Протокол IP : Протокол BGP

ASA VPN/IPsec с Примером Конфигурации BGP

11 августа 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (23 апреля 2015) | Отзыв

Введение

Этот документ обеспечивает типовую конфигурацию для учреждения соседства Протокола ворот границы (BGP) по от места к месту IPsec тоннель VPN между Адаптивным прибором безопасности (ASA) Cisco, который управляет программным обеспечением Version 9.x и маршрутизатор Cisco IOS®, который управляет программным обеспечением Version 15.x.

Внесенный Динкэром Шармой и Амандипом Сингхом, Cisco инженеры TAC.

Предпосылки

Требования

Cisco рекомендует иметь знание от места к месту IPsec туннельные конфигурации VPN на ASA и Cisco Устройства на iOS.

Используемые компоненты

Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:

  • Маршрутизатор Cisco 2900, который управляет Выпуском 15.x программного обеспечения Cisco IOS и позже.

  • ASA, 5500-x, который управляет Версией 9.x программного обеспечения и позже.

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Формировать

В этой секции вам дарят информацию для формирования особенностей, описанных в этом документе.

Примечание: Используйте Инструмент Поиска Команды (только зарегистрированные клиенты) для получения большей информации о командах, используемых в этой секции.

Сетевая диаграмма

Этот документ использует эту сетевую установку:

Конфигурации командной строки

Этот документ использует Местный ASA и Удаленные конфигурации Маршрутизатора.

Местный ASA

ASA Version 9.2(2)4

!--- Configure the Inside and outside interface.

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 203.0.113.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.20.1 255.255.255.0
!

!--- Configure BGP router process.

router bgp 200
 bgp log-neighbor-changes
 address-family ipv4 unicast
 neighbor 198.51.100.1 remote-as 100
 neighbor 198.51.100.1 description Remote Router
 neighbor 198.51.100.1 ebgp-multihop 255
 neighbor 198.51.100.1 activate
 network 172.16.20.0 mask 255.255.255.0
 no auto-summary
 no synchronization
 exit-address-family
!
route outside 198.51.100.0 255.255.255.0 203.0.113.2 1
!--- The traffic specified by this ACL is traffic that is to be encrypted and
sent across the VPN tunnel.


access-list outside_cryptomap permit ip host 203.0.113.1 host 198.51.100.1
!

!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses isakmp policy 300.
!---The configuration commands here define the Phase 1 policy parameters that are used.


crypto ikev1 policy 300
 authentication pre-share
 encryption 3des
 hash md5
 group 5
 lifetime 86400
!

!--- In order to create and manage the database of connection-specific records for
!--- ipsec-l2l-IPsec (LAN-to-LAN) tunnels, use the command tunnel-group in global
!--- configuration mode. For L2L connections the name of the tunnel group MUST be the
IP !--- address of the IPsec peer.

tunnel-group 198.51.100.1 type ipsec-l2l

!--- Enter the pre-shared-key in order to configure the authentication method.

tunnel-group 198.51.100.1 ipsec-attributes
 ikev1 pre-shared-key cisco123
!

!--- Enable ikev1 on outside interface.

crypto ikev1 enable outside


!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.
!---Define the transform set for Phase 2.

crypto ipsec ikev1 transform-set TSET esp-3des esp-sha-hmac

!--- Define which traffic should be sent to the IPsec peer.


crypto map outside_map 1 match address outside_cryptomap

!--- Sets the IPsec peer

crypto map outside_map 1 set peer 198.51.100.1

!--Sets the IPsec transform set "TSET" to be used with the crypto map entry
"outside_map".

crypto map outside_map 1 set ikev1 transform-set TSET

!---Specifies the interface to be used with the settings defined in
this configuration.


crypto map outside_map interface outside

Отдаленный маршрутизатор

version 15.1
!
!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses isakmp policy 300.
!--- The configuration commands here define the Phase 1 policy parameters
that are used.


crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 5

!--- Enter the pre-shared-key in order to configure the authentication method.


crypto isakmp key cisco123 address 203.0.113.1 255.255.255.0
!

!--- PHASE 2 CONFIGURATION ---!!--- The encryption types for Phase 2 are defined here.

!---Define the transform set for Phase 2.


crypto ipsec transform-set TSET esp-3des esp-sha-hmac

!--- Define crypto map which is used to establish the IPsec Security Association
for protecting the traffic.

crypto map CMAP 10 ipsec-isakmp

!--- Sets the IP address of the remote end.

set peer 203.0.113.1

!--- Configures IPsec to use the transform-set
!--- "Router-IPSEC" defined earlier in this configuration.


 set transform-set TSET

!--- Specifies the interesting traffic to be encrypted.


 match address VPN
!
!
interface Loopback0
 ip address 172.16.30.1 255.255.255.0
!

!--- Configures the interface to use the crypto map "CMAP" for IPsec.

interface FastEthernet0/0
 ip address 198.51.100.1 255.255.255.0
 duplex auto
 speed auto
 crypto map CMAP
!

!--- Configure BGP router process


router bgp 100
 no synchronization
 bgp log-neighbor-changes
 network 172.16.30.0 mask 255.255.255.0
 neighbor 203.0.113.1 remote-as 200
 neighbor 203.0.113.1 ebgp-multihop 255
 no auto-summary
!
ip route 0.0.0.0 0.0.0.0 198.51.100.2
!

!--- Define which traffic should be sent to the IPsec peer.


ip access-list extended VPN
 permit ip host 198.51.100.1 host 203.0.113.1
!

Конфигурации диспетчера устройств ASA

Этот документ использует конфигурации BGP и VPN.

Конфигурация VPN

Закончите эти шаги:

  1. Выберите Волшебников> Волшебник VPN, чтобы использовать Волшебника VPN и создать LAN К LAN-СОЕДИНЕНИЮ. В Волшебном окне VPN нажмите Далее, где От места к месту является выбором по умолчанию.

  2. В области IP-адреса Пэра войдите в IP-адрес пэра. Из выпадающего списка VPN Access Interface выберите интерфейс, в котором вы хотите закончить тоннель. Нажать Далее.

  3. В Местных Сетевых и Отдаленных Сетевых областях войдите в местного жителя и отдаленные сетевые IP-адреса (то есть, движение, что вы хотите быть зашифрованными), соответственно. Нажать Далее.

    Примечание: IP-адресами являются местные и отдаленные IP-адреса, между которыми вы хотите, чтобы было сформировано соседство BGP.

  4. Щелкните Настроенной кнопкой радио Конфигурации и затем проверьте флажок IKE вариантов 1. Нажать Далее.

  5. Выберите вкладку Authentication Methods. В Предобщем Ключевом поле войдите в предобщий ключ. Нажать Далее.

  6. Выберите вкладку Encryption Algorithms. В политике IKE и областях Предложения IPsec, войдите в политику IKE и предложение IPsec, что вы хотите использовать. Нажать Далее.

  7. Это - дополнительная конфигурация. Нажмите Далее, если вы принимаете решение пропустить этот шаг.

  8. Эта страница показывает резюме конфигурации, законченной до сих пор. Нажмите Finish для подталкивания конфигурации к ASA.

  9. Можно рассмотреть конфигурацию VPN как показано по этому изображению.

Конфигурация BGP

  1. Выберите Конфигурацию> Направление> BGP> Общий. Проверьте Позволить флажок направления BGP. В Числовом поле AS введите автономный номер. Нажмите Apply.

  2. Выберите Конфигурацию> Направление> BGP> Семья IPV4> Сосед. В IP-адресе и Отдаленных областях AS, войдите, BGP граничит с IP-адресом (то есть, отдаленный маршрутизатор) и отдаленное число AS соответственно. Нажать OK.

