два ISAKMP SA
-
Здравствуйте,
вот моя конфигурация туннеля и ipsec. R1-WAN---R3---WAN-R3
R1 WAN 100.0.0.1
R2 WAN 200.0.0.2 R1
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
crypto isakmp key 0 cisco123 address 100.0.0.1
!
!
crypto ipsec transform-set TS1 esp-aes esp-sha-hmac
!
crypto ipsec profile VTI-PROFILE
set transform-set TS1
!
!
интерфейс Tunnel0
ip адрес 50.0.0.2 255.255.255.0 источник
туннеля 200.0.0.2 назначение
туннеля 100.0.0.1 режим
туннеля ipsec ipv4
защита туннеля ipsec профиль VTI-PROFILE
!
!
интерфейс FastEthernet0/1
ip адрес 200.0.0.2 255.255.255.0
дуплекс авто
скорость авто
! R3
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
crypto isakmp key 0 cisco123 address 200.0.0.2
!
!
crypto ipsec transform-set TS1 esp-aes esp-sha-hmac
!
crypto ipsec profile VTI-PROFILE
set transform-set TS1
!
!
интерфейс Tunnel0
ip адрес 50.0.0.1 255.255.255.0
туннель источник 100.0.0.1
туннель назначение 200.0.0.2
туннель режим ipsec ipv4
туннель защита ipsec профиль VTI-PROFILE
!
интерфейс FastEthernet0/0
ip адрес 100.0.0.1 255.255.255.0
дуплекс авто
скорость авто
! -
Извините, sh crypto isakmp sa putput был из GRE, а не из инкапсуляции ipsec ipv4. Но конфигурация, которую я вставил сначала, была ipsec ipv4. Тем не менее, я столкнулся с той же проблемой с двумя ISAKMP SA как в GRE, так и в IPSec ipv4
, и вот GRE:
А вот моя конфигурация с инкапсуляцией GRE: R1#conf t
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption aes
R1(config-isakmp)#hash sha256
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 14
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit
R1(config)#crypto isakmp key cisco123 address 200.0.0.2 R3(config)#crypto isakmp policy 1
R3(config-isakmp)#encryption aes
R3(config-isakmp)#hash sha256
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 14
R3(config-isakmp)#lifetime 86400
R3(config-isakmp)#exit
R3(config)#crypto isakmp key cisco123 address 100.0.0.1 R1(config)#crypto ipsec transform-set TS esp-aes esp-sha256-hmac
R1(cfg-crypto-trans)#mode transport
R1(cfg-crypto-trans)#exit R1(config)#crypto ipsec profile protect-GRE
R1(ipsec-profile)#set security-association lifetime seconds 86400
R1(ipsec-profile)#set transform-set TS R3(config)#crypto ipsec transform-set TS esp-aes esp-sha256-hmac
R3(cfg-crypto-trans)#mode transport
R3(cfg-crypto-trans)#exit R3(config)#crypto ipsec profile protect-GRE
R3(ipsec-profile)#set security-association lifetime seconds 86400
R3(ipsec-profile)#set transform-set TS ------------ Применить профиль IPsec к туннелю 0------------ R1(ipsec-profile)#int tunn 0
R1(config-if)#tunnel protection ipsec profile protect-GRE
R1(config-if)#1
августа 10:01:35.356: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP
включен1 августа 10:01:36.351: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе NVI0, состояние изменено на активное1
августа 10:01:38.583: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе Tunnel0, состояние изменено на
неактивное1 августа 10:01:56.688: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе Tunnel0, состояние изменилось на up
R1(config-if)#do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
200.0.0.2 100.0.0.1 QM_IDLE 1002 ACTIVE
100.0.0.1 200.0.0.2 QM_IDLE 1001 ACTIVE R3(ipsec-profile)#int tunn 0
R3(config-if)#tunnel protection ipsec profile
protect-GRE1 августа 10:01:57.664: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP
включен1 августа 10:01:58.659: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе NVI0, состояние изменено на активное
R3(config-if)#do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
100.0.0.1 200.0.0.2 QM_IDLE 1001 ACTIVE
200.0.0.2 100.0.0.1 QM_IDLE 1002 ACTIVE -
crypto isakmp keepalive 10 3 <<- добавьте это, чтобы удалить оба одноранговых устройства автоматически удалить второе соглашение isakmp Что произошло: оба пира начали переговоры, но только один из них используется; когда мы используем keepalive, неиспользуемые переговоры удаляются. Это нормально, не беспокойтесь Примечание: обратите внимание на src и des в show isakmp sa, вы видите, что IP меняется MHM
-
Спасибо за быстрый ответ!
Я добавил предложенную вами конфигурацию, но ISAKMP SA остались прежними, два SA, как указано выше:
200.0.0.2 100.0.0.1 QM_IDLE 1002 ACTIVE
100.0.0.1 200.0.0.2 QM_IDLE 1001
ACTIVE---Добавление команды
R3(config)#crypto isakmp keepalive 10 3
R3(config)#do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
100.0.0.1 200.0.0.2 QM_IDLE 1005 ACTIVE
200.0.0.2 100.0.0.1 QM_IDLE 1004
ACTIVE
---Очистка SA
R3(config)#do clear crypto isakmp
R3(config)#do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
100.0.0.1 200.0.0.2 MM_NO_STATE 1005 ACTIVE (удалено)
200.0.0.2 100.0.0.1 MM_NO_STATE 1004 ACTIVE (удалено) ---В конце концов они исчезают
R3(config)#do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status Но вот что меня беспокоит после этого.
ISAKMP SA не перезаключаются R1(config)#
do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status R1(config)#
do sh crypto session
Crypto session current status Интерфейс: Tunnel0
Статус сеанса:
UP-NO-IKE
Одноранговый узел: 200.0.0.2 порт 500
IPSEC FLOW: разрешить 47 хост 100.0.0.1 хост 200.0.0.2
Активные SA: 4, происхождение: криптографическая карта но IPSec работает, и трафик ICMP, который я отправляю из LAN в LAN, шифруется (ESP): ![Eriknx_0-1754054291413.png]
![Eriknx_1-1754054301183.png]
-
это моя лаборатория, также в GNS3,
как я упоминал ранее, два nego являются нормальными, но через некоторое время должно отобразиться
(удалено) ![Screenshot (983).png] ![Screenshot (984).png] Для вашей лаборатории
1- измените адрес ключа isakmp на 0.0.0.0 <<- внесите изменения, а затем WR config, закройте лабораторию и откройте ее снова
2- 10.0.0.0 и 10.0.1.0 вы используете статический маршрут? MHM
-
Да, я использую эти маршруты для сопоставления интересного трафика:
R1 10.0.1.0 255.255.255.0 tunnel 0
R3 10.0.0.0 255.255.255.0 tunnel 0 Я добавил команду
crypto isakmp key cisco123 address 0.0.0.0
Но я полагаю, что это не должно быть практикой в производстве? Скорее, нужно попробовать обходной путь Я снял и в итоге получил один IKE SA, но IP-адреса src и dst не меняются для одного SA. Это нормально?
Где-то была статья, в которой говорилось, что этот вывод в Cisco показывает инициатора SA как src, а другую сторону как dst.
Следовательно, src и dst одинаковы с обеих сторон?
Теперь, когда туннель работает, у меня снова есть два ISAKMP SA, в течение последних 15 минут:
R1(config-if)#do sh cry isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
200.0.0.2 100.0.0.1 QM_IDLE 1009 ACTIVE
100.0.0.1 200.0.0.2 QM_IDLE 1010 ACTIVE
R3(config-if)#do sh cry isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
100.0.0.1 200.0.0.2 QM_IDLE 1010 ACTIVE
200.0.0.2 100.0.0.1 QM_IDLE 1009 ACTIVE R1(config-if)#
do sh cry sess
Crypto session current status Интерфейс: Tunnel0
Статус сеанса: UP-ACTIVE
Участник: 200.0.0.2 порт 500
Идентификатор сеанса: 0
IKEv1 SA: локальный 100.0.0.1/500 удаленный 200.0.0.2/500 Активный
Идентификатор сеанса: 0
IKEv1 SA: локальный 100.0.0.1/500 удаленный 200.0.0.2/500 Активный
IPSEC FLOW: разрешить 47 хост 100.0.0.1 хост 200.0.0.2
Активные SA: 2, происхождение: криптографическая карта -
Поделитесь конфигурацией здесь для R1 и R3 MHM
-
Большое спасибо за то, что разобрались в этом!
По какой-то причине эта команда не содержится в show runn
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption aes
R1(config-isakmp)#hash sha256
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 14
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit
Вот конфигурация: R1#sh runn
Создание конфигурации... Текущая конфигурация: 3506 байт
!
!
hostname R1
!
!
no aaa new-model
!
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
!
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
redundancy
!
!
!
crypto isakmp policy 1
encr aes
hash sha256
authentication pre-share
group 14
crypto isakmp key cisco123 address 200.0.0.2
crypto isakmp key cisco123 address 0.0.0.0
crypto isakmp keepalive 10 3
!
!
crypto ipsec transform-set TS esp-aes esp-sha256-hmac
mode tunnel
!
!
crypto ipsec profile protect-GRE
set security-association lifetime seconds 86400
set transform-set TS
!
!
!
interface Tunnel0
ip address 50.0.0.1 255.255.255.0
tunnel source 100.0.0.1
tunnel destination 200.0.0.2
tunnel protection ipsec profile protect-GRE
!
интерфейс GigabitEthernet0/0
ip адрес 100.0.0.1 255.255.255.0
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/1
ip адрес 10.0.0.2 255.255.255.0
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/2
нет ip-адреса
отключение
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/3
нет ip-адреса
отключение
дуплекс авто
скорость авто
тип носителя rj45
!
ip forward-protocol nd !R3#sh runn
Создание конфигурации... Текущая конфигурация: 3506 байт
!
версия 15.9
сервис timestamps отладка datetime msec
сервис timestamps журнал datetime msec
нет сервиса password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
!
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!!
redundancy
!
!
!
crypto isakmp policy 1
encr aes
hash sha256
authentication pre-share
group 14
crypto isakmp key cisco123 address 100.0.0.1
crypto isakmp key cisco123 address 0.0.0.0
crypto isakmp keepalive 10 3
!
!
crypto ipsec transform-set TS esp-aes esp-sha256-hmac
mode tunnel
!
!
crypto ipsec profile protect-GRE
set security-association lifetime seconds 86400
set transform-set TS
!
!
!
!
!
!
интерфейс Tunnel0
ip адрес 50.0.0.2 255.255.255.0
туннель источник 200.0.0.2
туннель назначение 100.0.0.1
туннель защита ipsec профиль protect-GRE
!
интерфейс GigabitEthernet0/0
ip адрес 10.0.1.1 255.255.255.0
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/1
ip адрес 200.0.0.2 255.255.255.0
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/2
нет ip-адреса
отключение
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/3
нет ip-адреса
отключение
дуплекс авто
скорость авто
тип носителя rj45
!
ip forward-protocol nd
!
!
нет ip http сервер
нет ip http безопасный сервер
ip маршрут 0.0.0.0 0.0.0.0 200.0.0.1
ip маршрут 10.0.0.0 255.255.255.0 Tunnel0
!
ipv6 ioam timestamp
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
transport input none
!
no scheduler allocate
!
end
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 10.0.1.0 255.255.255.0 Tunnel0
!
ipv6 ioam timestamp
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
transport input none
!
no scheduler allocate
!
end -
Примечание: любые изменения в конфигурации, которые я прошу вас внести, необходимо выполнить после этого. Clear isakmp sa Clear crypto sa 1- crypto isakmp key cisco123 address 100.0.0.1 <<- это удалить 2- crypto isakmp key cisco123 address 200.0.0.2 После выполнения команды в примечании проверьте еще раз MHM
-
Я удалил команду и добавил 0.0.0.0 в качестве однорангового узла:
R3#sh runn | inc key
crypto isakmp key cisco123 address 0.0.0.0
R1#sh runn | inc crypto isakmp key
crypto isakmp key cisco123 address 0.0.0.0
После очистки SA у меня получилось следующее:
R1#
sh cry isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
200.0.0.2 100.0.0.1 QM_IDLE 1004 ACTIVE IPv6 Crypto ISAKMP SA R1#
sh cry sess
Crypto session current status Интерфейс: Tunnel0
Статус сеанса: UP-ACTIVE
Партнер: 200.0.0.2 порт 500
Идентификатор сеанса: 0
IKEv1 SA
: локальный 100.0.0.1/500 удаленный 200.0.0.2/500 Активный
IPSEC FLOW: разрешить 47 хост 100.0.0.1 хост 200.0.0.2
Активные SA: 2, происхождение: криптографическая карта R3#sh cry isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
200.0.0.2 100.0.0.1 QM_IDLE 1004 ACTIVE IPv6 Crypto ISAKMP SA R3#
sh cry sess
Crypto session текущее состояние Интерфейс: Tunnel0
Статус сеанса: UP-ACTIVE
Узловое устройство: 100.0.0.1 порт 500
Идентификатор сеанса: 0
IKEv1 SA
: локальный 200.0.0.2/500 удаленный 100.0.0.1/500 Активный
IPSEC FLOW: разрешить 47 хост 200.0.0.2 хост 100.0.0.1
Активные SA: 2, происхождение: криптографическая карта Это
был только IP-адрес партнера? Или почему, по-вашему, я получаю/получал два IKE SA?
Не похоже, что одноранговый 0.0.0.0 будет хорошей практикой в производственной среде. -
Большое спасибо за помощь!
Да, сейчас у меня только один SA, но я не могу понять, в чем причина. -
Спасибо за решение проблемы, но мы еще не закончили. Вы правы, ключ не является безопасным, поэтому теперь, после того как мы обнаружили, откуда исходит проблема, мы приступим к реализации другого решения. Используйте Crypto isakmp key 0 <xxxx> address <x.x.x.x> 255.255.255.255 Это заставляет isakmp принимать nego только с этого HOST-адреса. Еще раз не забудьте очистить, как я упомянул выше. MHM
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти