Servicios web del Amazonas de la conexión del IPSec VTI de la configuración ASA

Introducción

Este documento describe cómo configurar una conexión virtual de la interfaz del túnel del IPSec adaptante del dispositivo de seguridad (ASA) (VTI). En ASA 9.7.1, se ha introducido el IPSec VTI.  Se limita al IPv4 del sVTI sobre el IPv4 usando IKEv1 en esta versión.  Esto es un ejemplo de configuración para que el ASA conecte con los servicios web del Amazonas (AWS).

Nota: VTI se soporta actualmente solamente en el solo-contexto, modo ruteado.

Configuración AWS

Paso 1.

Inicie sesión a la consola AWS y navegue al panel de VPC.

Navegue al panel de VPC

Paso 2.

Confirme que una nube privada virtual (VPC) está creada ya.  Por abandono, VPC con 172.31.0.0/16 se crea. Aquí es donde las máquinas virtuales (VM) serán asociadas.

Paso 3.

Cree un “gateway del cliente”.  Éste es un punto final que represente el ASA.

Campo	Valor
Etiqueta de nombre	Esto es apenas un nombre legible para reconocer el ASA.
Ruteo	Dinámico - Esto significa que el Border Gateway Protocol (BGP) será utilizado para intercambiar la información de ruteo.
DIRECCIÓN IP	Éste es el IP Address público de la interfaz exterior ASA.
BGP ASN	El número de Sistema autónomo (AS) del proceso BGP que se ejecuta en el ASA. Uso 65000 a menos que su organización tenga un público COMO número.

Paso 4.

Cree un gateway privado virtual (VPG).  Éste es un router simulado que se recibe con AWS que termine el túnel IPsec.

Campo	Valor
Etiqueta de nombre	Un nombre legible para reconocer el VPG.

Paso 5.

Asocie el VPG a VPC.

Elija el gateway privado virtual, haga clic la fijación a VPC, elija VPC de la lista desplegable de VPC, y haga clic sí, asocíelo.

Paso 6.

Cree una conexión VPN.

Campo	Valor
Etiqueta de nombre	Una etiqueta legible de la conexión VPN entre AWS y el ASA.
Gateway privado virtual	Elija el VPG apenas creado.
Gateway del cliente	Haga clic el botón de radio existente y elija el gateway del ASA.
Rutear las opciones	Haga clic (requiere el BGP) el botón de radio dinámico.

Paso 7.

Configure la tabla de ruta para propagar las rutas aprendidas del VPG (vía el BGP) en VPC.

Paso 8.

Descargue la configuración sugerida.  Elija los valores abajo para generar una configuración que sea una configuración de estilo VTI.

Campo	Valor
Vendedor	Cisco Systems, Inc.
Plataforma	Routeres de la serie ISR
Software	IOS 12.4+

  

Configure el ASA

Una vez que usted descarga la configuración hay una cierta conversión necesaria.

Paso 1.

política isakmp crypto a la directiva crypto ikev1.  Solamente una directiva es necesaria puesto que la directiva 200 y la directiva 201 son idénticas.

Configuración sugerida	A
política isakmp crypto 200  aes 128 del cifrado  authentication pre-share  group2  curso de la vida 28800  sha del hash salida política isakmp crypto 201  aes 128 del cifrado  authentication pre-share  group2  curso de la vida 28800  sha del hash salida	permiso crypto ikev1 afuera ikev1 directiva crypto 10  authentication pre-share  aes del cifrado  sha del hash  group2  curso de la vida 28800

Paso 2.

transforme el conjunto crypto del IPSec al transforme el conjunto crypto del IPSec ikev1.  Solamente un transforme el conjunto es necesario puesto que los dos transformes el conjunto son idénticos.

Configuración sugerida	A
esp-sha-hmac crypto del ESP-aes 128 del transforme el conjunto ipsec-prop-vpn-7c79606e-0 del IPSec   túnel del modo salida esp-sha-hmac crypto del ESP-aes 128 del transforme el conjunto ipsec-prop-vpn-7c79606e-1 del IPSec   túnel del modo salida	esp-sha-hmac crypto del ESP-aes del transforme el conjunto AWS del IPSec ikev1

Paso 3.

perfil de ipsec crypto al perfil de ipsec crypto.  Solamente un perfil es necesario puesto que los dos perfiles son idénticos.

