Experimento CCNP (ISCW): utilice SDM para configurar IPSEC de sitio a sitio ***

Descripción del experimento:

1. Utilice Fast Ethernet para conectarse entre R1 y R2.
2. 1.1.1.1/24 en R1 quiere comunicarse con la red 2.2.2.2/24 en R2 a través de ipsec ***
3. Usar la configuración de clave previamente compartida
4. Configurar usando SDM

procedimiento de experimento:

第一步 ： 配置 R1 支持 SDM
R1 (config) #username admin privilege 15 password admin
R1 (config) #line vty 0 4
R1 (config-line) #login local
R1 (config-line) #exi
R1 (config) # ip servidor http
R1 (config) #ip http servidor seguro
R1 (config) #ip http autenticación local
R1 (config) #int e1 / 0
R1 (config-if) #ip add 192.168.1.2 255.255.255.0
R1 (config- if) #no sh
R1 (config-if) #int e0 / 0
R1 (config-if) #ip agregar 200.1.1.1 255.255.255.0

第二步 ： 配置 R2 支持 SDM
R2 (config) #username admin pri 15 pass admin
R2 (config) #ip http server
R2 (config) #ip http secure-server
R2 (config) #ip http authentication local
R2 (config- if) #int e0 / 0
R2 (config-if) #ip agregar 200.1.1.2 255.255.255.0
R2 (config-if) #no sh
R2 (config-if) #int e1 / 0
R2 (config-if) #ip agregar 192.168.1.3 255.255.255.0

Paso 3: Use SDM para iniciar sesión en R1 e iniciar la configuración

Paso 4: Ingrese la contraseña de autenticación http

Paso 5: el icono es el siguiente después de iniciar sesión

Paso 6: crear una dirección de loopback

Paso 7: ingrese la dirección de loopback

Paso 8: Seleccione *** - punto a punto *** - crear punto a punto *** --- iniciar la tarea seleccionada

Paso 9: guía paso a paso

Paso 10: Seleccione la interfaz a la que está conectada la VPN, ingrese la dirección IP del par VPN y la clave compartida.

Paso 11: Aquí la política IKE selecciona la política predeterminada

Paso 12: seleccione el conjunto de transformación predeterminado en el conjunto de transformación

Paso 13: Defina en la secuencia de interés, seleccione

Paso 14: seleccione Agregar en Agregar regla

Paso 15: en el elemento Agregar regla de extensión,

Paso 16: Después de confirmar que es correcto, haga clic en Finalizar

Paso 17: show run puede ver la información recién configurada
lista de acceso 100 comentario ***
icmp lista de acceso 100 comentario SDM_ACL Categoría = 4
lista de acceso 100 comentario icmp lista de
acceso 100 permiso icmp host 1.1.1.1 host 2.2. 2.2 registro de errores de conversión

crypto isakmp policy 1
encr 3des
autenticación pre-share
group 2
crypto isakmp key cisco address 200.1.1.2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
mapa criptográfico SDM_CMAP_1 1 ipsec-isakmp
descripción Tunnel to200.1.1.2
set peer 200.1.1.2
set transform-set ESP-3DES-SHA
match address 100

Paso 18: agregue una ruta estática en el R1

Paso 19: Configure R2 de la misma manera
. Paso 20: Pruebe el efecto
R1 # ping 2.2.2.2 sou 1.1.1.1
// Puede hacer ping
Escriba la secuencia de escape para abortar en SDM aquí .
Enviando 5 ecos ICMP de 100 bytes a 2.2.2.2, el tiempo de espera es de 2 segundos:
paquete enviado con una dirección de origen de 1.1.1.1

1 de marzo 00: 10: 33.971: IPSEC (sa_request):,
(key eng. Msg.) OUTBOUND local = 200.1.1.1, remoto = 200.1.1.2,
local_proxy = 1.1.1.1/255.255.255.255/1/0 (tipo = 1),
remote_proxy = 2.2.2.2/255.255.255.255/1/0 (tipo = 1),
protocolo = ESP, transform = esp-3des esp-sha-hmac (túnel),
lifedur = 3600s y 4608000kb,
spi = 0x6577E2C8 ( 1702355656), conn_id = 0, keysize = 0, flags = 0x400A
1 de marzo 00: 10: 33.975: ISAKMP: mensaje ke recibido (1/1)
1 de marzo 00: 10: 33.975: ISAKMP (0: 0): perfil de solicitud de SA es (NULO)
1 de marzo 00: 10: 33.975: ISAKMP: puerto local 500, puerto remoto 500
1 de marzo 00: 10: 33.979: ISAKMP: establece el nuevo nodo 0 en QM_IDLE
1 de marzo 00: 10: 33.979: ISAKMP: inserta sa correctamente sa = 63A8BC8C
1 de marzo 00: 10: 33.979: ISAKMP (0: 1): No se puede iniciar el modo agresivo, probando el modo principal.
1 de marzo 00: 10: 33.979: ISAKMP: Buscando una clave coincidente para 200.1.1.2 en forma predeterminada: éxito
1 de marzo 00: 10: 33.979: ISAKMP (0: 1): coincidencia de clave precompartida de pares encontrados 200.1.1.2
1 de marzo 00: 10: 33.983: ISAKMP (0: 1): ID de proveedor NAT-T construido-07
1 de marzo 00: 10: 33.983: ISAKMP (0: 1): ID de proveedor 03 NAT-T construido
1 de marzo 00:10: 33.983: ISAKMP (0: 1): ID de proveedor 02 de NAT-T construido
1 de marzo 00: 10: 33.983: ISAKMP (0: 1): Entrada = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
1 de marzo 00: 10: 33.983: ISAKMP (0: 1 ): Estado anterior = IKE_READY Estado nuevo = IKE_I_MM1

1 de marzo 00: 10: 33.983: ISAKMP (0: 1): inicio del intercambio de modo principal
1 de marzo 00: 10: 33.983: ISAKMP (0: 1): envío de paquetes a 200.1.1.2 my_port 500 peer_port 500 (I) MM_NO_STATE
1 de marzo 00: 10: 34.183: ISAKMP (0: 1): paquete recibido de 200.1.1.2 dport 500 sport 500 Global (I) MM_NO_STATE
1 de marzo 00: 10: 34.187: ISAKMP (0: 1): Entrada = IKE_MESG_FROM_PEER, IKE_MM_EXCH
* Mar 1 00: 10: 34.187: ISAKMP (0: 1): Estado anterior = IKE_I_MM1 Estado nuevo = IKE_I_MM2

1 de marzo 00: 10: 34.191: ISAKMP (0: 1): procesando la carga útil de SA. ID de mensaje = 0
1 de marzo 00: 10: 34.191: ISAKMP (0: 1): procesando la carga útil de identificación del proveedor
1 de marzo 00: 10: 34.191: ISAKMP (0: 1): la identificación del proveedor parece Unity / DPD pero. !!!!
La tasa de éxito es del 80 por ciento (4/5), ida y vuelta min / avg / max = 28/47/84 ms
R1 # principal 245 desajuste
1 de marzo 00: 10: 34.191: ISAKMP (0: 1): el ID del proveedor es NAT -T v7
1 de marzo 00: 10: 34.191: ISAKMP: Buscando una clave coincidente para 200.1.1.2 de forma predeterminada: éxito
1 de marzo 00: 10: 34.191: ISAKMP (0: 1): se encontró una clave precompartida de pares que coincide con 200.1. 1.2
1 de marzo 00: 10: 34.191: ISAKMP (0: 1) clave local
previamente compartida encontrada 1 de marzo 00: 10: 34.195: ISAKMP: Perfiles de exploración para xauth ...
1 de marzo 00: 10: 34.195: ISAKMP (0: 1): Comprobación de la transformación 1 de ISAKMP con la política de prioridad 1 1 de
marzo 00: 10: 34.195: ISAKMP: cifrado 3DES-CBC
1 de marzo 00: 10: 34.195: ISAKMP: hash SHA
Mar 1 00: 10: 34.195: ISAKMP: grupo predeterminado 2
1 de marzo 00: 10: 34.195: ISAKMP: auth pre-share
1 de marzo 00: 10: 34.195: ISAKMP: tipo de vida en segundos
1 de marzo 00: 10: 34.195: ISAKMP: duración de vida (VPI) de 0x0 0x1 0x51 0x80
1 de marzo 00: 10: 34.199: ISAKMP (0: 1): att son aceptables. La siguiente carga útil es 0
1 de marzo 00: 10: 34.263: ISAKMP (0: 1): procesando la carga útil de identificación del proveedor
1 de marzo 00: 10: 34.263: ISAKMP (0: 1): La identificación del proveedor
R1 # parece Unity / DPD pero una falta de coincidencia importante 245
1 de marzo 00: 10: 34.263: ISAKMP (0: 1): el ID del proveedor es NAT-T v7
1 de marzo 00: 10: 34.263: ISAKMP (0: 1): Entrada = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
* 1 de marzo 00: 10: 34.263: ISAKMP (0: 1): Estado anterior = IKE_I_MM2 Estado nuevo = IKE_I_MM2

1 de marzo 00: 10: 34.267: ISAKMP (0: 1): envío de paquetes a 200.1.1.2 my_port 500 peer_port 500 (I) MM_SA_SETUP
1 de marzo 00: 10: 34.271: ISAKMP (0: 1): Entrada = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
* 1 de marzo 00: 10: 34.271: ISAKMP (0: 1): Estado anterior = IKE_I_MM2 Estado nuevo = IKE_I_MM3

1 de marzo 00: 10: 34.403: ISAKMP (0: 1): paquete recibido de 200.1.1.2 dport 500 sport 500 Global (I) MM_SA_SETUP
1 de marzo 00: 10: 34.407: ISAKMP (0: 1): Entrada = IKE_MESG_FROM_PEER, IKE_MM_EXCH
* 1 de marzo 00: 10: 34.407: ISAKMP (0: 1): Estado anterior = IKE_I_MM3 Estado nuevo = IKE_I_MM4

1 de marzo 00: 10: 34.407: ISAKMP (0: 1): procesando la carga útil de KE. ID de mensaje = 0
1 de marzo 00: 10: 34.475: ISAKMP (0: 1): procesando la carga útil NONCE. ID de mensaje = 0
1 de marzo 00: 10: 34.475: ISA
R1 # KMP: Buscando una clave coincidente para 200.1.1.2 en forma predeterminada: éxito
1 de marzo 00: 10: 34.475: ISAKMP (0: 1): par encontrado previamente compartido coincidencia de claves 200.1.1.2
1 de marzo 00: 10: 34.483: ISAKMP (0: 1): Estado SKEYID generado el
1 de marzo 00: 10: 34.483: ISAKMP (0: 1): procesando la carga útil de identificación del proveedor
1 de marzo 00: 10: 34.483: ISAKMP (0: 1): la identificación del proveedor es Unity
1 de marzo 00: 10: 34.483: ISAKMP (0: 1): procesando la carga útil de la identificación del proveedor
1 de marzo 00: 10: 34.483: ISAKMP (0: 1): la identificación del proveedor es DPD
Mar 1 00: 10: 34.487: ISAKMP (0: 1): procesamiento de la carga útil de identificación del proveedor
1 de marzo 00: 10: 34.487: ISAKMP (0: 1): ¡hablando con otra caja IOS!
1 de marzo 00: 10: 34.487: ISAKMP (0: 1): Entrada = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
* 1 de marzo 00: 10: 34.487: ISAKMP (0: 1): Estado anterior = IKE_I_MM4 Estado nuevo = IKE_I_MM4

1 de marzo 00: 10: 34.487: ISAKMP (0: 1): Enviar contacto inicial
1 de marzo 00: 10: 34.487: ISAKMP (0: 1): SA realiza la autenticación de clave precompartida utilizando el tipo de identificación ID_IPV4_ADDR
1 de marzo 00:10 : 34.487: ISAKMP (0: 1): carga útil de ID
next-payload: 8
tipo
R1 #: 1
dirección: 200.1.1.1
protocolo: 17
puerto: 500
longitud: 12 de
marzo 1 00: 10: 34.487: ISAKMP (1): total longitud de carga útil: 12 de
marzo 1 00: 10: 34.487: ISAKMP (0: 1): envío de paquetes a 200.1.1.2 my_port 500 peer_port 500 (I) MM_KEY_EXCH
1 de marzo 00: 10: 34.487: ISAKMP (0: 1): Entrada = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
* 1 de marzo 00: 10: 34.487: ISAKMP (0: 1): Estado anterior = IKE_I_MM4 Estado nuevo = IKE_I_MM5

1 de marzo 00: 10: 34.575: ISAKMP (0: 1): paquete recibido de 200.1.1.2 dport 500 sport 500 Global (I) MM_KEY_EXCH
1 de marzo 00: 10: 34.579: ISAKMP (0: 1): carga útil de identificación de procesamiento. ID de mensaje = 0
1 de marzo 00: 10: 34.579: ISAKMP (0: 1): carga útil de ID
siguiente carga útil: 8
tipo: 1
dirección: 200.1.1.2
protocolo: 17
puerto: 500
longitud: 12 de
marzo 1 00: 10: 34.579 : ISAKMP (0: 1): procesando la carga útil HASH. ID de mensaje = 0
1 de marzo 00: 10: 34.583: ISAKMP (0: 1): Estado de autenticación de SA:
autenticado
1 de marzo 00: 10: 34.583: ISAKMP (0: 1): SA ha
R1 # s ha sido autenticado con 200.1.1.2
1 de marzo 00: 10: 34.583: ISAKMP (0: 1): el par no coincide con ninguno de los perfiles
1 de marzo 00: 10: 34.583: ISAKMP (0: 1): Entrada = IKE_MESG_FROM_PEER, IKE_MM_EXCH
* 1 de marzo 00: 10: 34.587: ISAKMP (0: 1): Estado anterior = IKE_I_MM5 Estado nuevo = IKE_I_MM6

1 de marzo 00: 10: 34.587: ISAKMP (0: 1): Entrada = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
1 de marzo 00: 10: 34.587: ISAKMP (0: 1): Estado anterior = IKE_I_MM6 Estado nuevo = IKE_I_MM6

1 de marzo 00: 10: 34.591: ISAKMP (0: 1): Entrada = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
1 de marzo 00: 10: 34.591: ISAKMP (0: 1): Estado anterior = IKE_I_MM6 Estado nuevo = IKE_P1_COMPLETE

1 de marzo 00: 10: 34.595: ISAKMP (0: 1): inicio del intercambio de modo rápido, M-ID de -1228454044
1 de marzo 00: 10: 34.599: ISAKMP (0: 1): envío de paquetes a 200.1.1.2 my_port 500 peer_port 500 (I) QM_IDLE
1 de marzo 00: 10: 34.599: ISAKMP (0: 1): Nodo -1228454044, Entrada = IKE_MESG_INTERNAL, IKE_INIT_QM
1 de marzo 00: 10: 34.603: ISAKMP (0: 1): Estado anterior = IKE_QM_READY Nuevo estado = IKE_QM_I_QM1

R1 # 1 de marzo 00: 10: 34.603: ISAKMP (0: 1): Entrada = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
1 de marzo 00: 10: 34.603: ISAKMP (0: 1): Estado anterior = IKE_P1_COM_COMPLETE Estado nuevo

1 de marzo 00: 10: 34.979: ISAKMP (0: 1): paquete recibido de 200.1.1.2 dport 500 sport 500 Global (I) QM_IDLE
1 de marzo 00: 10: 34.983: ISAKMP (0: 1): procesando la carga útil HASH. ID de mensaje = -1228454044
1 de marzo 00: 10: 34.987: ISAKMP (0: 1): procesando la carga útil de SA. ID de mensaje = -1228454044
1 de marzo 00: 10: 34.987: ISAKMP (0: 1): Comprobación de la propuesta de IPSec 1 de
marzo 00: 10: 34.987: ISAKMP: transform 1, ESP_3DES
1 de marzo 00: 10: 34.987: ISAKMP: atributos en transform:
1 de marzo 00: 10: 34.987: ISAKMP: encaps es 1 (túnel)
1 de marzo 00: 10: 34.987: ISAKMP: Tipo de vida de SA en segundos
1 de marzo 00: 10: 34.987: ISAKMP: Duración de vida de SA (básica) de 3600
1 de marzo 00: 10: 34.987: ISAKMP: Tipo de vida de SA en kilobytes
1 de marzo 00: 10: 34.991: ISAKMP: Duración de vida de SA (VPI) de 0x0 0x46 0x50 0x0
1 de marzo 00: 10: 34.991: ISAKMP:
el autenticador R1 # es HMAC-SHA
1 de marzo 00: 10: 34.991: ISAKMP (0: 1): los atts son aceptables.
1 de marzo 00: 10: 34.991: IPSEC (validate_proposal_request): parte de la propuesta n. ° 1,
(mensaje clave de ing.) INBOUND local = 200.1.1.1, remoto = 200.1.1.2,
local_proxy = 1.1.1.1/255.255.255.255/1/ 0 (tipo = 1),
remote_proxy = 2.2.2.2/255.255.255.255/1/0 (tipo = 1),
protocolo = ESP, transform = esp-3des esp-sha-hmac (Tunnel),
lifedur = 0s y 0kb,
spi = 0x0 (0), conn_id = 0, keysize = 0, flags = 0x2
1 de marzo 00: 10: 34.995: IPSEC (kei_proxy): head = SDM_CMAP_1, map-> ivrf =, kei-> ivrf =
1 de marzo 00: 10: 34.999: ISAKMP (0: 1): procesando la carga útil NONCE. ID de mensaje = -1228454044
1 de marzo 00: 10: 34.999: ISAKMP (0: 1): carga útil de ID de procesamiento. ID de mensaje = -1228454044
1 de marzo 00: 10: 34.999: ISAKMP (0: 1): carga útil de ID de procesamiento. ID de mensaje = -1228454044
1 de marzo 00: 10: 35.011: ISAKMP (0: 1): Creación de SA IPSec
1 de marzo 00: 10: 35.011: SA entrante de 200.1.1.2 a 200.1.1.1 (f / i) 0/0
( proxy 2.2.2.2 a 1
R1 # .1.1.1)
1 de marzo 00: 10: 35.011: tiene spi 0x6577E2C8 y conn_id 2000 y marca 2
1 de marzo 00: 10: 35.011: vida útil de 3600 segundos
1 de marzo 00: 10: 35.011: vida útil de 4608000 kilobytes
1 de marzo 00: 10: 35.015: tiene indicadores de cliente 0x0
1 de marzo 00: 10: 35.015: SA saliente de 200.1.1.1 a 200.1.1.2 (f / i) 0/0 (proxy 1.1.1.1 a 2.2. 2.2)
1 de marzo 00: 10: 35.015: tiene spi 561929564 y conn_id 2001 y marca A
1 de marzo 00: 10: 35.015: vida útil de 3600 segundos
1 de marzo 00: 10: 35.015: vida útil de 4608000 kilobytes
1 de marzo 00: 10: 35.015: tiene marcas de cliente 0x0
1 de marzo 00: 10: 35.019: ISAKMP (0: 1) : enviando paquete a 200.1.1.2 my_port 500 peer_port 500 (I) QM_IDLE
1 de marzo 00: 10: 35.019: ISAKMP (0: 1): borrando el nodo -1228454044 error FALSO motivo ""
1 de marzo 00: 10: 35.019: ISAKMP (0 : 1): Nodo -1228454044, Entrada = IKE_MESG_FROM_PEER, IKE_QM_EXCH
1 de marzo 00: 10: 35.019: ISAKMP (0: 1): Estado antiguo = IKE_QM_I_QM1 Nuevo St
R1 # ate = IKE_QM_PHASE2_COMPLETE 35.0_23
: 10: ): obtuvo un evento de cola ...
1 de marzo 00: 10: 35.023: IPSEC (initialize_sas):,
(key eng. msg.) INBOUND local = 200.1.1.1, remote = 200.1.1.2,
local_proxy = 1.1.1.1/0.0.0.0/1/0 (tipo = 1),
remote_proxy = 2.2.2.2/0.0.0.0/1/0 (tipo = 1),
protocolo = ESP, transform = esp-3des esp-sha -hmac (Túnel),
lifedur = 3600s y 4608000kb,
spi = 0x6577E2C8 (1702355656), conn_id = 2000, keysize = 0, flags = 0x2
1 de marzo 00: 10: 35.023: IPSEC (initialize_sas):,
(clave eng. msg. ) SALIDA local = 200.1.1.1, remoto = 200.1.1.2,
local_proxy = 1.1.1.1/0.0.0.0/1/0 (tipo = 1),
remoto_proxy = 2.2.2.2/0.0.0.0/1/0 (tipo = 1 ),
protocol = ESP, transform = esp-3des esp-sha-hmac (Tunnel),
lifedur = 3600s and 4608000kb,
spi = 0x217E5D5C (561929564), conn_id = 2001, keysize = 0, flags = 0xA
1 de marzo 00:10: 35.027: IPSEC (kei_proxy): cabeza = SDM_CMAP_1, mapa-> ivrf =, kei-> ivrf =
1 de marzo 00: 10: 35.031: IPSEC (crypto_ipsec_sa_find_id
R1 # ent_head): reconectando con los mismos proxies y 200.1.1.2
* 1 de marzo 00: 10: 35.031: IPSEC (agregar mtree): src 1.1.1.1, dest 2.2.2.2, dest_port 0

1 de marzo 00: 10: 35.031: IPSEC (create_sa): sa creado,
(sa) sa_dest = 200.1.1.1, sa_prot = 50,
sa_spi = 0x6577E2C8 (1702355656),
sa_trans = esp-3des esp-sha-hmac, sa_conn_id = 2000
1 de marzo 00: 10: 35.035: IPSEC (create_sa): sa creado,
(sa) sa_dest = 200.1.1.2, sa_prot = 50,
sa_spi = 0x217E5D5C (561929564),
sa_trans = esp-3des esp-sha-hmac, sa_conn_id = 2001