FlexVPN между маршрутизатором и ASA с примером конфигурации шифрования следующего поколения Содержание Введение Предпосылки Требования Используемые компоненты Соглашения Динамично создайте сопоставления безопасности IPSec Центр сертификации Конфигурация Шаги, Необходимые, чтобы Позволить Маршрутизатору использовать ECDSA Центр сертификации FlexVPN ASA Конфигурация FlexVPN ASA Проверка связи Соответствующая информация Введение Этот документ описывает, как формировать VPN между маршрутизатором с FlexVPN и Адаптивным прибором безопасности (ASA), который поддерживает алгоритмы Шифрования следующего поколения (NGE) Cisco. Примечание: внесенный Грэмом Бартлеттом, Cisco инженер TAC. Предпосылки Требования Cisco рекомендует иметь знание этих тем: FlexVPN Интернет-ключ обменная версия 2 (IKEv2) IPSec ASA Криптография следующего поколения Используемые компоненты Информация в этом документе основана на этих версиях программного и аппаратного обеспечения: Аппаратные средства: Поколение IOS 2 Маршрутизатора (G2), которые управляют лицензией безопасности. Программное обеспечение: Cisco IOS® Software Release Version 15.2-3. T2. Любой выпуск M или T для выпусков позже, чем Cisco IOS® Software Release Version 15.1.2T может использоваться, потому что это включено с введением Способа прилавка Галуа (GCM). Аппаратные средства: ASA, который поддерживает NGE. Примечание: Только мультиосновные платформы поддерживают Продвинутый стандарт шифрования (AES) GCM. Программное обеспечение: Выпуск 9.0 программного обеспечения ASA или позже который поддерживает NGE. OpenSSL. Для получения дополнительной информации обратитесь к Навигатору Особенности Cisco. Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды. Соглашения Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа. Динамично создайте сопоставления безопасности IPSec Рекомендуемый интерфейс IPSec на IOS является Действительным туннельным интерфейсом (VTI), который создает интерфейс универсальной герметизации направления (GRE), который защищен IPsec. Для VTI, Транспортный Отборщик (какое движение должно быть защищено сопоставлениями безопасности (SA) IPSec), состоит из движения GRE от туннельного источника до туннельного места назначения. Поскольку ASA не осуществляет интерфейсы GRE, но вместо этого создает SAs IPSec, основанный на движении, определенном в списке контроля доступа (ACL), мы должны позволить метод, который позволяет маршрутизатору отвечать на инициирование IKEv2 с зеркалом предложенных транспортных отборщиков. Использование Динамического действительного туннельного интерфейса (DVTI) на маршрутизаторе FlexVPN позволяет этому устройству отвечать на Транспортного Отборщика, которому предоставляют, с зеркалом Транспортного Отборщика, который был представлен. Этот пример шифрует движение между обеими внутренними сетями. Когда ASA представляет транспортных отборщиков внутренней сети ASA к внутренней сети IOS, 192.168.1.0/24 к 172.16.10.0/24, интерфейс DVTI отвечает зеркалом транспортных отборщиков, которое является 172.16.10.0/24 к 192.168.1.0/24. Центр сертификации В настоящее время IOS и ASA не поддерживают местный сервер Центра сертификации (CA) со свидетельствами Овального алгоритма цифровой подписи кривой (ECDSA), который требуется для Набора-B. Таким образом, сторонний Сервер CA должен быть осуществлен. Например, используйте OpenSSL для действия как Приблизительно Конфигурация Сетевая топология Этот гид основан на топологии, показанной в этой диаграмме. Необходимо исправить IP-адреса для удовлетворения. Примечание: установка включает прямую связь маршрутизатора и ASA. Они могли быть отделены многими перелетами. Раз так удостоверьтесь, что существует маршрут для получения до IP-адреса пэра. Следующая конфигурация только детализирует используемое шифрование. Шаги, Необходимые, чтобы Позволить Маршрутизатору использовать ECDSA Центр сертификации 1. Создайте овальную кривую keypair. openssl ecparam -out ca.key -name secp256r1 -genkey 2. Создайте самоподписанное свидетельство овальной кривой. openssl req -x509 -new -key ca.key -out ca.pem -outform PEM -days 3650 FlexVPN 1. Создайте доменное имя и hostname, которые являются предпосылками для создания овальной кривой (EC) keypair. ip domain-name cisco.com hostname Router1 crypto key generate ec keysize 256 label router1.cisco.com 2. Создайте местный trustpoint для получения свидетельства от Приблизительно crypto pki trustpoint ec_ca enrollment terminal subject-name cn=router1.cisco.com revocation-check none eckeypair router1.cisco.com hash sha256 Примечание: Поскольку CA является офлайновым, проверка аннулирования отключена; проверка аннулирования должна быть позволена для максимальной безопасности в производственной среде. 3. Подтвердите подлинность trustpoint. Это получает копию свидетельства CA, которое содержит открытый ключ. crypto pki authenticate ec_ca 4. Вы тогда побуждены войти в основу 64 закодированных свидетельства о Приблизительно, Это - файл ca.pem, который был создан с OpenSSL. Для просмотра этого файла откройте его в редакторе или с openssl x509 команды OpenSSL - в ca.pem. Войдите оставленный при приклеивании этого. Тогда напечатайте да для принятия. 5. Зарегистрируйте маршрутизатор в Инфраструктуру открытых ключей (PKI) на Приблизительно crypto pki enrol ec_ca 6. Продукция, что вы получаете потребности, которые будут использоваться, для подачи запроса свидетельства к Приблизительно Это может быть сохранено как текстовый файл (flex.csr) и подписано с командой OpenSSL. openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in flex.csr -out flex.pem 7. Импортируйте свидетельство, которое содержится в файле flex.pem, производится от CA в маршрутизатор после входа в эту команду. Затем войдите оставленный, когда закончено. crypto pki import ec_ca certificate ASA 1. Создайте доменное имя и hostname, которые являются предпосылками для создания EC keypair. domain-name cisco.com hostname ASA1 crypto key generate ecdsa label asa1.cisco.com elliptic-curve 256 2. Создайте местный trustpoint для получения свидетельства из Приблизительно crypto ca trustpoint ec_ca enrollment terminal subject-name cn=asa1.cisco.com revocation-check none keypair asa1.cisco.com Примечание: Поскольку CA является офлайновым, проверка аннулирования отключена; проверка аннулирования должна быть позволена для максимальной безопасности в производственной среде. 3. Подтвердите подлинность trustpoint. Это получает копию свидетельства CA, которое содержит открытый ключ. crypto ca authenticate ec_ca 4. Вы тогда побуждены войти в основу 64 закодированных свидетельства о Приблизительно, Это - файл ca.pem, который был создан с OpenSSL. Для просмотра этого файла откройте его в редакторе или с openssl x509 команды OpenSSL - в ca.pem. Войдите оставленный, когда вы приклеите этот файл, и затем напечатаете да для принятия. 5. Зарегистрируйте ASA в PKI на Приблизительно crypto ca enrol ec_ca 6. Продукция, которую вы получаете, должна использоваться для подачи запроса свидетельства к Приблизительно, Это может быть сохранено как текстовый файл (asa.csr) и затем подписано с командой OpenSSL. openssl ca -keyfile ca.key -cert ca.pem -md sha256 -in asa.csr -out asa.pem 7. Импортируйте свидетельство, которое содержится в файле как a.pem, производится от CA в маршрутизатор после того, как введена эта команда. Тогда войдите оставленный, когда закончено. crypto ca import ec_ca certificate Конфигурация FlexVPN Создайте карту свидетельства для соответствия свидетельству об устройстве пэра. crypto pki certificate map certmap 10 subject-name co cisco.com Войдите в эти команды для Предложения IKEv2 по конфигурации Набора-B: Примечание: Для максимальной безопасности формируйте с aes-cbc-256 с командой мешанины sha512. crypto ikev2 proposal default encryption aes-cbc-128 integrity sha256 group 19 Соответствуйте профилю IKEv2 к карте свидетельства и используйте ECDSA с trustpoint, ранее определенным. crypto ikev2 profile default match certificate certmap identity local dn authentication remote ecdsa-sig authentication local ecdsa-sig pki trustpoint ec_ca virtual-template 1 Формируйте IPSec, преобразовывают набор для использования Способа прилавка Галуа (GCM). crypto ipsec transform-set ESP_GCM esp-gcm mode transport Формируйте профиль IPSec с параметрами, ранее формируемыми. crypto ipsec profile default set transform-set ESP_GCM set pfs group19 set ikev2-profile default Формируйте туннельный интерфейс: interface Virtual-Template1 type tunnel ip unnumbered GigabitEthernet0/0 tunnel source GigabitEthernet0/0 tunnel mode ipsec ipv4 tunnel protection ipsec profile default Вот интерфейсная конфигурация: interface GigabitEthernet0/0 ip address 10.10.10.1 255.255.255.0 interface GigabitEthernet0/1 ip address 172.16.10.1 255.255.255.0 ASA Используйте эту интерфейсную конфигурацию: interface GigabitEthernet3/0 nameif outside security-level 0 ip address 10.10.10.2 255.255.255.0 interface GigabitEthernet3/1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 Войдите в эту команду списка доступа для определения движения, которое будет зашифровано: access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0 255.255.255.0 Войдите в эту команду предложения IPSec с NGE: crypto ipsec ikev2 ipsec-proposal prop1 protocol esp encryption aes-gcm protocol esp integrity null Команды карты криптографии: crypto crypto crypto crypto crypto map map map map map mymap mymap mymap mymap mymap 10 match address 100 10 set peer 10.10.10.1 10 set ikev2 ipsec-proposal prop1 10 set trustpoint ec_ca interface outside Эта команда формирует политику IKEv2 с NGE: crypto ikev2 policy 10 encryption aes integrity sha256 group 19 prf sha256 lifetime seconds 86400 crypto ikev2 enable outside Туннельная группа формировала для команд пэра: tunnel-group 10.10.10.1 type ipsec-l2l tunnel-group 10.10.10.1 ipsec-attributes peer-id-validate cert ikev2 remote-authentication certificate ikev2 local-authentication certificate ec_ca Проверка связи Проверьте, что были успешно произведены ключи ECDSA. Router1#show crypto key mypubkey ec router1.cisco.com % Key pair was generated at: 21:28:26 UTC Feb 19 2013 Key name: router1.cisco.com Key type: EC KEYS Storage Device: private-config Usage: Signature Key Key is not exportable. Key Data&colon; <...omitted...> ASA-1(config)#show crypto key mypubkey ecdsa Key pair was generated at: 21:11:24 UTC Feb 19 2013 Key name: asa1.cisco.com Usage: General Purpose Key EC Size (bits): 256 Key Data&colon; <...omitted...> Проверьте, что свидетельство было успешно импортировано и что используется ECDSA. Router1#show crypto pki certificates verbose Certificate Status: Available Version: 3 Certificate Serial Number (hex): 0137 Certificate Usage: General Purpose Issuer: <...omitted...> Subject Key Info: Public Key Algorithm: rsaEncryption EC Public Key: (256 bit) Signature Algorithm: SHA256 with ECDSA ASA-1(config)#show crypto ca certificates CA Certificate Status: Available Certificate Serial Number: 00a293f1fe4bd49189 Certificate Usage: General Purpose Public Key Type: ECDSA (256 bits) Signature Algorithm: SHA256 with ECDSA Encryption <...omitted...> Проверьте, что IKEv2 SA успешно созданы и используют формируемые алгоритмы NGE. Router1#show crypto ikev2 sa IPv4 Crypto IKEv2 SA detailed Tunnel-id Local Remote fvrf/ivrf Status 1 10.10.10.1/500 10.10.10.2/500 none/none READY Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA, Auth verify: ECDSA Life/Active Time: 86400/94 sec ASA-1#show crypto ikev2 sa detail IKEv2 SAs: Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1 Tunnel-id Local Remote Status Role 268364957 10.10.10.2/500 10.10.10.1/500 READY INITIATOR Encr: AES-CBC, keysize: 128, Hash: SHA384, DH Grp:19, Auth sign: ECDSA, Auth verify: ECDSA <...omitted...> Child sa: local selector 192.168.1.0/0 - 192.168.1.255/65535 remote selector 172.16.10.0/0 - 172.16.10.255/65535 ESP spi in/out: 0xe847d8/0x12bce4d AH spi in/out: 0x0/0x0 CPI in/out: 0x0/0x0 Encr: AES-GCM, keysize: 128, esp_hmac: N/A ah_hmac: None, comp: IPCOMP_NONE, mode tunnel Проверьте, что IPSec SA успешно создана и использует формируемые алгоритмы NGE. Примечание: FlexVPN может закончить связи IPSec от клиентов не-IOS, которые поддерживают и IKEv2 и протоколы IPSec. Router1#show crypto ipsec sa interface: Virtual-Access1 Crypto map tag: Virtual-Access1-head-0, local addr 10.10.10.1 protected vrf: (none) local ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer 10.10.10.2 port 500 PERMIT, flags={origin_is_acl,} <...omitted...> inbound esp sas: spi: 0x12BCE4D(19648077) transform: esp-gcm , in use settings ={Tunnel, } ASA-1#show crypto ipsec sa detail interface: outside Crypto map tag: mymap, seq num: 10, local addr: 10.10.10.2 access-list 100 extended permit ip 192.168.1.0 255.255.255.0 172.16.10.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.10.0/255.255.255.0/0/0) current_peer: 10.10.10.1 <...omitted...> inbound esp sas: spi: 0x00E847D8 (15222744) transform: esp-aes-gcm esp-null-hmac no compression in use settings ={L2L, Tunnel, IKEv2, } Для получения дополнительной информации о внедрении Cisco Набора-B обратитесь к Белой книге Шифрования Следующего поколения. Обратитесь к странице Решения для шифрования Следующего поколения для узнавания больше о внедрении Cisco Шифрования Следующего поколения. Соответствующая информация Технические примечания по поиску и устранению неисправностей © 1992-2014 Cisco Systems, Inc. Все права защищены. Дата генерации PDF файла: 25 декабря 2014 http://www.cisco.com/cisco/web/support/RU/111/1118/1118473_116008-flexvpn-nge-config-00.html