IPsec,以及有防火墙的环境
IPsec,以及NAT环境
IPsec和服务质量
IPsec和碎片
IPsec和递归路由
思科IOS的IPsec内诊断工具
的Cisco IOS中使用的诊断工具,最常用的类别显示和调试命令。在本章的过程中,我们将使用这两个命令集的变化来诊断的Cisco IOS中常见的问题。正如我们所讨论的那样,有两个的IPsec VPN端点之间形成互联网安全关联和密钥管理协议(ISAKMP)和IPsec协商的过程中发生的详细步骤。我们将研究在通过以下内IOS的调试命令的执行这些步骤常见错误:
调试加密ISAKMP
调试加密的IPsec
此外,我们将探讨几种显示命令需要相关的揭露常见的错误和性能问题的IPsec VPN隧道,包括分段/最大传输单元(MTU)的问题,服务的质量(QoS)问题的协商,网络地址转换(NAT)的问题,并发出关于递归路由。我们将讨论解决这些问题包括命令的子集:
显示加密ISAKMP SA
显示加密ISAKMP SA NAT
显示密码安全联盟
显示加密引擎连接活跃
显示加密引擎连接丢弃数据包
显示加密引擎连接的流量
显示加密引擎的qos
用的IPSec VPN常见配置问题
在部署IPsec vpn时,需要了解许多参数和特性。在本节中,我们将讨论当一个或多个IPsec VPN网关配置错误时出现的配置问题。在讨论了上述每个常见的IPsec VPN配置问题的性质之后,我们将讨论用于有效诊断和解决这些问题的方法。
IKE SA提议不匹配
除非手动定义IPsec会话密钥,双加密端点必须协商安全的互联网密钥交换(IKE)通道,或ISAKMP安全联盟(SA)当在一个ISAKMP策略同意使用。因此,当两个VPN端点失败时可使用的ISAKMP策略达成一致,IPSec安全联盟协商不能启动,交通将继续流动加密。
图2-24和图2-25分别简要描述了主模式和主动模式下的ISAKMP策略协商过程,以及在两个VPN端点上的配置。还记得我们在第2章中讨论过的ISAKMP策略是按优先级排序的(较低的优先级为最高优先级)。发起者将提供最高优先级的建议,响应者将搜索其本地配置的ISAKMP策略以寻找匹配项。如果没有,启动程序将提出下一个最高的ISAKMP策略,并定义其本地配置。这个过程将继续,直到发起者没有剩余的建议提供给响应者。在这种情况下,结果将是ISAKMP SA提案不匹配。使用示例4-1和示例4-2中提供的配置,Router_A和Router_B将尝试使用中所示的拓扑在彼此之间形成一个IKE SA图4 - 1。
ISAKMP SA协商的ISAKMP建议不匹配所产生
实施例4-1提供了在配置成用于将而Router_A ISAKMP策略图4 - 1。注意,在这个配置中,没有配置与示例4-2中在Router_B上配置的ISAKMP建议相匹配的ISAKMP建议。
例4-1中Router_A的Crypto ISAKMP策略定义图4 - 1(错配Router_B的,实施例4-2)
而Router_A#显示加密isakmp策略全球艾克政策保护的优先级10加密算法:三个关键三重DES散列算法:消息摘要5认证方法:Pre-Shared关键diffie - hellman组:# 2(1024位)寿命:86400秒,没有数量限制保护20套优先级加密算法:DES(数据加密标准(56位密钥)。哈希算法:安全哈希标准认证方法:预共享密钥Diffie-Hellman组:#2(1024位)生命期:86400秒,无容量限制优先级30的保护套加密算法:AES -高级加密标准(128位密钥)。哈希算法:安全哈希标准认证方法:Rivest-Shamir-Adleman签名Diffie-Hellman组:#1(768位)寿命:86400秒,无容量限制默认保护套件加密算法:DES -数据加密标准(56位密钥)。哈希算法:安全哈希标准认证方法:Rivest-Shamir-Adleman签名Diffie-Hellman组:#1(768位)生存期:86400秒,没有容量限制
实施例4-2提供了关于Router_B的ISAKMP策略配置图4 - 1。建立一个ISAKMP SA来而Router_A,其ISAKMP政策例4-1在提供时Router_B的将使用此策略。由于Router_B的的ISAKMP配置包含例4-1中提供而Router_A的配置不匹配的建议,ISAKMP协商会失败。
例4-2加密ISAKMP策略定义为Router_B的图4 - 1(错配Router_B的,实施例4-1)
Router_B的#显示加密isakmp策略全球IKE优先级为10的加密算法的政策保护套件:AES - 高级加密标准(128位密钥)。散列算法:消息摘要5认证方法:预共享密钥的Diffie-Hellman组:#5(1536位)寿命:86400秒,没有优先级20的加密算法的音量限制保护套件:三键三重DES散列算法:消息摘要5认证方法:的Rivest-沙米尔-Adleman的签名Diffie-Hellman组:#1(768位)寿命:86400秒,优先权30的加密算法的无音量限制保护套房:DES - 数据加密标准(56位密钥)。散列算法:安全散列标准认证方法:预共享密钥的Diffie-Hellman组:#2(1024位)寿命:86400秒,没有体积限制初始保护套件加密算法:DES - 数据加密标准(56位密钥)。哈希算法:安全哈希标准认证方法:Rivest-Shamir-Adleman签名Diffie-Hellman组:#1(768位)生存期:86400秒,没有容量限制
下面的事件编号序列描述了在实施例4-1中提供了一种用于在而Router_A配置之间的ISAKMP提案失配图4 - 1和实施例4-2在Router_B的图4 - 1。
路由器A将其配置好的ISAKMP策略10、20和30发送给路由器B。
在步骤1中对自己的配置策略获得RouterB的检查政策10,用最低的编号政策开始,以最高的结束。
如果路由器B未在步骤2中找到匹配,它会检查在步骤1中对自己的配置策略获得政策20,从最低的编号,并以最高的结束。
如果路由器B未在步骤3中找到匹配,它会检查在步骤1中对自己的配置策略获得政策30,从最低的编号,并以最高的结束。
如果路由器B没有找到在步骤4匹配,则提议不匹配已经发生,和第1阶段协商超时。
为了确认艾克提议不匹配发生在一个IPsec VPN隧道谈判,我们将检查的输出ISAKMP SA路由器A和B之间的谈判路由器A和B是在站点中使用预共享艾克认证VPN,但尚未配置匹配ISAKMP政策。我们将执行该命令调试加密ISAKMP在路由器A和B上,强调IKE提议不匹配确实是导致ISAKMP SA协商失败的原因。示例4-3显示了调试输出,因为Router_A提出的ISAKMP策略将根据Router_B上本地配置的策略进行检查。
在实施例4-3中所示的诊断输出,Router_B的检查建议从而Router_A发送用于潜在匹配。Router_B的开始通过检查而Router_A发送针对它自身的ISAKMP建议ISAKMP建议。它通过检查所有收到的建议做这个(从最低编号和最高结束)对优惠政策(最低编号)。如果没有匹配,它会检查针对其下一个编号最低的政策相同的顺序接收的策略。这个过程一直持续,直到找到匹配或所有的政策都被检查,没有发现匹配。在这个特定的建议,提出了加密的加密IKE通道不匹配(见例4-2和4-3为与Router_A和Router_B ISAKMP建议信息),和路由器B继续核对其本地配置ISAKMP等提出建议政策。实施例4-3,第12行确认已经发生了提案不匹配。Router_B的认定,从而Router_A没有发送ISAKMP建议符合其自身配置的ISAKMP策略,因此删除阶段1 SA和1阶段协商会超时而Router_A,如例4-3,第18行的证实。
示例4-3在初始VPN端点(路由器A)上隔离IKE建议不匹配
1 Router_B的#调试加密ISAKMP 2加密ISAKMP调试3!4!5 * 12年2月16日:11:02.379:ISAKMP:(0:0:N / A:0):检查ISAKMP变换1针对优先10政策6 * 12年2月16日:11:02.379:ISAKMP:加密3DES-CBC 7 *年02月16 12:11:02.379:ISAKMP:散列MD5 8 * 02月16日12:11:02.379:ISAKMP:默认组2 9 * 02月16日12:11:02.379:ISAKMP:AUTH预共享10 * 02月16日12:11:02.379:ISAKMP:11:02.379:ISAKMP:为0x0为0x1 0x51 0x80的12 * 12年2月16日的寿命期限(VPI):以秒寿命型11 * 12年2月16日:11:02.379:ISAKMP(0:0:N /A:0):提供不符合政策的加密算法!13!14!15 * 12年2月16日:11:02.379:ISAKMP:(0:0:N / A:0):没有接受优惠!16 * 12年2月16日:11:02.379:ISAKMP:(0:0:N / A:0):阶段1 SA政策是不接受的!(本地200.0.0.2远程200.0.0.1)17 * 12年2月16日:11:02.379:ISAKMP:(0:0:N / A:0):对等体不做偏执保持连接。18 * 12年2月16日:11:02.379:ISAKMP:(0:0:N / A:0):在删除SA原因 “阶段1 SA政策建议未被接受” 状态(R)MM_NO_STATE(对等体200.0.0.1)
直到两个端点可以确保IKE通道和加密IKE的交流与IPsec的变换时协商的Diffie-Hellman密钥时要使用上的ISAKMP策略同意使用的IPsec VPN隧道的谈判无法继续。必须为成功的IPsec VPN隧道协商,继续执行另一项任务是IKE认证。
IKE身份验证失败和错误
回想一下我们以前讨论的是,在Cisco IOS,还有提供给希望协商一个ISAKMP SA身份验证同行三种方法:预共享密钥(PSK的),RSA签名或RSA加密。正如我们在第2章讨论过,这三种身份验证方法有验证IKE对时使用不同的元素。我们将每一个这三种认证方法的框架内讨论共同IKE认证失败的问题。
IKE身份验证错误和PSKs
两个IPsec VPN端点要使用IKE PSKs相互验证,必须满足两个条件。首先,必须在两个端点上配置匹配的密钥。其次,端点必须配置为与正确的对等方共享这些密钥。现在,Router_A和Router_B为第1阶段协商配置了匹配的ISAKMP策略,但是仍然存在阻止它们对彼此进行身份验证的问题。我们将检查在路由器上调试输出图4 - 2突出显示直接归因于密钥不匹配和对等点不匹配的身份验证失败。
故障排除IKE PSK认证
实施例4-4提供的而Router_A在配置图4 - 2。需要注意的是,不同于而Router_A在配置图4 - 1, Router_A现在配置了一个ISAKMP策略,该策略包含一个匹配的建议(示例4-4,优先级为30)和Router_B(示例4-5,优先级为10)。然而,在本例中,IKE仍然会由于Router_A(例4-4,第32行)和Router_B(例4-5,第32行)上的PSK不匹配而无法进行协商。