839049)

transform: ah-sha-hmac ,

in use settings ={Tunnel, }

conn id: 2002, flow_id: NETGX:2, crypto map: MYMAP

sa timing: remaining key lifetime (k/sec): (4506913/332)

replay detection support: Y

Status: ACTIVE

outbound pcp sas:

R3# show crypto isakmp sa

dst src state conn-id slot status

192.168.23.3 192.168.12.1 QM_IDLE 1 0 ACTIVE

R3# show crypto ipsec sa

interface: Serial0/0/1

Crypto map tag: MYMAP, local addr 192.168.23.3

protected vrf: (none)

local ident (addr/mask/prot/port): (172.16.3.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)

current_peer 192.168.12.1 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4

#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

local crypto endpt.: 192.168.23.3, remote crypto endpt.: 192.168.12.1

path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/1

current outbound spi: 0x2E2954C0(774460608)

inbound esp sas:

spi: 0xAE4C8E5A(2924252762)

transform: esp-256-aes esp-sha-hmac ,

in use settings ={Tunnel, }

conn id: 3001, flow_id: NETGX:1, crypto map: MYMAP

sa timing: remaining key lifetime (k/sec): (4385199/319)

IV size: 16 bytes

replay detection support: Y

Status: ACTIVE

inbound ah sas:

spi: 0x897F9209(2306839049)

transform: ah-sha-hmac ,

in use settings ={Tunnel, }

conn id: 3001, flow_id: NETGX:1, crypto map: MYMAP

sa timing: remaining key lifetime (k/sec): (4385199/318)

replay detection support: Y

Status: ACTIVE

inbound pcp sas:

outbound esp sas:

spi: 0x2E2954C0(774460608)

transform: esp-256-aes esp-sha-hmac ,

in use settings ={Tunnel, }

conn id: 3002, flow_id: NETGX:2, crypto map: MYMAP

sa timing: remaining key lifetime (k/sec): (4385199/318)

IV size: 16 bytes

replay detection support: Y

Status: ACTIVE

outbound ah sas:

spi: 0x588AA60C(1485481484)

transform: ah-sha-hmac ,

in use settings ={Tunnel, }

conn id: 3002, flow_id: NETGX:2, crypto map: MYMAP

sa timing: remaining key lifetime (k/sec): (4385199/318)

replay detection support: Y

Status: ACTIVE

outbound pcp sas:

Моніторинг трафіку за допомогою Wireshark

Ви можете перехопити трафік по маршруту передачі і порівняти зашифровані і не зашифровані пакети. Командою no crypto map вимкніть криптографічні карти на маршрутизаторах R1 і R3. Після цього встановлені ISAKMP асоціації захисту будуть видалені і маршрутизатор видасть попередження. Перевірте поточні налаштування інтерфейсів. Запустіть захоплення пакетів з інтерфейсу Fa 0/0 маршрутизатора R2.

R1:

R1# show run interface fastethernet0/0

Building configuration...

Current configuration : 120 bytes

!

interface FastEthernet0/0

ip address 192.168.12.1 255.255.255.0

duplex auto

speed auto

crypto map SDM_CMAP_1

end

R1# configure terminal

R1(config)# interface fastethernet0/0

R1(config-if)# no crypto map SDM_CMAP_1

*Jan 16 06:02:58.999: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF

R3:

R3# show run interface serial0/0/1

Building configuration...

Current configuration : 91 bytes

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

crypto map SDM_CMAP_1

end

R3# configure terminal

R3(config)# interface serial0/0/1

R3(config-if)# no crypto map SDM_CMAP_1

*Jan 16 06:05:36.038: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF

Ви можете перехопити telnet трафік між R1 та R3. Дозвольте telnet доступ на R3 та задайте enable secret password.

R3(config)# enable secret cisco

R3(config)# line vty 0 4

R3(config-line)# password cisco

R3(config-line)# login

Відкрийте telnet сесію з loopback інтерфейсу R1 на loopback інтерфейс R3.

Для цього в команді telnet destination /source interface задайте IP - адресу вихідного інтерфейсу. Відправляючи пакети з loopback інтерфейсу ви тим самим створюєте трафік, відповідний створеним раніше ACL.  Після відкриття telnet -сесії виконайте одну - дві команди і потім закрийте сесію.

R1# telnet 172.16.3.1 /source Loopback0

Trying 172.16.3.1 ... Open

User Access Verification

Password: [cisco]

R3> en

Password: [cisco]

R3# show ip interface brief

Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 unassigned YES unset administratively down down

FastEthernet0/1 unassigned YES unset administratively down down

Serial0/0/0 unassigned YES unset administratively down down

Serial0/0/1 192.168.23.3 YES manual up up

Serial0/1/0 unassigned YES unset administratively down down

Serial0/1/1 unassigned YES unset administratively down down

Loopback0 172.16.3.1 YES manual up up

R3# exit

[Connection to 172.16.3.1 closed by foreign host]

R1#

Завершіть перехоплення пакетів і прогляньте результат. Безліч пакетів були передані у відкритому вигляді. Зверніть увагу, що пакети зустрічного потоку містять довші рядки тексту. Це пояснюється тим, що виведення команд містить більше символів, аніж самі команди. При цьому команди можуть передаватися або посимвольно, або групами символів, залежно від вашої швидкості набору.

Знову застосуйте криптокарти до інтерфейсів маршрутизаторів R1 і R3 та знов відкрийте telnet сесію. Повторно запустіть перехоплення пакетів і введіть в telnet сесії ту ж послідовність команд, що раніше.

R1(config)# interface fastethernet0/0

R1(config-if)# crypto map SDM_CMAP_1

*Jan 16 06:36:10.295: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R3(config)# interface serial0/0/1

R3(config-if)# crypto map SDM_CMAP_1

*Jan 16 06:37:59.798: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

R1# telnet 172.16.3.1 /source Loopback0

Trying 172.16.3.1 ... Open

User Access Verification

Password: [cisco]

R3> en

Password: [cisco]

R3# show ip interface brief

Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 unassigned YES unset administratively down down

FastEthernet0/1 unassigned YES unset administratively down down

Serial0/0/0 unassigned YES unset administratively down down

Serial0/0/1 192.168.23.3 YES manual up up

Serial0/1/0 unassigned YES unset administratively down down

Serial0/1/1 unassigned YES unset administratively down down

Loopback0 172.16.3.1 YES manual up up

R3# exit

[Connection to 172.16.3.1 closed by foreign host]

R1#

Зупиніть перехоплення пакетів і закрийте telnet сесію. Результат перехоплення в Wireshark свідчить, що VPN інкапсуляція і шифрування тепер працюють.

Зазначте, що протокол тепер розпізнається не як telnet (TCP, порт 23), а як ESP (IP, номер протоколу 50). Пам'ятайте, що всі зашифровані пакети задовольняють заданим ACL.

Зверніть увагу, що адреси джерел і одержувачів трафіку в цих зашифрованих пакетах не є реальними адресами сторін telnet - сесії, а кінцевими точками VPN тунеля.

І що найбільш важливо, з вмісту перехоплення тепер не можливо відновити передані дані. Таким чином, засоби IPSec забезпечили аутентифікацію, шифрування і цілісність даних, що передаються

Результат налаштування

R1# show run

!

hostname R1

!

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.23.3

!

crypto ipsec security-association lifetime seconds 1800

!

crypto ipsec transform-set 50 ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto map MYMAP 10 ipsec-isakmp

set peer 192.168.23.3

set security-association lifetime seconds 900

set transform-set 50

set pfs group5

match address 101

!

interface Loopback0

ip address 172.16.1.1 255.255.255.0

!

interface FastEthernet0/0

ip address 192.168.12.1 255.255.255.0

crypto map MYMAP

no shutdown

!

router eigrp 1

network 172.16.0.0

network 192.168.12.0

no auto-summary

!

access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255

!

end

R2# show run

!

hostname R2

!

interface FastEthernet0/0

ip address 192.168.12.2 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.2 255.255.255.0

clock rate 64000

no shutdown

!

router eigrp 1

network 192.168.12.0

network 192.168.23.0

no auto-summary

!

end

R3# show run

!

hostname R3

!

enable secret 5 $1$LT7i$MY2NhpGjl5uL1zNAoR2tf.

!

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 5

lifetime 3600

crypto isakmp key cisco address 192.168.12.1

!

crypto ipsec security-association lifetime seconds 1800

!

crypto ipsec transform-set 50 ah-sha-hmac esp-aes 256 esp-sha-hmac

!

crypto map MYMAP 10 ipsec-isakmp

set peer 192.168.12.1

set security-association lifetime seconds 900

set transform-set 50

set pfs group5

match address 101

!

interface Loopback0

ip address 172.16.3.1 255.255.255.0

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

crypto map MYMAP

no shutdown

!

router eigrp 1

network 172.16.0.0

network 192.168.23.0

no auto-summary

!

access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255

!

line vty 0 4

password cisco

login

!

end


 

А также другие работы, которые могут Вас заинтересовать

74003. Становление новой российской государственности в 1990-е годах 18.55 KB
  Распавшийся Советский Союз оставил весьма сложное наследство России в виде экономического кризиса всеобщего социального недовольства и наконец отсутствия реальной российской государственности. В условиях краха умеренной и консервативной моделей периода перестройки вполне естественной была победа весьма радикальной для России концепции демократического либеральнорыночного государства с ориентацией на западные страны. В принципе основные направления реформ к моменту их осуществления в России были уже испытаны в ряде государств Восточной...
74004. Основные этапы развития исторической науки в России XVIII – начале XX веков 20.07 KB
  Главною заслугою Миллера было собирание материалов по русской истории; его рукописи так наз. И исследования Миллера имели значение он был одним из первых ученых заинтересовавшихся позднейшими эпохами нашей истории им посвящены его труды: Опыт новейшей истории России и Известие о дворянах Российских. видное место трудами по русской истории занял и М.
74005. Основные этапы развития советской исторической науки 23.2 KB
  Начало новому этапу в развитии марксистской исторической мысли положили труды В. И. Ленина. Особенно большое значение для И. имела разработка Лениным теоретико-методологических основ общественных наук (в том числе исторической науки)...
74006. Влияние колониальной эксплуатации на традиционное общество в Индии в XIX – начале ХХ веках 23.77 KB
  Влияние колониальной эксплуатации на традиционное общество в Индии в XIX – начале ХХ вв. Заключительным этапом средневековой истории Индии стало возвышение на ее севере в начале XVI в. Власть моголов в Индии укрепилась в годы полувекового правления Акбара 14521605 завоевавшего Бенгалию а вместе с ними и выход к морю. Таким образом в Индии XVIXVII вв.
74007. Кризис традиционной японской цивилизации в период сегуната Токугава(1603 - 1867) 20.34 KB
  Кризис традиционной японской цивилизации в период сегуната Токугава1603 1867 Политическое объединение Японии в начале XVII в. Однако объединение страны носило несколько условный характер так как в Японии продолжали существовать более 200 княжеств которые обладали известной степенью автономии. В Японии периода Токугава крупных городов насчитывалось семнадцать среди которых особое положение занимали Эдо Осака. С установлением власти Токугава в Японии широкое распространение получили конфуцианские идеи в интерпретации философа Чжу Си.
74008. Версальско-вашингтонская система международных отношений: становление, эволюция, кризис 32.17 KB
  Вильсон выступал за умеренность в требованиях к Германии, желая не допустить превосходство одной из них в Европе. Соединённые Штаты стремились усилить своё влияние в Европе. Именно с этой целью Вильсон предложил включить в Версальский договор статьи о создании Лига Наций
74009. Мировой экономический кризис 1929 – начала 30-х гг. Причины, региональные особенности, пути преодоления, итоги и значение 36.42 KB
  В противовес классическому принципу невмешательства государства в экономику была признана ведущая роль государства в регулировании национального хозяйства с целью повышения эффективности спроса населения на товары потребления Это основа от кот.
74010. Европейский тоталитаризм и авторитаризм 20 – 30-х гг.: общая характеристика и региональная специфика 34.61 KB
  Появление в межвоенный период группы фашистских госв где была чрезвычайно высока роль госва и насилия не было случайным стечем обстоятельств. Для фашистских государств характерно усиление регулирующей роли государства как в экономике так и в идеологии: корпоративизация государства посредством создания системы массовых организаций и социальных объединений насильственные методы подавления инакомыслия неприятие принципов экономического и политического либерализма. Авторитарная модель характерна для тех западноевропейских госв которым...
74011. Левые силы Европы между двумя мировыми войнами. Народные фронты и Гражданская война в Испании 32.25 KB
  Для политической жизни Великобритании ХХ в. харак-но усил-е влияния лев.идей. Их представитель лейборист.партия(1900г). Особ.яркие успехи лейбористов в 20-х,когда стремит.увеличился их электорат возросло их представит-во в Парламенте.