ASA 8.x/ASDM 6.x: Nieuwe VPN-peer-informatie toevoegen in een bestaande site-to-site VPN met ASDM

Downloadopties

  • PDF     (245.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (91.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (79.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:27 oktober 2011
Document-id:113290

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document bevat informatie over de wijzigingen die moeten worden aangebracht in de configuratie wanneer een nieuwe VPN-peer wordt toegevoegd aan de bestaande site-to-site VPN-configuratie met Adaptieve Security Device Manager (ASDM). Dit is vereist in deze scenario's:

  • De Internet Service Provider (ISP) is gewijzigd en er wordt een nieuwe set openbare IP-bereik gebruikt.

  • Een compleet nieuw ontwerp van het netwerk op een locatie.

  • Het apparaat dat als VPN-gateway op een site wordt gebruikt, wordt gemigreerd naar een nieuw apparaat met een ander openbaar IP-adres.

Dit document gaat ervan uit dat de site-to-site VPN al correct is geconfigureerd en goed werkt. Dit document bevat de stappen die moeten worden gevolgd om een VPN-peer-informatie in de L2L VPN-configuratie te wijzigen.

Voorwaarden

Vereisten

Cisco raadt u aan bekend te zijn met dit onderwerp:

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco adaptieve security applicatie 5500 Series met softwareversie 8.2 en hoger

  • Cisco Adaptive Security Device Manager met softwareversie 6.3 en hoger

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

De site-to-site VPN werkt prima tussen de HQASA en de BQASA. Veronderstel dat BQASA een volledig netwerkherontwerp heeft gekregen en het IP schema op het ISP niveau is gewijzigd, maar alle interne subnetwork details blijven het zelfde.

Deze voorbeeldconfiguratie gebruikt deze IP-adressen:

  • Bestaande BQASA buiten IP-adres - 200.200.200.2002

  • Nieuw BQASA buiten IP-adres - 209.165.201.2

Opmerking: hier wordt alleen de peer-informatie aangepast. Omdat er geen andere wijziging is in interne subnetverbinding, blijven de crypto-toegangslijsten hetzelfde.

ASDM-configuratie

Deze sectie verschaft informatie over de mogelijke methoden die worden gebruikt om VPN-peer-informatie over HQASA te wijzigen met behulp van de ASDM.

Een nieuw verbindingsprofiel maken

Dit kan de eenvoudigere methode zijn omdat deze de bestaande VPN-configuratie niet verstoort en een nieuw verbindingsprofiel kan maken met de nieuwe informatie over de VPN-peer.

  1. Ga naar Configuration > Site-to-Site VPN > Connection Profiles en klik op Add onder het gebied Connection Profiles.

    add-new-vpn-peer-01.gif

    Het venster Add IPSec Site-to-Site Connection Profile wordt geopend.

  2. Typ onder het tabblad Basis de details voor IP-adres van peers, vooraf gedeelde sleutel en beschermde netwerken. Gebruik alle dezelfde parameters als de bestaande VPN, behalve de peer-informatie. Klik op OK.

    add-new-vpn-peer-02.gif

  3. Klik in het menu Geavanceerd op Crypto Map Entry. Raadpleeg het tabblad Prioriteit. Deze prioriteit is gelijk aan het volgnummer in zijn equivalente CLI-configuratie. Wanneer een lager nummer dan het bestaande crypto-kaartitem is toegewezen, wordt dit nieuwe profiel eerst uitgevoerd. Hoe hoger het prioriteitsnummer, hoe minder de waarde. Dit wordt gebruikt om de volgorde van volgorde te wijzigen dat een specifieke crypto map zal worden uitgevoerd. Klik op OK om de aanmaak van het nieuwe verbindingsprofiel te voltooien.

    add-new-vpn-peer-03.gif

Dit maakt automatisch een nieuwe tunnelgroep samen met een bijbehorende cryptokaart. Zorg ervoor dat u de BQASA met het nieuwe IP-adres kunt bereiken voordat u dit nieuwe verbindingsprofiel gebruikt.

De bestaande VPN-configuratie bewerken

Een andere manier om een nieuwe peer toe te voegen is de bestaande configuratie aan te passen. Het bestaande verbindingsprofiel kan niet worden bewerkt voor de nieuwe peer-informatie omdat het is gebonden aan een specifieke peer. U moet de volgende stappen uitvoeren om de bestaande configuratie te kunnen bewerken:

  1. Een nieuwe tunnelgroep maken

  2. De bestaande cryptokaart bewerken

Een nieuwe tunnelgroep maken

Ga naar Configuratie > Site-to-Site VPN > Geavanceerd > Tunnelgroepen en klik op Add om een nieuwe tunnelgroep te maken die de nieuwe VPN peer-informatie bevat. Specificeer de velden Naam en Vooraf gedeelde sleutel en klik vervolgens op OK.

Opmerking: Zorg ervoor dat de vooraf gedeelde sleutel overeenkomt met het andere uiteinde van de VPN.

add-new-vpn-peer-04.gif

Opmerking: in het veld Naam hoeft alleen het IP-adres van de externe peer te worden ingevoerd wanneer de verificatiemodus vooraf gedeelde sleutels is. Een naam kan alleen worden gebruikt als de verificatiemethode door certificaten loopt. Deze fout verschijnt wanneer een naam wordt toegevoegd in het veld Naam en de verificatiemethode is vooraf gedeeld:

add-new-vpn-peer-05.gif

De bestaande cryptokaart bewerken

De bestaande crypto-kaart kan worden bewerkt om de nieuwe peer-informatie te koppelen.

Voer de volgende stappen uit:

  1. Ga naar Configuration > Site-to-Site VPN > Advanced > Crypto Maps, selecteer vervolgens de gewenste crypto-kaart en klik op Bewerken.

    add-new-vpn-peer-06.gif

    Het venster IPSec-regel bewerken verschijnt.

  2. Specificeer onder het tabblad Tunnelbeleid (Basis) in het gebied Peer Settings de nieuwe peer in het veld IP-adres van peer die moet worden toegevoegd. Klik vervolgens op Add (Toevoegen).

    add-new-vpn-peer-07.gif

  3. Selecteer het bestaande peer IP-adres en klik op Verwijderen om alleen de nieuwe peer-informatie te behouden. Klik op OK.

    add-new-vpn-peer-08.gif

    Opmerking: Nadat u de peer-informatie in de huidige cryptokaart hebt gewijzigd, wordt het verbindingsprofiel dat aan deze cryptokaart is gekoppeld, onmiddellijk verwijderd in het ASDM-venster.

  4. De details van de versleutelde netwerken blijven hetzelfde. Als u deze moet wijzigen, gaat u naar het tabblad Verkeerselectie.

    add-new-vpn-peer-09.gif

  5. Ga naar het venster Configuration > Site-to-Site VPN > Advanced > Crypto Maps om de aangepaste crypto-kaart te bekijken. Deze wijzigingen vinden echter pas plaats nadat u op Toepassen hebt geklikt. Nadat u op Toepassen hebt geklikt, gaat u naar het menu Configuratie > Site-to-Site VPN > Geavanceerd > Tunnelgroepen om te controleren of er een tunnelgroep aanwezig is of niet. Als dat het geval is, wordt er een gekoppeld verbindingsprofiel gemaakt.

    add-new-vpn-peer-10.gif

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

Problemen oplossen

Deze sectie bevat informatie om uw configuratie te troubleshooten.

IKE Initiator unable to find policy: Intf test_ext, SRC: 172.16.1.103, DST: 10.1.4.251

Deze fout wordt weergegeven in de logberichten wanneer u probeert de VPN-peer van een VPN-concentrator te wijzigen in ASA.

Oplossing:

Dit kan het gevolg zijn van onjuiste configuratiestappen die tijdens de migratie worden gevolgd. Zorg ervoor dat de crypto band aan de interface wordt verwijderd alvorens u een nieuwe peer toevoegt. Zorg er ook voor dat u het IP-adres van de peer in de tunnelgroep hebt gebruikt, maar niet de naam.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
22-Oct-2011
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten