信息安全备忘录

学习&共享InfoSec知识

虚拟专用网

具有外部可信PKI证书的Cisco IOS IPSec 虚拟专用网 – Verisign

通过约翰

2013年9月16日

拓扑结构:

从帖子中使用IOU Rack v3

我的Cisco IOU机架–从f​​lyxj IOUv3

看起来像下面的截图:

目标是使用第三方受信任的PKI证书– verisign来实现ipsec。本实验将使用verisign试用版 演示程序。

使R6和R7作为PC进行测试。逻辑拓扑如下所示:

1.删​​除所有现有配置,然后重新加载这四个路由器:

R2#删除nvram:startup-config
删除文件名[startup-config]?
删除nvram:startup-config吗? [确认]
[好]
R2#重新加载

2.使用预共享密钥组成VPN:

@R1
crypto isakmp策略10
 验证预共享
 group 2
加密isakmp密钥cisco1234地址10.9.200.47
!
加密ipsec转换集VPN1 ah-sha-hmac esp-3des esp-sha-hmac 
!
加密映射VPN-MAP 10 ipsec-isakmp 
 set peer 10.9.200.47
 设置转换集VPN1 
 匹配地址ACL-VPN
!
接口Ethernet0 / 0
 ip address 10.9.200.37255.255.255.0
 crypto map 虚拟专用网-MAP

ip路由0.0.0.0 0.0.0.0 10.9.200.37
ip访问列表扩展ACL-VPN
 允许IP 192.168.177.0 0.0.0.255 192.168.99.0 0.0.0.255

@R2:
crypto isakmp策略10
 验证预共享
 group 2
加密isakmp密钥cisco1234地址10.9.200.37
!
加密ipsec转换集VPN1 ah-sha-hmac esp-3des esp-sha-hmac 
!
加密映射VPN-MAP 10 ipsec-isakmp 
 set peer 10.9.200.37
 设置转换集VPN1 
 匹配地址ACL-VPN
!
接口Ethernet0 / 0
 ip address 10.9.200.47255.255.255.0
 crypto map 虚拟专用网-MAP
ip路由0.0.0.0 0.0.0.0 10.9.200.37
!
ip访问列表扩展ACL-VPN
 允许IP 192.168.99.0 0.0.0.255 192.168.177.0 0.0.0.255

通过ping测试结果 R6的R7的IP 192.168.99.1
R6#ping 192.168.99.1 
键入转义序列以中止。
向192.168.99.1发送5个100字节的ICMP Echo,超时为2秒:
。!!!!
成功率为80%(4/5),最小/平均/最大往返次数= 4/8/12毫秒

调试加密Isakmp输出@ R1:

R1(配置)#
* 3月11日02:14:55.159:ISAKMP:(0):SA请求配置文件为(NULL)
* 3月11日02:14:55.159:ISAKMP:为10.9.200.47(对等端口500)创建了对等结构
* 3月11日02:14:55.159:ISAKMP:创建的新对等方= 0xB6803C58 peer_handle = 0x80000002
* 3月11日02:14:55.159:ISAKMP:锁定对等结构体0xB6803C58,isakmp_initiator的引用计数1
* 3月11日02:14:55.159:ISAKMP:本地端口500,远程端口500
* 3月11日02:14:55.159:ISAKMP:将新节点0设置为QM_IDLE     
* 3月11日02:14:55.159:ISAKMP:(0):成功插入sa = B6803240
* 3月11日02:14:55.159:ISAKMP:(0):无法启动积极模式,尝试进入主模式。
* 3月11日02:14:55.159:ISAKMP:(0):找到与10.9.200.47匹配的对等预共享密钥
* 3月11日02:14:55.159:ISAKMP:(0):构造的NAT-T供应商-rfc3947 ID
* 3月11日02:14:55.159:ISAKMP:(0):构造的NAT-T供应商-07 ID
* 3月11日02:14:55.159:ISAKMP:(0):构造的NAT-T供应商-03 ID
* 3月11日02:14:55.159:ISAKMP:(0):构造的NAT-T供应商-02 ID
* 3月11日02:14:55.159:ISAKMP:(0):输入= IKE_MESG_FROM_IPSEC,IKE_SA_REQ_MM
* 3月11日02:14:55.159:ISAKMP:(0):旧状态= IKE_READY New State = IKE_I_MM1 

