два ISAKMP SA

Eriknx

Извините, sh crypto isakmp sa putput был из GRE, а не из инкапсуляции ipsec ipv4. Но конфигурация, которую я вставил сначала, была ipsec ipv4. Тем не менее, я столкнулся с той же проблемой с двумя ISAKMP SA как в GRE, так и в IPSec ipv4
, и вот GRE:
А вот моя конфигурация с инкапсуляцией GRE: R1#conf t
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption aes
R1(config-isakmp)#hash sha256
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 14
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit
R1(config)#crypto isakmp key cisco123 address 200.0.0.2 R3(config)#crypto isakmp policy 1
R3(config-isakmp)#encryption aes
R3(config-isakmp)#hash sha256
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 14
R3(config-isakmp)#lifetime 86400
R3(config-isakmp)#exit
R3(config)#crypto isakmp key cisco123 address 100.0.0.1 R1(config)#crypto ipsec transform-set TS esp-aes esp-sha256-hmac
R1(cfg-crypto-trans)#mode transport
R1(cfg-crypto-trans)#exit R1(config)#crypto ipsec profile protect-GRE
R1(ipsec-profile)#set security-association lifetime seconds 86400
R1(ipsec-profile)#set transform-set TS R3(config)#crypto ipsec transform-set TS esp-aes esp-sha256-hmac
R3(cfg-crypto-trans)#mode transport
R3(cfg-crypto-trans)#exit R3(config)#crypto ipsec profile protect-GRE
R3(ipsec-profile)#set security-association lifetime seconds 86400
R3(ipsec-profile)#set transform-set TS ------------ Применить профиль IPsec к туннелю 0------------ R1(ipsec-profile)#int tunn 0
R1(config-if)#tunnel protection ipsec profile protect-GRE
R1(config-if)#1
августа 10:01:35.356: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP
включен1 августа 10:01:36.351: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе NVI0, состояние изменено на активное1
августа 10:01:38.583: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе Tunnel0, состояние изменено на
неактивное1 августа 10:01:56.688: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе Tunnel0, состояние изменилось на up
R1(config-if)#do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
200.0.0.2 100.0.0.1 QM_IDLE 1002 ACTIVE
100.0.0.1 200.0.0.2 QM_IDLE 1001 ACTIVE R3(ipsec-profile)#int tunn 0
R3(config-if)#tunnel protection ipsec profile
protect-GRE1 августа 10:01:57.664: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP
включен1 августа 10:01:58.659: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе NVI0, состояние изменено на активное
R3(config-if)#do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
100.0.0.1 200.0.0.2 QM_IDLE 1001 ACTIVE
200.0.0.2 100.0.0.1 QM_IDLE 1002 ACTIVE

MHM Cisco World

crypto isakmp keepalive 10 3 <<- добавьте это, чтобы удалить оба одноранговых устройства автоматически удалить второе соглашение isakmp Что произошло: оба пира начали переговоры, но только один из них используется; когда мы используем keepalive, неиспользуемые переговоры удаляются. Это нормально, не беспокойтесь Примечание: обратите внимание на src и des в show isakmp sa, вы видите, что IP меняется MHM

Eriknx

Спасибо за быстрый ответ!
Я добавил предложенную вами конфигурацию, но ISAKMP SA остались прежними, два SA, как указано выше:
200.0.0.2 100.0.0.1 QM_IDLE 1002 ACTIVE
100.0.0.1 200.0.0.2 QM_IDLE 1001
ACTIVE---Добавление команды
R3(config)#crypto isakmp keepalive 10 3
R3(config)#do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
100.0.0.1 200.0.0.2 QM_IDLE 1005 ACTIVE
200.0.0.2 100.0.0.1 QM_IDLE 1004
ACTIVE
---Очистка SA
R3(config)#do clear crypto isakmp
R3(config)#do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
100.0.0.1 200.0.0.2 MM_NO_STATE 1005 ACTIVE (удалено)
200.0.0.2 100.0.0.1 MM_NO_STATE 1004 ACTIVE (удалено) ---В конце концов они исчезают
R3(config)#do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status Но вот что меня беспокоит после этого.
ISAKMP SA не перезаключаются R1(config)#
do sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status R1(config)#
do sh crypto session
Crypto session current status Интерфейс: Tunnel0
Статус сеанса:
UP-NO-IKE
Одноранговый узел: 200.0.0.2 порт 500
IPSEC FLOW: разрешить 47 хост 100.0.0.1 хост 200.0.0.2
Активные SA: 4, происхождение: криптографическая карта но IPSec работает, и трафик ICMP, который я отправляю из LAN в LAN, шифруется (ESP): ![Eriknx_0-1754054291413.png]
![Eriknx_1-1754054301183.png]

MHM Cisco World

это моя лаборатория, также в GNS3,
как я упоминал ранее, два nego являются нормальными, но через некоторое время должно отобразиться
(удалено) ![Screenshot (983).png] ![Screenshot (984).png] Для вашей лаборатории
1- измените адрес ключа isakmp на 0.0.0.0 <<- внесите изменения, а затем WR config, закройте лабораторию и откройте ее снова
2- 10.0.0.0 и 10.0.1.0 вы используете статический маршрут? MHM

Eriknx

Да, я использую эти маршруты для сопоставления интересного трафика:
R1 10.0.1.0 255.255.255.0 tunnel 0
R3 10.0.0.0 255.255.255.0 tunnel 0 Я добавил команду
crypto isakmp key cisco123 address 0.0.0.0
Но я полагаю, что это не должно быть практикой в производстве? Скорее, нужно попробовать обходной путь Я снял и в итоге получил один IKE SA, но IP-адреса src и dst не меняются для одного SA. Это нормально?
Где-то была статья, в которой говорилось, что этот вывод в Cisco показывает инициатора SA как src, а другую сторону как dst.
Следовательно, src и dst одинаковы с обеих сторон?
Теперь, когда туннель работает, у меня снова есть два ISAKMP SA, в течение последних 15 минут:
R1(config-if)#do sh cry isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
200.0.0.2 100.0.0.1 QM_IDLE 1009 ACTIVE
100.0.0.1 200.0.0.2 QM_IDLE 1010 ACTIVE
R3(config-if)#do sh cry isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
100.0.0.1 200.0.0.2 QM_IDLE 1010 ACTIVE
200.0.0.2 100.0.0.1 QM_IDLE 1009 ACTIVE R1(config-if)#
do sh cry sess
Crypto session current status Интерфейс: Tunnel0
Статус сеанса: UP-ACTIVE
Участник: 200.0.0.2 порт 500
Идентификатор сеанса: 0
IKEv1 SA: локальный 100.0.0.1/500 удаленный 200.0.0.2/500 Активный
Идентификатор сеанса: 0
IKEv1 SA: локальный 100.0.0.1/500 удаленный 200.0.0.2/500 Активный
IPSEC FLOW: разрешить 47 хост 100.0.0.1 хост 200.0.0.2
Активные SA: 2, происхождение: криптографическая карта

MHM Cisco World

Поделитесь конфигурацией здесь для R1 и R3 MHM

Eriknx

Большое спасибо за то, что разобрались в этом!
По какой-то причине эта команда не содержится в show runn
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption aes
R1(config-isakmp)#hash sha256
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 14
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit
Вот конфигурация: R1#sh runn
Создание конфигурации... Текущая конфигурация: 3506 байт
!
!
hostname R1
!
!
no aaa new-model
!
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
!
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
redundancy
!
!
!
crypto isakmp policy 1
encr aes
hash sha256
authentication pre-share
group 14
crypto isakmp key cisco123 address 200.0.0.2
crypto isakmp key cisco123 address 0.0.0.0
crypto isakmp keepalive 10 3
!
!
crypto ipsec transform-set TS esp-aes esp-sha256-hmac
mode tunnel
!
!
crypto ipsec profile protect-GRE
set security-association lifetime seconds 86400
set transform-set TS
!
!
!
interface Tunnel0
ip address 50.0.0.1 255.255.255.0
tunnel source 100.0.0.1
tunnel destination 200.0.0.2
tunnel protection ipsec profile protect-GRE
!
интерфейс GigabitEthernet0/0
ip адрес 100.0.0.1 255.255.255.0
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/1
ip адрес 10.0.0.2 255.255.255.0
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/2
нет ip-адреса
отключение
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/3
нет ip-адреса
отключение
дуплекс авто
скорость авто
тип носителя rj45
!
ip forward-protocol nd !R3#sh runn
Создание конфигурации... Текущая конфигурация: 3506 байт
!
версия 15.9
сервис timestamps отладка datetime msec
сервис timestamps журнал datetime msec
нет сервиса password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
!
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!!
redundancy
!
!
!
crypto isakmp policy 1
encr aes
hash sha256
authentication pre-share
group 14
crypto isakmp key cisco123 address 100.0.0.1
crypto isakmp key cisco123 address 0.0.0.0
crypto isakmp keepalive 10 3
!
!
crypto ipsec transform-set TS esp-aes esp-sha256-hmac
mode tunnel
!
!
crypto ipsec profile protect-GRE
set security-association lifetime seconds 86400
set transform-set TS
!
!
!
!
!
!
интерфейс Tunnel0
ip адрес 50.0.0.2 255.255.255.0
туннель источник 200.0.0.2
туннель назначение 100.0.0.1
туннель защита ipsec профиль protect-GRE
!
интерфейс GigabitEthernet0/0
ip адрес 10.0.1.1 255.255.255.0
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/1
ip адрес 200.0.0.2 255.255.255.0
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/2
нет ip-адреса
отключение
дуплекс авто
скорость авто
тип носителя rj45
!
интерфейс GigabitEthernet0/3
нет ip-адреса
отключение
дуплекс авто
скорость авто
тип носителя rj45
!
ip forward-protocol nd
!
!
нет ip http сервер
нет ip http безопасный сервер
ip маршрут 0.0.0.0 0.0.0.0 200.0.0.1
ip маршрут 10.0.0.0 255.255.255.0 Tunnel0
!
ipv6 ioam timestamp
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
transport input none
!
no scheduler allocate
!
end
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 10.0.1.0 255.255.255.0 Tunnel0
!
ipv6 ioam timestamp
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
transport input none
!
no scheduler allocate
!
end

MHM Cisco World

Примечание: любые изменения в конфигурации, которые я прошу вас внести, необходимо выполнить после этого. Clear isakmp sa Clear crypto sa 1- crypto isakmp key cisco123 address 100.0.0.1 <<- это удалить 2- crypto isakmp key cisco123 address 200.0.0.2 После выполнения команды в примечании проверьте еще раз MHM

Eriknx

Я удалил команду и добавил 0.0.0.0 в качестве однорангового узла:
R3#sh runn | inc key
crypto isakmp key cisco123 address 0.0.0.0
R1#sh runn | inc crypto isakmp key
crypto isakmp key cisco123 address 0.0.0.0
После очистки SA у меня получилось следующее:
R1#
sh cry isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
200.0.0.2 100.0.0.1 QM_IDLE 1004 ACTIVE IPv6 Crypto ISAKMP SA R1#
sh cry sess
Crypto session current status Интерфейс: Tunnel0
Статус сеанса: UP-ACTIVE
Партнер: 200.0.0.2 порт 500
Идентификатор сеанса: 0
IKEv1 SA
: локальный 100.0.0.1/500 удаленный 200.0.0.2/500 Активный
IPSEC FLOW: разрешить 47 хост 100.0.0.1 хост 200.0.0.2
Активные SA: 2, происхождение: криптографическая карта R3#sh cry isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
200.0.0.2 100.0.0.1 QM_IDLE 1004 ACTIVE IPv6 Crypto ISAKMP SA R3#
sh cry sess
Crypto session текущее состояние Интерфейс: Tunnel0
Статус сеанса: UP-ACTIVE
Узловое устройство: 100.0.0.1 порт 500
Идентификатор сеанса: 0
IKEv1 SA
: локальный 200.0.0.2/500 удаленный 100.0.0.1/500 Активный
IPSEC FLOW: разрешить 47 хост 200.0.0.2 хост 100.0.0.1
Активные SA: 2, происхождение: криптографическая карта Это
был только IP-адрес партнера? Или почему, по-вашему, я получаю/получал два IKE SA?
Не похоже, что одноранговый 0.0.0.0 будет хорошей практикой в производственной среде.

Eriknx

Большое спасибо за помощь!
Да, сейчас у меня только один SA, но я не могу понять, в чем причина.

MHM Cisco World

Спасибо за решение проблемы, но мы еще не закончили. Вы правы, ключ не является безопасным, поэтому теперь, после того как мы обнаружили, откуда исходит проблема, мы приступим к реализации другого решения. Используйте Crypto isakmp key 0 <xxxx> address <x.x.x.x> 255.255.255.255 Это заставляет isakmp принимать nego только с этого HOST-адреса. Еще раз не забудьте очистить, как я упомянул выше. MHM