  3. Выберите Конфигурацию> Направление> BGP> Семья IPV4> Сети. Войдите в информацию для сети, которую требуется рекламировать к отдаленному маршрутизатору.

Проверить

Используйте эту секцию, чтобы подтвердить, что ваша конфигурация работает должным образом.

Можно использовать ASDM, чтобы позволить регистрироваться и рассмотреть регистрации:

  • покажите, что crypto isakmp sa - Показывает интернет-Протокол Сопоставления безопасности и Ключевого менеджмента (ISAKMP) сопоставление безопасности (SA), которое построено между пэрами.
    ASA# show crypto isakmp sa
    IKEv1 SAs:
      Active SA: 1
       Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1

    1  IKE Peer: 198.51.100.1
       Type   : L2L            Role   : responder
       Rekey  : no             State  : MM_ACTIVE

    There are no IKEv2 SAs

    Router#sh crypto isakmp sa
    IPv4 Crypto ISAKMP SA
    dst            src            state         conn-id slot status
    203.0.113.1    198.51.100.1   QM_IDLE          1024   0 ACTIVE

    IPv6 Crypto ISAKMP SA
  • покажите, что crypto ipsec sa - Показывает каждой Фазе 2 SA, который построен и сумма движения, которое посылают.
    ASA# show crypto ipsec sa
    interface: outside
       
       Crypto map tag: outside_map, seq num: 1, local addr: 203.0.113.1
         local ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/0/0)
         remote ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/0/0)
         current_peer: 198.51.100.1

         #pkts encaps: 168, #pkts encrypt: 168, #pkts digest: 168
         #pkts decaps: 172, #pkts decrypt: 172, #pkts verify: 172
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 168, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #TFC rcvd: 0, #TFC sent: 0
         #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
         #send errors: 0, #recv errors: 0

         local crypto endpt.: 203.0.113.1/0, remote crypto endpt.: 198.51.100.1/0
         path mtu 1500, ipsec overhead 58(36), media mtu 1500
         PMTU time remaining (sec): 0, DF policy: copy-df
         ICMP error validation: disabled, TFC packets: disabled
         current outbound spi: 8827DADE
         current inbound spi : 338E6488

       inbound esp sas:
         spi: 0x338E6488 (864969864)
            transform: esp-3des esp-sha-hmac no compression
            in use settings ={L2L, Tunnel, IKEv1, }
            slot: 0, conn_id: 65536, crypto-map: outside_map
            sa timing: remaining key lifetime (kB/sec): (4374000/1988)
            IV size: 8 bytes
            replay detection support: Y
            Anti replay bitmap:
             0x00000000 0x00000001
       outbound esp sas:
         spi: 0x8827DADE (2284313310)
            transform: esp-3des esp-sha-hmac no compression
            in use settings ={L2L, Tunnel, IKEv1, }
            slot: 0, conn_id: 65536, crypto-map: outside_map
            sa timing: remaining key lifetime (kB/sec): (4373989/1988)
            IV size: 8 bytes
            replay detection support: Y
            Anti replay bitmap:
             0x00000000 0x00000001
    Router# show crypto ipsec sa

    interface: FastEthernet0/0
       Crypto map tag: CMAP, local addr 198.51.100.1

      protected vrf: (none)
      local ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/0/0)
      current_peer 203.0.113.1 port 500
        PERMIT, flags={origin_is_acl,}
       #pkts encaps: 181, #pkts encrypt: 181, #pkts digest: 181
       #pkts decaps: 167, #pkts decrypt: 167, #pkts verify: 167
       #pkts compressed: 0, #pkts decompressed: 0
       #pkts not compressed: 0, #pkts compr. failed: 0
       #pkts not decompressed: 0, #pkts decompress failed: 0
       #send errors 0, #recv errors 0

        local crypto endpt.: 198.51.100.1, remote crypto endpt.: 203.0.113.1
        path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
        current outbound spi: 0x338E6488(864969864)

        inbound esp sas:
         spi: 0x8827DADE(2284313310)
           transform: esp-3des esp-sha-hmac ,
           in use settings ={Tunnel, }
           conn id: 3007, flow_id: NETGX:1007, crypto map: CMAP
           sa timing: remaining key lifetime (k/sec): (4406240/1952)
           IV size: 8 bytes
           replay detection support: Y
           Status: ACTIVE

        inbound ah sas:

        inbound pcp sas:

        outbound esp sas:
         spi: 0x338E6488(864969864)
           transform: esp-3des esp-sha-hmac ,
           in use settings ={Tunnel, }
           conn id: 3008, flow_id: NETGX:1008, crypto map: CMAP
           sa timing: remaining key lifetime (k/sec): (4406261/1952)
           IV size: 8 bytes
           replay detection support: Y
           Status: ACTIVE
  • покажите, что соседи пограничного межсетевого протокола - Показывают соседнее семейное положение BGP.

    ASA# show bgp neighbors

    BGP neighbor is 198.51.100.1, context single_vf, remote AS 100, external link
     Description: Remote Router
     BGP version 4, remote router ID 172.16.30.1
     BGP state = Established, up for 00:00:12
     Last read 00:00:12, last write 00:00:11, hold time is 180, keepalive interval
    is 60 seconds
     Neighbor sessions:
       1 active, is not multisession capable (disabled)
     Neighbor capabilities:
       Route refresh: advertised and received(new)
       Four-octets ASN Capability: advertised
       Address family IPv4 Unicast: advertised and received
       Multisession Capability:
     Message statistics:
       InQ depth is 0
       OutQ depth is 0

                      Sent      Rcvd
       Opens:        1         1
       Notifications: 0         0
       Updates:      2         1
       Keepalives:   2         3
       Route Refresh: 0         0
       Total:        5         5
     Default minimum time between advertisement runs is 30 seconds

     For address family: IPv4 Unicast
     Session: 198.51.100.1
     BGP table version 3, neighbor version 3/0
     Output queue size : 0
     Index 1
     1 update-group member
                              Sent      Rcvd
     Prefix activity:        ----      ----
       Prefixes Current:     1         1         (Consumes 80 bytes)
       Prefixes Total:       1         1
       Implicit Withdraw:    0         0
       Explicit Withdraw:    0         0
       Used as bestpath:     n/a       1
       Used as multipath:    n/a       0

                                   Outbound   Inbound
     Local Policy Denied Prefixes: --------   -------
       Bestpath from this peer:    1         n/a
       Total:                      1         0
     Number of NLRIs in the update sent: max 1, min 0

     Address tracking is enabled, the RIB does have a route to 198.51.100.1
     Connections established 1; dropped 0
     Last reset never
     External BGP neighbor may be up to 255 hops away.
     Transport(tcp) path-mtu-discovery is enabled
     Graceful-Restart is disabled
    Router# show ip bgp neighbors
    BGP neighbor is 203.0.113.1, remote AS 200, external link
     BGP version 4, remote router ID 203.0.113.1
     BGP state = Established, up for 00:01:16
     Last read 00:00:10, last write 00:00:16, hold time is 180, keepalive interval
    is 60 seconds
     Neighbor capabilities:
       Route refresh: advertised and received(old & new)
       Address family IPv4 Unicast: advertised and received
     Message statistics:
       InQ depth is 0
       OutQ depth is 0
                            Sent      Rcvd
       Opens:                 6         6
       Notifications:         4         0
       Updates:              11        12
       Keepalives:         4248      3817
       Route Refresh:         0         0
       Total:              4269      3835
     Default minimum time between advertisement runs is 30 seconds

