ASA 8.x/ASDM 6.x : Ajouter de nouvelles informations d'homologue VPN dans un VPN site à site existant à l'aide de l'ASDM

Options de téléchargement

  • PDF     (244.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (94.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (80.7 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:27 octobre 2011
ID du document:113290

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document fournit des informations sur les modifications de configuration à apporter lorsqu'un nouvel homologue VPN est ajouté à la configuration VPN site à site existante à l'aide d'Adaptive Security Device Manager (ASDM). Ceci est requis dans les scénarios suivants :

  • Le fournisseur d'accès Internet (FAI) a été modifié et un nouvel ensemble de plages IP publiques est utilisé.

  • Une reconception complète du réseau sur un site.

  • Le périphérique utilisé comme passerelle VPN sur un site est migré vers un nouveau périphérique avec une adresse IP publique différente.

Ce document suppose que le VPN site à site est déjà configuré correctement et fonctionne correctement. Ce document fournit les étapes à suivre afin de modifier les informations d'un homologue VPN dans la configuration L2L VPN.

Conditions préalables

Exigences

Cisco recommande que vous ayez une connaissance de ce sujet :

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Appliance de sécurité adaptatif Cisco 5500 avec version logicielle 8.2 et ultérieure

  • Cisco Adaptive Security Device Manager avec logiciel version 6.3 et ultérieure

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Le VPN de site à site fonctionne correctement entre la HQASA et la BQASA. Supposons que le BQASA a subi une reconception complète du réseau et que le schéma IP a été modifié au niveau du FAI, mais que tous les détails du sous-réseau interne restent identiques.

Cet exemple de configuration utilise les adresses IP suivantes :

  • Adresse IP externe BQASA existante - 200.200.200.200

  • Nouvelle adresse IP externe BQASA - 209.165.201.2

Remarque : ici, seules les informations sur l'homologue seront modifiées. Étant donné qu’il n’y a pas d’autre changement dans le sous-réseau interne, les listes d’accès de chiffrement restent les mêmes.

Configuration ASDM

Cette section fournit des informations sur les méthodes possibles utilisées pour modifier les informations d'homologue VPN sur HQASA à l'aide de l'ASDM.

Créer un nouveau profil de connexion

Cette méthode peut être plus simple car elle ne perturbe pas la configuration VPN existante et peut créer un nouveau profil de connexion avec les nouvelles informations relatives à l'homologue VPN.

  1. Accédez à Configuration > Site-to-Site VPN > Connection Profiles et cliquez sur Add dans la zone Connection Profiles.

    add-new-vpn-peer-01.gif

    La fenêtre Add IPSec Site-to-Site Connection Profile s'ouvre.

  2. Sous l'onglet Basic, fournissez les détails de Peer IP Address, Pre-shared Key et Protected Networks. Utilisez tous les mêmes paramètres que le VPN existant, à l'exception des informations sur l'homologue. Click OK.

    add-new-vpn-peer-02.gif

  3. Dans le menu Advanced, cliquez sur Crypto Map Entry. Reportez-vous à l'onglet Priorité. Cette priorité est égale au numéro de séquence dans sa configuration CLI équivalente. Lorsqu'un nombre inférieur à l'entrée de crypto-carte existante est attribué, ce nouveau profil est exécuté en premier. Plus le numéro de priorité est élevé, plus la valeur est faible. Ceci est utilisé pour changer l'ordre de séquence dans lequel une crypto-carte spécifique sera exécutée. Cliquez sur OK pour terminer la création du nouveau profil de connexion.

    add-new-vpn-peer-03.gif

Ceci crée automatiquement un nouveau groupe de tunnels avec une carte de chiffrement associée. Assurez-vous que vous pouvez atteindre le BQASA avec la nouvelle adresse IP avant d'utiliser ce nouveau profil de connexion.

Modifier la configuration VPN existante

Une autre façon d'ajouter un nouvel homologue consiste à modifier la configuration existante. Le profil de connexion existant ne peut pas être modifié pour les informations du nouvel homologue, car il est lié à un homologue spécifique. Pour modifier la configuration existante, vous devez effectuer les étapes suivantes :

  1. Créer un nouveau groupe de tunnels

  2. Modifier la crypto-carte existante

Créer un nouveau groupe de tunnels

Accédez à Configuration > Site-to-Site VPN > Advanced > Tunnel groups et cliquez sur Add pour créer un nouveau tunnel-group qui contient les nouvelles informations d'homologue VPN. Spécifiez les champs Nom et Clé pré-partagée, puis cliquez sur OK.

Remarque : assurez-vous que la clé pré-partagée correspond à l'autre extrémité du VPN.

add-new-vpn-peer-04.gif

Remarque : dans le champ Nom, seule l'adresse IP de l'homologue distant doit être entrée lorsque le mode d'authentification est des clés pré-partagées. Tout nom ne peut être utilisé que lorsque la méthode d'authentification est basée sur des certificats. Cette erreur apparaît lorsqu'un nom est ajouté dans le champ Nom et que la méthode d'authentification est pré-partagée :

add-new-vpn-peer-05.gif

Modifier la crypto-carte existante

La crypto-carte existante peut être modifiée afin d'associer les nouvelles informations d'homologue.

Procédez comme suit :

  1. Accédez à Configuration > Site-to-Site VPN > Advanced > Crypto Maps, puis sélectionnez la crypto-carte requise et cliquez sur Edit.

    add-new-vpn-peer-06.gif

    La fenêtre Edit IPSec Rule s'affiche.

  2. Sous l'onglet Politique de tunnel (de base), dans la zone Paramètres d'homologue, spécifiez le nouvel homologue dans le champ Adresse IP de l'homologue à ajouter. Puis, cliquez sur Add (ajouter).

    add-new-vpn-peer-07.gif

  3. Sélectionnez l'adresse IP de l'homologue existant et cliquez sur Supprimer pour conserver uniquement les nouvelles informations de l'homologue. Click OK.

    add-new-vpn-peer-08.gif

    Remarque : après avoir modifié les informations d'homologue dans la crypto-carte actuelle, le profil de connexion associé à cette crypto-carte est supprimé instantanément dans la fenêtre ASDM.

  4. Les détails des réseaux chiffrés restent les mêmes. Si vous devez les modifier, allez dans l'onglet Traffic Selection.

    add-new-vpn-peer-09.gif

  5. Accédez au volet Configuration > Site-to-Site VPN > Advanced > Crypto Maps afin d'afficher la crypto-carte modifiée. Cependant, ces modifications n'ont pas lieu tant que vous n'avez pas cliqué sur Apply. Après avoir cliqué sur Apply, accédez au menu Configuration > Site-to-Site VPN > Advanced > Tunnel groups afin de vérifier si un groupe de tunnels associé est présent ou non. Si la réponse est oui, un profil de connexion associé sera créé.

    add-new-vpn-peer-10.gif

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Dépannage

Utilisez cette section pour dépanner votre configuration.

IKE Initiator unable to find policy: Intf test_ext, Src : 172.16.1.103, Dst : 10.1.4.251

Cette erreur s'affiche dans les messages du journal lors de la tentative de changement de l'homologue VPN d'un concentrateur VPN à ASA.

Solution :

Cela peut être dû à des étapes de configuration incorrectes suivies lors de la migration. Assurez-vous que la liaison de chiffrement à l'interface est supprimée avant d'ajouter un nouvel homologue. Assurez-vous également que vous avez utilisé l'adresse IP de l'homologue dans le groupe de tunnels, mais pas le nom.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
22-Oct-2011
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits