Este documento proporciona información sobre los cambios de configuración que se deben realizar cuando se agrega un nuevo par VPN a la configuración VPN de sitio a sitio existente mediante el Administrador adaptable de dispositivos de seguridad (ASDM). Esto es necesario en los siguientes casos:
Se ha cambiado el proveedor de servicios de Internet (ISP) y se utiliza un nuevo conjunto de intervalos de IP pública.
Un rediseño completo de la red en un sitio.
El dispositivo utilizado como gateway VPN en un sitio se migra a un nuevo dispositivo con una dirección IP pública diferente.
Este documento asume que la VPN de sitio a sitio ya está configurada correctamente y funciona correctamente. Este documento proporciona los pasos a seguir para cambiar la información de un peer VPN en la configuración VPN L2L.
Cisco le recomienda que tenga conocimiento acerca de este tema:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Cisco Adaptive Security Appliance serie 5500 con versión de software 8.2 y posterior
Cisco Adapative Security Device Manager con versión de software 6.3 y posteriores
La VPN de sitio a sitio funciona bien entre HQASA y BQASA. Supongamos que BQASA tiene un rediseño completo de la red y que el esquema IP se ha modificado a nivel del ISP, pero todos los detalles de la subred interna siguen siendo los mismos.
Esta configuración de ejemplo utiliza estas direcciones IP:
Dirección IP externa BQASA existente: 200.200.200.200
Nueva dirección IP externa BQASA - 209.165.201.2
Nota: Aquí, sólo se modificará la información del par. Debido a que no hay otro cambio en la subred interna, las listas de acceso crypto permanecen iguales.
Esta sección proporciona información sobre los posibles métodos utilizados para cambiar la información del peer VPN en HQASA utilizando el ASDM.
Este puede ser el método más fácil porque no perturba la configuración VPN existente y puede crear un nuevo perfil de conexión con la nueva información relacionada con el par VPN.
Vaya a Configuration > Site-to-Site VPN > Connection Profiles y haga clic en Add en el área Connection Profiles.
Se abre la ventana Add IPSec Site-to-Site Connection Profile.
En la ficha Basic (Básica), proporcione los detalles de Peer IP Address, Pre-shared Key y Protected Networks. Utilice todos los mismos parámetros que la VPN existente, excepto la información del par. Click OK.
En el menú Avanzadas, haga clic en Entrada de mapa criptográfico. Consulte la pestaña Prioridad. Esta prioridad es igual al número de secuencia en su configuración CLI equivalente. Cuando se asigna un número menor que la entrada de mapa criptográfico existente, este nuevo perfil se ejecuta primero. Cuanto mayor sea el número de prioridad, menor será el valor. Esto se utiliza para cambiar el orden de secuencia en el que se ejecutará un mapa criptográfico específico. Haga clic en Aceptar para completar la creación del nuevo perfil de conexión.
Esto crea automáticamente un nuevo grupo de túnel junto con un mapa criptográfico asociado. Asegúrese de que puede comunicarse con BQASA con la nueva dirección IP antes de utilizar este nuevo perfil de conexión.
Otra forma de agregar un nuevo par es modificar la configuración existente. El perfil de conexión existente no se puede editar para la nueva información de par porque está enlazado a un par específico. Para editar la configuración existente, debe realizar estos pasos:
Creación de un Nuevo Grupo de Túnel
Editar el mapa criptográfico existente
Vaya a Configuration > Site-to-Site VPN > Advanced > Tunnel groups y haga clic en Add para crear un nuevo grupo de túnel que contenga la nueva información de peer VPN. Especifique los campos Name y Pre-shared Key y, a continuación, haga clic en OK.
Nota: Asegúrese de que la clave previamente compartida coincida con el otro extremo de la VPN.
Nota: En el campo Name (Nombre), sólo se debe introducir la dirección IP del par remoto cuando el modo de autenticación son claves previamente compartidas. Cualquier nombre sólo se puede utilizar cuando el método de autenticación es a través de certificados. Este error aparece cuando se agrega un nombre en el campo Nombre y el método de autenticación es previamente compartido:
El mapa criptográfico existente se puede editar para asociar la nueva información de peer.
Complete estos pasos:
Vaya a Configuration > Site-to-Site VPN > Advanced > Crypto Maps, luego seleccione el mapa crypto requerido y haga clic en Edit.
Aparece la ventana Edit IPSec Rule.
En la ficha Directiva de túnel (básica), en el área Configuración de par, especifique el nuevo par en el campo Dirección IP del par que desea agregar. Luego, haga clic en Add (Agregar).
Seleccione la dirección IP del par existente y haga clic en Quitar para conservar la información del par nuevo solamente. Click OK.
Nota: Después de modificar la información del par en el mapa criptográfico actual, el perfil de conexión asociado con este mapa criptográfico se elimina instantáneamente en la ventana ASDM.
Los detalles de las redes cifradas siguen siendo los mismos. Si necesita modificarlos, vaya a la pestaña Selección de tráfico.
Vaya al panel Configuration > Site-to-Site VPN > Advanced > Crypto Maps para ver el mapa crypto modificado. Sin embargo, estos cambios no tienen lugar hasta que haga clic en Apply. Después de hacer clic en Apply, vaya al menú Configuration > Site-to-Site VPN > Advanced > Tunnel groups para verificar si un grupo de túnel asociado está presente o no. En caso afirmativo, se creará un perfil de conexión asociado.
Utilize esta sección para confirmar que su configuración funcione correctamente.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
Utilice este comando para ver los parámetros de asociación de seguridad específicos de un solo peer:
Use esta sección para resolver problemas de configuración.
Este error se muestra en los mensajes de registro cuando se intenta cambiar el par VPN de un concentrador VPN a ASA.
Solución:
Esto puede ser el resultado de pasos de configuración inadecuados seguidos durante la migración. Asegúrese de que se elimine el enlace de cifrado a la interfaz antes de agregar un nuevo par. Además, asegúrese de utilizar la dirección IP del par en el grupo de túnel, pero no el nombre.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
22-Oct-2011
|
Versión inicial |