Installeren van router-to-router van IPSec volledig geautomatiseerd

Downloadopties

  • PDF     (213.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (92.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (119.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:17 februari 2005
Document-id:14134

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Deze voorbeeldconfiguratie toont een volledig-gemanipuleerde encryptie tussen drie routers door het gebruik van één crypto kaart op elke router naar de netwerken achter elk van zijn twee peers.

De versleuteling moet worden uitgevoerd vanuit:

  • 160.160.160.x-netwerk tot 170.170.170.x-netwerk

  • 160.160.160.x-netwerk tot 180.180.180.x-netwerk

  • 170.170.170.x netwerk tot 180.180.180.x netwerk

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco IOS® softwarerelease 12.2.7C en 12.2.8(T)E4

  • Cisco 2500 en 3600 routers

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

N.B.: Als u aanvullende informatie wilt vinden over de opdrachten in dit document, gebruikt u het Opdrachtplanningprogramma (alleen geregistreerd klanten).

Netwerkdiagram

Dit document gebruikt de netwerkinstellingen die in dit diagram worden weergegeven.

ios_meshed.gif

Configuraties

Dit document gebruikt deze configuraties.

Opmerking: Deze configuraties zijn onlangs getest met de huidige code (november 2003) in het document.

Configuratie Dr_Whoovie 
Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname dr_whoovie
!
enable secret 5 $1$KxKv$cbqKsZtQTLJLGPN.tErFZ1
enable password ww
!
ip subnet-zero
!
cns event-service server
!

!--- Internet Key Exchange (IKE) Policies:

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco123 address 150.150.150.3 
crypto isakmp key cisco123 address 150.150.150.2 
!

!--- IPSec Policies:

crypto ipsec transform-set 170cisco esp-des esp-md5-hmac 
crypto ipsec transform-set 180cisco esp-des esp-md5-hmac 
!
crypto map ETH0 17 ipsec-isakmp 
set peer 150.150.150.2
set transform-set 170cisco

!--- Include the 160.160.160.x to 170.170.170.x network !--- in the encryption process. 

match address 170
crypto map ETH0 18 ipsec-isakmp 
set peer 150.150.150.3
set transform-set 180cisco 

!--- Include the 160.160.160.x to 180.180.180.x network !--- in the encryption process.

match address 180
!
interface Ethernet0
ip address 150.150.150.1 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
no mop enabled
crypto map ETH0
!
interface Ethernet1
no ip address
no ip directed-broadcast
shutdown
!
interface Serial0
ip address 160.160.160.1 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no fair-queue
!
interface Serial1
no ip address 
no ip directed-broadcast
clockrate 4000000
!
ip classless
ip route 170.170.170.0 255.255.255.0 150.150.150.2
ip route 180.180.180.0 255.255.255.0 150.150.150.3
no ip http server
!

!--- Include the 160.160.160.x to 170.170.170.x network !--- in the encryption process.

access-list 170 permit ip 160.160.160.0 0.0.0.255 170.170.170.0 0.0.0.255

!--- Include the 160.160.160.x to 180.180.180.x network !--- in the encryption process.

access-list 180 permit ip 160.160.160.0 0.0.0.255 180.180.180.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

Configuratie Yertle 
Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname yertle
!
enable secret 5 $1$me5Q$2kF5zKlPPTvHEBdGiEZ9m/
enable password ww
!
ip subnet-zero
!
cns event-service server
!

!--- IKE Policies:

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco123 address 150.150.150.3 
crypto isakmp key cisco123 address 150.150.150.1 
!

!--- IPSec Policies:

crypto ipsec transform-set 160cisco esp-des esp-md5-hmac 
crypto ipsec transform-set 180cisco esp-des esp-md5-hmac 
!
crypto map ETH0 16 ipsec-isakmp 
set peer 150.150.150.1
set transform-set 160cisco

!--- Include the 170.170.170.x to 160.160.160.x network !--- in the encryption process. 

match address 160
crypto map ETH0 18 ipsec-isakmp 
set peer 150.150.150.3
set transform-set 180cisco 

!--- Include the 170.170.170.x to 180.180.180.x network !--- in the encryption process. 

match address 180
!
interface Ethernet0
ip address 150.150.150.2 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
no mop enabled
crypto map ETH0
!
interface Serial0
no ip address
no ip directed-broadcast
no ip mroute-cache
shutdown
no fair-queue
!
interface Serial1
ip address 170.170.170.1 255.255.255.0
no ip directed-broadcast
!
ip classless
ip route 160.160.160.0 255.255.255.0 150.150.150.1
ip route 180.180.180.0 255.255.255.0 150.150.150.3
no ip http server
!

!--- Include the 170.170.170.x to 160.160.160.x network !--- in the encryption process. 

access-list 160 permit ip 170.170.170.0 0.0.0.255 160.160.160.0 0.0.0.255

!--- Include the 170.170.170.x to 180.180.180.x network !--- in the encryption process. 

access-list 180 permit ip 170.170.170.0 0.0.0.255 180.180.180.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

Configuratie Thidwick 
Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname thidwick
!
enable secret 5 $1$Pcpo$fj4FNS1dEDY9lGg3Ne6FK1
enable password ww
!
ip subnet-zero
!
isdn switch-type basic-5ess
isdn voice-call-failure 0
cns event-service server
!

!--- IKE Policies:

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco123 address 150.150.150.1 
crypto isakmp key cisco123 address 150.150.150.2 
!

!--- IPSec Policies:

crypto ipsec transform-set 160cisco esp-des esp-md5-hmac 
crypto ipsec transform-set 170cisco esp-des esp-md5-hmac 
!
crypto map ETH0 16 ipsec-isakmp 
set peer 150.150.150.1
set transform-set 160cisco

!--- Include the 180.180.180.x to 160.160.160.x network !--- in the encryption process. 

match address 160
crypto map ETH0 17 ipsec-isakmp 
set peer 150.150.150.2
set transform-set 170cisco 

!--- Include the 180.180.180.x to 170.170.170.x network !--- in the encryption process.
 
match address 170
!
interface Ethernet0
ip address 150.150.150.3 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
no mop enabled
crypto map ETH0
!
interface Serial0
no ip address
no ip directed-broadcast
no ip mroute-cache
no fair-queue
clockrate 4000000
!
interface Serial1
ip address 180.180.180.1 255.255.255.0
no ip directed-broadcast
clockrate 4000000
!
interface BRI0
no ip address
no ip directed-broadcast
shutdown
isdn switch-type basic-5ess
!
ip classless
ip route 160.160.160.0 255.255.255.0 150.150.150.1
ip route 170.170.170.0 255.255.255.0 150.150.150.2
no ip http server
!

!--- Include the 180.180.180.x to 160.160.160.x network !--- in the encryption process. 

access-list 160 permit ip 180.180.180.0 0.0.0.255 160.160.160.0 0.0.0.255

!--- Include the 180.180.180.x to 170.170.170.x network !--- in the encryption process. 

access-list 170 permit ip 180.180.180.0 0.0.0.255 170.170.170.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

Verifiëren

Deze sectie verschaft informatie die u kunt gebruiken om te bevestigen dat uw configuratie correct werkt.

Bepaalde opdrachten met show worden ondersteund door de tool Output Interpreter (alleen voor geregistreerde klanten). Hiermee kunt u een analyse van de output van opdrachten met show genereren.

  • toon crypto ipsec sa-toont de instellingen die door huidige [IPSec] veiligheidsassociaties worden gebruikt.

  • toon crypto isakmp sa-toont alle huidige IKE veiligheidsassociaties bij een peer.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Opdrachten voor troubleshooting

Opmerking: Voordat u debug-opdrachten afgeeft, raadpleegt u Belangrijke informatie over debug Commands.

  • debug crypto ipsec-displays de IPSec-onderhandelingen van fase 2.

  • debug van crypto isakmp — Hiermee geeft u de onderhandelingen over fase 1 weer van de Internet Security Association en Key Management Protocol (ISAKMP).

  • debug van crypto motor-displays het verkeer dat versleuteld wordt.

  • duidelijke crypto isakmp — ontslaat de veiligheidsassociaties met betrekking tot fase 1.

  • duidelijke crypto sa — ontruimt de veiligheidsassociaties met betrekking tot fase 2.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
17-Feb-2005
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco