Как включить ipsec на маршрутизаторе

Обновлено: 21.11.2024

Туннели VPN IPSec Site-to-Site используются для обеспечения безопасной передачи данных, голоса и видео между двумя сайтами (например, офисами или филиалами). Туннель VPN создается через общедоступную сеть Интернет и шифруется с использованием ряда передовых алгоритмов шифрования для обеспечения конфиденциальности данных, передаваемых между двумя сайтами.

В этой статье показано, как установить и настроить два маршрутизатора Cisco для создания постоянного защищенного VPN-туннеля между сайтами через Интернет с использованием протокола IP Security (IPSec). В этой статье мы предполагаем, что оба маршрутизатора Cisco имеют статический общедоступный IP-адрес. Читатели, заинтересованные в настройке поддержки конечных точек с динамическими общедоступными IP-адресами, могут обратиться к нашей статье «Настройка Site-to-Site IPSec VPN с динамическими IP-конечными точками маршрутизаторов Cisco».

Туннели IPSec VPN также можно настроить с помощью туннелей GRE (общая инкапсуляция маршрутизации) с IPsec. Туннели GRE значительно упрощают настройку и администрирование туннелей VPN и описаны в нашей статье «Настройка туннелей GRE VPN типа «точка-точка». Наконец, DMVPN — новый тренд в области VPN, обеспечивающий большую гибкость и почти полное отсутствие накладных расходов на администрирование, также можно изучить, прочитав наши статьи «Понимание Cisco Dynamic Multipoint VPN (DMVPN), моделей и архитектур развертывания Dynamic Multipoint VPN (DMVPN)» и «Настройка Cisco Dynamic Multipoint VPN» ( DMVPN) — Hub, Spokes , mGRE Protection and Routing — статьи о конфигурации DMVPN.

ISAKMP (Internet Security Association and Key Management Protocol) и IPSec необходимы для построения и шифрования VPN-туннеля. ISAKMP, также называемый IKE (Internet Key Exchange), представляет собой протокол согласования, который позволяет двум узлам договориться о том, как создать ассоциацию безопасности IPsec. Согласование ISAKMP состоит из двух этапов: этапа 1 и этапа 2.

На этапе 1 создается первый туннель, который защищает последующие сообщения согласования ISAKMP. На этапе 2 создается туннель, защищающий данные. Затем в игру вступает IPSec для шифрования данных с использованием алгоритмов шифрования и предоставления услуг аутентификации, шифрования и защиты от повторного использования.

Требования к IPSec VPN

Чтобы упростить выполнение этого упражнения, мы разделили его на два этапа, которые необходимы для работы VPN-туннеля Site-to-Site IPSec.

(1) Настройка ISAKMP (ISAKMP, фаза 1)

(2) Настройка IPSec (ISAKMP Phase 2, ACL, Crypto MAP)

Наш пример настройки находится между двумя филиалами небольшой компании, это сайт 1 и сайт 2. Оба маршрутизатора филиала подключены к Интернету и имеют статический IP-адрес, назначенный их интернет-провайдером, как показано на схеме:

На сайте 1 настроена внутренняя сеть 10.10.10.0/24, а на сайте 2 настроена сеть 20.20.20.0/24. Цель состоит в том, чтобы безопасно соединить обе сети LAN и обеспечить полную связь между ними без каких-либо ограничений.

Настройка ISAKMP (IKE) — (ISAKMP, этап 1)

IKE существует только для установления SA (Security Association) для IPsec. Прежде чем это сделать, IKE должен согласовать отношения SA (ISAKMP SA) с узлом.

Чтобы настроить туннель IPsec VPN на маршрутизаторах TP-Link, вам необходимо выполнить следующие шаги:

  1. Соединение устройств вместе
  2. Проверьте настройки, необходимые для IPsec VPN на маршрутизаторе.
  3. Настройка параметров IPsec VPN на TL-ER6120 (маршрутизатор A)
  4. Настройка параметров IPsec VPN на TL-R600VPN (маршрутизатор B)
  5. Проверка IPsec SA

ПРИМЕЧАНИЕ. В этом примере мы используем TL-ER6120 и TL-R600VPN. Способ настройки IPsec VPN на TL-WR842ND такой же, как и на TL-R600VPN

Перед настройкой VPN-туннеля необходимо убедиться, что два маршрутизатора подключены к Интернету. Убедившись, что на каждом маршрутизаторе есть активное подключение к Интернету, вам необходимо проверить настройки VPN двух маршрутизаторов. Следуйте приведенным ниже инструкциям.

В разделе «Предложение IKE» введите любое имя предложения, выберите «Аутентификация», «Шифрование» и «Группа DH». В этом примере мы используем MD5, 3DES, DH2.

Шаг 3. Нажмите «Политика IKE», введите любое имя политики, выберите «Режим обмена», в этом примере мы используем «Основной», выберите «IP-адрес» в качестве типа идентификатора.

Шаг 4. В IKE Proposal 1 в этом примере используется test1.Введите общий ключ и желаемое время жизни SA, DPD отключен.

Шаг 6. Нажмите IPsec в меню слева, затем выберите IPsec Proposal. Выберите протокол безопасности, аутентификацию ESP и шифрование ESP, которые вы хотите включить в туннеле VPN. Например, здесь мы используем ESP, MD5 и 3DES.

Шаг 8. Щелкните Политику IPsec, введите имя политики по своему усмотрению, режим должен быть LAN-to-LAN. Введите локальную подсеть и удаленную подсеть.

Шаг 9. Выберите используемую сеть WAN и введите Remote Gateway. В этом примере удаленным шлюзом является IP-адрес маршрутизатора B в глобальной сети 218.18.1.208.

Шаг 3. Алгоритм аутентификации и алгоритм шифрования аналогичны маршрутизатору A, в этом примере мы используем MD5 и 3DES.

Шаг 9. Введите локальную подсеть и удаленную подсеть, а затем введите удаленный шлюз, это IP-адрес маршрутизатора А в глобальной сети, 218.18.0.233.

Шаг 11. Алгоритм аутентификации и алгоритм шифрования аналогичны маршрутизатору A, в этом примере мы используем MD5 и 3DES.

Чтобы узнать больше о каждой функции и конфигурации, перейдите в Центр загрузок, чтобы загрузить руководство по вашему продукту.

Это часто задаваемые вопросы полезны?

Ваши отзывы помогают улучшить этот сайт.

Что вас беспокоит в этой статье?

  • Недовольны продуктом
  • Слишком сложно
  • Сбивающий с толку заголовок
  • Ко мне не относится
  • Слишком расплывчато
  • Другое

Мы хотели бы получить ваши отзывы, сообщите нам, как мы можем улучшить этот контент.

Спасибо

Мы ценим ваши отзывы.
Нажмите здесь, чтобы связаться со службой технической поддержки TP-Link.

Рекомендовать продукты

Гигабитный VPN-маршрутизатор SafeStream Multi-WAN для настольных ПК

Подписаться TP-Link серьезно относится к вашей конфиденциальности. Дополнительную информацию о методах обеспечения конфиденциальности TP-Link см. в Политике конфиденциальности TP-Link.

Узнавайте об эксклюзивных предложениях и новостях первыми

  • Корпоративный профиль
  • Связаться с нами
  • Карьера в TP-Link
  • Политика конфиденциальности
  • Новости
  • Блог
  • Советы по безопасности
  • Награды
  • Партнерская программа
  • Обучение и сертификация
  • Регистрация сделки

Получите информацию о продуктах, мероприятиях и услугах для вашего региона.

accepted_local_switcher, tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple, tp_top-banner

__livechat, __lc2_cid, __lc2_cst, __lc_cid, __lc_cst, CASID

VISITOR_INFO1_LIVE, YSC, LOGIN_INFO, PREF, CONSENT, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC

Аналитические и маркетинговые файлы cookie

Google Analytics, Диспетчер тегов Google и Оптимизация Google

_gid, _gat, _gat_global, _ga, _gaexp

Google Реклама и DoubleClick

NID, IDE, test_cookie, идентификатор, 1P_JAR

fr, spin, xs, datr, c_user, sb, _fbp

_ce.s, _CEFT, _gid, cean, _fbp, ceac, _drip_client_9574608, cean_asoc

_hjKB, _fbp, ajs_user_id, _BEAMER_LAST_UPDATE_zeKLgqli17986, _hjid, _gcl_au, _ga, ajs_anonymous_id, _BEAMER_USER_ID_zeKLgqli17986, _hjAbsoluteSessionInProgress, _hjFirstPjDTLSeen, _hjIncludedIn

Hm_lpvt_33178d1a3aad1dcf1c9b345501daa675, Hm_lvt_33178d1a3aad1dcf1c9b345501daa675, HMACCOUNT_BFESS

В этом документе приведен пример конфигурации, позволяющей разрешить пользователям VPN доступ в Интернет при подключении через туннель IPsec LAN-to-LAN (L2L) к другому маршрутизатору. Эта конфигурация достигается при включении раздельного туннелирования. Раздельное туннелирование позволяет пользователям VPN получать доступ к корпоративным ресурсам через туннель IPsec, сохраняя при этом доступ к Интернету.

Предпосылки

Требования

Для этого документа нет особых требований.

Используемые компоненты

Информация в этом документе относится к маршрутизатору Cisco 3640 с программным обеспечением Cisco IOS® версии 12.4.

Информация в этом документе была получена с устройств в специальной лабораторной среде. Все устройства, используемые в этом документе, запускались с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Условия

Дополнительную информацию об условных обозначениях документов см. в технических советах Cisco.

Настроить

В этом разделе представлена ​​информация по настройке функций, описанных в этом документе.

Сетевая диаграмма

В этом документе используется следующая настройка сети:

Примечание. Схемы IP-адресации, используемые в этой конфигурации, не могут маршрутизироваться в Интернете по закону. Это адреса RFC 1918, которые использовались в лабораторных условиях.

Конфигурации

В этом документе используются следующие конфигурации:

Подтвердить

В этом разделе содержится информация, которую вы можете использовать, чтобы убедиться, что ваша конфигурация работает правильно.

Cisco CLI Analyzer (только для зарегистрированных клиентов) поддерживает определенные команды show. Используйте Cisco CLI Analyzer для просмотра анализа выходных данных команды show.

show crypto ipsec sa — показывает настройки, используемые текущими сопоставлениями безопасности (SA).

show crypto isakmp sa — показывает все текущие IKE SA на узле.

Устранение неполадок

В этом разделе содержится информация, которую можно использовать для устранения неполадок в конфигурации. Также показан пример вывода отладки.

Команды устранения неполадок

Cisco CLI Analyzer (только для зарегистрированных клиентов) поддерживает определенные команды show. Используйте Cisco CLI Analyzer для просмотра анализа выходных данных команды show.

Примечание. Прежде чем использовать команды отладки, ознакомьтесь с важной информацией о командах отладки.

debug crypto isakmp — отображает согласование ISAKMP на этапе 1.

debug crypto ipsec — отображает согласование IPsec на этапе 2.

В этом документе показано, как настроить маршрутизатор Cisco и брандмауэр Cisco Secure PIX для реализации IPSec LAN-to-LAN с использованием цифровых сертификатов. Для достижения этой конфигурации вам необходимо выполнить следующие задачи:

Настройте маршрутизатор и PIX.

Получите цифровые сертификаты на маршрутизаторе и PIX.

Настройте политики IKE и IPSec на маршрутизаторе и PIX и определите, какой трафик (интересный трафик) будет шифроваться с помощью IPSec через список доступа.

Прежде чем начать

Условия

Дополнительную информацию об условных обозначениях см. в разделе Технические советы Cisco.

Предпосылки

Для этого документа нет особых требований.

Используемые компоненты

Информация в этом документе основана на версиях программного и аппаратного обеспечения, указанных ниже.

Маршрутизатор Cisco 1700

Программное обеспечение Cisco IOS® версии 12.2(6)

Межсетевой экран Cisco PIX 520

Брандмауэр PIX версии 6.0.1.

Информация, представленная в этом документе, была получена с устройств в специальной лабораторной среде. Все устройства, используемые в этом документе, запускались с очищенной (по умолчанию) конфигурацией. Если вы работаете в действующей сети, убедитесь, что понимаете потенциальное влияние любой команды перед ее использованием.

