close

Вход

Забыли?

вход по аккаунту

Организация Объединенных Наций;pdf

код для вставкиСкачать
FlexVPN между маршрутизатором и ASA с примером
конфигурации шифрования следующего поколения
Содержание
Введение
Предпосылки
Требования
Используемые компоненты
Соглашения
Динамично создайте сопоставления безопасности IPSec
Центр сертификации
Конфигурация
Шаги, Необходимые, чтобы Позволить Маршрутизатору использовать ECDSA
Центр сертификации
FlexVPN
ASA
Конфигурация
FlexVPN
ASA
Проверка связи
Соответствующая информация
Введение
Этот документ описывает, как формировать VPN между маршрутизатором с FlexVPN и Адаптивным прибором безопасности (ASA),
который поддерживает алгоритмы Шифрования следующего поколения (NGE) Cisco.
Примечание: внесенный Грэмом Бартлеттом, Cisco инженер TAC.
Предпосылки
Требования
Cisco рекомендует иметь знание этих тем:
FlexVPN
Интернет-ключ обменная версия 2 (IKEv2)
IPSec
ASA
Криптография следующего поколения
Используемые компоненты
Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:
Аппаратные средства: Поколение IOS 2 Маршрутизатора (G2), которые управляют лицензией безопасности.
Программное обеспечение: Cisco IOS® Software Release Version 15.2-3. T2. Любой выпуск M или T для выпусков позже, чем
Cisco IOS® Software Release Version 15.1.2T может использоваться, потому что это включено с введением Способа прилавка
Галуа (GCM).
Аппаратные средства: ASA, который поддерживает NGE.
Примечание: Только мультиосновные платформы поддерживают Продвинутый стандарт шифрования (AES) GCM.
Программное обеспечение: Выпуск 9.0 программного обеспечения ASA или позже который поддерживает NGE.
OpenSSL.
Для получения дополнительной информации обратитесь к Навигатору Особенности Cisco.
Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства,
используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы
понимаете потенциальное воздействие любой команды.
Соглашения
Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.
Динамично создайте сопоставления безопасности IPSec
Рекомендуемый интерфейс IPSec на IOS является Действительным туннельным интерфейсом (VTI), который создает интерфейс
универсальной герметизации направления (GRE), который защищен IPsec. Для VTI, Транспортный Отборщик (какое движение должно
быть защищено сопоставлениями безопасности (SA) IPSec), состоит из движения GRE от туннельного источника до туннельного места
назначения. Поскольку ASA не осуществляет интерфейсы GRE, но вместо этого создает SAs IPSec, основанный на движении,
определенном в списке контроля доступа (ACL), мы должны позволить метод, который позволяет маршрутизатору отвечать на
инициирование IKEv2 с зеркалом предложенных транспортных отборщиков. Использование Динамического действительного
туннельного интерфейса (DVTI) на маршрутизаторе FlexVPN позволяет этому устройству отвечать на Транспортного Отборщика,
которому предоставляют, с зеркалом Транспортного Отборщика, который был представлен.
Этот пример шифрует движение между обеими внутренними сетями. Когда ASA представляет транспортных отборщиков внутренней
сети ASA к внутренней сети IOS, 192.168.1.0/24 к 172.16.10.0/24, интерфейс DVTI отвечает зеркалом транспортных
отборщиков, которое является 172.16.10.0/24 к 192.168.1.0/24.
Центр сертификации
В настоящее время IOS и ASA не поддерживают местный сервер Центра сертификации (CA) со свидетельствами Овального алгоритма
цифровой подписи кривой (ECDSA), который требуется для Набора-B. Таким образом, сторонний Сервер CA должен быть
осуществлен. Например, используйте OpenSSL для действия как Приблизительно
Конфигурация
Сетевая топология
Этот гид основан на топологии, показанной в этой диаграмме. Необходимо исправить IP-адреса для удовлетворения.
Примечание: установка включает прямую связь маршрутизатора и ASA. Они могли быть отделены многими перелетами. Раз так
удостоверьтесь, что существует маршрут для получения до IP-адреса пэра. Следующая конфигурация только детализирует
используемое шифрование.
Шаги, Необходимые, чтобы Позволить Маршрутизатору использовать ECDSA
Центр сертификации
1. Создайте овальную кривую keypair.
openssl ecparam -out ca.key -name secp256r1 -genkey
2. Создайте самоподписанное свидетельство овальной кривой.
openssl req -x509 -new -key ca.key -out ca.pem -outform PEM -days 3650
FlexVPN
1. Создайте доменное имя и hostname, которые являются предпосылками для создания овальной кривой (EC) keypair.
ip domain-name cisco.com
hostname Router1
crypto key generate ec keysize 256 label router1.cisco.com
2. Создайте местный trustpoint для получения свидетельства от Приблизительно
crypto pki trustpoint ec_ca
enrollment terminal
subject-name cn=router1.cisco.com
revocation-check none
eckeypair router1.cisco.com
hash sha256
Примечание: Поскольку CA является офлайновым, проверка аннулирования отключена; проверка аннулирования должна быть
позволена для максимальной безопасности в производственной среде.
3. Подтвердите подлинность trustpoint. Это получает копию свидетельства CA, которое содержит открытый ключ.
crypto pki authenticate ec_ca
4. Вы тогда побуждены войти в основу 64 закодированных свидетельства о Приблизительно, Это - файл ca.pem, который был создан
с OpenSSL. Для просмотра этого файла откройте его в редакторе или с openssl x509 команды OpenSSL - в ca.pem. Войдите
оставленный при приклеивании этого. Тогда напечатайте да для принятия.
5. Зарегистрируйте маршрутизатор в Инфраструктуру открытых ключей (PKI) на Приблизительно
crypto pki enrol ec_ca
6. Продукция, что вы получаете потребности, которые будут использоваться, для подачи запроса свидетельства к Приблизительно
Это может быть сохранено как текстовый файл (flex.csr) и подписано с командой OpenSSL.
openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in flex.csr -out flex.pem
7. Импортируйте свидетельство, которое содержится в файле flex.pem, производится от CA в маршрутизатор после входа в эту
команду. Затем войдите оставленный, когда закончено.
crypto pki import ec_ca certificate
ASA
1. Создайте доменное имя и hostname, которые являются предпосылками для создания EC keypair.
domain-name cisco.com
hostname ASA1
crypto key generate ecdsa label asa1.cisco.com elliptic-curve 256
2. Создайте местный trustpoint для получения свидетельства из Приблизительно
crypto ca trustpoint ec_ca
enrollment terminal
subject-name cn=asa1.cisco.com
revocation-check none
keypair asa1.cisco.com
Примечание: Поскольку CA является офлайновым, проверка аннулирования отключена; проверка аннулирования должна быть
позволена для максимальной безопасности в производственной среде.
3. Подтвердите подлинность trustpoint. Это получает копию свидетельства CA, которое содержит открытый ключ.
crypto ca authenticate ec_ca
4. Вы тогда побуждены войти в основу 64 закодированных свидетельства о Приблизительно, Это - файл ca.pem, который был создан
с OpenSSL. Для просмотра этого файла откройте его в редакторе или с openssl x509 команды OpenSSL - в ca.pem. Войдите
оставленный, когда вы приклеите этот файл, и затем напечатаете да для принятия.
5. Зарегистрируйте ASA в PKI на Приблизительно
crypto ca enrol ec_ca
6. Продукция, которую вы получаете, должна использоваться для подачи запроса свидетельства к Приблизительно, Это может быть
сохранено как текстовый файл (asa.csr) и затем подписано с командой OpenSSL.
openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in asa.csr -out asa.pem
7. Импортируйте свидетельство, которое содержится в файле как a.pem, производится от CA в маршрутизатор после того, как
введена эта команда. Тогда войдите оставленный, когда закончено.
crypto ca import ec_ca certificate
Конфигурация
FlexVPN
Создайте карту свидетельства для соответствия свидетельству об устройстве пэра.
crypto pki certificate map certmap 10
subject-name co cisco.com
Войдите в эти команды для Предложения IKEv2 по конфигурации Набора-B:
Примечание: Для максимальной безопасности формируйте с aes-cbc-256 с командой мешанины sha512.
crypto ikev2 proposal default
encryption aes-cbc-128
integrity sha256
group 19
Соответствуйте профилю IKEv2 к карте свидетельства и используйте ECDSA с trustpoint, ранее определенным.
crypto ikev2 profile default
match certificate certmap
identity local dn
authentication remote ecdsa-sig
authentication local ecdsa-sig
pki trustpoint ec_ca
virtual-template 1
Формируйте IPSec, преобразовывают набор для использования Способа прилавка Галуа (GCM).
crypto ipsec transform-set ESP_GCM esp-gcm
mode transport
Формируйте профиль IPSec с параметрами, ранее формируемыми.
crypto ipsec profile default
set transform-set ESP_GCM
set pfs group19
set ikev2-profile default
Формируйте туннельный интерфейс:
interface Virtual-Template1 type tunnel
ip unnumbered GigabitEthernet0/0
tunnel source GigabitEthernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile default
Вот интерфейсная конфигурация:
interface GigabitEthernet0/0
ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/1
ip address 172.16.10.1 255.255.255.0
ASA
Используйте эту интерфейсную конфигурацию:
interface GigabitEthernet3/0
nameif outside
security-level 0
ip address 10.10.10.2 255.255.255.0
interface GigabitEthernet3/1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
Войдите в эту команду списка доступа для определения движения, которое будет зашифровано:
access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0 255.255.255.0
Войдите в эту команду предложения IPSec с NGE:
crypto ipsec ikev2 ipsec-proposal prop1
protocol esp encryption aes-gcm
protocol esp integrity null
Команды карты криптографии:
crypto
crypto
crypto
crypto
crypto
map
map
map
map
map
mymap
mymap
mymap
mymap
mymap
10 match address 100
10 set peer 10.10.10.1
10 set ikev2 ipsec-proposal prop1
10 set trustpoint ec_ca
interface outside
Эта команда формирует политику IKEv2 с NGE:
crypto ikev2 policy 10
encryption aes
integrity sha256
group 19
prf sha256
lifetime seconds 86400
crypto ikev2 enable outside
Туннельная группа формировала для команд пэра:
tunnel-group 10.10.10.1 type ipsec-l2l
tunnel-group 10.10.10.1 ipsec-attributes
peer-id-validate cert
ikev2 remote-authentication certificate
ikev2 local-authentication certificate ec_ca
Проверка связи
Проверьте, что были успешно произведены ключи ECDSA.
Router1#show crypto key mypubkey ec router1.cisco.com
% Key pair was generated at: 21:28:26 UTC Feb 19 2013
Key name: router1.cisco.com
Key type: EC KEYS
Storage Device: private-config
Usage: Signature Key
Key is not exportable.
Key Data:
<...omitted...>
ASA-1(config)#show crypto key mypubkey ecdsa
Key pair was generated at: 21:11:24 UTC Feb 19 2013
Key name: asa1.cisco.com
Usage: General Purpose Key
EC Size (bits): 256
Key Data&colon;
<...omitted...>
Проверьте, что свидетельство было успешно импортировано и что используется ECDSA.
Router1#show crypto pki certificates verbose
Certificate
Status: Available
Version: 3
Certificate Serial Number (hex): 0137
Certificate Usage: General Purpose
Issuer:
<...omitted...>
Subject Key Info:
Public Key Algorithm: rsaEncryption
EC Public Key: (256 bit)
Signature Algorithm: SHA256 with ECDSA
ASA-1(config)#show crypto ca certificates
CA Certificate
Status: Available
Certificate Serial Number: 00a293f1fe4bd49189
Certificate Usage: General Purpose
Public Key Type: ECDSA (256 bits)
Signature Algorithm: SHA256 with ECDSA Encryption
<...omitted...>
Проверьте, что IKEv2 SA успешно созданы и используют формируемые алгоритмы NGE.
Router1#show crypto ikev2 sa
IPv4 Crypto IKEv2 SA
detailed
Tunnel-id Local
Remote
fvrf/ivrf
Status
1
10.10.10.1/500
10.10.10.2/500
none/none
READY
Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
Auth verify: ECDSA
Life/Active Time: 86400/94 sec
ASA-1#show crypto ikev2 sa detail
IKEv2 SAs:
Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id
Local
Remote
Status
Role
268364957
10.10.10.2/500
10.10.10.1/500
READY
INITIATOR
Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA,
Auth verify: ECDSA
<...omitted...>
Child sa: local selector 192.168.1.0/0 - 192.168.1.255/65535
remote selector 172.16.10.0/0 - 172.16.10.255/65535
ESP spi in/out: 0xe847d8/0x12bce4d
AH spi in/out: 0x0/0x0
CPI in/out: 0x0/0x0
Encr: AES-GCM, keysize: 128, esp_hmac: N/A
ah_hmac: None, comp: IPCOMP_NONE, mode tunnel
Проверьте, что IPSec SA успешно создана и использует формируемые алгоритмы NGE.
Примечание: FlexVPN может закончить связи IPSec от клиентов не-IOS, которые поддерживают и IKEv2 и протоколы IPSec.
Router1#show crypto ipsec sa
interface: Virtual-Access1
Crypto map tag: Virtual-Access1-head-0, local addr 10.10.10.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
current_peer 10.10.10.2 port 500
PERMIT, flags={origin_is_acl,}
<...omitted...>
inbound esp sas:
spi: 0x12BCE4D(19648077)
transform: esp-gcm ,
in use settings ={Tunnel, }
ASA-1#show crypto ipsec sa detail
interface: outside
Crypto map tag: mymap, seq num: 10, local addr: 10.10.10.2
access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0
255.255.255.0
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0)
current_peer: 10.10.10.1
<...omitted...>
inbound esp sas:
spi: 0x00E847D8 (15222744)
transform: esp-aes-gcm esp-null-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
Для получения дополнительной информации о внедрении Cisco Набора-B обратитесь к Белой книге Шифрования Следующего
поколения.
Обратитесь к странице Решения для шифрования Следующего поколения для узнавания больше о внедрении Cisco Шифрования
Следующего поколения.
Соответствующая информация
Технические примечания по поиску и устранению неисправностей
© 1992-2014 Cisco Systems, Inc. Все права защищены.
Дата генерации PDF файла: 25 декабря 2014
http://www.cisco.com/cisco/web/support/RU/111/1118/1118473_116008-flexvpn-nge-config-00.html
1/--страниц
Пожаловаться на содержимое документа