Sécurité et VPN : Négociation IPSec/protocoles IKE

ASA 9.x : Exemple de configuration de VPN/IPsec avec OSPF

19 septembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document fournit une configuration d'échantillon pour un VPN/IPsec en Protocole OSPF (Open Shortest Path First) sur une appliance de sécurité adaptable Cisco (ASA). L'ASA permet à l'unicast OSPF pour exécuter plus d'une connexion VPN existante. Vous n'avez plus besoin de configurer un tunnel d'Encapsulation de routage générique (GRE).

Contribué par Dinkar Sharma et Amandeep Singh, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez une compréhension de base d'une configuration de tunnel VPN de site à site d'IPsec sur l'ASA.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Appliance de Sécurité ASA 5500-x qui exécute la version de logiciel 9.x et plus tard

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Configurations de ligne de commande

Ce document répertorie des exemples de configuration avec les protocoles IKEv1 et IKEv2, mais le tunnel d'IPsec a été formé avec seulement IKEv2.

Gens du pays ASA

ASA Version 9.1(5)
!
hostname LOCAL-ASA
!

!--- Configure the Inside and Outside interface.

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.1 255.255.255.0
ospf cost 10
ospf network point-to-point non-broadcast
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.20.1 255.255.255.0
!

!--- Configure a manual Network Address Translation (NAT) Rule so that traffic
!--- should not be translated.

object network NETWORK_OBJ_172.16.20.0_24
subnet 172.16.20.0 255.255.255.0
object network NETWORK_OBJ_172.16.30.0_24
subnet 172.16.30.0 255.255.255.0

nat (inside,outside) source static NETWORK_OBJ_172.16.20.0_24
NETWORK_OBJ_172.16.20.0_24 destination static NETWORK_OBJ_172.16.30.0_24
NETWORK_OBJ_172.16.30.0_24 no-proxy-arp route-lookup

!--- The traffic specified by this Access Control List (ACL) is traffic that is
!--- to be encrypted and sent across the VPN tunnel.


access-list outside_cryptomap extended permit ip 172.16.20.0 255.255.255.0
172.16.30.0 255.255.255.0
access-list outside_cryptomap extended permit ospf interface outside host 198.51.100.1

!---
Add this ARP entry in the ASA.


arp outside 198.51.100.1 c84c.7522.1a32

!--- Configure the OSPF router process.

router ospf 100
network 172.16.20.0 255.255.255.0 area 0
network 203.0.113.0 255.255.255.0 area 0
area 0 neighbor 198.51.100.1 interface outside
log-adj-changes
!
route outside 198.51.100.0 255.255.255.0 203.0.113.2 1


!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses ISAKMP policy 30 for IKEv1 and policy for IKEv2.
!--- The configuration commands here define the Phase 1 policy parameters that are used.

crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev2 policy 1
encryption aes-256
integrity sha group 5 2
prf sha
lifetime seconds 86400

!--- In order to create and manage the database of connection-specific records for
!--- ipsec-l2l-IPsec (LAN-to-LAN) tunnels, use the command tunnel-group in global
!--- configuration mode. For L2L connections the name of the tunnel group MUST be the
!--- IP address of the IPsec peer.


tunnel-group 198.51.100.1 type ipsec-l2l

!--- Enter the preshared key in order to configure the authentication method.

tunnel-group 198.51.100.1 ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****

!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.
!--- Define the transform set for Phase 2.

crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption 3des protocol esp
integrity sha-1 md5

!--- Define which traffic should be sent to the IPsec peer.

crypto map outside_map 1 match address outside_cryptomap

!--- Sets the IPsec peer.

crypto map outside_map 1 set peer 198.51.100.1

!--- Sets the IPsec transform set "ESP-AES-128-SHA" to be used with the crypto map
!--- entry "outside_map".

crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 set ikev2 ipsec-proposal DES

!--- Specifies the interface to be used with the settings defined in this
!--- configuration.

crypto map outside_map interface outside

!--- Enable IKEv1/IKEv2 on the outside interface.

crypto ikev2 enable outside
crypto ikev1 enable outside

Distant ASA

ASA Version 9.1(5)
!
hostname REMOTE-ASA
!

!--- Configure the Inside and Outside interface.


interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 198.51.100.1 255.255.255.0
ospf cost 10
ospf network point-to-point non-broadcast
!

interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.30.1 255.255.255.0
!

!--- Configure a manual NAT Rule so that traffic should not be translated.

object network NETWORK_OBJ_172.16.20.0_24
subnet 172.16.20.0 255.255.255.0
object network NETWORK_OBJ_172.16.30.0_24
subnet 172.16.30.0 255.255.255.0

nat (inside,outside) source static NETWORK_OBJ_172.16.30.0_24
NETWORK_OBJ_172.16.30.0_24 destination static NETWORK_OBJ_172.16.20.0_24
NETWORK_OBJ_172.16.20.0_24 no-proxy-arp route-lookup

!--- The traffic specified by this ACL is traffic that is to be encrypted and sent
!--- across the VPN tunnel.


access-list outside_cryptomap extended permit ip 172.16.30.0 255.255.255.0
172.16.20.0 255.255.255.0
access-list outside_cryptomap extended permit ospf interface outside host
203.0.113.1 log disable

!---
Add this ARP entry in ASA.


arp outside 203.0.113.1 c84c.7522.1a33

!--- Configure the OSPF router process.


router ospf 100
network 172.16.30.0 255.255.255.0 area 0
network 198.51.100.0 255.255.255.0 area 0
area 0 neighbor 203.0.113.1 interface outside
log-adj-changes !

route management 10.24.21.126 255.255.255.255 10.105.130.1 1
route outside 203.0.113.0 255.255.255.0 198.51.100.2 1

!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses isakmp policy 30 for IKEv1 and policy for IKEv2.
!--- The configuration commands here define the Phase 1 policy parameters that are used.



crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev2 policy 1
encryption aes-256
integrity sha group 5 2
prf sha
lifetime seconds 86400

!--- In order to create and manage the database of connection-specific records for
!--- ipsec-l2l-IPsec (LAN-to-LAN) tunnels, use the command tunnel-group in global
!--- configuration mode. For L2L connections the name of the tunnel group MUST be the
!--- IP address of the IPsec peer.


tunnel-group 203.0.113.1 type ipsec-l2l

!--- Enter the preshared key in order to configure the authentication method.

tunnel-group 203.0.113.1 ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key ***** !

!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.
!--- Define the transform set for Phase 2.

crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption 3des protocol esp
integrity sha-1 md5

!--- Define which traffic should be sent to the IPsec peer.

crypto map outside_map 1 match address outside_cryptomap

!--- Sets the IPsec peer.

crypto map outside_map 1 set peer 203.0.113.1

!--- Sets the IPsec transform set "TSET" to be used with the crypto map entry
!--- "outside_map".

crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA
crypto map outside_map 1 set ikev2 ipsec-proposal DES

!--- Specifies the interface to be used with the settings defined in this
!--- configuration.

crypto map outside_map interface outside

!--- Enable IKEv1/IKEv2 on the outside interface.

crypto ikev2 enable outside
crypto ikev1 enable outside

Remarque: Vous devriez lier le crypto map à l'interface avant que vous spécifiiez le voisin OSPF afin de s'assurer que les mises à jour OSPF sont traversées le tunnel VPN. Si vous liez le crypto map à l'interface après que vous spécifiiez le voisin OSPF, sélectionnez la commande claire d'hôte local afin d'effacer des connexions OSPF ainsi les contiguïtés OSPF peuvent être établies au-dessus du tunnel VPN.

Configuration de gestionnaire de périphériques ASA

  1. Choisissez les assistants > l'assistant VPN afin de créer le tunnel VPN de site à site. Dans la fenêtre d'assistant VPN comme affichée ici, cliquez sur Next afin de commencer la configuration du VPN.

  2. Écrivez l'adresse IP de pair et l'interface d'où le pair est accessible et cliquez sur Next.

    Remarque: On le suppose que le périphérique de pair est accessible du périphérique local, c.-à-d., le routage exigé pour l'accessibilité de pair est déjà présent.

  3. Écrivez les sous-réseaux locaux et distants entre lesquels vous souhaitez sécuriser la transmission et cliquer sur Next.

  4. Puisque vous construisez un site à site VPN avec l'authentification de clé pré-partagée, introduisez la clé pré-partagée à utiliser et cliquez sur Next.

  5. Vérifiez l'option de configurer le nat exemption pour les sous-réseaux locaux et distants et de sélectionner l'interface de source, c.-à-d., l'interface connectée au sous-réseau local. Cliquez sur Next (Suivant).

  6. Examinez le résumé de configuration pour la précision et puis cliquez sur Finish.

  7. Vous devez spécifier le trafic OSPF dans le crypto ACL de sorte que le trafic OSPF soit chiffré et envoyé par l'intermédiaire du tunnel VPN. Afin de faire ceci, choisissez la configuration > le site à site VPN > a avancé > gestionnaire d'ACL. Choisissez le crypto ACL que vous avez configuré dans l'étape 3 et choisissez ajoutent > ajoutent ACE sur le dessus. Choisissez la source comme interface extérieure, destination comme adresse IP distante de pair, et service comme OSPF et cliquez sur OK. Cliquez sur Apply afin de pousser les modifications à l'ASA.

  8. Afin de configurer l'OSPF, choisissez la configuration > l'installation de périphérique > le routage > l'OSPF > installé. Cliquez sur l'onglet de processus d'exemples, activez le processus OSPF, et écrivez l'ID de processus OSPF.

  9. Cliquez sur l'onglet de zone/réseaux et cliquez sur Add afin de configurer l'ID de zone (0 dans ce cas) et ajouter les réseaux sur lesquels vous exécutez le processus OSPF. Ajoutez l'intérieur et le sous-réseau extérieur et puis cliquez sur OK.

  10. Cliquez sur Apply afin de pousser les modifications de configuration à l'ASA.

  11. Configurez l'interface extérieure de sorte qu'elle puisse former une proximité point par point avec le pair distant au-dessus du VPN. Choisissez la configuration > l'installation de périphérique > le routage > l'OSPF > l'interface. Cliquez sur l'onglet de Properties et choisissez l'interface extérieure. Cliquez sur Edit. Dans la case d'éditer, décochez la case d'émission et cliquez sur OK. Cliquez sur Apply afin de pousser les modifications.

  12. Spécifiez le pair distant en tant que voisin statique OSPF. Choisissez la configuration > l'installation de périphérique > le routage > l'OSPF > voisin statique et cliquez sur Add. Dans la fenêtre voisine d'entrée OSPF d'ajouter, parce que l'ID de processus OSPF défini dans l'étape 8, spécifiez le peer ip distant en tant que voisin et l'interface comme extérieur. Cliquez sur OK et puis cliquez sur Apply.

  13. Configurez une entrée statique de Protocole ARP (Address Resolution Protocol) sur la Gens du pays-ASA pour l'adresse IP distante de pair. La raison pour ceci est que les artères que cette ASA apprendra par l'intermédiaire de l'OSPF auront l'adresse IP 198.51.100.1 de pair comme prochain saut. Afin d'atteindre 198.51.100.1, l'ASA devra de nouveau faire la recherche de route qui n'est pas possible parce que l'ASA ne prend en charge pas la consultation récursive d'artère. Afin d'expédier les paquets pour les destinations distantes, l'ASA a besoin d'une adresse de la couche 2 qui correspond à l'adresse IP de pair. Donnez un ARP statique afin de tracer l'adresse MAC de la prochaine adresse IP de saut à l'adresse IP d'homologue VPN. Afin de faire ceci, choisir la configuration > la Gestion de périphériques > a avancé > Tableau statique d'ARP > d'ARP et clique sur Add afin de configurer un ARP statique comme affiché ici. Vous devrez donner une entrée statique semblable d'ARP sur l'extrémité distante aussi bien.

  14. Afin de tester, accès de Gestion d'enable sur l'interface interne par l'intermédiaire du tunnel VPN. Afin de faire ceci, choisissez la configuration > la Gestion de périphériques > la Gestion Access > interface de gestion et spécifiez l'interface d'Access de Gestion en tant qu'à l'intérieur.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.

show crypto isakmp sa - Affiche l'association de sécurité de Protocole ISAKMP (Internet Security Association and Key Management Protocol) (SA) qui est établie entre les pairs.

