例4-27纠正例4-15和例4-16的对等关系不一致以及在Router_B上创建不匹配的IPsec转换集
Router_B #参看t输入配置命令,一行一个。结尾CNTL / Z。Router_B(配置)#加密地图pki4Router_B (config-crypto-map) #没有设置peer 200.0.0.3Router_B (config-crypto-map) #设置对等200.0.0.1Router_B (config-crypto-map) #退出Router_B(配置)#pki4 esp-aes esp-md5-hmacRouter_B(CFG-Crypto-Trans)#结束Router_B #
与IPsec窥视不一致一样,IPSec变换集不匹配不会阻止建立ISAKMP SA。实际上,转变与使用的协议发生在阶段2谈判中 - IPSec SA的谈判。路由器图4 - 5现在配置为使用不同的转换。最初,Router_A和Router_B会在它们的转换集中使用基于SHA1哈希的消息认证码(HMAC)认证。但是,Router_B现在使用了错误的算法(MD-5 vs. SHA-1)来创建hmac。因此,路由器不能就IPsec提议达成一致。和前面一样,我们将通过调试IPsec加密引擎(调试加密IPsec).下面突出显示的示例4-28中的诊断输出确认了IPsec转换不匹配导致快速方式协商IPsec SA失败。
example4 -28诊断IPsec提议不一致-识别不匹配的IPsec转换集
Router_A # 2月24 12:01:01.121:IPSEC (key_engine):请求计时器解雇:数= 1,当地= 200.0.0.1(身份),远程= 200.0.0.2 local_proxy = 202.1.1.0/255.255.255.0/0/0 (type = 4), remote_proxy = 202.2.2.0/255.255.255.0/0/0 (type = 4) 2月24 12:01:01.121:IPSEC (sa_request):,(关键eng。味精)。出站本地= 200.0.0.1远程= 200.0.0.2 local_proxy = 202.1.1.0/255.255.255.0/0/0 (type = 4), remote_proxy = 202.2.2.0/255.255.255.0/0/0 (type = 4),协议= ESP,变换= esp-aes esp-sha-hmac(隧道),lifedur = 5000年代和4608000 kb, spi = 0 xebd24b7a (3956427642), conn_id = 0, keysize = 128,生成标志= 0 x400b Router_B # 2月24 12:00:31.537:2月24日12:00:31.705:IPSEC(validate_proposal_request): proposal part #1, (key eng. engine): get a queue event with 1 kei messages味精)。入站本地= 200.0.0.2远程= 200.0.0.1 local_proxy = 202.2.2.0/255.255.255.0/0/0 (type = 4), remote_proxy = 202.1.1.0/255.255.255.0/0/0 (type = 4),协议= ESP,变换= esp-aes esp-sha-hmac(隧道),lifedur = 0和0 kb, spi = 0 x0 (0), conn_id = 0, keysize = 128,生成标志= 0×2月24 12:00:31.705:加密mapdb: proxy_match src addr:202.2.2.0 dst addr: 202.1.1.0协议:0 src端口:0 dst端口:0 2月24 12:00:31.705:IPSEC (validate_transform_proposal):变换方案不支持身份:{esp-aes esp-sha-hmac} 2月24 12:00:31.705:% CRYPTO-6-IKMP_MODE_FAILURE:处理与同伴在200.0.0.1快速模式的失败
加密保护的地址空间问题(加密ACL错误)
正如我们在本章第2章及更早版本的IPSec概述期间所提到的,VPN端点之间的密码保护地址空间必须为建立IPSec SA一致。这些受密码保护的地址空间由ACL定义,通常称为Crypto ACL。
当Crypto ACL指定两个对等体之间的地址范围不一致时,预期结果是ISAKMP SA协商将成功完成,但IPSec SA协商将失败。我们现在将走过几个可接受和不可接受的Crypto ACL定义的示例,然后探索一些使用Cisco IOS IPSec调试功能诊断Crypto ACL定义问题的方法。
注意:Crypto ACL中指定的受保护地址和端口范围通常在Cisco IOS和ASA IPSec VPN端点中的Crypto调试输出中显示为“代理”。
我们将讨论的第一个案例演示了一个加密ACL定义,它将有助于成功地进行IPsec SA协商。然而,接下来的三个加密acl示例在加密保护的地址空间中出现了不一致,这将导致第2阶段SA提议被拒绝。举例4-29中提供了Router_A和Router_B的加密ACL匹配的配置。
注意:当使用TEDv3时,下面案例2到案例4中描述的加密ACL将不排除阶段2 SA协商。尽管ACL不一致,但TEDv3探测将动态发现一致的加密保护范围,并在IPsec SADB中安装适当的信息。TED的使用在第12章“处理动态寻址对等体的解决方案”中有更详细的讨论。
example4 -29加密ACL匹配
Router_A #显示访问列表101扩展IP访问列表101 10 permit IP 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Router_A# Router_B#显示访问列表101扩展IP访问列表101 10允许IP 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Router_B#
在例4-30中,Router_B在加密ACL (ACE #20)中有一个额外的访问列表(ACE)。而ACE 10在路由器A和路由器b之间是一致的,因此匹配ACE 10的流量将有助于成功协商Phase1和phas2 SA。在Router_A的Crypto ACL 101中,Router_B的ACE 20没有对应的ACE。匹配ACE 20的流量随后将被丢弃。例4-30给出Router_A和Router_B的配置,说明Router_A上缺少加密ACE。
例4-30由于Router_A上缺少ACE导致Crypto ACL不匹配
Router_A #101年上海访问列表扩展IP访问列表101 10 permit IP 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Router_A# Router_B#101年上海访问列表扩展IP访问列表101 10 permit IP 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 20 permit IP 192.168.2.0 0.0.0.255 202.1.3.0 0.0.0.255 Router_B#
例4-31中,Router_A和Router_B上的crypto acl定义了与对端保护源地址范围不一致的保护地址空间范围。例如,Router_A对来自192.168.1.0/24的任何IP地址的流量进行保护。如果流量从192.168.1.1发送到Router_A的物理IP地址200.0.0.2,会发生什么?当Router_A匹配acl101中的ACE 10时,它会对流量进行加密。但是,Router_B不会对返回的流量进行加密,因为来自200.0.0.2的流量并没有在其加密ACL中定义。因此,当两个IPsec对等体的加密ACL中定义了这种不一致时,阶段2 SA协商将会失败。
example4 -31目的地址范围不一致导致加密ACL不匹配
Router_A #显示访问列表101扩展IP访问列表101 10 permit IP 192.168.1.0 0.0.0.255 any Router_A# Router_B#显示访问列表101扩展IP访问列表101 10 permit IP 192.168.2.0 0.0.0.255 any Router_B#
在例4-32中,ACL在Router_B的crypto ACL上定义了更严格的地址空间范围。因此,如果Router_B发起阶段2交换,则在SADB上成功建立IPsec SA,流量就会通过。但是,如果Router_A发起阶段2交换,则该IPsec SA提议将被Router_B拒绝,原因与例4-31中相同。
example4 -32 Router_B目的地址范围不一致导致加密ACL不匹配
Router_A #101年上海访问列表扩展IP访问列表101 10 permit IP 192.168.1.0 0.0.0.255 any (24 matches) Router_A# Router_B#101年上海访问列表扩展IP访问列表101 10允许IP 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Router_B#
IPsec vpn的架构和设计问题
除了与配置ISAKMP和IPSEC策略相关的问题之外,还有各种网络元素,如果它不正确管理,可以干扰IPSec VPN的最佳操作。在本节中,我们将讨论今天IPSec VPN实现的几个最常见的故障排除挑战。我们还将讨论几种有效的技术,以诊断可能由不正当的设计产生的问题以及适当的解决方案来修复这些问题。
防火墙环境下IPsec vpn故障排除
正如我们在第2章中的IPSec协议概述所讨论的那样,许多项目需要在两个VPN端点之间传递,以便在建立阶段2 SA时安全地使用IKE安全地创建隧道,并成功通过IPSec数据包。大多数防火墙,默认情况下,使用“关闭”的安全性(默认情况下,允许任何内容),其中必须明确指示防火墙允许由管理员允许所需的协议。在防火墙环境中部署IPSec时,必须注意允许所需的元素安全地通过,或者在VPN操作和性能可能出现问题。我们将讨论防火墙VPN环境中的两个常见问题 - 防火墙碎片处理,过滤所需的IPSec协议,以及过滤Internet控制消息协议(ICMP)无法访问。
允许所需的IPSec协议通过
穿越防火墙的IPsec VPN会话是很常见的。我们在第2章中讨论的一个例子是DMZ设计。这种设计的另一个流行应用是安全外联网设计。当今市场中可用的大多数防火墙默认采用封闭策略,不允许流量从低安全级别的接口传递到分配较高安全级别的接口。这包括IPsec和IKE有效运行所必需的协议。
除非使用手动IPSec会话键,否则IPSec对等体之间的防火墙必须允许ISAKMP流量(UDP端口500)在IPSec VPN端点之间传递。此外,必须通过防火墙允许IPSec流量,或者加密流量将在外部接口的防火墙上被阻止。这些协议包括封装安全有效载荷(ESP)(IP协议50)和认证头(AH)(IP协议51),具体取决于该SA中使用的IPSec变换中的两个中的哪一个。
注意:尽管IPSec变换可以包括ESP协议,AH协议或ESP和AH协议,但可能没有必要打开防火墙配置以允许它们。图4 - 6假设所有远程网络都使用ESP和AH协议。管理员应该验证在IPsec转换中选择的协议,因为可能不需要允许这两个通过防火墙实现ESP和AH协议。
图4 - 6说明了一个防火墙IPsec VPN隧道部署,其中隧道是从一个中央的、有防火墙的聚合站点构建到较小的远程位置。
IPsec通过防火墙的VPN流量
示例4-33提供了用于启用IPSec隧道的防火墙ACL配置,以在Campus_Net和Remote_Nets A,B和C之间构建图4 - 6.
example4 -33防火墙加密流量配置图4 - 6
DMZ-PIX-MAIN(配置)#显示访问列表101访问列表101;9元素访问列表101年1号线允许udp主机160.1.0.2主机201.1.1.1 eq isakmp访问列表101年第2行允许udp主机160.1.0.2 eq isakmp主机201.1.1.1访问列表101年第3行允许esp主机160.1.0.2主机201.1.1.1访问列表101年第3行允许啊主机160.1.0.2主机201.1.1.1访问列表101年4号线允许udp主机160.1.0.6主机201.1.1.1情商isakmp访问列表101年第5行允许udp主机160.1.0.6 eq isakmp主机201.1.1.1访问列表101年第6行允许esp主机160.1.0.6主机201.1.1.1访问列表101年第3行允许啊主机160.1.0.2主机201.1.1.1访问列表101年第7行允许udp主机160.1.0.10主机201.1.1.1 eq isakmp访问列表101年第8行允许udp主机160.1.0.10 eq isakmp主机201.1.1.1 access-list 101 line 9 permit esp host 160.1.0.10 host 201.1.1.1 access-list 101 line 3 permit ah host 160.1.0.2 host 201.1.1.1 DMZ-PIX-MAIN(config)#显示访问组在外部接口中访问组101
防火墙对IPsec分片报文的处理
除了确保允许通过防火墙进行交流的适当的协议外,网络设计人员还应考虑到防火墙处理碎片数据包的方式呈现的设计考虑因素至关重要。当IPSec数据包分段时,与防火墙的过滤决定相关的信息,例如在第3层和4个标题中找到的数据,在非初始碎片中被遮挡。
注意:对于分片报文,必须先对所有分片报文进行解密,才能进行重组。这种行为会绕过加密硬件交换路径,导致IPsec网络性能下降。因此,在IPsec设计中考虑到分段问题是至关重要的。在本章的后面,我们将讨论IPsec MTU和分片问题以及IPsec网络中分片处理的可用解决方案(虚拟分片重组、IPsec预分片和路径MTU发现)。
因此,防火墙可能会允许片段不经过检查就通过,如图4 - 7.
IPsec网络中的防火墙分片处理
默认情况下,Cisco PIX防火墙被配置为检测何时收到了分片包,并对初始分片和所有非初始分片做出过滤决定没有实际上是重新组装这个包。这个特性被称为虚拟碎片重新组装.虚拟分片重组为防火墙提供了对分片进行过滤的能力,而不必对分片链中的每个包进行解密。虚拟分片重组确实会消耗防火墙上的计算资源,但在必须对非初始的IPsec包分片进行过滤决策时,它提供了一个理想的解决方案。