* 3月11日02:14:55.159:ISAKMP:(0):开始主模式交换
* 3月11日02:14:55.159:ISAKMP:(0):将数据包发送到10.9.200.47 my_port 500 peer_port 500(I)MM_NO_STATE
* 3月11日02:14:55.159:ISAKMP:(0):发送IKE IPv4数据包。
* 3月11日02:14:55.163:ISAKMP(0):从10.9.200.47 dport 500 sport 500 Global(I)收到的数据包MM_NO_STATE
* 3月11日02:14:55.163:ISAKMP:(0):输入= IKE_MESG_FROM_PEER,IKE_MM_EXCH
* 3月11日02:14:55.163:ISAKMP:(0):旧状态= IKE_I_MM1 New State = IKE_I_MM2 

* 3月11日02:14:55.183:ISAKMP:(0):处理SA有效负载。消息ID = 0
* 3月11日02:14:55.183:ISAKMP:(0):处理供应商ID有效负载
* 3月11日02:14:55.183:ISAKMP:(0):供应商ID似乎是Unity / DPD,但主要69不匹配
* 3月11日02:14:55.183:ISAKMP(0):供应商ID为NAT-T RFC 3947
* 3月11日02:14:55.183:ISAKMP:(0):找到与10.9.200.47匹配的对等预共享密钥
* 3月11日02:14:55.183:ISAKMP:(0):找到本地预共享密钥
* 3月11日02:14:55.183:ISAKMP:正在扫描配置文件中的xauth…
* 3月11日02:14:55.183:ISAKMP:(0):根据优先级10策略检查ISAKMP转换1
* 3月11日02:14:55.183:ISAKMP:     encryption DES-CBC
* 3月11日02:14:55.183:ISAKMP:     hash SHA
* 3月11日02:14:55.183:ISAKMP:     default 2组
* 3月11日02:14:55.183:ISAKMP:     auth pre-share
* 3月11日02:14:55.183:ISAKMP:     life type in seconds
* 3月11日02:14:55.183:ISAKMP:     的寿命(VPI)为 0x0 0x1 0x51 0x80 
* 3月11日02:14:55.183:可以接受ISAKMP:(0):atts。下一个有效载荷为0
* 3月11日02:14:55.183:ISAKMP:(0):可接受的攻击次数:实际寿命:0
* 3月11日02:14:55.183:ISAKMP:(0):可接受的攻击次数:寿命:0
* 3月11日02:14:55.183:ISAKMP:(0):以sa vpi_length:4填充
* 3月11日02:14:55.183:ISAKMP:(0):以秒为单位填充注数:86400
* 3月11日02:14:55.183:ISAKMP:(0):返回实际寿命:86400
* 3月11日02:14:55.183:ISAKMP:(0)::启动寿命计时器:86400。

* 3月11日02:14:55.183:ISAKMP:(0):处理供应商ID有效负载
* 3月11日02:14:55.183:ISAKMP:(0):供应商ID似乎是Unity / DPD,但主要69不匹配
* 3月11日02:14:55.183:ISAKMP(0):供应商ID为NAT-T RFC 3947
* 3月11日02:14:55.183:ISAKMP:(0):输入= IKE_MESG_INTERNAL,IKE_PROCESS_MAIN_MODE
* 3月11日02:14:55.183:ISAKMP:(0):旧状态= IKE_I_MM2 新状态= IKE_I_MM2 

* 3月11日02:14:55.183:ISAKMP:(0):将数据包发送到10.9.200.47 my_port 500 peer_port 500(I)MM_SA_SETUP
* 3月11日02:14:55.183:ISAKMP:(0):发送IKE IPv4数据包。
* 3月11日02:14:55.183:ISAKMP:(0):输入= IKE_MESG_INTERNAL,IKE_PROCESS_COMPLETE
* 3月11日02:14:55.183:ISAKMP:(0):旧状态= IKE_I_MM2 New State = IKE_I_MM3 

* 3月11日02:14:55.191:ISAKMP(0):从10.9.200.47 dport 500 sport 500 Global(I)收到的数据包MM_SA_SETUP
* 3月11日02:14:55.191:ISAKMP:(0):输入= IKE_MESG_FROM_PEER,IKE_MM_EXCH
* 3月11日02:14:55.191:ISAKMP:(0):旧状态= IKE_I_MM3 New State = IKE_I_MM4 

