Este documento muestra cómo configurar un túnel IPsec entre un Cisco VPN 3000 Concentrator y un router Cisco con Advance Encryption Standard (AES) como algoritmo de cifrado.
AES es una nueva publicación del Federal Information Processing Standard (FIPS) creada por el Instituto Nacional de Normas y Tecnología (NIST) que se utilizará como método de cifrado. Este estándar especifica un algoritmo de cifrado simétrico AES que sustituye al estándar de cifrado de datos (DES) como una transformación de la privacidad tanto para IPsec como para el intercambio de claves de Internet (IKE). AES tiene tres longitudes de clave diferentes: una clave de 128 bits (la predeterminada), una clave de 192 bits y una clave de 256 bits. La función AES de Cisco IOS® añade compatibilidad con el nuevo estándar de cifrado AES, con modo de encadenamiento de bloques de cifrado (CBC), a IPsec.
Refiérase al sitio del Centro de Recursos de Seguridad Informática NIST para obtener más información sobre AES.
Consulte Ejemplo de Configuración del Túnel IPsec de LAN a LAN entre el Concentrador VPN 3000 de Cisco y el Firewall PIX para obtener más información sobre la configuración del túnel de LAN a LAN entre un Concentrador VPN 3000 y el Firewall PIX.
Consulte Ejemplo de Configuración del Túnel IPSec entre PIX 7.x y el Concentrador VPN 3000 para obtener más información cuando el PIX tiene la versión de software 7.1.
Este documento requiere una comprensión básica del protocolo IPSec Consulte Introducción al Cifrado IPSec para obtener más información sobre IPsec.
Asegúrese de cumplir estos requisitos antes de intentar esta configuración:
Requisitos del router: la función AES se introdujo en la versión 12.2(13)T del software del IOS de Cisco. Para habilitar AES, el router debe admitir IPsec y ejecutar una imagen IOS con claves largas "k9" (el subsistema "k9").
Nota: La compatibilidad de hardware con AES también está disponible en los módulos VPN de aceleración AES 2600XM, 2691, 3725 y 3745 de Cisco. Esta función no tiene implicaciones en la configuración y el módulo de hardware se selecciona automáticamente si ambos están disponibles.
Requisitos del concentrador VPN - El soporte de software para la función AES se introdujo en la versión 3.6. El nuevo procesador de cifrado escalable y mejorado (SEP-E) proporciona compatibilidad de hardware. Esta función no tiene implicaciones en la configuración.
Nota: En Cisco VPN 3000 Concentrator release 3.6.3, los túneles no negocian a AES debido al ID de bug Cisco CSCdy88797 (sólo clientes registrados) . Esto se ha resuelto desde la versión 3.6.4.
Nota: El Cisco VPN 3000 Concentrator utiliza módulos SEP o SEP-E, no ambos. No instale ambos en el mismo dispositivo. Si instala un módulo SEP-E en un concentrador VPN que ya contiene un módulo SEP, el concentrador VPN inhabilita el módulo SEP y utiliza solamente el módulo SEP-E.
La información que contiene este documento se basa en las versiones de software y hardware.
Cisco 3600 Series Router con Cisco IOS Software Release 12.3(5)
Concentrador Cisco VPN 3060 con versión de software 4.0.3
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.
