此示例配置演示如何使用预共享密钥形成IPSec隧道以加入两个专用网络。在我们的示例中,被加入的网络是思科安全PIX防火墙(PIX)内部的192.168.1.X 专用网络和Checkpoint内部的10.32.50.X专用网络。假设在开始此配置之前,流量从PIX内部和Checkpoint 4.1防火墙内部流向Internet(由172.18.124.X网络表示)。
本文档没有任何特定的要求。
本文档中的信息基于以下软件和硬件版本:
PIX软件版本5.3.1
检查点 4.1 防火墙
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
本部分提供有关如何配置本文档所述功能的信息。
注:要查找有关本文档中使用的命令的其他信息,请使用命令查找工具(仅注册客户)。
本文档使用此图中所示的网络设置:
本文使用在此部分显示的配置。
PIX 配置 |
---|
PIX Version 5.3(1) nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname cisco_endpoint fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 names access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0 access-list 115 deny ip 192.168.1.0 255.255.255.0 any pager lines 24 logging on no logging timestamp no logging standby no logging console logging monitor debugging no logging buffered logging trap debugging no logging history logging facility 20 logging queue 512 interface ethernet0 auto interface ethernet1 auto mtu outside 1500 mtu inside 1500 ip address outside 172.18.124.35 255.255.255.240 ip address inside 192.168.1.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm no failover failover timeout 0:00:00 failover poll 15 failover ip address outside 0.0.0.0 failover ip address inside 0.0.0.0 arp timeout 14400 global (outside) 1 172.18.124.36 nat (inside) 0 access-list 115 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 route outside 0.0.0.0 0.0.0.0 172.18.124.34 1 timeout xlate 3:00:00g SA 0x80bd6a10, conn_id = 0 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable !--- IPSec configuration sysopt connection permit-ipsec no sysopt route dnat crypto ipsec transform-set myset esp-des esp-sha-hmac crypto map rtpmap 10 ipsec-isakmp crypto map rtpmap 10 match address 115 crypto map rtpmap 10 set peer 172.18.124.157 crypto map rtpmap 10 set transform-set myset crypto map rtpmap 10 set security-association lifetime seconds 3600 kilobytes 4608000 crypto map rtpmap interface outside !--- IKE configuration isakmp enable outside isakmp key ******** address 172.18.124.157 netmask 255.255.255.240 isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash sha isakmp policy 10 group 1 isakmp policy 10 lifetime 86400 telnet timeout 5 ssh timeout 5 terminal width 80 Cryptochecksum:dc43c44e4513d3633a3fc7b1c3802c79 : end [OK] |
由于供应商之间IKE和IPSec的默认寿命各不相同,选择Properties>Encryption ,设置PIX默认的Checkpoint寿命。
PIX默认IKE生存期为86400秒(=1440分钟),可通过以下命令修改:isakmp policy # lifetime 86400
PIX IKE生命期可以配置在60-86400秒之间。
PIX默认IPSec生命期为28800秒,可通过以下命令修改:crypto ipsec security-association lifetime seconds #
您可以配置120-86400秒之间的PIX IPSec生存期。
"选择Manage > Network objects > New (或 Edit) > Network,配置Checkpoint后的内部 (""cpinside"") 网络的对象。"
这必须与此PIX命令中的目标(秒)网络一致:access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0
选择Manage > Network objects > Edit 以编辑PIX在此命令中指向的网关(“RTPCPVPN” Checkpoint)终端的对象:crypto map name # set peer ip_address
在 Location 下,请选择 Internal。对于“Type”,选择 Gateway。在Modules Installed下,选中VPN-1 & FireWall-1复选框,并选中Management Station复选框:
选择Manage > Network objects > New (or Edit) > Network,配置PIX后的外部 ("inside_cisco") 网络的对象。
这必须与此PIX命令中的源(第一个)网络一致:access-list 115 permit ip 192.168.1.0 255.255.255.0 10.32.50.0 255.255.255.0
选择Manage > Network objects > New > Workstation 为外部("cisco_endpoint")PIX网关添加对象。这是应用此命令的PIX接口:加密映射名称接口外部
在 Location 下,选择 External。对于“Type”,选择 Gateway。
注意:请勿选中VPN-1/FireWall-1复选框。
选择 Manage > Network objects > Edit 以编辑 Checkpoint 网关端点(称为“RTPCPVPN”)VPN 选项卡。在域下,请选择其他然后从下拉列表中选择Checkpoint网络(称“cpinside”)。在被定义的加密机制下,精选的IKE,然后点击编辑。
更改DES加密的IKE属性以与以下命令一致:
isakmp policy # encryption des
将IKE属性更改为SHA1散列以与以下命令一致:
isakmp policy # hash sha
更改这些设置:
取消选定积极模式。
选中支持子网复选框。
在Authentication Method下,选中Pre-Shared Secret复选框。这与以下命令相同:
isakmp policy # authentication pre-share
单击Edit Secrets,将预共享密钥设置为与PIX命令一致:
isakmp key key address address netmask netmask
选择 Manage > Network objects > Edit 以编辑“cisco_endpoint”VPN 选项卡。在域下,选择其他,然后选择PIX网络的内部(称为“inside_cisco”)。 在被定义的加密机制下,精选的IKE,然后点击编辑。
更改IKE属性DES加密以与以下命令一致:
isakmp policy # encryption des
将IKE属性更改为SHA1散列以与以下命令一致:
crypto isakmp policy # hash sha
更改这些设置:
取消选定积极模式。
选中支持子网复选框。
在Authentication Method下,选中Pre-Shared Secret复选框。此操作与以下命令一致:
isakmp policy # authentication pre-share
单击Edit Secrets,将预共享密钥设置为与此PIX命令一致:
isakmp key key address address netmask netmask
在策略编辑器窗口,插入源和目的为“inside_cisco”和“cpinside”(双向)这一规则。 设置 Service=Any、Action=Encrypt 和 Track=Long。
在Action的选项下,请点击绿色的加密图标并且选择Edit Properties配置加密策略。
选择 IKE,然后单击 Edit。
在IKE属性屏幕上,更改这些属性以与此命令中的PIX IPSec转换一致:
crypto ipsec transform-set myset esp-des esp-sha-hmac
下面请变换,选择加密+数据完整性(ESP)。 加密算法必须是DES,数据完整性必须是SHA1,允许的对等网关必须是外部PIX网关(称为“cisco_endpoint”)。 Click OK.
配置Checkpoint后,在Checkpoint菜单上选择Policy > Install以使更改生效。
本部分所提供的信息可用于确认您的配置是否正常工作。
命令输出解释程序工具(仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。
在发出 debug 命令之前,请参阅有关 debug 命令的重要信息。
debug crypto engine — 显示有关执行加密和解密的加密引擎的调试消息。
debug crypto isakmp — 显示有关IKE事件的消息。
debug crypto ipsec — 显示IPSec事件。
show crypto isakmp sa - 查看对等体上的所有当前 IKE 安全关联 (SA)。
show crypto ipsec sa — 查看当前安全关联使用的设置。
clear crypto isakmp sa — (从配置模式)清除所有活动IKE连接。
clear crypto ipsec sa — (从配置模式)删除所有IPSec安全关联。
由于在步骤14中显示的“策略编辑器”窗口中为“长”设置了“跟踪”,因此,在日志查看器中,已拒绝的流量以红色显示。输入以下命令可获得更详细的调试:
C:\WINNT\FW1\4.1\fwstop C:\WINNT\FW1\4.1\fw d -d
并且在另一个窗口:
C:\WINNT\FW1\4.1\fwstart
注意:这是Microsoft Windows NT安装。
您可以使用以下命令清除检查点上的SA:
fw tab -t IKE_SA_table -x fw tab -t ISAKMP_ESP_table -x fw tab -t inbound_SPI -x fw tab -t ISAKMP_AH_table -x
在"你确定吗"回答是?提示。
本部分提供的信息可用于对配置进行故障排除。
当检查点的加密域中配置了多个相邻内部网络时,设备可以根据相关流量自动汇总这些网络。如果PIX上的加密ACL未配置为匹配,隧道可能会失败。例如,如果将内部网络10.0.0.0 /24和10.0.1.0 /24配置为包含在隧道中,则可将其总结为10.0.0.0 /23。
cisco_endpoint# show debug debug crypto ipsec 1 debug crypto isakmp 1 debug crypto engine debug fover status tx Off rx Off open Off cable Off txdmp Off rxdmp Off ifc Off rxip Off txip Off get Off put Off verify Off switch Off fail Off fmsg Off cisco_endpoint# term mon cisco_endpoint# ISAKMP (0): beginning Quick Mode exchange, M-ID of 2112882468:7df00724IPSEC(key_engine): got a queue event... IPSEC(spi_response): getting spi 0x9d71f29c(2641490588) for SA from 172.18.124.157 to 172.18.124.35 for prot 3 70 crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.35 OAK_QM exchange oakley_process_quick_mode: OAK_QM_IDLE ISAKMP (0): processing SA payload. message ID = 2112882468 ISAKMP : Checking IPSec proposal 1 ISAKMP: transform 1, ESP_DES ISAKMP: attributes in transform: ISAKMP: encaps is 1 ISAKMP: SA life type in seconds ISAKMP: SA life duration (basic) of 28800 ISAKMP: SA life type in kilobytes ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 ISAKMP: authenticator is HMAC-SHA ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) dest= 172.18.124.157, src= 172.18.124.35, dest_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4 ISAKMP (0): processing NONCE payload. message ID = 2112882468 ISAKMP (0): processing ID payload. message ID = 2112882468 ISAKMP (0): processing ID payload. message ID = 2112882468map_alloc_entry: allocating entry 3 map_alloc_entry: allocating entry 4 ISAKMP (0): Creating IPSec SAs inbound SA from 172.18.124.157 to 172.18.124.35 (proxy 10.32.50.0 to 192.168.1.0) has spi 2641490588 and conn_id 3 and flags 4 lifetime of 28800 seconds lifetime of 4608000 kilobytes outbound SA from 172.18.124.35 to 172.18.124.157 (proxy 192.168.1.0 to 10.32.50.0) has spi 3955804195 and conn_id 4 and flags 4 lifetime of 28800 seconds lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event... IPSEC(initialize_sas): , (key eng. msg.) dest= 172.18.124.35, src= 172.18.124.157, dest_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), src_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 28800s and 4608000kb, spi= 0x9d71f29c(2641490588), conn_id= 3, keysize= 0, flags= 0x4 IPSEC(initialize_sas): , (key eng. msg.) src= 172.18.124.35, dest= 172.18.124.157, src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 28800s and 4608000kb, spi= 0xebc8c823(3955804195), conn_id= 4, keysize= 0, flags= 0x4 return status is IKMP_NO_ERROR2303: sa_request, (key eng. msg.) src= 172.18.124.35, dest= 172.18.124.157, src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.32.50.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-sha-hmac , lifedur= 28800s and 4608000kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004 602301: sa created, (sa) sa_dest= 172.18.124.35, sa_prot= 50, sa_spi= 0x9d71f29c(2641490588), sa_trans= esp-des esp-sha-hmac , sa_conn_id= 3 602301: sa created, (sa) sa_dest= 172.18.124.157, sa_prot= 50, sa_spi= 0xebc8c823(3955804195), sa_trans= esp-des esp-sha-hmac , sa_conn_id= 4 cisco_endpoint# sho cry ips sa interface: outside Crypto map tag: rtpmap, local addr. 172.18.124.35 local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer: 172.18.124.157 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 172.18.124.35, remote crypto endpt.: 172.18.124.157 path mtu 1500, ipsec overhead 0, media mtu 1500 current outbound spi: 0 inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.32.50.0/255.255.255.0/0/0) current_peer: 172.18.124.157 PERMIT, flags={origin_is_acl,} #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 local crypto endpt.: 172.18.124.35, remote crypto endpt.: 172.18.124.157 path mtu 1500, ipsec overhead 56, media mtu 1500 current outbound spi: ebc8c823 inbound esp sas: spi: 0x9d71f29c(2641490588) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 3, crypto map: rtpmap sa timing: remaining key lifetime (k/sec): (4607999/28777) IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xebc8c823(3955804195) transform: esp-des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 4, crypto map: rtpmap sa timing: remaining key lifetime (k/sec): (4607999/28777) IV size: 8 bytes replay detection support: Y outbound ah sas: outbound pcp sas: cisco_endpoint# sho cry is sa dst src state pending created 172.18.124.157 172.18.124.35 QM_IDLE 0 2
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
26-Sep-2008 |
初始版本 |