Configure la conexión ASA IPsec VTI a Azure

Opciones de descarga

PDF (299.3 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (787.3 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (729.9 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:20 de febrero de 2019

ID del documento:214109

Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

prerrequisitos

Requisitos

Componentes Utilizados

Configurar

Verificación

Troubleshooting

Introducción

Este documento describe cómo configurar una conexión virtual de la interfaz del túnel de IPsec del dispositivo de seguridad adaptante (ASA) (VTI) a Azure. En ASA 9.8.1, la característica de IPsec VTI fue extendida para utilizar IKEv2, sin embargo, todavía se limita al sVTI IPv4 sobre IPv4. Esta guía de configuración fue producida con el uso del interfaz ASA CLI y del portal de Azure. La configuración del portal azul se pudo también realizar por PowerShell o el API. Para más información sobre los métodos de configuración azules, refiera a la documentación azul.

Note: Actualmente, VTI se utiliza solamente en el solo-contexto, modo encaminado.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Un ASA conectó directamente con Internet con un direccionamiento público de los parásitos atmosféricos IPv4 que ejecutaba ASA 9.8.1 o más adelante
Una cuenta azul

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Configurar

Esta guía asume que la nube azul no se ha configurado, algunos de estos pasos puede ser saltada si los recursos se establecen ya.

Paso 1. Configure una red dentro de Azure.

Éste es el espacio de dirección de red que vivirá en la nube azul. Este espacio de direccionamiento debe ser bastante grande para acomodar los redes secundarios dentro de ellos tal y como se muestra en de la imagen.

Nombre	Un nombre para el espacio de la dirección IP recibido en la nube
Espacio de direccionamiento	El rango entero CIDR recibido en Azure. En este ejemplo, se utiliza 10.1.0.0/16
Nombre de la subred	El nombre para la primera subred creada dentro de la red virtual a la cual las VM se asocian generalmente
Rango del subnet address	Una subred creada dentro de la red virtual

Paso 2. Modifique la red virtual para crear una subred del gateway.

Navegue a la red virtual y agregue una subred del gateway. En este ejemplo, se utiliza 10.1.1.0/24.

Paso 3. Cree un gateway de la red virtual.

Éste es el punto final de VPN que se recibe en la nube. Éste es el dispositivo que el ASA construirá el túnel de IPsec con. Este paso también crea un IP del público que se asigne al gateway de la red virtual.

Nombre	Nombre para el gateway de la red virtual
Tipo de gateway	El VPN selecto como esto será un IPsec VPN
Tipo VPN	Select Ruta-basó porque esto es un VTI. Directiva-basado se utiliza al hacer una correspondencia crypto VPN
SKU	Necesite seleccionar VpnGw1 o mayor basado en la cantidad de tráfico necesaria. Básico no utiliza el BGP
Active/modo activo activados	No active. A la hora de la fijación, el ASA no tiene la capacidad a la fuente la sesión BGP de un loopback o de un interior el interfaz. Azure permite solamente 1 dirección IP para el peering BGP
Dirección IP pública	Cree una nueva dirección IP y asigne un nombre al recurso
Configure BGP ASN	Controle este cuadro para activar el BGP en el link
ASN	Deje esto como el valor por defecto 65515. Éste es el ASN los presentes azules sí mismo como

Paso 4. Cree un gateway de la red local.

Un gateway de la red local es el recurso que representa el ASA.

Nombre	Un nombre para el ASA
IP Address	La dirección IP pública de la interfaz exterior ASA
Espacio de direccionamiento	La subred que será configurada en el VTI más adelante
Configure las configuraciones BGP	Controle esto para activar el BGP
ASN	Esto el ASN configurado en el ASA
Dirección IP del peer BGP	La dirección IP que será configurada en el interfaz ASA VTI

Paso 5. Cree una nueva conexión entre el gateway de la red virtual y el gateway de la red local tal y como se muestra en de la imagen.

Paso 6. Configure el ASA.

