IP : Protocolo de puerta de enlace fronteriza (BGP)

ASA VPN/IPsec con el ejemplo de la configuración BGP

13 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios

Introducción

Este documento proporciona una configuración de muestra para el establecimiento de una vecindad del Border Gateway Protocol (BGP) sobre un túnel del VPN de sitio a sitio del IPSec entre un dispositivo de seguridad adaptante de Cisco (ASA) esa versión de software 9.x de los funcionamientos y un router del ® del Cisco IOS que funcione con la versión de software 15.x.

Contribuido por Dinkar Sharma y Amandeep Singh, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que usted tiene conocimiento de las configuraciones del túnel del VPN de sitio a sitio del IPSec en el ASA y los dispositivos Cisco IOS.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco 2900 Router que funciona con el Cisco IOS Software Release 15.x y Posterior.

  • ASA 5500-x que funciona con la versión de software 9.x y posterior.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuraciones de la línea de comando

Este documento utiliza el ASA local y las configuraciones remotas del router.

ASA local

ASA Version 9.2(2)4

!--- Configure the Inside and outside interface.

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 203.0.113.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.20.1 255.255.255.0
!

!--- Configure BGP router process.

router bgp 200
 bgp log-neighbor-changes
 address-family ipv4 unicast
  neighbor 198.51.100.1 remote-as 100
  neighbor 198.51.100.1 description Remote Router
  neighbor 198.51.100.1 ebgp-multihop 255
  neighbor 198.51.100.1 activate
  network 172.16.20.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!
route outside 198.51.100.0 255.255.255.0 203.0.113.2 1
!--- The traffic specified by this ACL is traffic that is to be encrypted and
sent across the VPN tunnel.


access-list outside_cryptomap permit ip host 203.0.113.1 host 198.51.100.1
!

!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses isakmp policy 300.
!---The configuration commands here define the Phase 1 policy parameters that are used.


crypto ikev1 policy 300
 authentication pre-share
 encryption 3des
 hash md5
 group 5
 lifetime 86400
!

!--- In order to create and manage the database of connection-specific records for
!--- ipsec-l2l-IPsec (LAN-to-LAN) tunnels, use the command tunnel-group in global
!--- configuration mode. For L2L connections the name of the tunnel group MUST be the
IP !--- address of the IPsec peer.

tunnel-group 198.51.100.1 type ipsec-l2l

!--- Enter the pre-shared-key in order to configure the authentication method.

tunnel-group 198.51.100.1 ipsec-attributes
 ikev1 pre-shared-key cisco123
!

!--- Enable ikev1 on outside interface.

crypto ikev1 enable outside


!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.
!---Define the transform set for Phase 2.

crypto ipsec ikev1 transform-set TSET esp-3des esp-sha-hmac

!--- Define which traffic should be sent to the IPsec peer.


crypto map outside_map 1 match address outside_cryptomap

!--- Sets the IPsec peer

crypto map outside_map 1 set peer 198.51.100.1

!--Sets the IPsec transform set "TSET" to be used with the crypto map entry
"outside_map".

crypto map outside_map 1 set ikev1 transform-set TSET

!---Specifies the interface to be used with the settings defined in
this configuration.


crypto map outside_map interface outside

Router Remoto

version 15.1
!
!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses isakmp policy 300.
!--- The configuration commands here define the Phase 1 policy parameters
that are used.


crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 5

!--- Enter the pre-shared-key in order to configure the authentication method.


crypto isakmp key cisco123 address 203.0.113.1 255.255.255.0
!

!--- PHASE 2 CONFIGURATION ---!!--- The encryption types for Phase 2 are defined here.

!---Define the transform set for Phase 2.


crypto ipsec transform-set TSET esp-3des esp-sha-hmac

!--- Define crypto map which is used to establish the IPsec Security Association
for protecting the traffic.

crypto map CMAP 10 ipsec-isakmp

!--- Sets the IP address of the remote end.

set peer 203.0.113.1

!--- Configures IPsec to use the transform-set
!--- "Router-IPSEC" defined earlier in this configuration.


 set transform-set TSET

!--- Specifies the interesting traffic to be encrypted.


 match address VPN
!
!
interface Loopback0
 ip address 172.16.30.1 255.255.255.0
!

!--- Configures the interface to use the crypto map "CMAP" for IPsec.

interface FastEthernet0/0
 ip address 198.51.100.1 255.255.255.0
 duplex auto
 speed auto
 crypto map CMAP
!

!--- Configure BGP router process


router bgp 100
 no synchronization
 bgp log-neighbor-changes
 network 172.16.30.0 mask 255.255.255.0
 neighbor 203.0.113.1 remote-as 200
 neighbor 203.0.113.1 ebgp-multihop 255
 no auto-summary
!
ip route 0.0.0.0 0.0.0.0 198.51.100.2
!

!--- Define which traffic should be sent to the IPsec peer.


ip access-list extended VPN
 permit ip host 198.51.100.1 host 203.0.113.1
!

Configuraciones del administrador de dispositivo ASA

Este documento utiliza el VPN y las configuraciones BGP.

Configuración VPN

Complete estos pasos:

  1. Elija los Asisitente > al Asistente VPN para utilizar al Asistente VPN y crear la conexión de LAN a LAN. En la ventana del Asistente VPN, haga clic después donde está la selección el sitio a localizar predeterminada.

  2. En el campo de IP Address de Peer, ingrese el IP Address de Peer. De la lista desplegable de la interfaz de acceso VPN, elija la interfaz en la cual usted quiere terminar el túnel. Haga clic en Next (Siguiente).

  3. En los campos de la red local y de la red remota, ingrese el local y los IP Addresses de la red remota (es decir, el tráfico que usted quiere ser cifrado) respectivamente. Haga clic en Next (Siguiente).

    Nota: Los IP Addresses son el local y los IP Address remotos entre los cuales usted quisiera que la vecindad BGP fuera formada.

  4. Haga clic el botón de radio personalizado de la configuración y después marque la casilla de verificación de la versión 1 IKE. Haga clic en Next (Siguiente).

  5. Elija la lengueta de los métodos de autentificación. En el campo de clave previamente compartida, ingrese la clave previamente compartida. Haga clic en Next (Siguiente).

  6. Elija la lengueta de los algoritmos de encripción. En la política IKE y los campos de la oferta del IPSec, ingrese la oferta de la política IKE y del IPSec que usted quiere utilizar. Haga clic en Next (Siguiente).

  7. Esto es una configuración optativa. Haga clic después si usted elige saltar este paso.

  8. Este páginas muestra que un resumen de la configuración completó hasta ahora. Clic en Finalizar para avanzar la configuración al ASA.

  9. Usted puede ver la configuración VPN tal y como se muestra en de esta imagen.

Configuración BGP

  1. Elija la configuración > la encaminamiento > el BGP > al general. Marque la casilla de verificación de la encaminamiento del permiso BGP. En COMO campo de número, ingrese el número autónomo. Haga clic en Apply (Aplicar).

  2. Elija la configuración > la encaminamiento > el BGP > la familia > al vecino del IPV4. En el IP Address y el telecontrol COMO campos, ingrese el IP Address del vecino BGP (es decir, el router remoto) y el telecontrol COMO número respectivamente. Haga clic en OK.

  3. Elija la configuración > la encaminamiento > el BGP > la familia > las redes del IPV4. Ingrese la información para la red de que usted quisiera hacer publicidad al router remoto.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Usted puede utilizar el ASDM para habilitar el registro y ver los registros:

  • muestre isakmp crypto sa - Muestra a la asociación de seguridad del Internet Security Association and Key Management Protocol (ISAKMP) (SA) que se construye entre los pares.
    ASA# show crypto isakmp sa
    IKEv1 SAs:
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1

    1   IKE Peer: 198.51.100.1
        Type    : L2L             Role    : responder
        Rekey   : no              State   : MM_ACTIVE

    There are no IKEv2 SAs

    Router#sh crypto isakmp sa
    IPv4 Crypto ISAKMP SA
    dst             src             state          conn-id slot status
    203.0.113.1     198.51.100.1    QM_IDLE           1024    0 ACTIVE

    IPv6 Crypto ISAKMP SA
  • muestre IPSec crypto sa - Muestra cada fase 2 SA se construya que y la cantidad de tráfico se envía que.
    ASA# show crypto ipsec sa
    interface: outside
       
        Crypto map tag: outside_map, seq num: 1, local addr: 203.0.113.1
          local ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/0/0)
          current_peer: 198.51.100.1

          #pkts encaps: 168, #pkts encrypt: 168, #pkts digest: 168
          #pkts decaps: 172, #pkts decrypt: 172, #pkts verify: 172
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 168, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #TFC rcvd: 0, #TFC sent: 0
          #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
          #send errors: 0, #recv errors: 0

          local crypto endpt.: 203.0.113.1/0, remote crypto endpt.: 198.51.100.1/0
          path mtu 1500, ipsec overhead 58(36), media mtu 1500
          PMTU time remaining (sec): 0, DF policy: copy-df
          ICMP error validation: disabled, TFC packets: disabled
          current outbound spi: 8827DADE
          current inbound spi : 338E6488

        inbound esp sas:
          spi: 0x338E6488 (864969864)
             transform: esp-3des esp-sha-hmac no compression
             in use settings ={L2L, Tunnel, IKEv1, }
             slot: 0, conn_id: 65536, crypto-map: outside_map
             sa timing: remaining key lifetime (kB/sec): (4374000/1988)
             IV size: 8 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x00000001
        outbound esp sas:
          spi: 0x8827DADE (2284313310)
             transform: esp-3des esp-sha-hmac no compression
             in use settings ={L2L, Tunnel, IKEv1, }
             slot: 0, conn_id: 65536, crypto-map: outside_map
             sa timing: remaining key lifetime (kB/sec): (4373989/1988)
             IV size: 8 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x00000001
    Router# show crypto ipsec sa

    interface: FastEthernet0/0
        Crypto map tag: CMAP, local addr 198.51.100.1

       protected vrf: (none)
       local  ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/0/0)
       remote ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/0/0)
       current_peer 203.0.113.1 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 181, #pkts encrypt: 181, #pkts digest: 181
        #pkts decaps: 167, #pkts decrypt: 167, #pkts verify: 167
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0

         local crypto endpt.: 198.51.100.1, remote crypto endpt.: 203.0.113.1
         path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
         current outbound spi: 0x338E6488(864969864)

         inbound esp sas:
          spi: 0x8827DADE(2284313310)
            transform: esp-3des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 3007, flow_id: NETGX:1007, crypto map: CMAP
            sa timing: remaining key lifetime (k/sec): (4406240/1952)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE

         inbound ah sas:

         inbound pcp sas:

         outbound esp sas:
          spi: 0x338E6488(864969864)
            transform: esp-3des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 3008, flow_id: NETGX:1008, crypto map: CMAP
            sa timing: remaining key lifetime (k/sec): (4406261/1952)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE
  • vecinos BGP de la demostración - Muestra el estatus de la relación del vecino BGP.

    ASA# show bgp neighbors

    BGP neighbor is 198.51.100.1,  context single_vf,  remote AS 100, external link
     Description: Remote Router
      BGP version 4, remote router ID 172.16.30.1
      BGP state = Established, up for 00:00:12
      Last read 00:00:12, last write 00:00:11, hold time is 180, keepalive interval
    is 60 seconds
      Neighbor sessions:
        1 active, is not multisession capable (disabled)
      Neighbor capabilities:
        Route refresh: advertised and received(new)
        Four-octets ASN Capability: advertised
        Address family IPv4 Unicast: advertised and received
        Multisession Capability:
      Message statistics:
        InQ depth is 0
        OutQ depth is 0

                       Sent       Rcvd
        Opens:         1          1
        Notifications: 0          0
        Updates:       2          1
        Keepalives:    2          3
        Route Refresh: 0          0
        Total:         5          5
      Default minimum time between advertisement runs is 30 seconds

     For address family: IPv4 Unicast
      Session: 198.51.100.1
      BGP table version 3, neighbor version 3/0
      Output queue size : 0
      Index 1
      1 update-group member
                               Sent       Rcvd
      Prefix activity:         ----       ----
        Prefixes Current:      1          1          (Consumes 80 bytes)
        Prefixes Total:        1          1
        Implicit Withdraw:     0          0
        Explicit Withdraw:     0          0
        Used as bestpath:      n/a        1
        Used as multipath:     n/a        0

                                    Outbound    Inbound
      Local Policy Denied Prefixes: --------    -------
        Bestpath from this peer:     1          n/a
        Total:                       1          0
      Number of NLRIs in the update sent: max 1, min 0

