CCIE安全:使用加密地图进行故障排除网站到站点IPSec VPN

在此帖子中,我们将使用调试命令进行VPN进行故障排除。这对读出这一点的人特别有用,这只能访问VPN的一侧或者将VPN与第三方。我希望这可以留下来自我的ASA和iOS站点到网站的单独的帖子,因为对路由器或ASA几乎完全是完全的标识,所以我想将故障排除结合到单个帖子。 

 

通过成功的IPsec VPN创作行走

我要开始了 调试加密isakmp. 命令并穿过成功的Isakmp Sa创作。这是我发出的 清除加密会话 命令并从一侧到另一侧ping主机。

从一开始,我们看到启动器开始准备将SA建立到另一个对等体(2.2.2.1)。输出指出源/目标端口将是500(众所周知的UDP),并且它无法启动攻击模式,因为它未配置为才能使用主模式。下一个状态,它发现了一个针对对等人本地配置的预先分配的密钥(Crypto Isakmp键Cisco123 PEER 2.2.2.1)。此时,主模式尚未启动,

之后,我们将看到主模式开始。这是参数协商将开始的位置:

然后将MM#3和#4作为Diffie-Hellman Exchange的一部分进行处理,如果您将从突出显示的部分中注意到,NAT-T在检测到同行之间没有NAT的作业进行了作业。 

主模式将以MM#5和#6包装,其中预共享密钥用于互相认证,发送ID S是共享的,等

第1阶段现已完成,阶段2将开始。输出将让您知道快速模式开始。 您可以看到从IPSec提案中发送的第一个快速模式消息(Crypto IPSec Transform-Set Tset ESP-AES 256 ESP-SHA512-HMAC). 

对等体将回复与所选提案和代理ID的回复。

然后,发起者将最终快速模式消息发送为最终确认。此时,调试输出将指示阶段2已完成。 

有意义,对吗?由于此帖子的名称有“故障排除”,让我们打破一些东西来看看它看起来像什么。 

笔记:  在排除站点到站点VPN时,总有一面发送第一个数据包。这一过程由需要向另一侧发送流量的第一方开始。该对等体称为发起者。在IKE过程中,响应者总是有点细节。如果您需要对VPN未提出的原因进行故障排除,良好的练习可能是清除加密会话,然后让对方启动交通如果找到自己是启动器。 出于教育目的,我将在vpn从两侧失败时走过它看起来的样子。

故障排除阶段1

对于本节,我将对远程对等体的ISAKMP策略进行一些更改,并通过发出来清除Crypto Session 清除加密会话 命令。当我们清除会话后我们进行调试时,应该反映我所做的更改。 

ISAKMP策略排除故障排除

来自初始员,  当初始ISAKMP策略参数协商失败时,这就是如此:

由于可以从上面的输出中看到,因此它永远不会使其通过MM#1和#2交换,并且拒绝ISAKMP策略。此时,可能会在以下原因之一中展开它:

  • 加密不匹配
  • 哈希不匹配
  • Diffie-Hellman集团不匹配
  • 身份验证类型不匹配

如果这就是你可以看到的,你不能让另一方与你进行故障排除,或者让它们启动流量,以便您将输出视为响应者,然后我将拥有上面的另一侧验证。如果你的身边是响应者,那么让我们挖掘它可能的条件。

在响应者方面,调试输出实际上会指定究竟是什么错误。以下是我破坏的各种配置的以下输出:

 

  • ISAKMP政策中的不匹配加密

  • ISAKMP政策中的不匹配哈希算法

 

  • ISAKMP政策中的Mismatch Diffie-Hellman集团

 

  • ISAKMP策略中的不匹配身份验证类型

 

  • ISAKMP策略中的不匹配身份验证类型

 

现在让我们来看看isakmp策略匹配时会发生什么,并且定义了isakmp对等体,但预共享密钥是错误的。

从初始化的一侧,一切都看起来正确 直到 您可以获得MM#5,在那里对等体进行身份验证,它将失败。从发起者端,您将看到初始授权器准备发送MM#5,它将自身对对等体进行身份验证,并且它将显然失败并启动重新传输直到它超时。

如果它在这一点上失败, 它非常可能存在一个关键不匹配 Crypto Isakmp钥匙 <key>  地址 <peer-address>配置。该命令必须存在于配置中,以便超出初始MM#1和MM#2消息,但是由于MM#5和MM#6是对等体使用该键彼此进行身份验证的地方,因此在不匹配的位置钥匙将失败。

在响应者方面,调试更清晰,并显示MM#4完成后的密钥交换失败,并且MM#5应该从MM_KEY_EXCH开始

 

故障排除阶段2

现在we're going to jump into Phase 2 troubleshooting. 

我要改变我的IPsec变换集,让它失败。通过更改变换集,我应该看到主模式交换完成和阶段2开始。从Intiant,您应该看到QM#2上的快速模式失败,其中没有选择任何提案:

在响应者方面,我们可以更详细地看到一些细节。在这方面 示例,我将响应者更改为eSP-3DES而不是像对方一样的ESP-AES配置为使用,我正在使用 调试加密IPsec. 生成以下输出。

 

这是非常直观的吗?让我们尝试不同的东西。让我们关掉ISAKMP调试和使用 调试加密IPsec. 并尝试再次这样做:

更好,对吗?此数据从响应者闪烁,遗憾的是,不幸的是在启动器的调试中不会显示,但如上所述,您可以轻松翻转启动器在何时进行故障排除站点IPSec VPN时翻转脚本。

如果我将加密恢复到之前的内容并将哈希更改为eSP-MD5-HMAC在响应者上,则可以再次看到HMAC-SHA512由初始化者提供并由响应者拒绝:

当我使用模式传输配置响应者时,同样的情况是,另一个对等体是用于IPSec的模式隧道。正如您所看到的,发起者正在提供隧道,并且响应者从响应者那里拒绝它在此调试中:

现在 我将在加密地图中胖手指对等体IP地址,看看会发生什么: 

正如您所看到的,在响应者的加密地图中找不到对等地址,并被拒绝。 

现在让我们说我搞砸了并将错误的ACL放在加密地图中,或者不要将一个与流量相匹配的流量从一侧到另一侧。在响应者上,它将明确说明代理ID是不支持的:

 

有了这个,我将继续前进并包装这个博文!