Primero, el permiso IKEv2 en la interfaz exterior y configura las directivas IKEv2.

crypto ikev2 policy 10
 encryption aes-gcm-256 aes-gcm-192 aes-gcm
 integrity null
 group 14 5 2
 prf sha512 sha384 sha256 sha
 lifetime seconds 86400
crypto ikev2 policy 20
 encryption aes-256 aes-192 aes
 integrity sha512 sha384 sha256 sha
 group 14 5 2
 prf sha512 sha384 sha256 sha
 lifetime seconds 86400
crypto ikev2 enable outside

Paso 6. Configure un IPsec transforman el conjunto y un perfil de ipsec.

crypto ipsec ikev2 ipsec-proposal AZURE-PROPOSAL
 protocol esp encryption aes-256
 protocol esp integrity sha-256
crypto ipsec profile AZURE-PROPOSAL
 set ikev2 ipsec-proposal AZURE-PROPOSAL

Paso 8. Configure al grupo de túnel.

Extraiga el direccionamiento del público IPv4 del gateway de la red virtual creado en el paso 3. tal y como se muestra en de la imagen.

Entonces, configure en el ASA, una grupo-directiva y el grupo de túnel con la clave previamente compartida definida en el paso 3.

group-policy AZURE internal
group-policy AZURE attributes
 vpn-tunnel-protocol ikev2 
tunnel-group A.A.A.A type ipsec-l2l
tunnel-group A.A.A.A general-attributes
 default-group-policy AZURE
tunnel-group A.A.A.A ipsec-attributes
 ikev2 remote-authentication pre-shared-key *****
 ikev2 local-authentication pre-shared-key *****

Paso 9. Configure la interfaz del túnel.

En el paso 4. (configure el gateway de la red local) configuraron a una dirección de red y una dirección IP para la conexión BGP. Ésa es la dirección IP y la red a configurar en el VTI.

interface Tunnel1
 nameif AZURE
 ip address 192.168.100.1 255.255.255.252 
 tunnel source interface outside
 tunnel destination A.A.A.A
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile AZURE-PROPOSAL
 no shutdown

Paso 10.

La opción 1. configura la encaminamiento dinámica. Rutas del intercambio con Azure con el uso del BGP.

Localice la dirección IP del router BGP en Azure viendo la configuración del gateway de la red virtual creado en el paso 3. En este ejemplo es 10.1.2.254.

En el ASA configure una Static ruta que señala a 10.1.2.254 el túnel VTI. En este ejemplo, 192.168.100.2 está dentro de la misma subred como el VTI. Aunque ningún dispositivo tiene esa dirección IP, el ASA instalará la ruta que señala el interfaz VTI.

route AZURE 10.1.2.254 255.255.255.255 192.168.100.2 1

Entonces configure el BGP en el ASA. La red 192.168.2.0/24 es una ruta ASA la interfaz interior y que serán propagadas en la nube. Además, las redes configuradas en Azure serán hechas publicidad al ASA.

router bgp 65000
 bgp log-neighbor-changes
 bgp graceful-restart
 address-family ipv4 unicast
  neighbor 10.1.2.254 remote-as 65515
  neighbor 10.1.2.254 ebgp-multihop 255
  neighbor 10.1.2.254 activate
  network 192.168.2.0
  network 192.168.100.0 mask 255.255.255.252
  no auto-summary
  no synchronization
 exit-address-family

La opción 2. configura la encaminamiento estática - configure estáticamente las rutas en el ASA y Azure. Configure el ASA para enviar el tráfico a las redes azules sobre el túnel VTI.

route AZURE 10.1.0.0 255.255.0.0 192.168.100.2 1

Modifique el gateway de la red virtual remota creado en el paso 4. con las redes detrás del ASA agregando los prefijos bajo “agregan sección de los espacios de red adicionales”.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Paso 1. Verifique que una sesión IKEv2 esté establecida con ikev2 crypto sa de la demostración.

ciscoasa# show crypto ikev2 sa        

IKEv2 SAs:

Session-id:6, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local                                               Remote                                                  Status         Role
2006974029 B.B.B.B.    /500                                   A.A.A.A/500                                             READY          INITIATOR
      Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/4640 sec
Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
          remote selector 0.0.0.0/0 - 255.255.255.255/65535
          ESP spi in/out: 0x74e90416/0xba17723a

Paso 2. Verifique que IPsec SA también esté negociado con el uso del comando show crypto ipsec sa.

ciscoasa# show crypto ipsec sa
interface: AZURE
    Crypto map tag: __vti-crypto-map-3-0-1, seq num: 65280, local addr: B.B.B.B