En este documento, se utiliza esta configuración de red:
En este documento, se utilizan estas configuraciones:
Configuración de IPSec_Router |
---|
version 12.3 service timestamps debug uptime service timestamps log datetime msec no service password-encryption ! hostname ipsec_router ! memory-size iomem 10 no aaa new-model ip subnet-zero ! !--- Configuration for IKE policies. crypto isakmp policy 1 !--- Enables the IKE policy configuration (config-isakmp) command mode, !--- where you can specify the parameters to be used during !--- an IKE negotiation. encryption aes 256 !--- Specifies the encryption algorithm as AES with a 256 !--- bit key within an IKE policy. authentication pre-share group 2 crypto isakmp key cisco123 address 20.20.20.1 !--- Specifies the preshared key "cisco123" which !--- should be identical at both peers. ! !--- Configuration for IPsec policies. crypto ipsec security-association lifetime seconds 28800 !--- Specifies the lifetime of the IPsec security association (SA). ! crypto ipsec transform-set vpn esp-aes 256 esp-md5-hmac !--- Enables the crypto transform configuration mode, where you can !--- specify the transform sets to be used during an IPsec negotiation. ! crypto map vpn 10 ipsec-isakmp !--- Indicates that IKE is used to establish the IPsec SA for protecting !--- the traffic specified by this crypto map entry. set peer 20.20.20.1 !--- Sets the IP address of the remote end (VPN Concentrator). set transform-set vpn !--- Configures IPsec to use the transform-set "vpn" defined earlier. ! !--- Specifies the traffic to be encrypted. match address 110 ! interface Ethernet1/0 ip address 30.30.30.1 255.255.255.0 ip nat outside half-duplex crypto map vpn !--- Configures the interface to use the crypto map "vpn" for IPsec. ! interface FastEthernet2/0 ip address 192.168.20.1 255.255.255.0 ip nat inside duplex auto speed auto ! ip nat pool mypool 30.30.30.3 30.30.30.3 netmask 255.255.255.0 ip nat inside source route-map nonat pool mypool overload ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 30.30.30.2 ! access-list 110 permit ip 192.168.20.0 0.0.0.255 172.16.0.0 0.0.255.255 !--- This crypto ACL-permit identifies the matching traffic !--- flows to be protected via encryption. !--- Specifies the traffic not to be encrypted. access-list 120 deny ip 192.168.20.0 0.0.0.255 172.16.0.0 0.0.255.255 !--- This crypto ACL-deny identifies the matching traffic flows not to be encrypted. ! access-list 120 permit ip 192.168.20.0 0.0.0.255 any !--- The access control list (ACL) used in the NAT configuration exempts !--- the LAN-to-LAN traffic from the NAT process, !--- but allows all traffic going to the Internet to be translated. ! route-map nonat permit 10 !--- The traffic flows not encrypted from the !--- peer network are allowed. match ip address 120 ! line con 0 line aux 0 line vty 0 4 login ! end |
Nota: Aunque la sintaxis de la ACL no cambia, los significados son ligeramente diferentes para las ACL crypto. En las ACL crypto, permit especifica que los paquetes coincidentes deben ser encriptados, mientras que deny especifica que los paquetes coincidentes no necesitan ser encriptados.
Los concentradores VPN no están preprogramados con direcciones IP en sus configuraciones de fábrica. Debe utilizar el puerto de la consola para configurar las configuraciones iniciales, que son una interfaz de línea de comandos (CLI) basada en menús. Consulte Configuración de Concentradores VPN a través de la Consola para obtener información sobre cómo configurar a través de la consola.
Una vez configurada la dirección IP en la interfaz Ethernet 1 (privada), el resto se puede configurar mediante la CLI o a través de la interfaz del navegador. La interfaz del explorador admite HTTP y HTTP a través de Secure Socket Layer (SSL).
Estos parámetros se configuran a través de la consola:
Hora/Fecha: la fecha y la hora correctas son muy importantes. Ayudan a garantizar que los registros y las entradas de cuentas sean precisos y que el sistema pueda crear un certificado de seguridad válido.
Interfaz Ethernet 1 (privada): dirección IP y máscara (de nuestra topología de red 172.16.1.1/24).
En este punto, se puede acceder al concentrador VPN a través de un navegador HTML desde la red interna. Para obtener información sobre la configuración del concentrador VPN en el modo CLI, consulte Configuración rápida con CLI.
Escriba la dirección IP de la interfaz privada desde el explorador web para habilitar la interfaz gráfica de usuario.
Haga clic en el icono save needed para guardar los cambios en la memoria. El nombre de usuario y la contraseña predeterminados son "admin", que distingue entre mayúsculas y minúsculas.
Una vez que abra la GUI, seleccione Configuration > Interfaces > Ethernet 2 (Public) para configurar la interfaz Ethernet 2.
Seleccione Configuration > System > IP Routing > Default Gateways para configurar la gateway predeterminada (Internet) y la gateway predeterminada (interna) del túnel para que IPsec llegue a las otras subredes de la red privada.
En esta situación, sólo hay una subred disponible en la red interna.
Seleccione Configuration > Policy Management > Traffic Management > Network Lists > Add para crear las listas de red que definen el tráfico que se va a cifrar.
Las redes mencionadas en la lista son accesibles a la red remota. Las redes que se muestran en la siguiente lista son redes locales. También puede generar automáticamente la lista de redes locales mediante RIP al hacer clic en Generar lista local.
Las redes de esta lista son redes remotas y deben configurarse manualmente. Para hacer esto, ingrese la red/comodín para cada subred alcanzable.
Una vez terminado, estas son las dos listas de red:
Seleccione Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN > Add y defina el túnel de LAN a LAN.
Esta ventana tiene tres secciones. La sección superior es para la información de red y las dos secciones inferiores son para las listas de red local y remota. En la sección Información de red, seleccione el cifrado AES, el tipo de autenticación, la propuesta IKE y escriba la clave previamente compartida. En las secciones inferiores, señale las listas de red que ya ha creado, tanto las listas locales como las remotas respectivamente.
Después de hacer clic en Agregar, si la conexión es correcta, aparecerá la ventana IPSec LAN-to-LAN-Add-Done.
Esta ventana presenta una sinopsis de la información de configuración del túnel. También configura automáticamente el nombre del grupo, el nombre de SA y el nombre del filtro. Puede editar cualquier parámetro de esta tabla.
Llegados a este punto, se ha configurado el túnel IPsec de LAN a LAN y puede empezar a trabajar. Si, por alguna razón, el túnel no funciona, puede verificar si hay configuraciones erróneas.
Puede ver o modificar los parámetros IPsec de LAN a LAN creados anteriormente al seleccionar Configuration > System > Tunneling Protocols > IPSec LAN-to-LAN.
Este gráfico muestra "test" como el nombre del túnel y la interfaz pública del extremo remoto es 30.30.30.1 según el escenario.
En ocasiones, es posible que el túnel no aparezca si la propuesta IKE está en la lista Propuestas inactivas. Seleccione Configuration > System > Tunneling Protocols > IPSec > IKE Proposals para configurar la propuesta IKE activa.
Si su propuesta IKE está en la lista "Propuestas inactivas", puede activarla cuando seleccione la propuesta IKE y haga clic en el botón Activar. En este gráfico, la propuesta seleccionada "IKE-AES256-SHA" se encuentra en la lista de propuestas activas.
Seleccione Configuration > Policy Management > Traffic Management > Security Associations para verificar si los parámetros de SA son correctos.
Haga clic en el nombre de SA (en este caso, L2L: prueba) y, a continuación, haga clic en Modificar para verificar las SA.
Si alguno de los parámetros no coincide con la configuración de peer remoto, puede cambiarse aquí.
En esta sección encontrará información que puede utilizar para comprobar que su configuración funcione correctamente.
La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.
show crypto isakmp sa — Muestra todas las asociaciones actuales de seguridad (SA) IKE de un par. El estado QM_IDLE denota que la SA permanece autenticada con su peer y puede ser utilizada para los intercambios de modo rápido subsiguientes. Se encuentra en un estado de inactividad.
ipsec_router#show crypto isakmp sa dst src state conn-id slot 20.20.20.1 30.30.30.1 QM_IDLE 1 0
show crypto ipsec sa — Muestra la configuración actual utilizada por las SA actuales Verifique la dirección IP par, las redes accesibles en los extremos remotos y locales y la transformación fijada que se utiliza. Hay dos ESP SA, uno en cada dirección. Dado que se utilizan conjuntos de transformación AH, está vacío.
ipsec_router#show crypto ipsec sa interface: Ethernet1/0 Crypto map tag: vpn, local addr. 30.30.30.1 protected vrf: local ident (addr/mask/prot/port): (192.168.20.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0) current_peer: 20.20.20.1:500 PERMIT, flags={origin_is_acl,} #pkts encaps: 145, #pkts encrypt: 145, #pkts digest 145 #pkts decaps: 51, #pkts decrypt: 51, #pkts verify 51 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 6, #recv errors 0 local crypto endpt.: 30.30.30.1, remote crypto endpt.: 20.20.20.1 path mtu 1500, media mtu 1500 current outbound spi: 54FA9805 inbound esp sas: spi: 0x4091292(67703442) transform: esp-256-aes esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn sa timing: remaining key lifetime (k/sec): (4471883/28110) IV size: 16 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x54FA9805(1425709061) transform: esp-256-aes esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: vpn sa timing: remaining key lifetime (k/sec): (4471883/28110) IV size: 16 bytes replay detection support: Y outbound ah sas: outbound pcp sas:
show crypto engine connections active—Muestra las conexiones de sesión cifradas activas actuales para todos los motores criptográficos. Cada ID de conexión es único. El número de paquetes cifrados y descifrados se muestra en las dos últimas columnas.
ipsec_router#show crypto engine connections active ID Interface IP-Address State Algorithm Encrypt Decrypt 1 Ethernet1/0 30.30.30.1 set HMAC_SHA+AES_256_C 0 0 2000 Ethernet1/0 30.30.30.1 set HMAC_MD5+AES_256_C 0 19 2001 Ethernet1/0 30.30.30.1 set HMAC_MD5+AES_256_C 19 0
Complete estos pasos para verificar la configuración del concentrador VPN.
De manera similar a los comandos show crypto ipsec sa y show crypto isakmp sa en los routers, puede ver las estadísticas de IPsec e IKE cuando selecciona Monitoring > Statistics > IPSec en los concentradores VPN.
De manera similar al comando show crypto engine connections active en los routers, puede utilizar la ventana Administration-Sessions en el VPN Concentrator para ver los parámetros y estadísticas para todas las conexiones o túneles activos de IPsec de LAN a LAN.
En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.
debug crypto engine: muestra el tráfico que está cifrado. El motor de cifrado es el mecanismo real que realiza el cifrado y el descifrado. Un motor criptográfico puede ser un acelerador de software o de hardware.
debug crypto isakmp: muestra las negociaciones de la Asociación de seguridad de Internet y el Protocolo de administración de claves (ISAKMP) de la fase IKE 1.
debug crypto ipsec: muestra las negociaciones IPsec de la fase IKE 2.
Consulte Solución de Problemas de IPSec - Comprensión y Uso de los Comandos debug para obtener información más detallada y un ejemplo de resultado.
De manera similar a los comandos debug en los routers de Cisco, puede configurar las clases Event para ver todas las alarmas.
Seleccione Configuration > System > Events > Classes > Add para activar el registro de las clases de eventos.
Estas clases están disponibles para IPSec:
IKE
IKEDBG
IKEDECODE
IPSEC
IPSECDBG
IPSECDECODE
Durante la adición, también puede seleccionar el nivel de gravedad para cada clase, en función del nivel de gravedad que se envía la alarma.
Las alarmas se pueden manejar mediante uno de estos métodos:
Por registro
Se muestra en la consola
Enviado al servidor Syslog de UNIX
Enviado como correo electrónico
Enviado como una trampa a un servidor SNMP (protocolo simple de administración de red)
Seleccione Monitoring > Filterable Event Log para monitorear las alarmas habilitadas.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
16-Aug-2002 |
Versión inicial |