      Address tracking is enabled, the RIB does have a route to 198.51.100.1
      Connections established 1; dropped 0
      Last reset never
      External BGP neighbor may be up to 255 hops away.
      Transport(tcp) path-mtu-discovery is enabled
      Graceful-Restart is disabled
    Router# show ip bgp neighbors
    BGP neighbor is 203.0.113.1,  remote AS 200, external link
      BGP version 4, remote router ID 203.0.113.1
      BGP state = Established, up for 00:01:16
      Last read 00:00:10, last write 00:00:16, hold time is 180, keepalive interval
    is 60 seconds
      Neighbor capabilities:
        Route refresh: advertised and received(old & new)
        Address family IPv4 Unicast: advertised and received
      Message statistics:
        InQ depth is 0
        OutQ depth is 0
                             Sent       Rcvd
        Opens:                  6          6
        Notifications:          4          0
        Updates:               11         12
        Keepalives:          4248       3817
        Route Refresh:          0          0
        Total:               4269       3835
      Default minimum time between advertisement runs is 30 seconds

     For address family: IPv4 Unicast
      BGP table version 26, neighbor version 26/0
      Output queue size: 0
      Index 1, Offset 0, Mask 0x2
      1 update-group member
                                     Sent       Rcvd
      Prefix activity:               ----       ----
        Prefixes Current:               1          1 (Consumes 52 bytes)
        Prefixes Total:                 1          1
        Implicit Withdraw:              0          0
        Explicit Withdraw:              0          0
        Used as bestpath:             n/a          1
        Used as multipath:            n/a          0

                                       Outbound    Inbound
      Local Policy Denied Prefixes:    --------    -------
        Bestpath from this peer:              1        n/a
        Total:                                1          0
      Number of NLRIs in the update sent: max 3, min 0

      Connections established 6; dropped 5
      Last reset 5d22h, due to Peer closed the session
      External BGP neighbor may be up to 255 hops away.
    Connection state is ESTAB, I/O status: 1, unread input bytes: 0
    Connection is ECN Disabled, Mininum incoming TTL 0, Outgoing TTL 255
    Local host: 198.51.100.1, Local port: 179
    Foreign host: 203.0.113.1, Foreign port: 62727
    Connection tableid (VRF): 0

    Enqueued packets for retransmit: 0, input: 0  mis-ordered: 0 (0 bytes)

    Event Timers (current time is 0x300AAA8C):
    Timer          Starts    Wakeups            Next
    Retrans             7          0             0x0
    TimeWait            0          0             0x0
    AckHold             4          1             0x0
    SendWnd             0          0             0x0
    KeepAlive           0          0             0x0
    GiveUp              0          0             0x0
    PmtuAger            0          0             0x0
    DeadWait            0          0             0x0
    Linger              0          0             0x0
    ProcessQ            0          0             0x0

    iss: 4087014083  snduna: 4087014257  sndnxt: 4087014257     sndwnd:  32768
    irs: 1434855898  rcvnxt: 1434856084  rcvwnd:      16199  delrcvwnd:    185

    SRTT: 182 ms, RTTO: 1073 ms, RTV: 891 ms, KRTT: 0 ms
    minRTT: 0 ms, maxRTT: 300 ms, ACK hold: 200 ms
    Status Flags: passive open, gen tcbs
    Option Flags: nagle
    IP Precedence value : 6

    Datagrams (max data segment is 536 bytes):
    Rcvd: 14 (out of order: 0), with data: 5, total data bytes: 185
    Sent: 9 (retransmit: 0, fastretransmit: 0, partialack: 0, Second Congestion: 0),
    with data: 6, total data bytes: 173
     Packets received in fast path: 0, fast processed: 0, slow path: 0
     Packets send in fast path: 0
     fast lock acquisition failures: 0, slow path: 0

Marque al Routers para verificar que la conexión de LAN a LAN pasa el tráfico de la encaminamiento.

show ip route - Displays the IP routing table entries.
ASA# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is not set

C        172.16.20.0 255.255.255.0 is directly connected, inside
L        172.16.20.1 255.255.255.255 is directly connected, inside
B        172.16.30.0 255.255.255.0 [20/0] via 198.51.100.1, 01:43:14
S     198.51.100.0 255.255.255.0 [1/0] via 203.0.113.2, outside
C        203.0.113.0 255.255.255.0 is directly connected, outside
L        203.0.113.1 255.255.255.255 is directly connected, outside

 

Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 198.51.100.2 to network 0.0.0.0

     172.16.0.0/24 is subnetted, 2 subnets
C       172.16.30.0 is directly connected, Loopback0
B       172.16.20.0 [20/0] via 203.0.113.1, 01:44:02
C    198.51.100.0/24 is directly connected, FastEthernet0/0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.106.45.0 is directly connected, FastEthernet0/1
S*   0.0.0.0/0 [1/0] via 198.51.100.2

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118835