* 3月11日02:14:55.191:ISAKMP:(0):处理KE有效负载。消息ID = 0
* 3月11日02:14:55.195:ISAKMP:(0):处理NONCE有效负载。消息ID = 0
* 3月11日02:14:55.195:ISAKMP:(0):找到与10.9.200.47匹配的对等预共享密钥
* 3月11日02:14:55.195:ISAKMP:(1001):处理供应商ID有效负载
* 3月11日02:14:55.195:ISAKMP:(1001):供应商ID为Unity
* 3月11日02:14:55.195:ISAKMP:(1001):处理供应商ID有效负载
* 3月11日02:14:55.195:ISAKMP:(1001):供应商ID为DPD
* 3月11日02:14:55.195:ISAKMP:(1001):处理供应商ID有效负载
* 3月11日02:14:55.195:ISAKMP:(1001):与另一个IOS盒子通话!
* 3月11日02:14:55.195:ISAKMP:收到的有效载荷类型为20
* 3月11日02:14:55.195:ISAKMP(1001):他的哈希不匹配-该节点位于NAT之外
* 3月11日02:14:55.195:ISAKMP:收到的有效载荷类型为20
* 3月11日02:14:55.195:ISAKMP(1001):未为自身或对等方找到NAT
* 3月11日02:14:55.195:ISAKMP:(1001):输入= IKE_MESG_INTERNAL,IKE_PROCESS_MAIN_MODE
* 3月11日02:14:55.195:ISAKMP:(1001):旧状态= IKE_I_MM4 新状态= IKE_I_MM4 

* 3月11日02:14:55.199:ISAKMP:(1001):发送初始联系人
* 3月11日02:14:55.199:ISAKMP:(1001):SA正在使用ID类型ID_IPV4_ADDR执行预共享密钥身份验证
* 3月11日02:14:55.199:ISAKMP(1001):ID有效载荷 
        next-payload : 8
        type         : 1 
        address      : 10.9.200.37 
        protocol     : 17 
        port         : 500 
        length       : 12
* 3月11日02:14:55.199:ISAKMP:(1001):总有效载荷长度:12
* 3月11日02:14:55.199:ISAKMP:(1001):将数据包发送到10.9.200.47 my_port 500 peer_port 500(I)MM_KEY_EXCH
* 3月11日02:14:55.199:ISAKMP:(1001):发送IKE IPv4数据包。
* 3月11日02:14:55.199:ISAKMP:(1001):输入= IKE_MESG_INTERNAL,IKE_PROCESS_COMPLETE
* 3月11日02:14:55.199:ISAKMP:(1001):旧状态= IKE_I_MM4 New State = IKE_I_MM5 

* 3月11日02:14:55.199:ISAKMP(1001):从10.9.200.47 dport 500 sport 500 Global(I)收到的数据包MM_KEY_EXCH
* 3月11日02:14:55.199:ISAKMP:(1001):正在处理ID有效负载。消息ID = 0
* 3月11日02:14:55.199:ISAKMP(1001):ID有效载荷 
        next-payload : 8
        type         : 1 
        address      : 10.9.200.47 
        protocol     : 17 
        port         : 500 
        length       : 12
* 3月11日02:14:55.199:ISAKMP:(0)::对等项匹配*无*配置文件
* 3月11日02:14:55.199:ISAKMP:(1001):正在处理HASH有效负载。消息ID = 0
* 3月11日02:14:55.199:ISAKMP:(1001):SA身份验证状态:
        authenticated
* 3月11日02:14:55.199:ISAKMP:(1001):SA已通过10.9.200.47认证
* 3月11日02:14:55.199:ISAKMP:尝试插入对等10.9.200.37/10.9.200.47/500/, 并成功插入B6803C58。
* 3月11日02:14:55.199:ISAKMP:(1001):输入= IKE_MESG_FROM_PEER,IKE_MM_EXCH
* 3月11日02:14:55.199:ISAKMP:(1001):旧状态= IKE_I_MM5 New State = IKE_I_MM6 

* 3月11日02:14:55.199:ISAKMP:(1001):输入= IKE_MESG_INTERNAL,IKE_PROCESS_MAIN_MODE
* 3月11日02:14:55.199:ISAKMP:(1001):旧状态= IKE_I_MM6 新状态= IKE_I_MM6 

* 3月11日02:14:55.203:ISAKMP:(1001):输入= IKE_MESG_INTERNAL,IKE_PROCESS_COMPLETE
* 3月11日02:14:55.203:ISAKMP:(1001):旧状态= IKE_I_MM6 New State = IKE_P1_COMPLETE 

* 3月11日02:14:55.203:ISAKMP:(1001):开始快速模式交换,M-ID为1780039293
* 3月11日02:14:55.203:ISAKMP:(1001):QM发起方获取SPI
* 3月11日02:14:55.203:ISAKMP:(1001):将数据包发送到10.9.200.47 my_port 500 peer_port 500(I)QM_IDLE     
* 3月11日02:14:55.203:ISAKMP:(1001):发送IKE IPv4数据包。
* 3月11日02:14:55.203:ISAKMP:(1001):节点1780039293,输入= IKE_MESG_INTERNAL,IKE_INIT_QM
* 3月11日02:14:55.203:ISAKMP:(1001):旧状态= IKE_QM_READY 新状态= IKE_QM_I_QM1
* 3月11日02:14:55.203:ISAKMP:(1001):输入= IKE_MESG_INTERNAL,IKE_PHASE1_COMPLETE
* 3月11日02:14:55.203:ISAKMP:(1001):旧状态= IKE_P1_COMPLETE 新状态= IKE_P1_COMPLETE 

* 3月11日02:14:55.207:ISAKMP(1001):从10.9.200.47 dport 500 sport 500 Global(I)QM_IDLE接收到数据包     
* 3月11日02:14:55.207:ISAKMP:(1001):正在处理HASH有效负载。讯息编号= 1780039293
* 3月11日02:14:55.207:ISAKMP:(1001):处理SA有效负载。讯息编号= 1780039293
* 3月11日02:14:55.207:ISAKMP:(1001):Checking IPSec proposal 1
* 3月11日02:14:55.207:ISAKMP: transform 1, AH_SHA
* 3月11日02:14:55.207:ISAKMP:  转换中的属性:
* 3月11日02:14:55.207:ISAKMP:      encaps is 1 (Tunnel)
* 3月11日02:14:55.207:ISAKMP:      SA生活类型(以秒为单位)
* 3月11日02:14:55.207:ISAKMP:      SA寿命(基本)为3600
* 3月11日02:14:55.207:ISAKMP:      SA生活类型(以千字节为单位)
* 3月11日02:14:55.207:ISAKMP:      SA的持续时间(VPI)为 0x0 0x46 0x50 0x0 
* 3月11日02:14:55.207:ISAKMP:      验证者是HMAC-SHA
* 3月11日02:14:55.207:ISAKMP:(1001):atts are acceptable.
* 3月11日02:14:55.207:ISAKMP:(1001):Checking IPSec proposal 1
* 3月11日02:14:55.207:ISAKMP: transform 1, ESP_3DES
* 3月11日02:14:55.207:ISAKMP:  转换中的属性:
* 3月11日02:14:55.207:ISAKMP:      encaps is 1 (Tunnel)
* 3月11日02:14:55.207:ISAKMP:      SA生活类型(以秒为单位)
* 3月11日02:14:55.207:ISAKMP:      SA寿命(基本)为3600
* 3月11日02:14:55.207:ISAKMP:      SA生活类型(以千字节为单位)
* 3月11日02:14:55.207:ISAKMP:      SA的持续时间(VPI)为 0x0 0x46 0x50 0x0 
* 3月11日02:14:55.207:ISAKMP:      验证者是HMAC-SHA
* 3月11日02:14:55.207:ISAKMP:(1001):atts are acceptable.
* 3月11日02:14:55.207:ISAKMP:(1001):正在处理NONCE有效负载。讯息编号= 1780039293
* 3月11日02:14:55.207:ISAKMP:(1001):正在处理ID有效负载。讯息编号= 1780039293
* 3月11日02:14:55.207:ISAKMP:(1001):正在处理ID有效负载。讯息编号= 1780039293
* 3月11日02:14:55.207:ISAKMP:(1001): Creating IPSec SAs
* 3月11日02:14:55.207:       入站SA从10.9.200.47到10.9.200.37(f / i) 0/ 0
       (将192.168.99.0代理为192.168.177.0)
* 3月11日02:14:55.207:       具有spi 0xA14845AE和conn_id 0
* 3月11日02:14:55.207:       寿命3600秒
* 3月11日02:14:55.207:       使用寿命4608000千字节
* 3月11日02:14:55.207:       出站SA从10.9.200.37到10.9.200.47(f / i)0/0
       (将192.168.177.0代理为192.168.99.0)
* 3月11日02:14:55.207:        has spi  0x85C87ECF和conn_id 0
* 3月11日02:14:55.207:       寿命3600秒
* 3月11日02:14:55.207:       使用寿命4608000千字节
* 3月11日02:14:55.207:ISAKMP:(1001): Creating IPSec SAs
* 3月11日02:14:55.207:       入站SA从10.9.200.47到10.9.200.37(f / i) 0/ 0
       (将192.168.99.0代理为192.168.177.0)
* 3月11日02:14:55.207:       具有spi 0x87C3AC12和conn_id 0
* 3月11日02:14:55.207:       寿命3600秒
* 3月11日02:14:55.207:       使用寿命4608000千字节
* 3月11日02:14:55.207:       出站SA从10.9.200.37到10.9.200.47(f / i)0/0
       (将192.168.177.0代理为192.168.99.0)
* 3月11日02:14:55.207:        has spi  0xFD71F9A9和conn_id 0
* 3月11日02:14:55.207:       寿命3600秒
* 3月11日02:14:55.207:       使用寿命4608000千字节
* 3月11日02:14:55.207:ISAKMP:(1001):将数据包发送到10.9.200.47 my_port 500 peer_port 500(I)QM_IDLE     
* 3月11日02:14:55.207:ISAKMP:(1001):Sending an IKE IPv4 Packet.
* 3月11日02:14:55.207:ISAKMP:(1001):正在删除节点1780039293错误FALSE原因“无错误”
* 3月11日02:14:55.207:ISAKMP:(1001):节点1780039293,输入= IKE_MESG_FROM_PEER,IKE_QM_EXCH
R1(配置)#
* 3月11日02:14:55.207:ISAKMP:(1001):旧状态= IKE_QM_I_QM1 新状态= IKE_QM_PHASE2_COMPLETE

3.下一步是根据我之前的文章中的步骤从Verisign试用网站安装认证:

@ R1和@ R2

crypto isakmp策略5
 group 2

4.最后一步是进行测试:

清除加密sa

16th-Markham#show crypto isakmp sa 
IPv4加密ISAKMP SA
dst            src             state          conn-id status
10.9.200.37     10.9.200.47      QM_IDLE           9031 ACTIVE


16th-Markham#show crypto isakmp sa detail
代码:C – IKE配置模式,D –失效对等检测
       K – Keepalive,N –遍历NAT
       T – cTCP封装,X – IKE扩展身份验证
       psk –预共享密钥,rsig – RSA签名
       renc – RSA加密
IPv4加密ISAKMP SA

编号 Local           Remote          I-VRF  Status Encr Hash  Auth DH生命周期上限。

10.9.200.37     10.9.200.47             ACTIVE des  sha    rsig 2  23:56:03     
       Engine-id:Conn-id =  SW:31

5.注意事项:

一种。我们应该注意,ISAKMP第一阶段政策是全局定义的。这意味着,如果我们有五个不同的远程站点并配置了五个不同的ISAKMP第一阶段策略(每个远程路由器一个),则当我们的路由器尝试与每个站点协商VPN隧道时,它将发送所有五个策略并使用第一个匹配项被两端接受。

b。如果您的路由器没有Internet访问权限以获取CRL列表,则必须将以下命令放入信任点:
吊销检查无

C。调试命令

  • 显示加密会话
  • 清除加密sa
  • 显示加密的PKI证书

通过 约翰

相关文章

虚拟专用网

在Cisco路由器和Mac计算机上安装Mac OSX AnyConnect软件包

2019年3月1日 约翰
虚拟专用网

向公众公开您的本地服务:Ngrok,FRP,localtunnel

一月17,2019 约翰扬
虚拟专用网

CISCO ASA 虚拟专用网技巧和窍门

2018年8月25日 约翰扬

发表评论

你错过了

云flare防火墙配置示例

2020年12月6日 约翰
威胁搜寻

DarkTrace调查步骤

2020年12月3日 约翰
博客

使用Cloudflare和ShaerX在BackBlaze B2中创建自己的Cloud Photo存储站点

2020年12月2日 约翰
赛博方舟 安全

Cyber​​Ark EPM从V11.0升级到V11.5

2020年11月30日 Nishant Srivastava