Servicios web del Amazonas de la conexión del IPSec VTI de la configuración ASA
Introducción
Este documento describe cómo configurar una conexión virtual de la interfaz del túnel del IPSec adaptante del dispositivo de seguridad (ASA) (VTI). En ASA 9.7.1, se ha introducido el IPSec VTI. Se limita al IPv4 del sVTI sobre el IPv4 usando IKEv1 en esta versión. Esto es un ejemplo de configuración para que el ASA conecte con los servicios web del Amazonas (AWS).
Configuración AWS
Paso 1.
Inicie sesión a la consola AWS y navegue al panel de VPC.
Navegue al panel de VPC
Paso 2.
Confirme que una nube privada virtual (VPC) está creada ya. Por abandono, VPC con 172.31.0.0/16 se crea. Aquí es donde las máquinas virtuales (VM) serán asociadas.
Paso 3.
Cree un “gateway del cliente”. Éste es un punto final que represente el ASA.
| Campo | Valor |
| Etiqueta de nombre | Esto es apenas un nombre legible para reconocer el ASA. |
| Ruteo | Dinámico - Esto significa que el Border Gateway Protocol (BGP) será utilizado para intercambiar la información de ruteo. |
| DIRECCIÓN IP | Éste es el IP Address público de la interfaz exterior ASA. |
| BGP ASN | El número de Sistema autónomo (AS) del proceso BGP que se ejecuta en el ASA. Uso 65000 a menos que su organización tenga un público COMO número. |
Paso 4.
Cree un gateway privado virtual (VPG). Éste es un router simulado que se recibe con AWS que termine el túnel IPsec.
| Campo | Valor |
| Etiqueta de nombre | Un nombre legible para reconocer el VPG. |
Paso 5.
Asocie el VPG a VPC.
Elija el gateway privado virtual, haga clic la fijación a VPC, elija VPC de la lista desplegable de VPC, y haga clic sí, asocíelo.
Paso 6.
Cree una conexión VPN.
| Campo | Valor |
| Etiqueta de nombre | Una etiqueta legible de la conexión VPN entre AWS y el ASA. |
| Gateway privado virtual | Elija el VPG apenas creado. |
| Gateway del cliente | Haga clic el botón de radio existente y elija el gateway del ASA. |
| Rutear las opciones | Haga clic (requiere el BGP) el botón de radio dinámico. |
Paso 7.
Configure la tabla de ruta para propagar las rutas aprendidas del VPG (vía el BGP) en VPC.
Paso 8.
Descargue la configuración sugerida. Elija los valores abajo para generar una configuración que sea una configuración de estilo VTI.
| Campo | Valor |
| Vendedor | Cisco Systems, Inc. |
| Plataforma | Routeres de la serie ISR |
| Software | IOS 12.4+ |
Configure el ASA
Una vez que usted descarga la configuración hay una cierta conversión necesaria.
Paso 1.
política isakmp crypto a la directiva crypto ikev1. Solamente una directiva es necesaria puesto que la directiva 200 y la directiva 201 son idénticas.
| Configuración sugerida | A |
|
política isakmp crypto 200 política isakmp crypto 201 |
permiso crypto ikev1 afuera ikev1 directiva crypto 10 authentication pre-share aes del cifrado sha del hash group2 curso de la vida 28800 |
Paso 2.
transforme el conjunto crypto del IPSec al transforme el conjunto crypto del IPSec ikev1. Solamente un transforme el conjunto es necesario puesto que los dos transformes el conjunto son idénticos.
| Configuración sugerida | A |
|
esp-sha-hmac crypto del ESP-aes 128 del transforme el conjunto ipsec-prop-vpn-7c79606e-0 del IPSec esp-sha-hmac crypto del ESP-aes 128 del transforme el conjunto ipsec-prop-vpn-7c79606e-1 del IPSec |
esp-sha-hmac crypto del ESP-aes del transforme el conjunto AWS del IPSec ikev1 |
Paso 3.
perfil de ipsec crypto al perfil de ipsec crypto. Solamente un perfil es necesario puesto que los dos perfiles son idénticos.
| Configuración sugerida | A |
|
perfil de ipsec crypto ipsec-vpn-7c79606e-0 perfil de ipsec crypto ipsec-vpn-7c79606e-1 |
perfil de ipsec crypto AWS fije ikev1 el transforme el conjunto AWS fije el group2 de los pfs fije los segundos 3600 del curso de la vida de la asociación de seguridad |
Paso 4.
el llavero crypto y el perfil crypto del isakmp necesitan ser convertidos a un grupo de túnel uno para cada túnel.
| Configuración sugerida | A |
|
llavero crypto keyring-vpn-7c79606e-0 ¡! llavero crypto keyring-vpn-7c79606e-1 ¡! |
tipo ipsec-l2l de 52.34.205.227 del grupo de túnel recomprobación 10 del umbral 10 del keepalive del isakmp tipo ipsec-l2l de 52.37.194.219 del grupo de túnel IPSec-atributos de 52.37.194.219 del grupo de túnel ikev1 clave previamente compartida JjxCWy4Ae recomprobación 10 del umbral 10 del keepalive del isakmp |
Paso 5.
La configuración del túnel es casi idéntica. El ASA no soporta el IP tcp ajusta-mss o el comando del virtual-nuevo ensamble del IP.
| Configuración sugerida | A |
|
interfaz Tunnel1 ¡! interconecte Tunnel2 |
interconecte Tunnel1 ¡! interfaz Tunnel2 |
Paso 6.
En este ejemplo, el ASA hará publicidad solamente encima de la subred interior (192.168.1.0/24) y recibirá la subred dentro de AWS (172.31.0.0/16).
|
Configuración sugerida |
A |
|
BGP 65000 del router BGP 65000 del router |
BGP 65000 del router red 192.168.1.0 |
Verifique y optimice
Paso 1.
Confirme el ASA establece las asociaciones de seguridad IKEv1 con los dos puntos finales en AWS. El estado del SA debe estar MM_ACTIVE.
ASA# show crypto ikev1 sa
IKEv1 SAs:
Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2
1 IKE Peer: 52.37.194.219
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
2 IKE Peer: 52.34.205.227
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
ASA#
Paso 2.
Confirme el SA de IPSec están instalados en el ASA. Debe haber un entrante y SPI saliente instalado para cada par y allí debe ser el cierto incrementar de los contadores del encaps y de los decaps.
ASA# show crypto ipsec sa
interface: AWS1
Crypto map tag: __vti-crypto-map-5-0-1, seq num: 65280, local addr: 64.100.251.37
access-list __vti-def-acl-0 extended permit ip any any
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer: 52.34.205.227
#pkts encaps: 2234, #pkts encrypt: 2234, #pkts digest: 2234
#pkts decaps: 1234, #pkts decrypt: 1234, #pkts verify: 1234
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 2234, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 64.100.251.37/4500, remote crypto endpt.: 52.34.205.227/4500
path mtu 1500, ipsec overhead 82(52), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: 874FCCF3
current inbound spi : 5E653906
inbound esp sas:
spi: 0x5E653906 (1583692038)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, }
slot: 0, conn_id: 73728, crypto-map: __vti-crypto-map-5-0-1
sa timing: remaining key lifetime (kB/sec): (4373986/2384)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0x874FCCF3 (2270153971)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, }
slot: 0, conn_id: 73728, crypto-map: __vti-crypto-map-5-0-1
sa timing: remaining key lifetime (kB/sec): (4373986/2384)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
interface: AWS2
Crypto map tag: __vti-crypto-map-6-0-2, seq num: 65280, local addr: 64.100.251.37
access-list __vti-def-acl-0 extended permit ip any any
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer: 52.37.194.219
#pkts encaps: 1230, #pkts encrypt: 1230, #pkts digest: 1230
#pkts decaps: 1230, #pkts decrypt: 1230, #pkts verify: 1230
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 1230, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 64.100.251.37/4500, remote crypto endpt.: 52.37.194.219/4500
path mtu 1500, ipsec overhead 82(52), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: DC5E3CA8
current inbound spi : CB6647F6
inbound esp sas:
spi: 0xCB6647F6 (3412477942)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, }
slot: 0, conn_id: 77824, crypto-map: __vti-crypto-map-6-0-2
sa timing: remaining key lifetime (kB/sec): (4373971/1044)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0xDC5E3CA8 (3697163432)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, }
slot: 0, conn_id: 77824, crypto-map: __vti-crypto-map-6-0-2
sa timing: remaining key lifetime (kB/sec): (4373971/1044)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
Paso 3.
En el ASA, confirme que las conexiones BGP están establecidas con AWS. El contador del estado/de PfxRcd debe ser 1 mientras que AWS hace publicidad de la subred 172.31.0.0/16 hacia el ASA.
ASA# show bgp summary BGP router identifier 192.168.1.55, local AS number 65000 BGP table version is 5, main routing table version 5 2 network entries using 400 bytes of memory 3 path entries using 240 bytes of memory 3/2 BGP path/bestpath attribute entries using 624 bytes of memory 1 BGP AS-PATH entries using 24 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 1288 total bytes of memory BGP activity 3/1 prefixes, 4/1 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 169.254.12.85 4 7224 1332 1161 5 0 0 03:41:31 1 169.254.13.189 4 7224 1335 1164 5 0 0 03:42:02 1
Paso 4.
En el ASA, verifique que la ruta a 172.31.0.0/16 se haya aprendido vía las interfaces del túnel. Esta salida muestra que hay dos trayectorias a 172.31.0.0 del par 169.254.12.85 y 169.254.13.189. La trayectoria hacia 169.254.13.189 hacia fuera hace un túnel 2 (AWS2) se prefiere debido al métrico más bajo.
ASA# show bgp
BGP table version is 5, local router ID is 192.168.1.55
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
* 172.31.0.0 169.254.12.85 200 0 7224 i
*> 169.254.13.189 100 0 7224 i
*> 192.168.1.0 0.0.0.0 0 32768 i
ASA# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 64.100.251.33 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 64.100.251.33, outside
C 64.100.251.32 255.255.255.224 is directly connected, outside
L 64.100.251.37 255.255.255.255 is directly connected, outside
C 169.254.12.84 255.255.255.252 is directly connected, AWS2
L 169.254.12.86 255.255.255.255 is directly connected, AWS2
C 169.254.13.188 255.255.255.252 is directly connected, AWS1
L 169.254.13.190 255.255.255.255 is directly connected, AWS1
B 172.31.0.0 255.255.0.0 [20/100] via 169.254.13.189, 03:52:55
C 192.168.1.0 255.255.255.0 is directly connected, inside
L 192.168.1.55 255.255.255.255 is directly connected, inside
Paso 5.
Para asegurar ese tráfico que vuelva de AWS sigue una trayectoria simétrica, configura un route-map para hacer juego el trayecto preferido y para ajustar el BGP para alterar las rutas anunciadas.
route-map toAWS1 permit 10 set metric 100 exit ! route-map toAWS2 permit 10 set metric 200 exit ! router bgp 65000 address-family ipv4 unicast neighbor 169.254.12.85 route-map toAWS2 out neighbor 169.254.13.189 route-map toAWS1 out
Paso 6.
En el ASA, confirme que 192.168.1.0/24 está hecho publicidad a AWS.
ASA# show bgp neighbors 169.254.12.85 advertised-routes
BGP table version is 5, local router ID is 192.168.1.55
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 172.31.0.0 169.254.13.189 100 0 7224 i
*> 192.168.1.0 0.0.0.0 0 32768 i
Total number of prefixes 2
ASA# show bgp neighbors 169.254.13.189 advertised-routes
BGP table version is 5, local router ID is 192.168.1.55
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 192.168.1.0 0.0.0.0 0 32768 i
Total number of prefixes 1
Paso 7.
En AWS, confirme que los túneles para la conexión VPN son ASCENDENTES y las rutas son doctas del par. También marque que la ruta se ha propagado en la tabla de ruteo.
ComentariosDéjenos ayudarlo
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)