ASDM Book 3: Cisco ASA Series VPN ASDM Configriation Guide, 7.14 - Ike [Cisco Forphoemer] (2023)

Fremgangsmåte

I ASDM, velgKonfigurasjon> VPN> avansert> Ikeparameters nettsted-til-nettsted.

Nat gjennomsiktighet

• Aktiver IPsec over NAT-T

  IPsec over NAT-T lar IPSEC-jevnaldrende etablere både ekstern tilgang og LAN-til-LAN-tilkoblinger gjennom en NAT-enhet.Det gjør dette ved å innkapsling av IPsec -trafikk i UDP -datagrammer, ved å bruke port 4500, og dermed gi NAT -enheter portinformasjon.NAT-T auto-detekterer alle NAT-enheter, og innkapsler bare IPsec-trafikk når det er nødvendig.Denne funksjonen er aktivert som standard.

  • ASA kan samtidig støtte standard IPsec, IPsec over TCP, NAT-T og IPSEC over UDP, avhengig av klienten som den utveksler data med.

  • Når både NAT-T og IPSEC over UDP er aktivert, har NAT-T forrang.

  • Når det er aktivert, har IPsec over TCP forrang fremfor alle andre tilkoblingsmetoder.

  ASA-implementeringen av NAT-T støtter IPSEC-jevnaldrende bak en enkelt NAT/PAT-enhet som følger:

  • En LAN-til-LAN-tilkobling.

  • Enten en LAN-til-LAN-tilkobling eller flere eksterne tilgangsklienter, men ikke en blanding av begge deler.

  For å bruke NAT-T må du:

  • Opprett en ACL for grensesnittet du bruker til å åpne port 4500 (konfigurasjon> Brannmur> Tilgangsregler).

  • Aktiver IPsec over NAT-T i denne ruten.

  • På fragmenteringspolitikkparameteren i konfigurasjonen> VPN-sted-til-sted> avansert> IPSEC Prefragmentation Policies Pane, rediger grensesnittet du bruker for å aktivere IPSec pre-fragmentering.Når dette er konfigurert, er det fortsatt greit å la trafikken reise over NAT -enheter som ikke støtter IP -fragmentering;De hindrer ikke driften av NAT -enheter som gjør det.

• Aktiver IPsec over TCP

  IPsec over TCP gjør det mulig for en VPN -klient å operere i et miljø der standard ESP eller IKE ikke kan fungere, eller bare kan fungere med modifisering til eksisterende brannmurregler.IPsec over TCP omslutter både IKE- og IPSEC -protokollene i en TCP -pakke, og muliggjør sikker tunneling gjennom både NAT- og PAT -enheter og brannmurer.Denne funksjonen er deaktivert som standard.

  Merk	Denne funksjonen fungerer ikke med fullmaktsbaserte brannmurer.

  IPsec over TCP jobber med eksterne tilgangsklienter.Det fungerer på alle fysiske og VLAN -grensesnitt.Det er bare en klient til ASA -funksjonen.Det fungerer ikke for LAN-til-LAN-tilkoblinger.

  • ASA kan samtidig støtte standard IPsec, IPsec over TCP, NAT-Traversal og IPsec over UDP, avhengig av klienten som den utveksler data.

  • Når det er aktivert, har IPsec over TCP forrang fremfor alle andre tilkoblingsmetoder.

  Du aktiverer IPsec over TCP på både ASA og klienten den kobles til.

  Du kan aktivere IPsec over TCP for opptil 10 porter du spesifiserer.Hvis du skriver inn en kjent port, for eksempel port 80 (http) eller port 443 (https), viser systemet en advarsel om at protokollen tilknyttet den porten ikke lenger vil fungere.Konsekvensen er at du ikke lenger kan bruke en nettleser til å administrere ASA gjennom IKE-aktivert grensesnitt.For å løse dette problemet, konfigurer HTTP/HTTPS -ledelsen til forskjellige porter.

  Du må konfigurere TCP -port (er) på klienten så vel som på ASA.Klientkonfigurasjonen må inneholde minst en av portene du angir for ASA.

Identitet sendt til jevnaldrende

VelgIdentitetAt jevnaldrende vil bruke for å identifisere seg under IKE -forhandlinger:

Øktkontroll

• Deaktiver inngående aggressive modusforbindelser

  Fase 1 IKE -forhandlinger kan bruke enten hovedmodus eller aggressiv modus.Begge tilbyr de samme tjenestene, men aggressiv modus krever bare to utvekslinger mellom jevnaldrende, i stedet for tre.Aggressiv modus er raskere, men gir ikke identitetsbeskyttelse for de kommuniserende partene.Det er derfor nødvendig at de utveksler identifikasjonsinformasjon før de etablerer en sikker SA der de skal kryptere i dannelse.Denne funksjonen er deaktivert som standard.

• Varsle jevnaldrende før du kobler fra

  • Klient- eller LAN-til-LAN-økter kan bli droppet av flere grunner, for eksempel: en ASA-avslutning eller omstart, økt på tomgang, maksimal tilkoblingstid overskredet eller administratoravskjæring.

  • ASA kan varsle kvalifiserte jevnaldrende (i LAN-til-LAN-konfigurasjoner) om økter som er i ferd med å kobles fra, og det formidler dem grunnen til dem.Peer eller klient som mottar varselet avkoder årsaken og viser den i hendelsesloggen eller i en popup-rute.Denne funksjonen er deaktivert som standard.

  • Denne ruten lar deg aktivere funksjonen slik at ASA sender disse varslene, og formidler årsaken til frakoblingen.

  Kvalifiserte kunder og jevnaldrende inkluderer følgende:

  • Sikkerhetsapparater med varsler aktivert.

  • VPN -klienter som kjører 4.0 eller senere programvare (ingen konfigurasjon kreves).

• Vent til alle aktive økter frivillig avslutter før du starter på nytt

  Du kan planlegge en ASA -omstart bare når alle aktive økter har avsluttet frivillig.Denne funksjonen er deaktivert som standard.

• Antall SAS tillatt i forhandlinger for IKEV1

  Begrenser det maksimale antall SA -er som når som helst i forhandlinger.

Ike V2 spesifikke innstillinger

Ytterligere øktkontroller er tilgjengelige for IKE V2, som begrenser antall åpne SA -er.Som standard begrenser ikke ASA antallet Open SAS:

• Cookie Challenge - aktiverer ASA for å sende cookie -utfordringer til jevnaldrende enheter som svar på SA -startpakker.

  • % Terskel før innkommende SAS blir utfordret med informasjonskapsel-prosentandelen av den totale tillatte SAS for ASA som er involvert, som utløser cookie-utfordringer for eventuelle fremtidige SA-forhandlinger.Området er null til 100%.Standard er 50%.

• Antall tillatt SAS i forhandlinger - begrenser det maksimale antallet SAS som når som helst i forhandlinger.Hvis du brukes i forbindelse med Cookie Challenge, kan du konfigurere cookie Challenge-terskelen lavere enn denne grensen for en effektiv krysssjekk.

• Maksimalt antall SAS tillatt - begrens antall tillatte IKEV2 -tilkoblinger på ASA.Som standard er grensen det maksimale antall tilkoblinger som er spesifisert av lisensen.

• Gi beskjed til ugyldig velger - gjør det mulig for en administrator for å aktivere eller deaktivere sending av en IKE -varsel til jevnaldrende når en inngående pakke som mottas på en SA ikke samsvarer med trafikkvelgerne for den SA.Å sende denne varslingen er deaktivert som standard.

Forhindrer DOS -angrep med IKE V2 -spesifikke innstillinger

Du kan forhindre angrep fra benektelse (DOS) for IPsec IKEV2-tilkoblinger ved å konfigurere Cookie Challenge, som utfordrer identifiseringen av innkommende sikkerhetsforeninger (SAS), eller ved å begrense antall åpne SAS.Som standard begrenser ASA ikke antall åpne SA -er, og aldri utfordrer Cookie SAS.Du kan også begrense antallet SAS tillatte, som stopper ytterligere forbindelser fra å forhandle for å beskytte mot minne og/eller CPU-angrep som kake-utfordringsfunksjonen ikke kan være i stand til å hindre og beskytter de gjeldende tilkoblingene.

Med et DOS -angrep initierer en angriper angrepet når jevnaldrende enheten sender en SA -pakke og ASA sender svaret, men jevnaldrende enheten svarer ikke videre.Hvis peer -enheten gjør dette kontinuerlig, kan alle tillatte SA -forespørsler på ASA brukes til det slutter å svare.

Aktivering av en terskelprosent for utfordrende informasjonskapsler begrenser antallet åpne SA -forhandlinger.For eksempel, med standardinnstillingen på 50%, når 50% av den tillatte SA-er er involvert (åpen), utfordrer ASA-cookien eventuelle ekstra SA-pakker som kommer.For Cisco ASA 5585-X med 10000 tillatt IKEV2 SAS, etter at 5000 SA-er ble åpne, blir flere innkommende SA-er kakekrokket.

Hvis det brukes i forbindelse medAntall SAS tillatt i forhandlinger , eller det maksimale antallet SAS som er tillatt, konfigurer cookie-challenge-terskelen lavere enn disse innstillingene for en effektiv krysssjekk.

Du kan også begrense livet på alle SAS på IPsec-nivå ved å velge konfigurasjon> VPN> avansert> Systemalternativer.

IKEV2 Initiatoratferd

IKEV2 initierer økt med en jevnaldrende, sier peer1.Hvis Peer1 ikke kan nås for 5 SA_INIT -gjenganger, sendes en endelig tilbakemelding.Denne aktiviteten tar omtrent 2 minutter.

Når Peer1 mislykkes, sendes SA_INIT -meldingen til Peer2.Hvis Peer2 også er utilgjengelig, initieres sesjonsetablering med Peer3 etter 2 minutter.

Etter at alle jevnaldrende er utmattet i jevnaldrende listen over kryptokartet, initierer IKEV2 økten igjen fra Peer1 til en SA er etablert med noen av jevnaldrende.Følgende figur skildrer denne oppførselen.

Merk	Kontinuerlig trafikk kreves for å sette i gang Ike SA slik at hvert feilforsøk skal bevege seg til neste jevnaldrende og til slutt noen tilgjengelige jevnaldrende etablerer SA.I tilfeller av forstyrret trafikk er det nødvendig med en manuell trigger for å sette i gang Ike SA med neste jevnaldrende.

IKEV2 responder oppførsel

Hvis responder -enheten til Ike SA er konfigurert med flere jevnaldrende på kryptokartet, blir adressen til initiativtakeren Ike SA validert med den for den gjeldende aktive jevnaldrende i kryptokartet.

For eksempel, hvis den nåværende aktive jevnaldrende i kryptokartet (som brukes som responder) er den første jevnaldrende, blir Ike SA initiert fra Peer1 IP -adresse.Tilsvarende, hvis den nåværende aktive jevnaldrende i kryptokartet (som brukes som responder) er den andre jevnaldrende, blir Ike SA initiert fra Peer2 IP -adresse.

Merk	Peer Traversal støttes ikke på respondersiden av en IKEV2 multi-peer-topologi.

Peer Index tilbakestilles ved endringer i kryptokart

Enhver endring i kryptokartet tilbakestiller jevnaldrende indeksen til null, og tunnelinitieringen starter fra First Peer på listen.Følgende tabell gir flere fagfelleindeksovergang under spesifikke forhold:

Konfigurasjon> VPN-sted-til-sted> avansert> IKE-policyer

Bruk denne ruten til å legge til, redigere eller slette IKEV1- og IKEV2 -policyene.

For å angi vilkårene for IKE -forhandlingene, oppretter du en eller flere IKE -retningslinjer, som inkluderer følgende:

• En unik prioritet (1 til 65 543, med 1 høyeste prioritet).

• En autentiseringsmetode, for å sikre jevnaldrende identiteten.

• En krypteringsmetode, for å beskytte dataene og sikre personvern.

• En HMAC -metode for å sikre identiteten til avsenderen, og for å sikre at meldingen ikke er endret under transport.

• En diffie-Hellman-gruppe for å etablere styrken til den av krypteringsnøkkelbestemmelsesalgoritmen.ASA bruker denne algoritmen for å utlede krypterings- og hasjetastene.

  See Also

  Crypto map based IPsec VPN fundamentals - negotiation and configurationCisco ASA Lab – Site to Site IPSec VPN Tunnel Configuration, with explanation of all configs, common VPN Issues / Troubleshooting tips!ASA5516 9.8(2) IKEv2 negotiation aborted due unsupported failover versionCLI Book 3: Cisco ASA Series VPN CLI Configuration Guide, 9.17 - IPsec og IsakMP [Cisco 3000 Series Industrial Security Appliances (ISA)]

• En grense for hvor lenge ASA bruker en krypteringsnøkkel før den erstatter den.

Hver IKE -forhandling er delt inn i to seksjoner kalt fase1 og fase 2. Fase 1 skaper den første tunnelen, som beskytter senere IKE -forhandlingsmeldinger.Fase 2 oppretter tunnelen som beskytter data.

For IKEV1 kan du bare aktivere en innstilling for hver parameter.For IKEV2 kan hvert forslag ha multiplerinnstillinger for kryptering, D-H-gruppe, integritetshash og PRF-hasj.

Hvis du ikke konfigurerer noen IKE -retningslinjer, bruker ASA standardpolicyen, som alltid er satt til lavest prioritet, og som inneholder standardverdien for hver parameter.Hvis du ikke spesifiserer en verdi for en spesifikk parameter, trer standardverdien i kraft.

Når Ike -forhandlingene begynner, sender jevnaldrende som setter i gang forhandlingene all sin politikk til den eksterne jevnaldrende, og de eksterne jevnaldrende søker etter en kamp med sin egen politikk, i prioritert rekkefølge.

En kamp mellom IKE-policyer eksisterer hvis de har samme kryptering, hash, autentisering og diffie-hellman-verdier, og en SA-levetid mindre enn eller lik levetiden i den sendt politikken.Hvis levetider ikke er identiske, bruker den kortere levetiden - fra den eksterne jevnaldrende policyen -.Hvis det ikke eksisterer noen kamp, nekter Ike forhandlinger og Ike SA er ikke etablert.

Enger

• IKEV1 -policyer - Displayer parameterinnstillinger for hver konfigurerte IKE -policy.

  • Prioritet # - viser politikkens prioritet.

  • Kryptering - viser krypteringsmetoden.

  • Hash - viser hash -algoritmen.

  • D-H-gruppe-viser Diffie-Hellman-gruppen.

  • Autentisering - viser autentiseringsmetoden.

  • Lifetime (SECS) - viser SA -levetiden på sekunder.

• IKEV2 -policyer - Displayer parameterinnstillinger for hver konfigurerte IKEV2 -policy.

  • Prioritet # - viser politikkens prioritet.

  • Kryptering - viser krypteringsmetoden.

  • Integritet Hash - viser hasjalgoritmen.

  • PRF Hash - viser Pseudo Random Function (PRF) hash -algoritmen.

  • D-H-gruppe-viser Diffie-Hellman-gruppen.

  • Lifetime (SECS) - viser SA -levetiden på sekunder.

Konfigurasjon> VPN-sted-til-sted> avansert> Kryptokart

Denne ruten viser de for øyeblikket konfigurerte kryptokart, som er definert i IPsec -regler.Her kan du legge til, redigere, slette og flytte opp, flytte ned, kutte, kopiere og lime inn en IPsec -regel.

Merk	Du kan ikke redigere, slette eller kopiere en implisitt regel.ASA aksepterer implisitt trafikkvalgforslaget fra eksterne klienter når de er konfigurert med en dynamisk tunnelpolitikk.Du kan overstyre det ved å gi et spesifikt trafikkvalg.

Du kan ogsåFinne(Filtrer visningen av) regler ved å velge grensesnitt, kilde, destinasjon, destinasjonstjeneste eller regel spørsmål, velge er eller inneholder, og legge inn filterparameteren.Klikk ... for å starte en bla gjennom dialogboksen som viser alle eksisterende oppføringer som du kan velge.BrukDiagramFor å vise reglene billedlig.

IPsec -reglene spesifiserer følgende:

• Type: Prioritet - viser typen regel (statisk eller dynamisk) og dens prioritet.

• Trafikkvalg

  • #—Dikerer regelnummeret.

  • Kilde - indikerer IP -adressene som er underlagt denne regelen når trafikk blir sendt til IP -adressene som er oppført i kolonnen Remote Side Host/Network.I detaljmodus (se showet detaljknapp), kan en adressekolonne inneholde et grensesnittnavn med ordet hvilken som helst, for eksempel inni: noen.noen midler som enhver vert på innsiden grensesnittet påvirkes av regelen.

  • Destinasjon - lister IP -adressene som er underlagt denne regelen når trafikk sendes fra IP -adressene som er oppført i Sikkerhetsapparatets side vert/nettverkskolonne.I detaljmodus (se showet detaljknapp), kan en adressekolonne inneholde et grensesnittnavn med ordet hvilken som helst, for eksempel utenfor: hvilken som helst.noen midler som enhver vert på det ytre grensesnittet påvirkes av regelen.Også i detaljmodus kan en adressekolonne inneholde IP-adresser i firkantede parenteser, for eksempel [209.165.201.1-209.165.201.30].Disse adressene er oversatte adresser.Når en innsiden vert knytter en tilknytning til en utenforstående vert, kartlegger ASA innsiden av vertens adresse til en adresse fra bassenget.Etter at en vert skaper en utgående forbindelse, opprettholder ASA denne adressekartleggingen.Denne adressekartleggingsstrukturen kalles en XLATE, og forblir i minnet i en periode.

  • Tjeneste - Spesifiserer tjenesten og protokollen som er spesifisert av regelen (TCP, UDP, ICMP eller IP).

  • Handling - Spesifiserer typen IPsec -regel (beskytt eller ikke beskytt).

• Transform Set - viser transformasjonssettet for regelen.

• Peer - identifiserer IPsec -jevnaldrende.

• PFS - viser perfekte hemmeligholdsinnstillinger for regelen.

• NAT-T aktivert-indikerer om NAT Traversal er aktivert for politikken.

• Omvendt rute aktivert - indikerer om omvendt ruteinjeksjon (RRI) er aktivert for policyen.RRI gjøres ved konfigurasjon og regnes som statisk, og forblir på plass til konfigurasjonen endres eller fjernes.ASA legger automatisk til statiske ruter til rutetabellen og kunngjør disse rutene til dets private nettverks- eller grenserutere ved hjelp av OSPF.

  • Dynamisk - Hvis dynamikk er spesifisert, opprettes RRI -er ved vellykket etablering av IPsec Security Associations (SA) og slettet etter at IPSEC SA er slettet.

    Merk	Dynamic RRI gjelder kun IKEV2 -baserte statiske kryptokart.

• Tilkoblingstype— (Meningsfull bare for statisk tunnelpolitikk.) Identifiserer tilkoblingstypen for denne policyen som bare toveis, bare stammets eller bare svar).

• SA Lifetime - Displays SA Lifetime for regelen.

• CA -sertifikat - viser CA -sertifikatet for policyen.Dette gjelder bare statiske tilkoblinger.

• Ike -forhandlingsmodus - Displayer om IKE -forhandlinger bruker hoved- eller aggressiv modus.

• Beskrivelse— (valgfritt) Angir en kort beskrivelse for denne regelen.For en eksisterende regel er dette beskrivelsen du skrev når du la til regelen.En implisitt regel inkluderer følgende beskrivelse: "Implisitt regel."For å redigere beskrivelsen av andre enn en implisitt regel, høyreklikk på denne kolonnen og velg Rediger beskrivelse eller dobbeltklikk på kolonnen.

• Aktiver vindusstørrelse på Replay-setter vindusstørrelsen mot spilling, mellom 64 og 1028 i multipler på 64. Én bivirkning av prioritert kø i en hierarkisk QoS-policy med trafikkforming (se “Rule Actions> QoS Tab”) er erPakkebestilling.For IPsec-pakker, genererer du syslog-meldinger som ikke er i anti-replay-vinduet.Disse advarslene blir falske alarmer i tilfelle prioritert kø.Konfigurering av størrelsen på gjenspillet hjelper deg med å unngå mulige falske alarmer.

• Aktiver IPsec Inner Routing Lookup-By standardoppslag blir ikke gjort for pakker sendt gjennom IPsec-tunnelen, oppslag per pakker, gjøres bare for de ytre pakkene, i noen nettverkstopologier, når en rutingsoppdatering har endret den indre pakkeens vei,Men den lokale IPsec -tunnelen er fremdeles oppe, pakker gjennom tunnelen kan ikke bli dirigert riktig og ikke klarer å nå sin destinasjon.For å forhindre dette, aktiver ruting per packet-ruting for IPsec indre pakker.

Konfigurasjon> VPN-er VPN> Avansert> IPsec Prefragmentation Policies

IPSec-pre-fragmenteringspolicyen spesifiserer hvordan du behandler pakker som overskrider innstillingen for maksimal overføringsenhet (MTU) når du tunnelerer trafikk gjennom det offentlige grensesnittet.Denne funksjonen gir en måte å håndtere tilfeller der en ruter eller NAT -enhet mellom ASA og klienten avviser eller slipper IP -fragmenter.Anta for eksempel at en klient ønsker å FTP komme fra en FTP -server bak en ASA.FTP -serveren overfører pakker som når de er innkapslet, vil overskride ASAs MTU -størrelse på det offentlige grensesnittet.De valgte alternativene bestemmer hvordan ASA behandler disse pakkene.Forhåndsfragmenteringspolitikken gjelder all trafikk som reiser ut ASA-grensesnittet.

ASA innkapsler alle tunnelerte pakker.Etter innkapsling fragmenter ASA -pakker som overskrider MTU -innstillingen før de overfører dem gjennom det offentlige grensesnittet.Dette er standardpolitikken.Dette alternativet fungerer for situasjoner der fragmenterte pakker er tillatt gjennom tunnelen uten hindring.For FTP -eksemplet blir store pakker innkapslet og deretter fragmentert ved IP -laget.Mellomenheter kan slippe fragmenter eller bare fragmenter uten ordre.Lastbalanseringsenheter kan introdusere fragmenter utenfor orden.

Når du aktiverer pre-fragmentering, tunnelerte ASA-fragmentene som overskrider MTU-innstillingen før du innkapsler dem.Hvis DF -biten på disse pakkene er satt, tømmer ASA DF -biten, fragmenter pakkene og deretter innkapsler dem.Denne handlingen skaper to uavhengige ikke-fragmenterte IP-pakker som forlater det offentlige grensesnittet og overfører disse pakkene til jevnaldrende side ved å gjøre fragmentene til komplette pakker som skal settes sammen på jevnaldrende stedet.I vårt eksempel overstyrer ASA MTU og tillater fragmentering ved å tømme DF -biten.

Merk

Endring av MTU eller forfragmenteringsalternativet på et hvilket som helst grensesnitt tårer ned alle eksisterende tilkoblinger.For eksempel, hvis 100 aktive tunneler avsluttes på det offentlige grensesnittet, og du endrer MTU eller forfragmenteringsalternativet på det eksterne grensesnittet, blir alle de aktive tunnelene på det offentlige grensesnittet droppet.

Bruk denne ruten til å se ellerRedigereEn eksisterende IPSec pre-fragmenteringspolitikk og ikke-fragment (DF) BIT-policy for et grensesnitt valgt på overordnet rute.

Enger

• Grensesnitt - identifiserer det valgte grensesnittet.Du kan ikke endre denne parameteren ved å bruke denne dialogboksen.

• Aktiver IPSec-pre-fragmentering-aktiverer eller deaktiverer IPSec-pre-fragmentering.ASA -fragmentene tunnelerte pakker som overskrider MTU -innstillingen før de innkapsler dem.Hvis DF -biten på disse pakkene er satt, tømmer ASA DF -biten, fragmenter pakkene og deretter innkapsler dem.Denne handlingen skaper to uavhengige, ikke-fragmenterte IP-pakker som forlater det offentlige grensesnittet og overfører disse pakkene til jevnaldrende side ved å gjøre fragmentene til komplette pakker som skal settes sammen på jevnaldrende stedet.

• DF BIT-innstillingspolicy-Do-Not-Fragment Bit Policy: Copy, Clear eller Set.

På ASA kan IKEV2 -fragmentering aktiveres eller deaktiveres, MTU (maksimal transmisjonsenhet) som brukes når fragmentering IKEV2 -pakker kan spesifiseres, og en foretrukket fragmenteringsmetode kan konfigureres av administratorenpå følgende skjerm:

Konfigurasjon>VPN-sted-til-sted>Avansert>Ike -parametere

Som standard er alle metoder for IKEV2-fragmentering aktivert, MTU er 576 for IPv4, eller 1280 for IPv6, og den foretrukne metoden er IETF-standard RFC-7383.

SpesifiserMannmed følgende hensyn:

• MTU -verdien som brukes skal omfatte IP (IPv4/IPv6) overskrift + UDP -toppstørrelse.

• Hvis ikke spesifisert av administratoren, er standard MTU 576 for IPv4, eller 1280 for IPv6.

• Når den er spesifisert, vil den samme MTU bli brukt for både IPv4 og IPv6.

• Gyldig rekkevidde er 68-1500.

Merk	Du må vurdere ESP -overheaden mens du konfigurerer MTU.Pakkestørrelsen øker etter kryptering på grunn av ESP -overhead som legges til MTU under krypteringen.Hvis du får "pakken for stor" -feil, må du sørge for at du sjekker MTU -størrelsen og konfigurerer en lavere MTU.

En av følgende støttede fragmenteringsmetoder kan konfigureres som den foretrukne fragmenteringsmetoden for IKEV2:

• IETF RFC-7383 Standardbasert IKEV2-fragmentering.

  • Denne metoden vil bli brukt når begge jevnaldrende spesifiserer støtte og preferanse under forhandlinger.

  • Ved å bruke denne metoden gjøres kryptering etter fragmentering som gir individuell beskyttelse for hver IKEV2 -fragmentmelding.

• Cisco proprietær fragmentering.

  • Denne metoden vil bli brukt hvis den er den eneste metoden levert av en jevnaldrende, for eksempel AnyConnect -klienten, eller hvis begge jevnaldrende spesifiserer støtte og preferanse under forhandlinger.

  • Bruk av denne metoden fragmentering gjøres etter kryptering.Den mottakende jevnaldrende kan ikke dekryptere eller autentisere meldingen til alle fragmenter er mottatt.

  • Denne metoden interopererer ikke med ikke-Cisco-jevnaldrende.

• Sti MTU -oppdagelse støttes ikke, MTU må konfigureres manuelt for å samsvare med nettverkets behov.

• Denne konfigurasjonen er global og vil påvirke fremtiden SAS etablert etter at konfigurasjonen er brukt.Eldre SAS vil ikke bli berørt.Samme oppførsel gjelder når fragmentering er deaktivert.

• Maksimalt 100 fragmenter kan mottas.

Fremgangsmåte

Konfigurasjon> VPN-er VPN> Avansert> IPsec-forslag (Transform Sets)

En transformasjon er et sett med operasjoner utført på en dataflyt for å gi datauautentisering, dataponfidensialitet og datakomprimering.For eksempel er en transformasjon ESP-protokollen med 3DES-kryptering og HMAC-MD5-autentiseringsalgoritmen (ESP-3DES-MD5).

Bruk denne ruten for å se,Legg til,Redigere, ellerSlettIKEV1 og IKEV2 transformasjonssett beskrevet nedenfor.Hver tabell viser navn og detaljer på de konfigurerte transformasjonssettene.

IKEV1 IPSEC -forslag (Transform Sets)

• Modus—Mode for å bruke ESP -kryptering og autentisering.Dette bestemmer hvilken del av den originale IP -pakken som har brukt.

  • Tunnelmodus- (standard) bruker ESP -kryptering og autentisering på hele den originale IP -pakken (IP -overskrift og data), og skjuler dermed den ultimate kilden og destinasjonsadressene. Hele originale IP -datagrammet er kryptert, og det blir nyttelasten i en ny IP -pakke.Denne modusen lar en nettverksenhet, for eksempel en ruter, fungere som en IPsec -proxy.Det vil si at ruteren utfører kryptering på vertene.Kilderuteren krypterer pakker og videresender dem langs IPsec -tunnelen.Destinasjonsruteren dekrypterer den originale IP -datagrammet og videresender den til destinasjonssystemet.Den største fordelen med tunnelmodus er at sluttsystemene ikke trenger å endres for å motta fordelene med IPsec.Tunnelmodus beskytter også mot trafikkanalyse;Med tunnelmodus kan en angriper bare bestemme tunnelendepunktene og ikke den sanne kilden og destinasjonen til de tunnelede pakkene, selv om de er de samme som tunnelendepunktene.

  • Transportmodus- Bare IP -nyttelasten er kryptert, og de originale IP -overskriftene blir intakte.Denne modusen har fordelene med å legge til bare noen få byte til hver pakke og la enheter på det offentlige nettverket se den endelige kilden og destinasjonen til pakken.Med transportmodus kan du aktivere spesiell prosessering (for eksempel QoS) på mellomnettverket basert på informasjonen i IP -overskriften.Imidlertid er Layer 4 -overskriften kryptert, noe som begrenser undersøkelsen av pakken.

• ESP -kryptering—Enkapsling av sikkerhetsprotokoll (ESP) krypteringsalgoritmer for transformasjonssettene.ESP leverer personverntjenester for data, valgfri dataautentisering og anti-replay-tjenester.ESP innkapsler dataene som blir beskyttet.

• ESP -godkjenning- ESP -autentiseringsalgoritmer for transformasjonssettet.

IKEV2 IPSEC -forslag

• Modus—Mode for å bruke ESP -kryptering og autentisering.Dette bestemmer hvilken del av den originale IP -pakken som har brukt.

  • Tunnelmodus- (standard) Innkapslingsmodus vil være tunnelmodus.Tunnelmodus bruker ESP -kryptering og autentisering på hele den originale IP -pakken (IP -overskrift og data), og skjuler dermed den ultimate kilden og destinasjonsadressene. Hele originale IP -datagrammet er kryptert, og det blir nyttelasten i en ny IP -pakke.

    Denne modusen lar en nettverksenhet, for eksempel en ruter, fungere som en IPsec -proxy.Det vil si at ruteren utfører kryptering på vertene.Kilderuteren krypterer pakker og videresender dem langs IPsec -tunnelen.Destinasjonsruteren dekrypterer den originale IP -datagrammet og videresender den til destinasjonssystemet.

    Den største fordelen med tunnelmodus er at sluttsystemene ikke trenger å endres for å motta fordelene med IPsec.Tunnelmodus beskytter også mot trafikkanalyse;Med tunnelmodus kan en angriper bare bestemme tunnelendepunktene og ikke den sanne kilden og destinasjonen til de tunnelede pakkene, selv om de er de samme som tunnelendepunktene.

  • Transportmodus- Innkapslingsmodus vil være transportmodus med alternativ til tilbakeslag i tunnelmodus, hvis peer ikke støtter den.I transportmodus er bare IP -nyttelasten kryptert, og de originale IP -overskriftene blir intakte.

    Denne modusen har fordelene med å legge til bare noen få byte til hver pakke og la enheter på det offentlige nettverket se den endelige kilden og destinasjonen til pakken.Med transportmodus kan du aktivere spesiell prosessering (for eksempel QoS) på mellomnettverket basert på informasjonen i IP -overskriften.Imidlertid er Layer 4 -overskriften kryptert, noe som begrenser undersøkelsen av pakken.

  • Transport kreves- Innkapslingsmodus vil bare være transportmodus, å falle tilbake til tunnelmodus er ikke tillatt.

  Merk	Transportmodus anbefales ikke for VPN -er for fjerntilgang.

  Eksempler på forhandling av innkapslingsmodus er som følger:

  • Hvis initiativtakeren foreslår transportmodus, og responderen reagerer med tunnelmodus, vil initiatoren falle tilbake til tunnelmodus.

  • Hvis initiativtakeren foreslår tunnelmodus, og responder reagerer med transportmodus, vil responderen tilbakeslag til tunnelmodus.

  • Hvis initiativtakeren foreslår tunnelmodus og Responder har transportforeningsmodus, vil ikke noe forslag valgt bli sendt av responderen.

  • Tilsvarende hvis initiatoren har transportkrav, og Responder har tunnelmodus, vil ikke noe forslag valgt bli sendt av responderen.

• Kryptering—Viser innkapsling av sikkerhetsprotokoll (ESP) krypteringsalgoritmer for IKEV2 IPSEC -forslaget.ESP leverer personverntjenester for data, valgfri dataautentisering og anti-replay-tjenester.ESP innkapsler dataene som blir beskyttet.

• Integritetshash—Viser hash -algoritmen som sikrer dataintegritet for ESP -protokollen.Det sikrer at en pakke kommer fra hvem du kan forvente, og at det ikke ble gjort noen modifikasjoner under transport.Det sikrer at en pakke kommer fra hvem du forventer, og at det ikke ble gjort noen modifikasjoner under transport.Du må velge NULL-integritetsalgoritmen hvis AES-GCM/GMAC er konfigurert som krypteringsalgoritmen.