Configurant un tunnel VPN de site à site entre les routeurs de la gamme rv et les appliances de sécurité adaptable de la gamme ASA 5500

Objectif

La Sécurité est essentielle pour protéger la propriété intellectuelle d'une entreprise tout en également assurant la continuité d'affaires et fournissant la capacité d'étendre le lieu de travail entreprise aux employés qui ont besoin n'importe quand, n'importe où accès aux ressources en société.

Les solutions de sécurité VPN deviennent plus importantes pour des sociétés commerciales de PME. Un VPN est réseau privé construit dans une infrastructure réseau publique, telle que l'Internet global. Un VPN étend un réseau privé entre les emplacements géographiquement distincts de bureau. Il permet à un ordinateur hôte d'envoyer et recevoir des données à travers les réseaux publics car elles étaient une partie intégrante du réseau privé avec toute la fonctionnalité. Les VPN augmentent la Sécurité pour une organisation distribuée, le facilitant pour que le personnel fonctionne de différents sites sans compromettre le réseau. Les motivations pour utiliser le VPN sont les conditions requises « virtualisent » une certaine partie des transmissions et de l'économie d'une organisation des transmissions.

Il y a différentes topologies VPN : Hub and spoke, Point à point, et maillage complet. Ce conseil intelligent couvre le site à site (Point à point) VPN, qui fournit une infrastructure basée sur Internet pour étendre des ressources de réseau aux bureaux distants, aux bureaux à domicile, et aux sites de partenaire commercial. Tout le trafic entre les sites est chiffré utilisant le protocole de sécurité IP (IPsec), et des caractéristiques de réseau telles que le routage, le Qualité de service (QoS), et le support de Multidiffusion sont intégrées.

Les routeurs de la gamme de Cisco rv fournissent les solutions VPN robustes et facilement gérées aux sociétés conscientes des coûts de petite entreprise. Les organismes d'aide de Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500 pour équilibrer la Sécurité avec la productivité. Il combine le Pare-feu de l'inspection avec état le plus déployé du secteur avec des services de sécurité réseau de la deuxième génération complets, incluant : visibilité et contrôle granulaire des applications et les micro-applications, la sécurité Web, les systèmes de prévention des intrusions (IPS), fortement l'accès distant sécurisé, et d'autres.
Ce guide court décrit un exemple de la conception pour construire un site à site IPsec VPN entre les routeurs de la gamme rv et les appliances de sécurité adaptable de la gamme une ASA 5500 et fournit des exemples de configuration.

Périphériques applicables

• Routeurs VPN de gamme Cisco RV0xx
• Dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500

Version de logiciel

• 4.2.2.08 [routeurs VPN de gamme Cisco RV0xx]

Pré-configuration

L'image suivante affiche une implémentation d'échantillon d'un tunnel VPN de site à site utilisant un routeur de Rv-gamme (site distant) et une ASA 5500 (bureau central).



Avec cette configuration un hôte dans le réseau du site distant de 122.166.12.x et un hôte dans VLAN 1at que le bureau central peut communiquer les uns avec les autres sécurisé.

Fonctionnalités principales

Échange de clés Internet (IKE)

L'Échange de clés Internet (IKE) est le protocole utilisé pour installer une association de sécurité (SA) dans la suite de protocole IPsec. Les constructions d'IKE sur le protocole et le Protocole ISAKMP (Internet Security Association and Key Management Protocol) d'Oakley, et emploie un échange de clé de Diffie-Hellman pour installer un secret partagé de session, dont des clés cryptographiques sont dérivées. Une stratégie sécurisée pour chaque pair doit être manuellement mise à jour.