      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      current_peer: A.A.A.A


      #pkts encaps: 240, #pkts encrypt: 240, #pkts digest: 240
      #pkts decaps: 377, #pkts decrypt: 377, #pkts verify: 377
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 240, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: B.B.B.B/500, remote crypto endpt.: A.A.A.A/500
      path mtu 1500, ipsec overhead 78(44), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: BA17723A
      current inbound spi : 74E90416

    inbound esp sas:
      spi: 0x74E90416 (1961427990)
         SA State: active
         transform: esp-aes-256 esp-sha-256-hmac no compression 
         in use settings ={L2L, Tunnel, IKEv2, VTI, }
         slot: 0, conn_id: 1722, crypto-map: __vti-crypto-map-3-0-1
         sa timing: remaining key lifetime (kB/sec): (3962863/24100)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0xBA17723A (3122098746)
         SA State: active
         transform: esp-aes-256 esp-sha-256-hmac no compression 
         in use settings ={L2L, Tunnel, IKEv2, VTI, }
         slot: 0, conn_id: 1722, crypto-map: __vti-crypto-map-3-0-1
         sa timing: remaining key lifetime (kB/sec): (4008947/24100)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0x00000000 0x00000001

ciscoasa#

Paso 3. Verifique la Conectividad sobre el túnel al router remoto BGP con el uso del ping y del ping tcp para validar la encaminamiento de la capa 3 y acodar la Conectividad 4 para el BGP o los recursos de la punto final si usted utiliza la encaminamiento estática.

ciscoasa# ping 10.1.2.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.2.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/42/50 ms
ciscoasa# ping tcp 10.1.2.254 179
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 10.1.2.254 port 179
from 192.168.100.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 41/42/42 ms
ciscoasa#

Paso 4. Cuando usted utiliza el BGP. Verifique la conectividad BGP, la encamina recibido y hecho publicidad a Azure y a la tabla de encaminamiento del ASA.

ciscoasa# show bgp summary 
BGP router identifier 192.168.100.1, local AS number 65000
BGP table version is 6, main routing table version 6
4 network entries using 800 bytes of memory
5 path entries using 400 bytes of memory
2/2 BGP path/bestpath attribute entries using 416 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 1640 total bytes of memory
BGP activity 14/10 prefixes, 17/12 paths, scan interval 60 secs

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
10.1.2.254      4        65515 73      60             6    0    0 01:02:26  3       

ciscoasa# show bgp neighbors 10.1.2.254 routes 

BGP table version is 6, local router ID is 192.168.100.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*> 10.1.0.0/16      10.1.2.254                         0  65515 i   <<< This is the virtual network defined in Azure
*  192.168.100.0/30 10.1.2.254                         0  65515 i
r> 192.168.100.1/32 10.1.2.254                         0  65515 i

Total number of prefixes 3 
ciscoasa# show bgp neighbors 10.1.2.254 advertised-routes 

BGP table version is 6, local router ID is 192.168.100.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*> 192.168.2.0      0.0.0.0              0         32768  i        <<< These are the routes being advertised to Azure
*> 192.168.100.0/30 0.0.0.0              0         32768  i        <<<

Total number of prefixes 2 
ciscoasa#
ciscoasa# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 64.100.251.33 to network 0.0.0.0

S*       0.0.0.0 0.0.0.0 [1/0] via B.B.B.C, outside
B        10.1.0.0 255.255.0.0 [20/0] via 10.1.1.254, 01:03:33
S        10.1.2.254 255.255.255.255 [1/0] via 192.168.100.2, AZURE
C        B.B.B.A 255.255.255.224 is directly connected, outside
L        B.B.B.B 255.255.255.255 is directly connected, outside
C        192.168.2.0 255.255.255.0 is directly connected, inside
L        192.168.2.2 255.255.255.255 is directly connected, inside
C        192.168.100.0 255.255.255.252 is directly connected, AZURE
L        192.168.100.1 255.255.255.255 is directly connected, AZURE

Paso 5. Haga ping un dispositivo sobre el túnel. En este ejemplo, es Ubuntu VM que se ejecuta en Azure.

ciscoasa# ping 10.1.0.4                                                       
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.0.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/42/50 ms

Ahora vea las rutas eficaces en el telecontrol VM, ellas debe mostrar a las rutas el ASA de divulgación a la nube tal y como se muestra en de la imagen.