المقدمة
يصف هذا المستند الخطوات اللازمة لإعادة تكوين آلية مصادقة نفق جدار الحماية الذي تم تسليمه للسحابة من RSA إلى PSK على Cisco ASA.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى Cisco Umbrella.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الخطوة 1: التحقق من نفق موجود باستخدام مصادقة RSA
تحقق من وجود نفق باستخدام مصادقة RSA ومن إظهار حالة النفق في ASA متصلا بنوع المصادقة هذا.
1. في لوحة معلومات Umbrella، ابحث عن نفق الشبكة باستخدام ASA الذي يظهر بصمة إصبع مصادقة الجهاز.
صورة 1.png
صورة 2.png
2. في Cisco ASA، يمكنك تشغيل هذه الأوامر للتحقق من نوع المصادقة و IP لوحدة الاستقبال والبث المستخدمة للنفق.
show crypto ikev2 sa
و
show crypto ipsec sa
صورة 3.png
صورة 4.png
الخطوة 2: تسجيل عنوان IP العام الخاص ب ASA
1. تأكد من وجود عنوان IP العام لديك الذي تستخدمه واجهة ASA الخارجية ومسجل كشبكة في لوحة معلومات Umbrella.
2. إذا لم تكن الشبكة موجودة، فقم بالمتابعة لإضافتها وتأكيد IP العام المستخدم من قبل واجهة ASA. يجب تعريف كائن الشبكة المستخدم لهذا النفق باستخدام قناع الشبكة الفرعية /32.
صورة 5.png
الخطوة 3: إنشاء نفق ASA جديد
1. في لوحة المعلومات Umbrella ضمن عمليات النشر/أنفاق الشبكة، قم بإنشاء نفق جديد من خلال تحديد خيار الإضافة.
صورة 6.png
2. حدد معرف النفق استنادا إلى الشبكة التي تطابق IP العام الخاص بواجهة ASA الخارجية وأعد عبارة مرور لمصادقة PSK.
صورة 7.png
صورة 8.png
صورة 9.png
الخطوة 4: إنشاء مجموعة نفق جديدة
1. على ASA، قم بإنشاء مجموعة نفق جديدة باستخدام وحدة الاستقبال والبث الجديدة IP ل Umbrella وحدد عبارة المرور المعرفة في لوحة معلومات Umbrella لمصادقة PSK.
2. يمكن الاطلاع على القائمة المحدثة لمراكز بيانات Umbrella و IPs الخاصة بالنهايات الرئيسية في وثائق Umbrella.
tunnel-group <UMB DC IP address .8> type ipsec-l2l
tunnel-group <UMB DC IP address .8> general-attributes
default-group-policy umbrella-policy
tunnel-group <UMB DC IP address .8> ipsec-attributes
peer-id-validate nocheck
ikev2 local-authentication pre-shared-key 0 <passphrase>
ikev2 remote-authentication pre-shared-key 0 <passphrase>
صورة 10.png
الخطوة 5: تحديد موقع ملف تعريف IPSec المستخدم لواجهة النفق
1. البحث عن ملف تعريف IPsec crypto ips" الذي يتم إستخدامه في واجهة النفق الخاصة بالتكوين المستند إلى المسار إلى وحدة الاستقبال والبث Umbrella (# يتم إستبداله بالمعرف المستخدم لواجهة النفق إلى Umbrella):
show run interface tunnel#
Picture11.png
2. إذا لم تكن متأكدا من معرف النفق، فيمكنك إستخدام هذا الأمر للتحقق من واجهات النفق الموجودة وتحديد النوع المستخدم للتكوين المستند إلى نفق Umbrella:
show run interface tunnel
الخطوة 6: إزالة TrustPoint القديم من ملف تعريف IPSec
1. قم بإزالة TrustPoint من ملف تعريف IPSec الذي يشير إلى مصادقة RSA للنفق. يمكنك التحقق من التكوين باستخدام هذا الأمر:
show crypto ipsec
صورة 12.png
2. انتقل إلى إزالة TrustPoint باستخدام الأوامر التالية:
crypto ipsec profile <profile name>
no set trustpoint umbrella-trustpoint
صورة 13.png
3. تأكد من إزالة TrustPoint من ملف تعريف IPsec للتشفير:
صورة 14.png
الخطوة 7: تحديث واجهة النفق باستخدام عنوان IP جديد لوحدة الاستقبال والبث Umbrella
1. إستبدال وجهة واجهة النفق بعنوان IP لنقطة الاستقبال والبث الجديدة Umbrella التي تنتهي في .8.
- يمكنك إستخدام هذا الأمر للتحقق من الوجهة الحالية حتى يتم إستبداله ب IP من نطاقات عناوين IP لمركز البيانات الجديد، والتي يمكن العثور عليها في وثائق Umbrella:
show run interface tunnel
صورة 15.png
Interface tunnel#
No tunnel destination <UMBRELLA DC IP address.2>
Tunnel destination <UMBRELLA DC IP address .8>
صورة 16.png
2. تأكد من التغيير باستخدام الأمر:
show run interface tunnel#
صورة 17.png
الخطوة 8: تأكيد تكوين النفق الجديد بنجاح
1. تأكد من إعادة إنشاء اتصال النفق ب Umbrella بشكل صحيح باستخدام IP محدث لوحدة الاستقبال والبث باستخدام مصادقة PSK باستخدام هذا الأمر:
show crypto ikev2 sa
صورة 18.png
show crypto ipsec sa
صورة 19.png
الخطوة 9 (اختيارية): إزالة مجموعة النفق القديمة
1. قم بإزالة مجموعة النفق القديمة التي كانت تشير إلى نطاق IP لنقطة الاستقبال والبث السابقة Umbrella .2.
يمكنك إستخدام هذا الأمر لتعريف النفق الصحيح قبل إزالة التكوين:
show run tunnel-group
صورة 20.png
2. قم بإزالة أي مرجع لمجموعة النفق القديمة باستخدام هذا الأمر:
clear config tunnel-group <UMB DC IP address .2>
صورة 21.png
الخطوة 10 (اختيارية): إزالة TrustPoint القديمة
1. قم بإزالة أي مرجع لنقطة الثقة المستخدمة سابقا مع التكوين المستند إلى نفق Umbrella باستخدام هذا الأمر:
sh run crypto ipsec
يمكن العثور على الاسم المألوف المستخدم ل TrustPoint عند مراجعة ملف تعريف "crypto ipSec":
صورة 22.png
2. يمكنك تشغيل هذا الأمر لتأكيد تكوين TrustPoint. تأكد من تطابق الاسم المألوف مع التكوين المستخدم في أمر ملف تعريف crypto ipSec:
sh run crypto ca trustpoint
صورة 23.png
3. للحصول على مزيد من التفاصيل حول الشهادة، أستخدم الأمر:
show crypto ca certificate <trustpoint-name>
صورة 24.png
4. إزالة نقطة الثقة باستخدام الأمر:
no crypto ca trustpoint <trustpoint-name>
صورة 25.png
الخطوة 11 (اختيارية): حذف نفق الشبكة القديم
1. احذف نفق الشبكة القديم من لوحة معلومات Umbrella من خلال الانتقال إلى تفاصيل نفق الشبكة وتحديد Delete.
صورة 26.png
2. تأكد من الحذف بتحديد خيار أنا أفهم وأريد حذف هذا النفق في القائمة المنبثقة، ثم حدد حذف.
صورة 27.png
الخطوة 12: تحديث سياسات ويب بهوية نفق جديدة
تأكيد أن نهج الويب لديك تحتوي على الهوية المحدثة باستخدام نفق الشبكة الجديد:
1. في لوحة المعلومات Umbrella، انتقل إلى السياسات > الإدارة > سياسات الويب.
2. راجع قسم الأنفاق وتأكد من أن سياسات الويب لديك تحتوي على الهوية المحدثة باستخدام نفق الشبكة الجديد.
صورة 28.png