Configuración sugerida

A

perfil de ipsec crypto ipsec-vpn-7c79606e-0  fije el group2 de los pfs  fije los segundos 3600 del curso de la vida de la asociación de seguridad  fije el transforme el conjunto ipsec-prop-vpn-7c79606e-0 salga perfil de ipsec crypto ipsec-vpn-7c79606e-1  fije el group2 de los pfs  fije los segundos 3600 del curso de la vida de la asociación de seguridad  fije el transforme el conjunto ipsec-prop-vpn-7c79606e-1 salga

perfil de ipsec crypto AWS  fije ikev1 el transforme el conjunto AWS  fije el group2 de los pfs  fije los segundos 3600 del curso de la vida de la asociación de seguridad

Paso 4.

el llavero crypto y el perfil crypto del isakmp necesitan ser convertidos a un grupo de túnel uno para cada túnel.

Configuración sugerida

A

llavero crypto keyring-vpn-7c79606e-0  dirección local 64.100.251.37  clave QZhh90Bjf de 52.34.205.227 del direccionamiento de la clave previamente compartida salida ¡! perfil crypto isakmp-vpn-7c79606e-0 del isakmp  dirección local 64.100.251.37  direccionamiento 52.34.205.227 de la identidad de la coincidencia  llavero keyring-vpn-7c79606e-0  salida ¡! llavero crypto keyring-vpn-7c79606e-1  dirección local 64.100.251.37  clave JjxCWy4Ae de 52.37.194.219 del direccionamiento de la clave previamente compartida  salida ¡! perfil crypto isakmp-vpn-7c79606e-1 del isakmp  dirección local 64.100.251.37  direccionamiento 52.37.194.219 de la identidad de la coincidencia  llavero keyring-vpn-7c79606e-1  salida

tipo ipsec-l2l de 52.34.205.227 del grupo de túnel IPSec-atributos de 52.34.205.227 del grupo de túnel  ikev1 clave previamente compartida QZhh90Bjf  recomprobación 10 del umbral 10 del keepalive del isakmp tipo ipsec-l2l de 52.37.194.219 del grupo de túnel IPSec-atributos de 52.37.194.219 del grupo de túnel  ikev1 clave previamente compartida JjxCWy4Ae  recomprobación 10 del umbral 10 del keepalive del isakmp

Paso 5.

La configuración del túnel es casi idéntica. El ASA no soporta el IP tcp ajusta-mss o el comando del virtual-nuevo ensamble del IP.

Configuración sugerida

A

interfaz Tunnel1  dirección IP 169.254.13.190 255.255.255.252  virtual-nuevo ensamble del IP  origen de túnel 64.100.251.37  destino del túnel 52.34.205.227  IPSec ipv4 del modo túnel  perfil de ipsec ipsec-vpn-7c79606e-0 de la protección del túnel  el IP tcp ajusta-mss 1387  ningún apague  salga ¡! interconecte Tunnel2  dirección IP 169.254.12.86 255.255.255.252  virtual-nuevo ensamble del IP  origen de túnel 64.100.251.37  destino del túnel 52.37.194.219  IPSec ipv4 del modo túnel  perfil de ipsec ipsec-vpn-7c79606e-1 de la protección del túnel  el IP tcp ajusta-mss 1387  ningún apague  salga

interconecte Tunnel1  nameif AWS1  dirección IP 169.254.13.190 255.255.255.252  interfaz del origen de túnel afuera  destino del túnel 52.34.205.227  IPSec ipv4 del modo túnel  perfil de ipsec AWS de la protección del túnel ¡! interfaz Tunnel2  nameif AWS2  dirección IP 169.254.12.86 255.255.255.252  interfaz del origen de túnel afuera  destino del túnel 52.37.194.219  IPSec ipv4 del modo túnel  perfil de ipsec AWS de la protección del túnel

Paso 6.

En este ejemplo, el ASA hará publicidad solamente encima de la subred interior (192.168.1.0/24) y recibirá la subred dentro de AWS (172.31.0.0/16).

Configuración sugerida

A

BGP 65000 del router  vecino 169.254.13.189 telecontrol-como 7224  el vecino 169.254.13.189 activa  temporizadores de 169.254.13.189 del vecino 10 30 30  unicast de la direccionamiento-familia ipv4   vecino 169.254.13.189 telecontrol-como 7224   temporizadores de 169.254.13.189 del vecino 10 30 30   el vecino 169.254.13.189 valor por defecto-origina   el vecino 169.254.13.189 activa   soft-reconfiguration inbound de 169.254.13.189 del vecino   red 0.0.0.0   salida  salida BGP 65000 del router  vecino 169.254.12.85 telecontrol-como 7224  el vecino 169.254.12.85 activa  temporizadores de 169.254.12.85 del vecino 10 30 30  unicast de la direccionamiento-familia ipv4   vecino 169.254.12.85 telecontrol-como 7224   temporizadores de 169.254.12.85 del vecino 10 30 30   el vecino 169.254.12.85 valor por defecto-origina   el vecino 169.254.12.85 activa   soft-reconfiguration inbound de 169.254.12.85 del vecino   red 0.0.0.0   salida  salida

BGP 65000 del router  log-neighbor-changes BGP  BGP 10 de los temporizadores 30 0  unicast de la direccionamiento-familia ipv4   vecino 169.254.12.85 telecontrol-como 7224   el vecino 169.254.12.85 activa   vecino 169.254.13.189 telecontrol-como 7224   el vecino 169.254.13.189 activa   red 192.168.1.0   ningún automóvil summary   ninguna sincronización  salida-direccionamiento-familia

Verifique y optimice

Paso 1.

Confirme el ASA establece las asociaciones de seguridad IKEv1 con los dos puntos finales en AWS. El estado del SA debe estar MM_ACTIVE.

ASA# show crypto ikev1 sa

IKEv1 SAs:

   Active SA: 2
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: 52.37.194.219
    Type    : L2L             Role    : initiator 
    Rekey   : no              State   : MM_ACTIVE 
2   IKE Peer: 52.34.205.227
    Type    : L2L             Role    : initiator 
    Rekey   : no              State   : MM_ACTIVE 
ASA# 

Paso 2.

Confirme el SA de IPSec están instalados en el ASA. Debe haber un entrante y SPI saliente instalado para cada par y allí debe ser el cierto incrementar de los contadores del encaps y de los decaps.

ASA# show crypto ipsec sa
interface: AWS1
    Crypto map tag: __vti-crypto-map-5-0-1, seq num: 65280, local addr: 64.100.251.37

      access-list __vti-def-acl-0 extended permit ip any any 
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      current_peer: 52.34.205.227


      #pkts encaps: 2234, #pkts encrypt: 2234, #pkts digest: 2234
      #pkts decaps: 1234, #pkts decrypt: 1234, #pkts verify: 1234
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 2234, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 64.100.251.37/4500, remote crypto endpt.: 52.34.205.227/4500
      path mtu 1500, ipsec overhead 82(52), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: 874FCCF3
      current inbound spi : 5E653906
              
    inbound esp sas:
      spi: 0x5E653906 (1583692038)
         transform: esp-aes esp-sha-hmac no compression 
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, PFS Group 2, IKEv1, VTI, }
         slot: 0, conn_id: 73728, crypto-map: __vti-crypto-map-5-0-1
         sa timing: remaining key lifetime (kB/sec): (4373986/2384)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0x874FCCF3 (2270153971)
         transform: esp-aes esp-sha-hmac no compression 
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, PFS Group 2, IKEv1, VTI, }
         slot: 0, conn_id: 73728, crypto-map: __vti-crypto-map-5-0-1
         sa timing: remaining key lifetime (kB/sec): (4373986/2384)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0x00000000 0x00000001

interface: AWS2
    Crypto map tag: __vti-crypto-map-6-0-2, seq num: 65280, local addr: 64.100.251.37
              
      access-list __vti-def-acl-0 extended permit ip any any 
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      current_peer: 52.37.194.219


      #pkts encaps: 1230, #pkts encrypt: 1230, #pkts digest: 1230
      #pkts decaps: 1230, #pkts decrypt: 1230, #pkts verify: 1230
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 1230, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #TFC rcvd: 0, #TFC sent: 0
      #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 64.100.251.37/4500, remote crypto endpt.: 52.37.194.219/4500
      path mtu 1500, ipsec overhead 82(52), media mtu 1500
      PMTU time remaining (sec): 0, DF policy: copy-df
      ICMP error validation: disabled, TFC packets: disabled
      current outbound spi: DC5E3CA8
      current inbound spi : CB6647F6

    inbound esp sas:
      spi: 0xCB6647F6 (3412477942)
         transform: esp-aes esp-sha-hmac no compression 
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, PFS Group 2, IKEv1, VTI, }
         slot: 0, conn_id: 77824, crypto-map: __vti-crypto-map-6-0-2
         sa timing: remaining key lifetime (kB/sec): (4373971/1044)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
      spi: 0xDC5E3CA8 (3697163432)
         transform: esp-aes esp-sha-hmac no compression 
         in use settings ={L2L, Tunnel,  NAT-T-Encaps, PFS Group 2, IKEv1, VTI, }
         slot: 0, conn_id: 77824, crypto-map: __vti-crypto-map-6-0-2
         sa timing: remaining key lifetime (kB/sec): (4373971/1044)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap: 
          0x00000000 0x00000001

Paso 3.

En el ASA, confirme que las conexiones BGP están establecidas con AWS.  El contador del estado/de PfxRcd debe ser 1 mientras que AWS hace publicidad de la subred 172.31.0.0/16 hacia el ASA.

ASA# show bgp summary 
BGP router identifier 192.168.1.55, local AS number 65000
BGP table version is 5, main routing table version 5
2 network entries using 400 bytes of memory
3 path entries using 240 bytes of memory
3/2 BGP path/bestpath attribute entries using 624 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 1288 total bytes of memory
BGP activity 3/1 prefixes, 4/1 paths, scan interval 60 secs

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
169.254.12.85   4         7224 1332    1161           5    0    0 03:41:31  1       
169.254.13.189  4         7224 1335    1164           5    0    0 03:42:02  1       

Paso 4.

En el ASA, verifique que la ruta a 172.31.0.0/16 se haya aprendido vía las interfaces del túnel.  Esta salida muestra que hay dos trayectorias a 172.31.0.0 del par 169.254.12.85 y 169.254.13.189. La trayectoria hacia 169.254.13.189 hacia fuera hace un túnel 2 (AWS2) se prefiere debido al métrico más bajo.

ASA# show bgp

BGP table version is 5, local router ID is 192.168.1.55
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*  172.31.0.0       169.254.12.85      200             0  7224 i
*>                  169.254.13.189     100             0  7224 i
*> 192.168.1.0      0.0.0.0              0         32768  i

ASA# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 64.100.251.33 to network 0.0.0.0

S*       0.0.0.0 0.0.0.0 [1/0] via 64.100.251.33, outside
C        64.100.251.32 255.255.255.224 is directly connected, outside
L        64.100.251.37 255.255.255.255 is directly connected, outside
C        169.254.12.84 255.255.255.252 is directly connected, AWS2
L        169.254.12.86 255.255.255.255 is directly connected, AWS2
C        169.254.13.188 255.255.255.252 is directly connected, AWS1
L        169.254.13.190 255.255.255.255 is directly connected, AWS1
B        172.31.0.0 255.255.0.0 [20/100] via 169.254.13.189, 03:52:55
C        192.168.1.0 255.255.255.0 is directly connected, inside
L        192.168.1.55 255.255.255.255 is directly connected, inside

Paso 5.

Para asegurar ese tráfico que vuelva de AWS sigue una trayectoria simétrica, configura un route-map para hacer juego el trayecto preferido y para ajustar el BGP para alterar las rutas anunciadas.

route-map toAWS1 permit 10
 set metric 100
 exit
!
route-map toAWS2 permit 10
 set metric 200
 exit
!
router bgp 65000
 address-family ipv4 unicast
  neighbor 169.254.12.85 route-map toAWS2 out
  neighbor 169.254.13.189 route-map toAWS1 out

Paso 6.

En el ASA, confirme que 192.168.1.0/24 está hecho publicidad a AWS.

ASA# show bgp neighbors 169.254.12.85 advertised-routes 

BGP table version is 5, local router ID is 192.168.1.55
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*> 172.31.0.0       169.254.13.189     100             0  7224 i
*> 192.168.1.0      0.0.0.0              0         32768  i

Total number of prefixes 2 
ASA# show bgp neighbors 169.254.13.189 advertised-routes 

BGP table version is 5, local router ID is 192.168.1.55
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*> 192.168.1.0      0.0.0.0              0         32768  i

Total number of prefixes 1 

Paso 7.

En AWS, confirme que los túneles para la conexión VPN son ASCENDENTES y las rutas son doctas del par.  También marque que la ruta se ha propagado en la tabla de ruteo.