     For address family: IPv4 Unicast
     BGP table version 26, neighbor version 26/0
     Output queue size: 0
     Index 1, Offset 0, Mask 0x2
     1 update-group member
                                    Sent      Rcvd
     Prefix activity:              ----      ----
       Prefixes Current:              1         1 (Consumes 52 bytes)
       Prefixes Total:                1         1
       Implicit Withdraw:             0         0
       Explicit Withdraw:             0         0
       Used as bestpath:            n/a         1
       Used as multipath:           n/a         0

                                      Outbound   Inbound
     Local Policy Denied Prefixes:   --------   -------
       Bestpath from this peer:             1       n/a
       Total:                               1         0
     Number of NLRIs in the update sent: max 3, min 0

     Connections established 6; dropped 5
     Last reset 5d22h, due to Peer closed the session
     External BGP neighbor may be up to 255 hops away.
    Connection state is ESTAB, I/O status: 1, unread input bytes: 0
    Connection is ECN Disabled, Mininum incoming TTL 0, Outgoing TTL 255
    Local host: 198.51.100.1, Local port: 179
    Foreign host: 203.0.113.1, Foreign port: 62727
    Connection tableid (VRF): 0

    Enqueued packets for retransmit: 0, input: 0 mis-ordered: 0 (0 bytes)

    Event Timers (current time is 0x300AAA8C):
    Timer         Starts   Wakeups           Next
    Retrans            7         0            0x0
    TimeWait           0         0            0x0
    AckHold            4         1            0x0
    SendWnd            0         0            0x0
    KeepAlive          0         0            0x0
    GiveUp             0         0            0x0
    PmtuAger           0         0            0x0
    DeadWait           0         0            0x0
    Linger             0         0            0x0
    ProcessQ           0         0            0x0

    iss: 4087014083 snduna: 4087014257 sndnxt: 4087014257    sndwnd: 32768
    irs: 1434855898 rcvnxt: 1434856084 rcvwnd:     16199 delrcvwnd:   185

    SRTT: 182 ms, RTTO: 1073 ms, RTV: 891 ms, KRTT: 0 ms
    minRTT: 0 ms, maxRTT: 300 ms, ACK hold: 200 ms
    Status Flags: passive open, gen tcbs
    Option Flags: nagle
    IP Precedence value : 6

    Datagrams (max data segment is 536 bytes):
    Rcvd: 14 (out of order: 0), with data: 5, total data bytes: 185
    Sent: 9 (retransmit: 0, fastretransmit: 0, partialack: 0, Second Congestion: 0),
    with data: 6, total data bytes: 173
     Packets received in fast path: 0, fast processed: 0, slow path: 0
     Packets send in fast path: 0
     fast lock acquisition failures: 0, slow path: 0

Проверьте маршрутизаторы, чтобы проверить, что LAN К LAN-СОЕДИНЕНИЮ передает движение направления.

show ip route - Displays the IP routing table entries.
ASA# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is not set

C       172.16.20.0 255.255.255.0 is directly connected, inside
L       172.16.20.1 255.255.255.255 is directly connected, inside
B       172.16.30.0 255.255.255.0 [20/0] via 198.51.100.1, 01:43:14
S    198.51.100.0 255.255.255.0 [1/0] via 203.0.113.2, outside
C       203.0.113.0 255.255.255.0 is directly connected, outside
L       203.0.113.1 255.255.255.255 is directly connected, outside

 

Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route

Gateway of last resort is 198.51.100.2 to network 0.0.0.0

    172.16.0.0/24 is subnetted, 2 subnets
C      172.16.30.0 is directly connected, Loopback0
B      172.16.20.0 [20/0] via 203.0.113.1, 01:44:02
C   198.51.100.0/24 is directly connected, FastEthernet0/0
    10.0.0.0/24 is subnetted, 1 subnets
C      10.106.45.0 is directly connected, FastEthernet0/1
S*  0.0.0.0/0 [1/0] via 198.51.100.2

Расследовать

В настоящее время нет никакой определенной информации о поиске неисправностей, доступной для этой конфигурации.

Соответствующая информация


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118835