LOCAL-ASA# show crypto isakmp sa

There are no IKEv1 SAs

IKEv2 SAs:

Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local Remote Status Role
5924753 203.0.113.1/500 198.51.100.1/500 READY INITIATOR
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/7922 sec
Child sa: local selector 203.0.113.1/0 - 203.0.113.1/0
remote selector 198.51.100.1/0 - 198.51.100.1/0
ESP spi in/out: 0x28b5cd3d/0xb785cc6d


REMOTE-ASA# show crypto isakmp sa
There are no IKEv1 SAs
IKEv2 SAs:

Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local Remote Status Role
1760437 198.51.100.1/500 203.0.113.1/500 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/7934 sec
Child sa: local selector 198.51.100.1/0 - 198.51.100.1/0
remote selector 203.0.113.1/0 - 203.0.113.1/0
ESP spi in/out: 0xb785cc6d/0x28b5cd3d

show crypto ipsec sa - Affiche chaque Phase 2 SA qui est établi et le niveau de trafic qui est envoyé.

LOCAL-ASA# show crypto ipsec sa
interface: outside
Crypto map tag: outside_map, seq num: 1, local addr: 203.0.113.1

access-list outside_cryptomap extended permit ospf interface outside host
198.51.100.1 log disable
local ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/89/0)
remote ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/89/0)
current_peer: 198.51.100.1


#pkts encaps: 828, #pkts encrypt: 828, #pkts digest: 828
#pkts decaps: 814, #pkts decrypt: 814, #pkts verify: 814
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 828, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 203.0.113.1/500, remote crypto endpt.: 198.51.100.1/500
path mtu 1500, ipsec overhead 74(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: B785CC6D
current inbound spi : 28B5CD3D

inbound esp sas:
spi: 0x28B5CD3D (683003197)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 126976, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4239306/20803)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0xB785CC6D (3078999149)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 126976, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4193224/20803)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001


REMOTE-ASA# show crypto ipsec sa
interface: outside
Crypto map tag: outside_map, seq num: 1, local addr: 198.51.100.1

access-list outside_cryptomap extended permit ospf interface outside host
203.0.113.1 log disable
local ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/89/0)
remote ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/89/0)
current_peer: 203.0.113.1


#pkts encaps: 814, #pkts encrypt: 814, #pkts digest: 814
#pkts decaps: 829, #pkts decrypt: 829, #pkts verify: 829
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 814, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 198.51.100.1/500, remote crypto endpt.: 203.0.113.1/500
path mtu 1500, ipsec overhead 74(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: 28B5CD3D
current inbound spi : B785CC6D

inbound esp sas:
spi: 0xB785CC6D (3078999149)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 61440, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4008904/20796)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x28B5CD3D (683003197)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, }
slot: 0, conn_id: 61440, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4054986/20796)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001

show ospf neighbor - Affiche à l'OSPF l'état voisin de relations.

LOCAL-ASA# show ospf neighbor

Neighbor ID Pri State Dead Time Address Interface
198.51.100.1 1 FULL/ - 0:00:32 198.51.100.1 outside

REMOTE-ASA# show ospf neighbor

Neighbor ID Pri State Dead Time Address Interface
203.0.113.1 1 FULL/ - 0:00:39 203.0.113.1 outside

show route - Affiche les entrées de table de Routage IP.

LOCAL-ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

C 203.0.113.0 255.255.255.0 is directly connected, outside
O 172.16.30.0 255.255.255.0 [110/20] via 198.51.100.1, 1:45:52, outside
C 172.16.20.0 255.255.255.0 is directly connected, inside
S 198.51.100.0 255.255.255.0 [1/0] via 203.0.113.2, outside
S 10.24.21.126 255.255.255.255 [1/0] via 10.105.130.1, management
C 10.105.130.0 255.255.255.0 is directly connected, management


REMOTE-ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

S 203.0.113.0 255.255.255.0 [1/0] via 198.51.100.2, outside
C 172.16.30.0 255.255.255.0 is directly connected, inside
O 172.16.20.0 255.255.255.0 [110/20] via 203.0.113.1, 1:45:57, outside
C 198.51.100.0 255.255.255.0 is directly connected, outside
S 10.24.21.126 255.255.255.255 [1/0] via 10.105.130.1, management
C 10.105.130.0 255.255.255.0 is directly connected, management

Cinglez les interfaces internes du périphérique de pair de chaque périphérique afin de vérifier la Connectivité.

LOCAL-ASA# ping inside 172.16.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms


REMOTE-ASA# ping inside 172.16.20.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.20.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 63882