IPSec (IPSec)

IPsec utilise des Services de sécurité cryptographiques pour protéger des transmissions au-dessus des réseaux de Procotole IP (Internet Protocol). IPsec prend en charge l'authentification de pair de niveau du réseau, l'authentification de l'origine des données, l'intégrité des données, la confidentialité des données (cryptage), et la protection de rediffusion. IPSec comporte beaucoup de Technologies et de méthodes de cryptage composantes. Pourtant l'exécution d'IPSec peut être décomposée en cinq étapes principales :
Étape 1." le trafic intéressant » initie le processus d'IPSec - le trafic est considéré intéressant quand la stratégie de sécurité d'IPSec configurée dans les pairs d'IPSec commence le processus d'IKE.
Étape 2. Phase 1 d'IKE - L'IKE authentifie des pairs d'IPSec et négocie l'IKE SAS pendant cette phase, installant un canal de sécuriser pour négocier IPSec SAS dans la phase 2.
Étape 3. Phase 2 d'IKE - L'IKE négocie des paramètres d'IPSec SA et a installé IPSec assorti SAS dans les pairs.
Étape 4. Transfert des données - Des données sont transférées entre les pairs d'IPSec basés sur les paramètres d'IPSec et les clés enregistrées dans la base de données SA.
Étape 5. Arrêt de tunnel d'IPSec - IPSec SAS se terminent par la suppression ou en chronométrant.

ISAKMP

Le Protocole ISAKMP (Internet Security Association and Key Management Protocol) sont utilisés pour négocier le tunnel entre les deux points finaux.  Il définit les procédures pour l'authentification, la transmission, et la génération de clés, et est utilisé par le protocole d'IKE pour permuter des clés de chiffrement et pour établir la connexion sécurisée.

Conseils de conception

Topologie VPN — Avec un site à site VPN, un tunnel sécurisé d'IPsec est configuré entre chaque site et chaque autre site. Une topologie multisite est habituellement mise en application comme maillage complet des tunnels VPN de site à site (c'est-à-dire, chaque site a des tunnels établis à chaque autre site). Si aucune transmission n'est nécessaire entre les bureaux distants, une topologie du hub-spoke VPN est utilisée pour réduire le nombre de tunnels VPN (c'est-à-dire, chaque site établit un tunnel VPN seulement au bureau central).
Adressage IP BLÊME et DDNS — Le tunnel VPN doit être établi entre deux adresses IP publique. Si les routeurs WAN reçoivent des adresses IP statiques du fournisseur de services Internet (ISP), le tunnel VPN peut être mis en application directement utilisant les adresses IP publique statiques. Cependant, la plupart des petites entreprises utilisent des services Internet hauts débits rentables tels que le DSL ou le modem câble, et reçoivent des adresses IP dynamiques de leurs ISP. En pareil cas, DDNS peut être utilisé pour tracer l'adresse IP dynamique à un nom de domaine complet (FQDN).
Adressage IP de RÉSEAU LOCAL — L'adresse de réseau IP privée de RÉSEAU LOCAL de chaque site devrait n'avoir aucune superposition. L'adresse de réseau IP par défaut de RÉSEAU LOCAL à chaque site distant devrait toujours être changée.
Authentification VPN — Le protocole d'IKE est utilisé pour authentifier des homologues VPN en établissant un tunnel VPN. Les diverses méthodes d'authentification d'IKE existent, et la clé pré-partagée est la méthode la plus commode. Cisco recommande appliquer une clé pré-partagée forte.
Chiffrement de VPN — Pour assurer la confidentialité des données transportées au-dessus du VPN, des algorithmes de chiffrement sont utilisés pour chiffrer la charge utile des paquets IP. DES,3DES, et AES sont trois normes de chiffrement communes. AES est considéré les la plupart sécurisées une fois comparé au DES et au 3DES. Cisco recommande fortement appliquer les bits AES-128 ou le cryptage plus élevé (par exemple, AES-192 et AES-256). Cependant, plus l'algorithme de chiffrement est fort, plus traitant les ressources qu'il exige.

Conseils de configuration

liste de contrôle de Pré-configuration
Étape 1. Assurez-vous que l'ASA et le routeur chacun des deux rv sont connectés à la passerelle internet (le routeur de l'ISP ou le modem).
Étape 2. Activez le routeur de Cisco rv et puis connectez les PC internes, les serveurs, et d'autres périphériques IP au commutateur de RÉSEAU LOCAL ou les ports de commutateur sur le routeur rv.
Étape 3. Faites la même chose pour le réseau derrière l'ASA. Étape 4. Assurez-vous que les adresses de réseau IP de RÉSEAU LOCAL sont configurées à chaque site et sont des sous-réseaux indifférents. Dans cet exemple, le RÉSEAU LOCAL de bureau central utilise 192.168.10.0/24,and que le RÉSEAU LOCAL de site distant utilise 122.166.12.0/24.
Étape 4. Assurez-vous que des PC de gens du pays et des serveurs peuvent communiquer les uns avec les autres et avec le routeur.

Identifier la connexion WAN

Vous devrez savoir si votre ISP distribue une adresse IP dynamique ou si vous avez reçu un IP statique. Habituellement l'ISP donnera un IP dynamique, mais vous devrez confirmer ceci pour se terminer la configuration.

Configurer le RV042G au bureau distant

Étape 1. Ouvrez une session au Web UI et allez au VPN > passerelle à la section de passerelle. Puisque nous ajoutons une connexion entre réseaux locaux, les points finaux seront la passerelle de chaque réseau.



Étape 2. Configurez les points finaux locaux et distants sur le routeur
a) Configurez le nom de tunnel pour l'identifier de tous les autres tunnels que vous avez pu avoir déjà configurés.



b) Le Group Setup local configure l'hôte local à autoriser sur le tunnel VPN. Assurez-vous que vous avez le sous-réseau et le masque corrects pour le réseau que vous voulez être permis au-dessus du tunnel.



C) Le Group Setup distant configure le point final et le trafic réseau distants pour que le routeur recherche.  Écrivez l'IP statique de la passerelle distante pour établir la connexion dans le domaine d'adresse IP de passerelle.  Écrivez alors le sous-réseau permis sur le VPN du site distant (le RÉSEAU LOCAL de bureau central).



Étape 3. Configurez les paramètrages de tunnel.
a) Vous voudrez configurer une clé pré-partagée pour des résultats optimaux.
Le Phase 1 et le Phase 2 sont différentes phases de l'authentification, le Phase 1 crée le tunnel initial et commence la négociation, et le Phase 2 mène la négociation de clé de chiffrement et protège à bonne fin la transmission de données une fois que le tunnel est établi.
b) Le groupe CAD correspondra au groupe de crypto isakmp policy sur l'ASA, que vous verrez dans la section suivante.  Sur l'ASA le par défaut est le groupe 2, et de plus nouvelles versions de code ASA exigent au moins le groupe 2. CAD.  Le compromis est que c'est un bit plus élevé et ainsi prend plus de temps- CPU.
c) Le cryptage de Phase 1 définit l'algorithme de chiffrement utilisé.  Le par défaut sur la gamme rv est DES, mais le par défaut sur l'ASA sera 3DES.  Cependant, ce sont des normes plus anciennes et ne sont pas efficaces dans l'implémentation en cours.  Le cryptage AES est plus rapide et plus sécurisé, et Cisco recommande au moins AES-128 (ou simplement AES) pour les meilleurs résultats.
d) L'authentification de Phase 1 vérifie l'intégrité de paquet.  Les options sont SHA-1 et MD5, et l'un ou l'autre devrait fonctionner pendant qu'elles produisent des résultats similaires.
La configuration de Phase 2 suit les mêmes règles que le Phase 1.  En configurant les configurations d'IPSec, maintenez dans l'esprit que les configurations sur l'ASA devront APPARIER ceux sur le RV042G.  S'il y a des anomalies, les périphériques ne pourront pas négocier la clé de chiffrement et la connexion échouera.

Remarque: Veillez à sauvegarder les configurations avant de naviguer à partir de cette page !

Configurant l'ASA 5500 au bureau central (CLI)

Remarque: Assurez-vous que vous utilisez la commande « écrivez mem » d'éviter souvent des configurations perdantes. D'abord, voici les interfaces que nous avons configurées sur l'ASA.  Le vôtre peut différer, ainsi veillez à modifier les configurations en conséquence.



Étape 1. Configurant la Gestion de cryptage (ISAKMP)
La première étape installera la stratégie ISAKMP, qui est ce qui est utilisé pour négocier le cryptage du tunnel.  Cette configuration devrait être IDENTIQUE sur les deux points finaux.  C'est où vous configurerez les configurations de cryptage pour apparier le Phase 1 de la configuration rv.



Étape 2. Sélection du trafic
C'est identique que le groupe de sécurité local et distant sur le RV042G.  Sur l'ASA nous employons des listes d'accès pour définir ce que le réseau considère le « trafic intéressant » pour admettre sur le VPN.
D'abord, configurez les objets de réseau pour le site distant et le site local :



Configurez alors la liste d'accès pour utiliser ces objets :



Alternativement, vous pouvez utiliser les sous-réseaux eux-mêmes, mais dans de plus grandes réalisations il est plus facile d'utiliser des objets et des groupes d'objets.
Étape 3. Configuration de tunnel d'IPSec (authentification de Phase 2)
Ici nous configurerons le « jeu de transformations » et le groupe de tunnel, qui installeront l'authentification de Phase 2.  Si vous installez le Phase 2 pour être différent que le Phase 1, vous aurez un transform-set différent.  Ici l'ESP-aes définit le cryptage et l'ESP-SHA-hmac définit les informations parasites.
L'ordre de groupe de tunnels configure les informations de tunnel de connexion-particularité, comme la clé pré-partagée.  Utilisez l'IP de public du pair distant comme nom de groupe de tunnels.



Étape 4. Configuration de crypto map
Maintenant nous devons nous appliquer la configuration de Phase 1 et de Phase 2 à un « crypto map » qui permettra à l'ASA pour établir le VPN et pour envoyer le trafic correct.  Pensez à ceci en tant qu'attachement ensemble des parties du VPN.



Étape 5. Vérifiez l'état VPN
En conclusion, vérifiez les points finaux pour vérifier que la connexion VPN est en hausse et fonctionner.  La connexion ne sera pas soulevée seule, vous devrez passer le trafic ainsi l'ASA peut détecter lui et la tentative établir la connexion. Sur l'utilisation ASA la commande « affichent que le crypto isakmpsa » affichait l'état.



Sur le RV42G allez au VPN > page récapitulative et vérifiez l'état.

Scénario alternatif : Plusieurs sous-réseaux sur le réseau

Ne paniquez pas. Ceci peut sembler comme un processus primordialement compliqué quand vous installez le réseau, mais vous avez déjà fait la partie dure ci-dessus. Configurer le VPN pour de plusieurs sous-réseaux exige une certaine configuration supplémentaire, mais une complexité supplémentaire très petite (à moins que votre schéma de sous-réseau est étendu). L'exemple que nous avons utilisé pour des usages de cette section 2 sous-réseaux à chaque site. La topologie du réseau mise à jour est très semblable :

Configurer le RV042G

Juste comme avant, nous configurerons le RV042G d'abord. Le RV042G ne peut pas configurer de plusieurs sous-réseaux au-dessus d'un tunnel simple, ainsi nous devrons ajouter une entrée supplémentaire pour le nouveau sous-réseau. Cette section couvrira seulement la configuration du VPN pour de plusieurs sous-réseaux, non n'importe quelle configuration supplémentaire d'installation pour eux.
Étape 1. Configurez le premier tunnel
Nous utiliserons la même configuration pour chaque tunnel que pour l'exemple de sous-réseau unique.  Comme avant, vous configurez ceci en allant à VPN > passerelle à la passerelle et en ajoutant un nouveau tunnel, ou si vous utilisez un tunnel existant allez au VPN > page récapitulative et éditez existant.
a) Configurez le nom de tunnel, mais changez puisque nous aurons plus d'une modification le nom à être plus descriptif.