Основная теория

В нашем примере мы определили сетевой адрес узла A (адрес источника) и сетевой адрес узла B (адрес назначения) как трафик, который IPSec будет шифровать на PIX. Список доступа на маршрутизаторе является зеркальным отражением списка доступа на PIX.

Мы настроили PIX и маршрутизатор таким образом, чтобы узлы, находящиеся во внутренней локальной сети двух устройств, использовали свои частные адреса при прохождении через туннель IPSec. В PIX команды access-list и nat 0 работают вместе. Когда узел A в сети 192.168.4.0 переходит в сеть 1.1.1.0, список доступа разрешает шифрование сетевого трафика 192.168.4.0 без преобразования сетевых адресов (NAT). Однако когда те же пользователи переходят куда-либо еще, они переводятся на адрес 172.16.172.57 посредством преобразования адресов портов (PAT). На маршрутизаторе команды route-map и access-list позволяют шифровать сетевой трафик 1.1.1.0 без NAT. Однако, когда тот же узел B перемещается куда-либо еще, он преобразуется в адрес 172.16.172.39 через PAT.

Чтобы проверить конфигурацию, мы отправили эхо-запрос с хоста A за брандмауэром PIX на хост B за маршрутизатором. Когда IP-пакет прибыл на брандмауэр PIX, он соответствовал списку доступа и, таким образом, инициировал согласование IPSec. Таким образом, PIX является инициатором, а маршрутизатор — ответчиком во время согласования IPSec. В целях устранения неполадок необходимо изучить отладки шифрования PIX и маршрутизатора.

Сетевая диаграмма

В этом документе используется настройка сети, показанная на схеме ниже.

Настройка маршрутизатора и брандмауэра PIX

Конфигурации

В этом разделе представлена ​​информация по настройке функций, описанных в этом документе.

Получить сертификаты

Получить сертификаты на маршрутизаторе

В этом разделе описывается, как получить цифровые сертификаты на маршрутизаторе.

Настройте имя хоста маршрутизатора и имя домена IP, если это еще не сделано.

Примечание. Имя хоста и доменное имя необходимы, поскольку маршрутизатор назначает полное доменное имя (FQDN) ключам и сертификатам, используемым IPSec, на основе имени хоста и IP-доменного имени, которые вы назначаете маршрутизатору. Например, сертификат называется «router.cisco.com» на основе имени узла маршрутизатора «router» и доменного IP-имени маршрутизатора «cisco.com».

Создайте пару ключей RSA для маршрутизатора, которая используется для подписи и шифрования сообщений управления ключами IKE. Вам необходимо сгенерировать пару ключей, чтобы получить сертификат для маршрутизатора.

Используйте команду show crypto key mypubkey rsa, чтобы просмотреть пару ключей RSA маршрутизатора.

Объявите сервер центра сертификации (ЦС), чтобы настроить параметры связи между маршрутизатором и ЦС. Если мы используем центр регистрации, то мы также указываем режим центра регистрации (RA). Используйте необязательную команду crl, если вы хотите, чтобы сертификаты других одноранговых узлов принимались маршрутизатором, даже если соответствующий список отзыва сертификатов (CRL) недоступен для маршрутизатора.

Маршрутизатору необходимо аутентифицировать ЦС, получив самозаверяющий сертификат ЦС, который содержит открытый ключ ЦС. Поскольку ЦС подписывает свой собственный сертификат, открытый ключ ЦС следует аутентифицировать вручную, связавшись с администратором ЦС, чтобы сравнить отпечаток сертификата ЦС.

В этом примере мы вручную аутентифицируем открытый ключ, сравнивая два отпечатка пальца после получения сертификата центра сертификации, а не вводя его с помощью оператора команды.

Используйте команду sh crypto ca cert, чтобы просмотреть сертификаты CA и RA и убедиться, что аутентификация прошла успешно.

Получите подписанный сертификат от ЦС для каждой пары ключей RSA маршрутизатора. Если вы сгенерировали ключи RSA общего назначения, маршрутизатор имеет одну пару ключей RSA и ему нужен только один сертификат. Если вы сгенерировали ключи RSA для специального использования, маршрутизатор имеет две пары ключей RSA и ему нужны два сертификата.

Вы должны связаться с администратором ЦС, чтобы вручную предоставить сертификаты маршрутизатору, если он настроен на сервере ЦС. Кроме того, если сервер CA настроен так, что вы должны указать пароль во время регистрации, обратитесь к администратору CA для получения этого пароля.

В этом примере сервер CA был настроен так, что нам не нужно было вводить пароль во время регистрации.

После выполнения команд для регистрации маршрутизатор связывается с сервером ЦС и пытается получить его сертификат. В течение этого времени, если сервер ЦС настроен на ручную аутентификацию сертификатов, вам необходимо будет связаться с администратором ЦС.

Используйте команду sh crypto ca cert, чтобы просмотреть сертификат маршрутизатора и убедиться, что регистрация прошла успешно.

В следующем примере сертификаты не были утверждены.

Следующий пример вывода показывает, что сертификат был получен от ЦС.

Вы можете вручную запросить у ЦС список отзыва сертификатов. Чтобы обновить CRL на маршрутизаторе, используйте следующую команду:

Используйте команду show crypto ca crls для просмотра CRL.

Выполните команду записи в память, чтобы сохранить конфигурацию.

Получить сертификаты на PIX

Чтобы получить сертификаты на брандмауэре PIX, выполните те же действия, что и на маршрутизаторе. Однако синтаксис команды PIX отличается.

Установите имя хоста и IP-имя домена.

Создайте пару ключей RSA.

Используйте команду show ca mypubkey rsa, чтобы отобразить пару ключей RSA.

Объявите сервер ЦС.

Аутентификация ЦС.

Используйте команду show ca cert для просмотра сертификата ЦС на PIX.

Запросить CRL у ЦС.

Сертификат был предоставлен ЦС!

Используйте команду sh ca crl для просмотра CRL.

Чтобы сохранить сертификаты на PIX, используйте следующую команду:

Подтвердить

В этом разделе содержится информация, которую вы можете использовать, чтобы убедиться, что ваша конфигурация работает правильно.

Некоторые команды show поддерживаются Инструментом интерпретатора вывода (только для зарегистрированных клиентов), который позволяет просматривать анализ вывода команды show.

Команды show можно запускать на PIX и маршрутизаторе.

show crypto isakmp sa — просмотр всех текущих сопоставлений безопасности (SA) IKE на узле.

show crypto ipsec sa — показывает настройки, используемые текущими ассоциациями безопасности IPSec.

показать активные соединения криптографического механизма — (только для маршрутизатора) показывает текущие соединения и информацию о зашифрованных и расшифрованных пакетах.

show crypto ca crls – (только для маршрутизатора) показывает текущий список отзыва сертификатов на маршрутизаторе.

show crypto ca certificates — (только для маршрутизатора) показывает маршрутизатор, сервер ЦС и сертификаты RA на маршрутизаторе. Он также показывает точку распространения сертификата (CDP).

показать сертификаты ca — (только для PIX) показывает сертификаты PIX, CA и RA. В отличие от маршрутизатора, он не показывает CDP.

show ca crl — (только для PIX) показывает список отзыва сертификатов на PIX.

показать часы — показывает текущее время на маршрутизаторе/PIX (в режиме включения).

Пример вывода команд Router show

Пример вывода команд PIX show

Устранение неполадок

В этом разделе содержится информация, которую можно использовать для устранения неполадок в конфигурации.

Команды устранения неполадок

Некоторые команды show поддерживаются Инструментом интерпретатора вывода (только для зарегистрированных клиентов), который позволяет просматривать анализ вывода команды show.

Примечание. Прежде чем вводить команды отладки, ознакомьтесь с важной информацией о командах отладки.

Следующие отладки должны выполняться на обоих одноранговых узлах IPSec:

debug crypto isakmp — (маршрутизатор и PIX) отображает ошибки на этапе 1.

debug crypto ipsec — (маршрутизатор и PIX) отображает ошибки на этапе 2.

отладка криптографического движка — (только для маршрутизатора) отображает информацию от криптографического движка.

отладка криптографических транзакций pki — (только для маршрутизатора) показывает информацию о транзакциях инфраструктуры открытого ключа (PKI) маршрутизатора.

отладка криптографических сообщений pki — (только для маршрутизатора) показывает информацию о входных и выходных сообщениях PKI.

debug crypto ca — (только для PIX) отображает информацию о транзакциях PKI и сообщениях ввода/вывода.

Очистка сопоставлений безопасности должна выполняться на обоих одноранговых узлах. Команды PIX выполняются в режиме включения; команды маршрутизатора выполняются в неактивном режиме.

clear crypto isakmp sa — (PIX) очищает сопоставления безопасности фазы 1.

clear crypto ipsec sa — (PIX) Очищает ассоциации безопасности фазы 2.

clear crypto isakmp — (маршрутизатор) очищает сопоставления безопасности фазы 1.

clear crypto sa — (маршрутизатор) очищает ассоциации безопасности фазы 2.

Пример отладки сертификата на маршрутизаторе

В этом разделе показаны отладки с маршрутизатора, когда мы запускаем следующие команды отладки PKI при получении сертификатов с сервера ЦС. Эти отладки были получены во время успешного сеанса.

Пример отладки сертификата из PIX

В этом разделе показаны отладки из PIX, когда мы запускаем следующие команды отладки PKI при получении сертификатов с сервера ЦС. Эти отладки были получены во время успешного сеанса.

Пример отладки IPSec на маршрутизаторе

В этом разделе показаны отладки IPSec на маршрутизаторе, когда оба одноранговых узла IPSec согласовывают туннель IPSec.

Пример отладки IPSec из PIX

В этом разделе показаны отладки IPSec на PIX в то время, когда оба одноранговых узла IPSec согласовывают туннель IPSec.

Возможные проблемы

В этом разделе обсуждаются симптомы, причины и способы устранения распространенных ошибок, возникающих при получении сертификатов как на маршрутизаторе, так и на PIX.

Несоответствие идентификатора ISAKMP

Маршрутизатор и PIX назначают полное доменное имя ключам и сертификатам, используемым IPSec. Во время согласования IKE или фазы 1 маршрутизатор/IOS проверяет полное доменное имя в сертификате. Поэтому мы должны использовать идентификатор ISAKMP в качестве имени хоста вместо адреса как на PIX, так и на маршрутизаторе. В следующем примере маршрутизатор/IOS проверяет полное доменное имя в сертификате.

Несоответствие времени и даты

Сертификаты на PIX и маршрутизаторе действительны в течение определенного интервала времени, как показано в следующем примере.

Следующий вывод команды show также демонстрирует временной интервал.

Если дата и время на часах маршрутизатора или PIX не попадают между начальной и конечной датами сертификатов и датой следующего/последнего обновления списка отзыва сертификатов, во время согласования фазы 1 вы получите следующую ошибку:

В этом примере время маршрутизатора было установлено на 16:07:02 28 февраля 1993 года, что не попадает в допустимое время, требуемое ЦС. Для решения проблемы установите соответствующее время на роутере.

PIX/маршрутизатор не имеет CRL

Поскольку мы не указали необязательную команду crl для PIX/маршрутизатора, оба этих устройства будут проверять CRL во время согласования на первом этапе. Если CRL отсутствует, вы увидите следующие ошибки.

Чтобы решить эту проблему, получите сертификаты с сервера ЦС, выполнив команду ca crl request ca псевдоним; мы использовали запрос cr ca crl Cisco.

Удалить сертификаты и пары ключей RSA

Возможно, вам потребуется удалить цифровые сертификаты или пары ключей RSA с маршрутизатора или PIX.

Удалить сертификаты маршрутизатора и пары ключей RSA

no crypto ca identity ca псевдоним – удалите сертификаты маршрутизатора.

crypto key zeroize rsa — удалить пару ключей RSA.

Чтобы удалить сертификаты, следуйте приведенному ниже примеру:

Чтобы удалить пару ключей RSA на маршрутизаторе, следуйте приведенному ниже примеру:

Удалить сертификаты PIX и пары ключей RSA

no ca identity ca псевдоним — удалить сертификаты из PIX.

Читайте также: