Differences

This shows you the differences between two versions of the page.

--- informatique:cisco:ipsec [2011/03/02 20:15] – édition externe 127.0.0.1
+++ informatique:cisco:ipsec [2013/04/10 10:02] – [Définition de la crypto map] pteu
@@ Line 112: / Line 112: @@
 ====Définition de la crypto map====
-Définition du ''tranform-set'' qui spécifie la politique de sécurité d'IPsec (algorithme de chiffrement + d'authentification) :
+Définition du ''transform-set'' qui spécifie la politique de sécurité d'IPsec (algorithme de chiffrement + d'authentification + mode IPSec (transport ou tunnel, tunnel par défaut)) :
-  crypto ipsec transform-set Aes_sha
+<code bash>
-   esp-aes 128 esp-sha-hmac
+crypto ipsec transform-set Aes_sha
+ esp-aes 128 esp-sha-hmac
+ mode transport
+</code>
-Crypto map = associer un transform-set à un peer et à une ACL (cf plus bas) :
+Définition de la crypto map = associer un transform-set à un peer et à une ACL (cf plus bas) :
-  crypto map VPN_To_R2 10 ipsec-isakmp
+<code bash>
-   set peer 172.16.171.2
+crypto map VPN_To_R2 10 ipsec-isakmp
-   match address 101
+ set peer 172.16.171.2
-   set transform-set Aes_sha
+ match address 101
+ set transform-set Aes_sha
+ set pfs group2
+</code>
 Définition de l'access-list qui spécifie quel trafic sera envoyé dans le tunnel.
-  access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
+<code bash>
+access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
+</code>
 ====Appliquer la crypto map sur une interface====
@@ Line 257: / Line 265: @@
      remote-ip 10.1.1.2
+====Accélération matérielle====
+Sur certains châssis on peut utiliser des modules d'accélération hardware ; c'est le cas des cartes AIM sur les châssis 3825 ou des carte SPA pour les châssis 650X. Dans ce dernier exemple si on utilise des tunnels GRE + IPsec il peut être intéressant dans certains cas de forcer la prise en charge des tunnels GRE chiffrés par la carte supervisor :
+<code bash>
+! prise en charge de la crypto par la carte SPA
+crypto engine gre vpnblade
+!
+! prise en charge par la carte supervisor
+crypto engine gre supervisor
+</code>
 =====Vérifs=====
@@ Line 266: / Line 285: @@
   show crypto engine connection active
-====Etat des tunnels====
+====État des tunnels====
-<code>
+<code bash>
-sh crypto session
+show crypto session
 Crypto session current status
@@ Line 291: / Line 310: @@
 |DOWN            |None           |None (flow exists)|
 |DOWN            |None           |None (no flow)|
+Plus de détails : on précise l'adresse ip du peer pour n'afficher que son tunnel ; on récupère avec cette commande le mode IPSec (tunnel ou transport), les compteurs in/out, les SAs, etc.
+<code bash>
+Router1#show crypto ipsec sa peer 10.1.1.1
+interface: Vlan2784
+    Crypto map tag: cm100, local addr 10.0.0.1
+   protected vrf: (none)
+   local  ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/47/0)
+   remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/47/0)
+   current_peer 10.1.1.1 port 500
+     PERMIT, flags={origin_is_acl,}
+    #pkts encaps: 2949679701, #pkts encrypt: 2949679701, #pkts digest: 2949679701
+    #pkts decaps: 1599171374, #pkts decrypt: 1599171374, #pkts verify: 1599171374
+    #pkts compressed: 0, #pkts decompressed: 0
+    #pkts not compressed: 0, #pkts compr. failed: 0
+    #pkts not decompressed: 0, #pkts decompress failed: 0
+    #send errors 0, #recv errors 0
+     local crypto endpt.: 10.0.0.1, remote crypto endpt.: 10.1.1.1
+     path mtu 1500, ip mtu 1500
+     current outbound spi: 0xDA4B403D(3662364733)
+     PFS (Y/N): Y, DH group: group5
+     inbound esp sas:
+      spi: 0x3988518B(965235083)
+        transform: esp-3des esp-sha-hmac ,
+        in use settings ={Tunnel, }
+        conn id: 8079, flow_id: :6079, sibling flags 80000240,  crypto map: cm100
+        sa timing: remaining key lifetime (k/sec): (911080/3215)
+        IV size: 8 bytes
+        replay detection support: N
+        Status: ACTIVE
+     inbound ah sas:
+     inbound pcp sas:
+     outbound esp sas:
+      spi: 0xDA4B403D(3662364733)
+        transform: esp-3des esp-sha-hmac ,
+        in use settings ={Tunnel, }
+        conn id: 8080, flow_id: :6080, sibling flags 80000240,  crypto map: cm100
+        sa timing: remaining key lifetime (k/sec): (3101942/3215)
+        IV size: 8 bytes
+        replay detection support: N
+        Status: ACTIVE
+     outbound ah sas:
+     outbound pcp sas:
+</code>
+Autres commandes, en vrac :
+<code bash>
+show crypto engine accel stat slot x/y detail et/ou
+show crypto ipsec sa
+!
+show crypto ace polo detail
+show int tunnel351 stats
+show crypto vlan
+show crypto engine accelerator statistic all
+show ip int tu351
+!
+clear crypto engine accelerator counter all
+clear crypto session local 10.4.101.97
+</code>
 ====Renégocier un tunnel spécifique====
@@ Line 315: / Line 403: @@
   * [[http://www.cisco.com/en/US/docs/ios/12_3t/secur/command/reference/sec_s2gt.html|Security Commands: show crypto isakmp key through subject-name]]
+En vrac, des liens destinés à comprendre et debugger l'IPSec :
+  * [[http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftprefrg.html|Pre-fragmentation For Ipsec VPNs]]
+  * [[http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html|IPSec Virtual Tunnel Interface]]
+  * [[http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_dmvpn/configuration/xe-3s/Sharing_IPSec_with_Tunnel_Protection.html|Sharing IPSec with Tunnel Protection]]
+  * [[http://www.cisco.com/en/US/docs/interfaces_modules/shared_port_adapters/configuration/6500series/76ovwvpn.html|Overview of the IPsec VPN SPA]]
+  * [[http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml|Resolve IP Fragmentation, MTU, MSS, and PMTUD Issues with GRE and IPSEC]] (white paper)
+  * [[http://www.cisco.com/en/US/docs/interfaces_modules/shared_port_adapters/configuration/6500series/76cfvpnb.html|Configuring IPsec VPN Fragmentation and MTU]]
+  * [[http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/srfipsec.html|IPSec Network Security Commands]]