IP : Protocole BGP (Border Gateway Protocol)

ASA VPN/IPsec avec l'exemple de configuration BGP

19 septembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document fournit une configuration d'échantillon pour l'établissement d'une proximité de Protocole BGP (Border Gateway Protocol) au-dessus d'un tunnel VPN de site à site d'IPsec entre une appliance de sécurité adaptable Cisco (ASA) cette version de logiciel 9.x de passages et un routeur de Cisco IOS® qui exécute la version de logiciel 15.x.

Contribué par Dinkar Sharma et Amandeep Singh, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez la connaissance des configurations de tunnel VPN de site à site d'IPsec sur des périphériques ASA et de Cisco IOS.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Routeur de Cisco 2900 qui exécute la version du logiciel Cisco IOS 15.x et plus tard.

  • ASA 5500-x qui exécute la version de logiciel 9.x et plus tard.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Configurations de ligne de commande

Ce document utilise les gens du pays ASA et les configurations de routeur distantes.

Gens du pays ASA

ASA Version 9.2(2)4

!--- Configure the Inside and outside interface.

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 203.0.113.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.20.1 255.255.255.0
!

!--- Configure BGP router process.

router bgp 200
 bgp log-neighbor-changes
 address-family ipv4 unicast
  neighbor 198.51.100.1 remote-as 100
  neighbor 198.51.100.1 description Remote Router
  neighbor 198.51.100.1 ebgp-multihop 255
  neighbor 198.51.100.1 activate
  network 172.16.20.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!
route outside 198.51.100.0 255.255.255.0 203.0.113.2 1
!--- The traffic specified by this ACL is traffic that is to be encrypted and
sent across the VPN tunnel.


access-list outside_cryptomap permit ip host 203.0.113.1 host 198.51.100.1
!

!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses isakmp policy 300.
!---The configuration commands here define the Phase 1 policy parameters that are used.


crypto ikev1 policy 300
 authentication pre-share
 encryption 3des
 hash md5
 group 5
 lifetime 86400
!

!--- In order to create and manage the database of connection-specific records for
!--- ipsec-l2l-IPsec (LAN-to-LAN) tunnels, use the command tunnel-group in global
!--- configuration mode. For L2L connections the name of the tunnel group MUST be the
IP !--- address of the IPsec peer.

tunnel-group 198.51.100.1 type ipsec-l2l

!--- Enter the pre-shared-key in order to configure the authentication method.

tunnel-group 198.51.100.1 ipsec-attributes
 ikev1 pre-shared-key cisco123
!

!--- Enable ikev1 on outside interface.

crypto ikev1 enable outside


!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.
!---Define the transform set for Phase 2.

crypto ipsec ikev1 transform-set TSET esp-3des esp-sha-hmac

!--- Define which traffic should be sent to the IPsec peer.


crypto map outside_map 1 match address outside_cryptomap

!--- Sets the IPsec peer

crypto map outside_map 1 set peer 198.51.100.1

!--Sets the IPsec transform set "TSET" to be used with the crypto map entry
"outside_map".

crypto map outside_map 1 set ikev1 transform-set TSET

!---Specifies the interface to be used with the settings defined in
this configuration.


crypto map outside_map interface outside

Routeur distant

version 15.1
!
!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses isakmp policy 300.
!--- The configuration commands here define the Phase 1 policy parameters
that are used.


crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 5

!--- Enter the pre-shared-key in order to configure the authentication method.


crypto isakmp key cisco123 address 203.0.113.1 255.255.255.0
!

!--- PHASE 2 CONFIGURATION ---!!--- The encryption types for Phase 2 are defined here.

!---Define the transform set for Phase 2.


crypto ipsec transform-set TSET esp-3des esp-sha-hmac

!--- Define crypto map which is used to establish the IPsec Security Association
for protecting the traffic.

crypto map CMAP 10 ipsec-isakmp

!--- Sets the IP address of the remote end.

set peer 203.0.113.1

!--- Configures IPsec to use the transform-set
!--- "Router-IPSEC" defined earlier in this configuration.


 set transform-set TSET

!--- Specifies the interesting traffic to be encrypted.


 match address VPN
!
!
interface Loopback0
 ip address 172.16.30.1 255.255.255.0
!

!--- Configures the interface to use the crypto map "CMAP" for IPsec.

interface FastEthernet0/0
 ip address 198.51.100.1 255.255.255.0
 duplex auto
 speed auto
 crypto map CMAP
!

!--- Configure BGP router process


router bgp 100
 no synchronization
 bgp log-neighbor-changes
 network 172.16.30.0 mask 255.255.255.0
 neighbor 203.0.113.1 remote-as 200
 neighbor 203.0.113.1 ebgp-multihop 255
 no auto-summary
!
ip route 0.0.0.0 0.0.0.0 198.51.100.2
!

!--- Define which traffic should be sent to the IPsec peer.


ip access-list extended VPN
 permit ip host 198.51.100.1 host 203.0.113.1
!

Configurations de gestionnaire de périphériques ASA

Ce document utilise le VPN et les configurations BGP.

Configuration du VPN

Procédez comme suit :

  1. Choisissez les assistants > l'assistant VPN afin d'utiliser l'assistant VPN et créer la connexion entre réseaux locaux. Dans la fenêtre d'assistant VPN, cliquez sur Next où le site à site est la sélection par défaut.

  2. Dans le champ IP Address de pair, écrivez l'adresse IP de pair. De la liste déroulante d'interface d'accès VPN, choisissez l'interface sur laquelle vous voulez terminer le tunnel. Cliquez sur Next (Suivant).

  3. Dans les domaines de réseau local et de réseau distant, écrivez les gens du pays et les adresses IP de réseau distant (c'est-à-dire, le trafic que vous voulez être chiffré) respectivement. Cliquez sur Next (Suivant).

    Remarque: Les adresses IP sont les adresses IP locales et distantes entre lesquelles vous voulez que la proximité BGP soit formée.

  4. Cliquez sur la case d'option personnalisée de configuration et puis cochez la case de version 1 d'IKE. Cliquez sur Next (Suivant).

  5. Choisissez l'onglet de méthodes d'authentification. Dans la zone de tri pré-partagée, introduisez la clé pré-partagée. Cliquez sur Next (Suivant).

  6. Choisissez l'onglet d'algorithmes de chiffrement. Dans la stratégie IKE et les domaines de proposition d'IPsec, écrivez la proposition de stratégie IKE et d'IPsec que vous voulez utiliser. Cliquez sur Next (Suivant).

  7. C'est une configuration facultative. Cliquez sur Next si vous choisissez d'ignorer cette étape.

  8. Cette page affiche un résumé de la configuration terminée jusqu'ici. Cliquez sur Finish afin de pousser la configuration à l'ASA.

  9. Vous pouvez visualiser la configuration du VPN suivant les indications de cette image.

Configuration BGP

  1. Choisissez la configuration > le routage > le BGP > le général. Cochez la case de routage BGP d'enable. Dans le domaine de numéro de système autonome, introduisez le nombre autonome. Cliquez sur Apply.

  2. Choisissez la configuration > le routage > le BGP > la famille > le voisin d'IPV4. Dans l'adresse IP et le distant COMME champs, introduisez l'adresse IP voisine BGP (c'est-à-dire, le routeur distant) et le numéro de système autonome distant respectivement. Cliquez sur OK.

  3. Choisissez la configuration > le routage > le BGP > la famille > les réseaux d'IPV4. Écrivez les informations pour le réseau que vous voudriez annoncer au routeur distant.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Vous pouvez employer l'ASDM afin d'activer se connecter et visualiser les logs :

  • show crypto isakmp sa - Affiche l'association de sécurité de Protocole ISAKMP (Internet Security Association and Key Management Protocol) (SA) qui est établie entre les pairs.
    ASA# show crypto isakmp sa
    IKEv1 SAs:
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1

    1   IKE Peer: 198.51.100.1
        Type    : L2L             Role    : responder
        Rekey   : no              State   : MM_ACTIVE

    There are no IKEv2 SAs

    Router#sh crypto isakmp sa
    IPv4 Crypto ISAKMP SA
    dst             src             state          conn-id slot status
    203.0.113.1     198.51.100.1    QM_IDLE           1024    0 ACTIVE

    IPv6 Crypto ISAKMP SA
  • show crypto ipsec sa - Affiche chaque Phase 2 SA qui est établi et le niveau de trafic qui est envoyé.
    ASA# show crypto ipsec sa
    interface: outside
       
        Crypto map tag: outside_map, seq num: 1, local addr: 203.0.113.1
          local ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/0/0)
          current_peer: 198.51.100.1

          #pkts encaps: 168, #pkts encrypt: 168, #pkts digest: 168
          #pkts decaps: 172, #pkts decrypt: 172, #pkts verify: 172
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 168, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #TFC rcvd: 0, #TFC sent: 0
          #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
          #send errors: 0, #recv errors: 0

          local crypto endpt.: 203.0.113.1/0, remote crypto endpt.: 198.51.100.1/0
          path mtu 1500, ipsec overhead 58(36), media mtu 1500
          PMTU time remaining (sec): 0, DF policy: copy-df
          ICMP error validation: disabled, TFC packets: disabled
          current outbound spi: 8827DADE
          current inbound spi : 338E6488

        inbound esp sas:
          spi: 0x338E6488 (864969864)
             transform: esp-3des esp-sha-hmac no compression
             in use settings ={L2L, Tunnel, IKEv1, }
             slot: 0, conn_id: 65536, crypto-map: outside_map
             sa timing: remaining key lifetime (kB/sec): (4374000/1988)
             IV size: 8 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x00000001
        outbound esp sas:
          spi: 0x8827DADE (2284313310)
             transform: esp-3des esp-sha-hmac no compression
             in use settings ={L2L, Tunnel, IKEv1, }
             slot: 0, conn_id: 65536, crypto-map: outside_map
             sa timing: remaining key lifetime (kB/sec): (4373989/1988)
             IV size: 8 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x00000001
    Router# show crypto ipsec sa

    interface: FastEthernet0/0
        Crypto map tag: CMAP, local addr 198.51.100.1

       protected vrf: (none)
       local  ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/0/0)
       remote ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/0/0)
       current_peer 203.0.113.1 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 181, #pkts encrypt: 181, #pkts digest: 181
        #pkts decaps: 167, #pkts decrypt: 167, #pkts verify: 167
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0

         local crypto endpt.: 198.51.100.1, remote crypto endpt.: 203.0.113.1
         path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
         current outbound spi: 0x338E6488(864969864)

         inbound esp sas:
          spi: 0x8827DADE(2284313310)
            transform: esp-3des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 3007, flow_id: NETGX:1007, crypto map: CMAP
            sa timing: remaining key lifetime (k/sec): (4406240/1952)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE

         inbound ah sas:

         inbound pcp sas:

         outbound esp sas:
          spi: 0x338E6488(864969864)
            transform: esp-3des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 3008, flow_id: NETGX:1008, crypto map: CMAP
            sa timing: remaining key lifetime (k/sec): (4406261/1952)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE
  • show bgp neighbors - Affiche au BGP l'état voisin de relations.

    ASA# show bgp neighbors

    BGP neighbor is 198.51.100.1,  context single_vf,  remote AS 100, external link
     Description: Remote Router
      BGP version 4, remote router ID 172.16.30.1
      BGP state = Established, up for 00:00:12
      Last read 00:00:12, last write 00:00:11, hold time is 180, keepalive interval
    is 60 seconds
      Neighbor sessions:
        1 active, is not multisession capable (disabled)
      Neighbor capabilities:
        Route refresh: advertised and received(new)
        Four-octets ASN Capability: advertised
        Address family IPv4 Unicast: advertised and received
        Multisession Capability:
      Message statistics:
        InQ depth is 0
        OutQ depth is 0

                       Sent       Rcvd
        Opens:         1          1
        Notifications: 0          0
        Updates:       2          1
        Keepalives:    2          3
        Route Refresh: 0          0
        Total:         5          5
      Default minimum time between advertisement runs is 30 seconds

     For address family: IPv4 Unicast
      Session: 198.51.100.1
      BGP table version 3, neighbor version 3/0
      Output queue size : 0
      Index 1
      1 update-group member
                               Sent       Rcvd
      Prefix activity:         ----       ----
        Prefixes Current:      1          1          (Consumes 80 bytes)
        Prefixes Total:        1          1
        Implicit Withdraw:     0          0
        Explicit Withdraw:     0          0
        Used as bestpath:      n/a        1
        Used as multipath:     n/a        0

                                    Outbound    Inbound
      Local Policy Denied Prefixes: --------    -------
        Bestpath from this peer:     1          n/a
        Total:                       1          0
      Number of NLRIs in the update sent: max 1, min 0

      Address tracking is enabled, the RIB does have a route to 198.51.100.1
      Connections established 1; dropped 0
      Last reset never
      External BGP neighbor may be up to 255 hops away.
      Transport(tcp) path-mtu-discovery is enabled
      Graceful-Restart is disabled
    Router# show ip bgp neighbors
    BGP neighbor is 203.0.113.1,  remote AS 200, external link
      BGP version 4, remote router ID 203.0.113.1
      BGP state = Established, up for 00:01:16
      Last read 00:00:10, last write 00:00:16, hold time is 180, keepalive interval
    is 60 seconds
      Neighbor capabilities:
        Route refresh: advertised and received(old & new)
        Address family IPv4 Unicast: advertised and received
      Message statistics:
        InQ depth is 0
        OutQ depth is 0
                             Sent       Rcvd
        Opens:                  6          6
        Notifications:          4          0
        Updates:               11         12
        Keepalives:          4248       3817
        Route Refresh:          0          0
        Total:               4269       3835
      Default minimum time between advertisement runs is 30 seconds

     For address family: IPv4 Unicast
      BGP table version 26, neighbor version 26/0
      Output queue size: 0
      Index 1, Offset 0, Mask 0x2
      1 update-group member
                                     Sent       Rcvd
      Prefix activity:               ----       ----
        Prefixes Current:               1          1 (Consumes 52 bytes)
        Prefixes Total:                 1          1
        Implicit Withdraw:              0          0
        Explicit Withdraw:              0          0
        Used as bestpath:             n/a          1
        Used as multipath:            n/a          0

                                       Outbound    Inbound
      Local Policy Denied Prefixes:    --------    -------
        Bestpath from this peer:              1        n/a
        Total:                                1          0
      Number of NLRIs in the update sent: max 3, min 0

      Connections established 6; dropped 5
      Last reset 5d22h, due to Peer closed the session
      External BGP neighbor may be up to 255 hops away.
    Connection state is ESTAB, I/O status: 1, unread input bytes: 0
    Connection is ECN Disabled, Mininum incoming TTL 0, Outgoing TTL 255
    Local host: 198.51.100.1, Local port: 179
    Foreign host: 203.0.113.1, Foreign port: 62727
    Connection tableid (VRF): 0

    Enqueued packets for retransmit: 0, input: 0  mis-ordered: 0 (0 bytes)

    Event Timers (current time is 0x300AAA8C):
    Timer          Starts    Wakeups            Next
    Retrans             7          0             0x0
    TimeWait            0          0             0x0
    AckHold             4          1             0x0
    SendWnd             0          0             0x0
    KeepAlive           0          0             0x0
    GiveUp              0          0             0x0
    PmtuAger            0          0             0x0
    DeadWait            0          0             0x0
    Linger              0          0             0x0
    ProcessQ            0          0             0x0

    iss: 4087014083  snduna: 4087014257  sndnxt: 4087014257     sndwnd:  32768
    irs: 1434855898  rcvnxt: 1434856084  rcvwnd:      16199  delrcvwnd:    185

    SRTT: 182 ms, RTTO: 1073 ms, RTV: 891 ms, KRTT: 0 ms
    minRTT: 0 ms, maxRTT: 300 ms, ACK hold: 200 ms
    Status Flags: passive open, gen tcbs
    Option Flags: nagle
    IP Precedence value : 6

    Datagrams (max data segment is 536 bytes):
    Rcvd: 14 (out of order: 0), with data: 5, total data bytes: 185
    Sent: 9 (retransmit: 0, fastretransmit: 0, partialack: 0, Second Congestion: 0),
    with data: 6, total data bytes: 173
     Packets received in fast path: 0, fast processed: 0, slow path: 0
     Packets send in fast path: 0
     fast lock acquisition failures: 0, slow path: 0

Vérifiez les Routeurs afin de vérifier que les passages de connexion entre réseaux locaux conduisant le trafic.

show ip route - Displays the IP routing table entries.
ASA# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is not set

C        172.16.20.0 255.255.255.0 is directly connected, inside
L        172.16.20.1 255.255.255.255 is directly connected, inside
B        172.16.30.0 255.255.255.0 [20/0] via 198.51.100.1, 01:43:14
S     198.51.100.0 255.255.255.0 [1/0] via 203.0.113.2, outside
C        203.0.113.0 255.255.255.0 is directly connected, outside
L        203.0.113.1 255.255.255.255 is directly connected, outside

 

Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 198.51.100.2 to network 0.0.0.0

     172.16.0.0/24 is subnetted, 2 subnets
C       172.16.30.0 is directly connected, Loopback0
B       172.16.20.0 [20/0] via 203.0.113.1, 01:44:02
C    198.51.100.0/24 is directly connected, FastEthernet0/0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.106.45.0 is directly connected, FastEthernet0/1
S*   0.0.0.0/0 [1/0] via 198.51.100.2

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118835