b) Ensuite nous configurerons le groupe local, mêmes qu'avant.  Configurez ceci pour seulement UN des sous-réseaux qui ont besoin d'accès.  Nous aurons une entrée de tunnel pour 122.166.12.x et un autre pour le sous-réseau 122.166.13.x.



c) Configurez maintenant le site distant, de nouveau suivant la même procédure comme ci-dessus.



d) En conclusion, configurez les configurations de cryptage.  Souvenez-vous ces configurations car vous voudrez qu'elles soient le même sur chacun des deux tunnels que nous configurons.



Étape 2. Configurer le deuxième tunnel
Maintenant que le sous-réseau 1 est configuré pour le tunnel VPN, nous devons aller à VPN > passerelle à la passerelle et ajouter un deuxième tunnel.  Cette deuxième entrée sera configurée le plus ou moins même que le premier, mais avec les sous-réseaux secondaires de chaque site. 
a) Veillez au nommer distinction ainsi vous de quelque chose connaissent quelle connexion c'est.



b) Utilisez le deuxième sous-réseau en tant que groupe de « sécurité locale ».



C) Et utilisez le deuxième sous-réseau distant en tant que groupe « de Sécurité distante ».



d) Configurez le cryptage pour le Phase 1 et le 2le mêmes que pour le premier tunnel.

Configurer l'ASA

Maintenant nous modifierons la configuration sur l'ASA.  Cette configuration est incroyablement simple.  Vous pouvez utiliser la même configuration comme ci-dessus, pendant qu'elle utilise toutes les mêmes configurations de cryptage, avec seulement une modification mineure.  Nous devons étiqueter le trafic supplémentaire en tant que « intéressant » pour que le Pare-feu l'envoie au-dessus du VPN.   Puisque nous employons une liste d'accès afin d'identifier le trafic intéressant, tout que nous devons faire est de modifier cette liste d'accès.
Étape 1.  Pour commencer, supprimez la vieille liste d'accès, ainsi nous pouvons modifier les objets dans l'ASA.  Utilisez « non » la forme de la commande de retirer des configurations dans le CLI.
Étape 2.  Une fois que l'ACL est retiré, nous voulons créons de nouveaux objets pour les nouveaux sous-réseaux impliqués (vous assumant n'ont pas déjà fait ceci en établissant ces sous-réseaux).  Nous voulons également les rendre plus descriptifs.
Basé sur notre configuration VLAN ci-dessous :



Nous avons besoin d'un groupe d'objets pour le réseau interne principal (192.168.10.x) et le réseau d'ingénierie (192.168.20.x).  Configurez les objets de réseau comme ainsi :



Étape 3. Maintenant que les objets de réseau appropriés ont été configurés, nous pouvons configurer la liste d'accès pour étiqueter le trafic approprié.  Vous voulez vous veiller pour avoir une entrée de liste d'accès pour les deux réseaux derrière l'ASA aux deux sous-réseaux distants.  Le résultat final devrait ressembler à ceci.



Étape 4.  Maintenant, parce que nous avons supprimé la vieille liste d'accès, nous devons la réappliquer au crypto map utilisant la même commande qu'avant :

Vérifiez la connexion

Et voilà. votre tunnel devrait être opérationnel maintenant. Initiez la connexion et vérifiez l'état utilisant la commande de crypto « isakmpsa d'exposition » sur l'ASA.



Sur la Rv-gamme l'état sera affiché dans VPN > page récapitulative.