Ce document fournit des informations sur les modifications de configuration à apporter lorsqu'un nouvel homologue VPN est ajouté à la configuration VPN site à site existante à l'aide d'Adaptive Security Device Manager (ASDM). Ceci est requis dans les scénarios suivants :
Le fournisseur d'accès Internet (FAI) a été modifié et un nouvel ensemble de plages IP publiques est utilisé.
Une reconception complète du réseau sur un site.
Le périphérique utilisé comme passerelle VPN sur un site est migré vers un nouveau périphérique avec une adresse IP publique différente.
Ce document suppose que le VPN site à site est déjà configuré correctement et fonctionne correctement. Ce document fournit les étapes à suivre afin de modifier les informations d'un homologue VPN dans la configuration L2L VPN.
Cisco recommande que vous ayez une connaissance de ce sujet :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Appliance de sécurité adaptatif Cisco 5500 avec version logicielle 8.2 et ultérieure
Cisco Adaptive Security Device Manager avec logiciel version 6.3 et ultérieure
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Le VPN de site à site fonctionne correctement entre la HQASA et la BQASA. Supposons que le BQASA a subi une reconception complète du réseau et que le schéma IP a été modifié au niveau du FAI, mais que tous les détails du sous-réseau interne restent identiques.
Cet exemple de configuration utilise les adresses IP suivantes :
Adresse IP externe BQASA existante - 200.200.200.200
Nouvelle adresse IP externe BQASA - 209.165.201.2
Remarque : ici, seules les informations sur l'homologue seront modifiées. Étant donné qu’il n’y a pas d’autre changement dans le sous-réseau interne, les listes d’accès de chiffrement restent les mêmes.
Cette section fournit des informations sur les méthodes possibles utilisées pour modifier les informations d'homologue VPN sur HQASA à l'aide de l'ASDM.
Cette méthode peut être plus simple car elle ne perturbe pas la configuration VPN existante et peut créer un nouveau profil de connexion avec les nouvelles informations relatives à l'homologue VPN.
Accédez à Configuration > Site-to-Site VPN > Connection Profiles et cliquez sur Add dans la zone Connection Profiles.
La fenêtre Add IPSec Site-to-Site Connection Profile s'ouvre.
Sous l'onglet Basic, fournissez les détails de Peer IP Address, Pre-shared Key et Protected Networks. Utilisez tous les mêmes paramètres que le VPN existant, à l'exception des informations sur l'homologue. Click OK.
Dans le menu Advanced, cliquez sur Crypto Map Entry. Reportez-vous à l'onglet Priorité. Cette priorité est égale au numéro de séquence dans sa configuration CLI équivalente. Lorsqu'un nombre inférieur à l'entrée de crypto-carte existante est attribué, ce nouveau profil est exécuté en premier. Plus le numéro de priorité est élevé, plus la valeur est faible. Ceci est utilisé pour changer l'ordre de séquence dans lequel une crypto-carte spécifique sera exécutée. Cliquez sur OK pour terminer la création du nouveau profil de connexion.
Ceci crée automatiquement un nouveau groupe de tunnels avec une carte de chiffrement associée. Assurez-vous que vous pouvez atteindre le BQASA avec la nouvelle adresse IP avant d'utiliser ce nouveau profil de connexion.
Une autre façon d'ajouter un nouvel homologue consiste à modifier la configuration existante. Le profil de connexion existant ne peut pas être modifié pour les informations du nouvel homologue, car il est lié à un homologue spécifique. Pour modifier la configuration existante, vous devez effectuer les étapes suivantes :
Créer un nouveau groupe de tunnels
Modifier la crypto-carte existante
Accédez à Configuration > Site-to-Site VPN > Advanced > Tunnel groups et cliquez sur Add pour créer un nouveau tunnel-group qui contient les nouvelles informations d'homologue VPN. Spécifiez les champs Nom et Clé pré-partagée, puis cliquez sur OK.
Remarque : assurez-vous que la clé pré-partagée correspond à l'autre extrémité du VPN.
Remarque : dans le champ Nom, seule l'adresse IP de l'homologue distant doit être entrée lorsque le mode d'authentification est des clés pré-partagées. Tout nom ne peut être utilisé que lorsque la méthode d'authentification est basée sur des certificats. Cette erreur apparaît lorsqu'un nom est ajouté dans le champ Nom et que la méthode d'authentification est pré-partagée :
La crypto-carte existante peut être modifiée afin d'associer les nouvelles informations d'homologue.
Procédez comme suit :
Accédez à Configuration > Site-to-Site VPN > Advanced > Crypto Maps, puis sélectionnez la crypto-carte requise et cliquez sur Edit.
La fenêtre Edit IPSec Rule s'affiche.
Sous l'onglet Politique de tunnel (de base), dans la zone Paramètres d'homologue, spécifiez le nouvel homologue dans le champ Adresse IP de l'homologue à ajouter. Puis, cliquez sur Add (ajouter).
Sélectionnez l'adresse IP de l'homologue existant et cliquez sur Supprimer pour conserver uniquement les nouvelles informations de l'homologue. Click OK.
Remarque : après avoir modifié les informations d'homologue dans la crypto-carte actuelle, le profil de connexion associé à cette crypto-carte est supprimé instantanément dans la fenêtre ASDM.
Les détails des réseaux chiffrés restent les mêmes. Si vous devez les modifier, allez dans l'onglet Traffic Selection.
Accédez au volet Configuration > Site-to-Site VPN > Advanced > Crypto Maps afin d'afficher la crypto-carte modifiée. Cependant, ces modifications n'ont pas lieu tant que vous n'avez pas cliqué sur Apply. Après avoir cliqué sur Apply, accédez au menu Configuration > Site-to-Site VPN > Advanced > Tunnel groups afin de vérifier si un groupe de tunnels associé est présent ou non. Si la réponse est oui, un profil de connexion associé sera créé.
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
Utilisez cette commande pour afficher les paramètres d'association de sécurité spécifiques à un seul homologue :
Utilisez cette section pour dépanner votre configuration.
Cette erreur s'affiche dans les messages du journal lors de la tentative de changement de l'homologue VPN d'un concentrateur VPN à ASA.
Solution :
Cela peut être dû à des étapes de configuration incorrectes suivies lors de la migration. Assurez-vous que la liaison de chiffrement à l'interface est supprimée avant d'ajouter un nouvel homologue. Assurez-vous également que vous avez utilisé l'adresse IP de l'homologue dans le groupe de tunnels, mais pas le nom.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
22-Oct-2011
|
Première publication |