ASDM 6.4: Site-to-Site VPN-tunnel met IKEv2 configuratievoorbeeld

Downloadopties

  • PDF     (638.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (773.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (703.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:30 maart 2012
Document-id:113486

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u een site-to-site VPN-tunnel tussen twee Cisco adaptieve security applicaties (ASA's) kunt configureren met behulp van Internet Key Exchange (IKE) versie 2. Het beschrijft de stappen die worden gebruikt om de VPN-tunnel te configureren met behulp van een ASDM-wizard (Adaptieve Security Apparaat Manager).

Voorwaarden

Vereisten

Zorg dat Cisco ASA is geconfigureerd met de basisinstellingen.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco ASA 5500 Series adaptieve security applicaties voor gebruik van softwareversie 8.4 en hoger

  • Cisco ASDM-softwareversie 6.4 en hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Achtergrondinformatie

IKEv2 is een versterking van het bestaande IKEv1-protocol dat deze voordelen omvat:

  • Minder berichtuitwisseling tussen IKE-peers

  • Unidirectionele authenticatiemethoden

  • Ingebouwde ondersteuning voor DID (Dead Peer Detection) en NAT-Traversal

  • Gebruik van Extensible Authentication Protocol (EAP) voor authenticatie

  • Vermijd het risico van eenvoudige DoS-aanvallen met behulp van antiblokkeerkoekjes

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik het Opdrachtupgereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

ikev2-s2s-tunnel-01.gif

Dit document toont de configuratie van site-to-site VPN-tunnel op HQ-ASA. Hetzelfde kan worden gevolgd als een spiegel op de BQ-ASA.

ASDM-configuratie op hoofdkwartier-ASA

Deze VPN-tunnel kon worden geconfigureerd met behulp van een gebruikersvriendelijke GUI-wizard.

Voer de volgende stappen uit:

  1. Meld u aan bij ASDM en ga naar de Wizard > VPN-wizard > Site-to-site VPN-wizard.

    ikev2-s2s-tunnel-02.gif

  2. Er verschijnt een setup-venster van de site-to-site VPN-verbinding. Klik op Volgende.

    ikev2-s2s-tunnel-03.gif

  3. Specificeer het peer IP-adres en VPN-toegangsinterface. Klik op Volgende.

    ikev2-s2s-tunnel-04.gif

  4. Selecteer beide IKE-versies en klik op Volgende.

    ikev2-s2s-tunnel-05.gif

    Opmerking: Beide versies van IKE zijn hier ingesteld omdat de initiatiefnemer een back-up kan maken van IKEv2 naar IKEv1 wanneer IKEv2 uitvalt.

  5. Specificeer het Local Network en Remote Network zodat het verkeer tussen deze netwerken versleuteld en via de VPN-tunnel wordt doorgegeven. Klik op Volgende.

    ikev2-s2s-tunnel-06.gif

  6. Specificeer de vooraf gedeelde toetsen voor beide versies van IKE.

    ikev2-s2s-tunnel-07.gif

    Het belangrijkste verschil tussen IKE-versies 1 en 2 ligt in termen van de door hen toegestane authenticatiemethode. IKEv1 biedt slechts één type verificatie aan beide VPN-eindes (dat wil zeggen, vooraf gedeelde sleutel of certificaat). IKEv2 laat echter toe dat asymmetrische authenticatiemethoden worden geconfigureerd (dat wil zeggen, pre-gedeelde-key authenticatie voor de originator, maar certificatie voor de responder) door middel van aparte lokale en externe authenticatie CLI's.

    Verder kun je aan beide uiteinden verschillende pre-gedeelde sleutels hebben. De lokale pre-gedeelde sleutel aan het HQ-ASA eind wordt de pre-gedeelde sleutel van Remote aan het BQ-ASA eind. Op dezelfde manier wordt de vooraf gedeelde sleutel op afstand aan het HQ-ASA-eind de lokale Pre-gedeeld sleutel aan het BQ-ASA-eind.

  7. Specificeer de coderingsalgoritmen voor zowel IKE versies 1 als 2. Hier worden de standaardwaarden geaccepteerd:

    ikev2-s2s-tunnel-08.gif

  8. Klik op Manager... om het IKE-beleid te wijzigen.

    ikev2-s2s-tunnel-09.gif

    Opmerking: 

    • IKE-beleid in IKEv2 is synoniem voor het ISAKMP-beleid in IKEv1.

    • IPsec Proposal in IKEv2 is synoniem voor de Omzetten die in IKEv1 is ingesteld.

  9. Dit bericht verschijnt wanneer u het bestaande beleid wilt wijzigen:

    ikev2-s2s-tunnel-10.gif

    Klik op OK om verder te gaan.

  10. Selecteer het gespecificeerde IKE-beleid en klik op Bewerken.

    ikev2-s2s-tunnel-11.gif

  11. U kunt de parameters wijzigen, zoals prioriteit, encryptie, D-H groep, integriteitshash, PRF was en levenswaarden. Klik op OK na voltooiing.

    ikev2-s2s-tunnel-12.gif

    IKEv2 laat toe dat het Integrity algoritme afzonderlijk van het Pseudo Random Functie (PRF) algoritme wordt onderhandeld. Dit zou in het IKE-beleid kunnen worden geconfigureerd met de huidige beschikbare opties in SHA-1 of MD5.

    U kunt de IPsec voorstel parameters niet wijzigen die standaard gedefinieerd worden. Klik op Selecteren naast het veld IPsec Proposal om nieuwe parameters toe te voegen. Het belangrijkste verschil tussen IKEv1 en IKEv2 is in termen van de IPsec-voorstellen dat IKEv1 de transformatie accepteert in termen van combinaties van encryptie- en authenticatie-algoritmen. IKEv2 accepteert de encryptie- en integratieparameters afzonderlijk en maakt tenslotte alle mogelijke OR combinaties van deze. U kunt deze aan het einde van deze wizard bekijken in de Samenvatting-dia.

  12. Klik op Volgende.

    ikev2-s2s-tunnel-13.gif

  13. Specificeer de details, zoals NAT-vrijstelling, PFS en ACL-omzeiling (interface). Kies Volgende.

    ikev2-s2s-tunnel-14.gif

  14. U kunt hier een samenvatting van de configuratie zien:

    ikev2-s2s-tunnel-15.gif

    Klik op Voltooien om de site-to-site VPN-tunnelwizard te voltooien. Er wordt een nieuw verbindingsprofiel gemaakt met de ingestelde parameters.

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.

Problemen oplossen

Opdrachten voor probleemoplossing

Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.

Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.

Gerelateerde informatie

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten