思科 IOU IPSec网站网站VPN与RSA键

物理图仍然如以前一样。由于预先共享密钥IPSec已配置并正常工作。唯一需要做的是要更改身份验证方法和导入对等体的公钥。当然必须先生成自己的私钥和公众。此外,两个设备上的时间必须同步。

r1(config)#Crypto密钥生成RSA常规键 标签R1
键的名称将是:R1
为您的360到2048的范围选择键模数的大小
  通用键。选择大于512的关键模量可能会采取
  a few minutes.

模量中有多少位[512]:
%生成512位RSA键,键将是不可出口的... [确定]

r1(config)#
* 2月20日11:57:54.456:RSA密钥大小需要至少为SSH版本2的768位
r1(config)#
* 2月20日11:57:54.464:%SSH-5启用:SSH 1.5已启用

R1#显示加密密钥mypubkey rsa r1
%关键对在2012年2月20日19:57:54 CST
关键名称:R1
 存储设备:未指定
 用法:通用键
 密钥无法出口。
 Key Data:
  305C300D 06092A86 4886F70D 0101010100 00034B00 30480241 00A28FA5 DC744F51
  02B0954B 6ED06BBE 8C30AE2E 7CEBBB82 861E9590 DF27CBED 8C26404F 5A42E174
  749CEBC6 427AC823 DD5E1FC1 9C467B70 18128E87 C7567565 D5020301 0001

R1(CONFIG)#crypto键pubkey-Chain RSA 
R1(Config-Pubkey-Chain)#寻址密钥2.2.2.2加密 
R1(Config-Pubkey-Key)#键字符串 
输入公钥作为Heprifimal号码......
-Copy来自R2的整个公钥,可以通过上述步骤进行 R2
R1(Config-Pubkey)#$ 886f70d 01010105 00034b00 30480241 00a1d58d a10f0d3c    
r1(config-pubkey)#$ 858ef64 1386db4e fbd07bce 3a149b48 6676cd75 cd69331a    
R1(Config-Pubkey)#$ c8c10b60 876fa497 ccc86377 3c0faf0a 354fed28 73020301 0001
R1(Config-Pubkey)#
R1(Config-Pubkey)#辞职
r1(config-pubkey-key)#

R1#显示加密密钥Pubkey-Chain RSA地址2.2.2.2
关键地址:2.2.2.2          
 用法:加密密钥
 来源:手动输入
 Data:
  305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00A1D58D A10F0D3C
  17A843C9 A2654A88 7858EF64 1386DB4E FBD07BCE 3A149B48 6676CD75 CD69331A
  4BABA6976 C8C10B60 876FA497 CCC86377 3C0FAF0A 354FED28 73020301 0001

R1#sh crypto键mypubkey rsa 
%关键对在2012年2月20日19:57:54 CST
关键名称:R1
 存储设备:私有配置
 用法:通用键
 密钥无法出口。
 Key Data:
  305C300D 06092A86 4886F70D 0101010100 00034B00 30480241 00A28FA5 DC744F51
  02B0954B 6ED06BBE 8C30AE2E 7CEBBB82 861E9590 DF27CBED 8C26404F 5A42E174
  749CEBC6 427AC823 DD5E1FC1 9C467B70 18128E87 C7567565 D5020301 0001
%关键对是:2012年2月20日2月20日212:59
键名:R1.Server
临时钥匙
 用法:加密密钥
 密钥无法出口。
 Key Data:
  307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00CF0A3B C0AF2BE1
  40AF1DF0 9B600A1D A228CB74 E5D714BC D5561DC5 FB2936C9 0818F1D7 B650DAF8
  5B5BD010 3A4D5A4F D1B0C324 376FFD24 2567B79E 0BA019F5 1E664610 02AFF0FC
  848B99F2 2B2CEEC1 6086153D C6F2A83C 4442F6A8 49CB59DB AB020301 0001

- r2上的上部类似步骤生成r2自己的私钥和公钥,也导入R1的公钥。

疑难解答IPsec问题。
R1#调试加密IPSec
crypto ipsec调试正在开启
R1#调试加密isakmp
Crypto Isakmp调试已开启
R1#调试加密引擎
Crypto发动机调试正在开启
R1#清除加密会话

不幸的是,无论我如何尝试调整配置和调试数据包,我仍然有以下错误:

“%crypto-6-ikmp_crypt_failure:IKE(连接ID 0)无法解密(W / RSA私钥)数据包”

R1#ping 2.2.2.2源1.1.1.1

键入转义序列以中止。
发送5,100字节ICMP ECHOS到2.2.2.2,超时为2秒:
数据包发送的源地址为1.1.1.1

* 2月20日12:32:57.499:IPsec(Key_Engine):Request Timer触发:Count = 1,
  (Identity)Local = 12.1.1.1,remote = 12.1.1.2,
    local_proxy = 1.1.1.0/255.255.255.0 / 0/0(类型= 4),
    remote_proxy = 2.2.2.0/255.255.255.0/0/0(类型= 4)
* 2月20日12:32:57.499:选择加密引擎:CE_ENGINE [2]不接受功能
* 2月20日12:32:57.499:选择加密引擎:CE_ENGINE [2]不接受功能
* 2月20日12:32:57.499:IPsec(SA_Request):,
  (关键Eng。msg。)出站本地= 12.1.1.1,remote = 12.1.1.2,
    local_proxy = 1.1.1.0/255.255.255.0 / 0/0(类型= 4),
    remote_proxy = 2.2.2.0/255.255.255.0 / 0/0(类型= 4),
    协议= ESP,变换= ESP-DESP-SHA-HMAC(隧道),
    Lifedur = 3600s和4608000kb,
    SPI = 0x0(0),conn_id = 0,keysize = 0,标志= 0x0
* 2月20日:32:32:57.499:isakmp:(0):sa请求配置文件(null)
* 2月20日12:32:57.499:isakmp:为12.1.1.2,对等端口500创建了一个对等结构
* 2月20日:32:32:57.499:isakmp:新对等体创建的peer = 0xb5f85c90 peer_handle = 0x8000000b
* 2月20日:32:57.499:isakmp:锁定对等结构0xb5f85c90,for iSakmp_initiator的Refcount 1
* 2月20日12:32:57.499:isakmp:本地端口500,远程端口500
* 2月20日12:32:57.499:选择加密引擎:CE_ENGINE [2]不接受功能
* 2月20日12:32:57.499:isakmp:将新节点0设置为qm_idle    
* 2月20日12:32:57.499:isakmp:(0):插入SA成功SA = B563A678
* 2月20日12:32:57.499:isakmp:(0):无法启动攻击模式,尝试主模式。
* 2月20日12:32:57.499:isakmp:(0):发现对等前共享密钥匹配12.1.1.2
* 2月20日12:32:57.499:选择加密引擎:CE_ENGINE [2]不接受功能
* 2月20日:32:32:57.499:isakmp:(0):策略设置不正确。无法启动。
* 2月20日12:32:57.499:isakmp:(0):输入= ike_mesg_from_ipsec,ike_sa_req_mm
* 2月20日12:32:57.499:isakmp:(0):旧状态= ike_ready新态= ike_i_mm1

* 2月20日:32:32:57.499:isakmp:解锁对等结构0xb5f85c90 for isadb_unlock_peer_delete_sa(),count 0
* 2月20日:32:57.499:isakmp:通过peer_reap删除对等节点12.1.1.2:b5f85c90
* 2月20日:32:32:57.499:isakmp:(0):纯净SA。,SA = B563A678,Delme = B563A678
* 2月20日12:32:57.499:isakmp:(0):清洗节点172968404
* 2月20日12:32:57.499:isakmp:处理SA请求时出错:无法初始化SA
* 2月20日:32:32:57.499:isakmp:错误处理KMI消息0,错误2。
* 2月20日:32:32:57.499:IPsec(Key_Engine):获得了一个kmi消息的队列活动......
成功率为0%(0/5)

---------------------------

原因 :
基本上,它是错误的RSA键导致对等体的解密失败。再次审查所有步骤后,我发现我正在使用 显示Crypto密钥MyPubkey RSA标签R1 生成密钥。它看起来像路由器只接受完整域名生成的键。要修复问题,我们需要使用 Crypto密钥生成RSA 生成 r1.test.com. 钥匙。再次重新生成键后,一切看起来都很好。

R1#sh crypto键mypubkey rsa
%关键对在2012年2月20日19:57:54 CST
键名: R1
 存储设备:私有配置
 用法:通用键
 密钥无法出口。
 Key Data:
  305C300D 06092A86 4886F70D 0101010100 00034B00 30480241 00A28FA5 DC744F51
  02B0954B 6ED06BBE 8C30AE2E 7CEBBB82 861E9590 DF27CBED 8C26404F 5A42E174
  749CEBC6 427AC823 DD5E1FC1 9C467B70 18128E87 C7567565 D5020301 0001
%键对在:2012年2月20日21:13:01 CST
键名:R1.Server
临时钥匙
 用法:加密密钥
 密钥无法出口。
 Key Data:
  307c300d 06092a86 4886f70d 01010100036b00 30680261 00b81668 4937cac9
  8B996057 48180B77 B19C3177 119EE6A4 4B79D41C 8FCDF0EC 44F7415D 2E7BE8A4
  3FE8BC6A E554586F ECAE5EDA C45A1E26 8A57C64C C7296E4B 0A14582D 021D2CF1
  0A9C903C 1EFF9283 E9E2B28C 5C07F11E 42045F04 956B10FA A9020301 0001
%键对在:2012年2月20日21:14:05 CST
键名: r1.test.com.
 存储设备:未指定
 用法:通用键
 密钥无法出口。
 Key Data:
  305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00E1BF42 30D90C58 
  AA2E7978 44D0706E DDFA8A87 5C8C2C72 D33A5030 A5902E9B E156AD48 94E7364F 
  8D0E3880 78CEFFD4 5CB75C2C DFF6586C E5168D7C 57B495CF 99020301 0001

r2#显示加密isakmp sa
IPv4 Crypto Isakmp SA
DST SRC状态CNIN-ID状态
12.1.1.1 12.1.1.2 qm_idle 1001活动
-----------------------------------------

r1#sh运行
建筑配置......

当前配置:2445字节
!
版本12.4
服务时间戳调试DateTime Msec
服务时间戳日志DateTime Msec
没有服务密码加密
!
Hostname R1.
!
启动启动标记
启动端标记
!
!
没有AAA新型号
时钟TimeZone CST 8
MMI轮询间隔60
没有MMI自动配置
没有MMI PVC
MMI SNMP - 超时180
IP源路线
!
!
!      
!
IP CEF
IP域名test.com
没有IPv6流量接口统计
没有IPv6 CEF
!
MultiLink Bundle-name经过身份验证
!
!
!
!
!
!
!
!
!
冗余
!
!
Crypto Isakmp政策10
 身份验证RSA-CONR
!
!      
Crypto IPSec Transform-Set P2-Transform ESP-DESP-SHA-HMAC
!
Crypto Map P2-Transform 10 IPSec-Isakmp
 set peer 12.1.1.2
 设置变换集P2变换
 匹配地址ACL_VPN.
!
!
Crypto Key Pubkey-Chain RSA
 寻址 - 密钥12.1.1.2加密
  address 12.1.1.2
  key-string
   305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00EFFA4A B7F46348 
   6FDE6D35 C9FA3F48 75EC7F85 080AFB77 1306A1E1 81936A60 FE95A7AA 278516AB 
   87E7E70E AB957573 7B25508C 35DA3972 3CA6C5BB EB52C3BE F3020301 0001
  quit
!
!
IP SSH版本1
!
!
!
!      
接口环库0.
 IP地址1.1.1.1 255.255.255.0
!
接口Ethernet0 / 0
 no ip address
 shutdown
!
接口Ethernet0 / 1
 no ip address
 shutdown
!
接口Ethernet0 / 2
 no ip address
 shutdown
!
接口Ethernet0 / 3
 no ip address
 shutdown
!
接口Ethernet1 / 0
 no ip address
 shutdown
!      
接口Ethernet1 / 1
 no ip address
 shutdown
!
接口Ethernet1 / 2
 no ip address
 shutdown
!
接口Ethernet1 / 3
 IP地址12.1.1.1 255.255.255.0
 加密地图p2-transform
!
界面串行2/0
 no ip address
 shutdown
 串行重启 - 延迟0
!
接口Serial2 / 1
 no ip address
 shutdown
 串行重启 - 延迟0
!
接口Serial2 / 2
 no ip address
 shutdown
 串行重启 - 延迟0
!
接口Serial2 / 3
 no ip address
 shutdown
 串行重启 - 延迟0
!
接口Serial3 / 0
 no ip address
 shutdown
 串行重启 - 延迟0
!
接口Serial3 / 1
 no ip address
 shutdown
 串行重启 - 延迟0
!
接口Serial3 / 2
 no ip address
 shutdown
 串行重启 - 延迟0
!
接口Serial3 / 3
 no ip address
 shutdown
 串行重启 - 延迟0
!
IP前向协议ND
!
!
没有IP HTTP服务器
没有IP HTTP Secure-Server
IP路线2.2.2.0 255.255.255.0 12.1.1.2
!
IP访问列表扩展ACL_VPN
 允许IP 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
!
!
!
!
!
!
!
控制面
!
!
线0.
 logging synchronous
线AUX 0.
线VTY 0 4
 login
!
例外数据 - 损坏缓冲区截断
结尾

经过 Jon.

发表评论