ASA 8.x/ASDM 6.x: Adicionar Novas Informações de Ponto VPN em uma VPN Site a Site Existente usando ASDM

Opções de download

  • PDF     (246.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (92.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (80.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de outubro de 2011
ID do documento:113290

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento fornece informações sobre as alterações de configuração a serem feitas quando um novo par de VPN é adicionado à configuração de VPN site a site existente usando o Adaptive Security Device Manager (ASDM). Isso é necessário nestes cenários:

  • O ISP (Provedor de serviços de Internet) foi alterado e um novo conjunto de intervalos de IP públicos é usado.

  • Um novo projeto completo da rede em um local.

  • O dispositivo usado como gateway VPN em um local é migrado para um novo dispositivo com um endereço IP público diferente.

Este documento pressupõe que a VPN site a site já esteja configurada corretamente e funcione bem. Este documento fornece as etapas a serem seguidas para alterar as informações de um peer de VPN na configuração de VPN L2L.

Pré-requisitos

Requisitos

A Cisco recomenda ter conhecimento deste tópico:

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Adapative Security Appliance série 5500 com software versão 8.2 e posterior

  • Cisco Adapative Security Device Manager com versão de software 6.3 e posterior

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de fundo

A VPN site a site funciona bem entre o HQASA e o BQASA. Suponha que o BQASA tenha um novo projeto de rede completo e que o esquema IP tenha sido modificado no nível do ISP, mas todos os detalhes da sub-rede interna permaneçam os mesmos.

Esta configuração de exemplo usa estes endereços IP:

  • Endereço IP externo BQASA existente - 200.200.200.200

  • Novo endereço IP externo BQASA - 209.165.201.2

Observação: aqui, somente as informações de peer serão modificadas. Como não há outra alteração na sub-rede interna, as listas de acesso de criptografia permanecem as mesmas.

Configuração do ASDM

Esta seção fornece informações sobre os possíveis métodos usados para alterar as informações de peer de VPN no HQASA usando o ASDM.

Criar um Novo Perfil de Conexão

Esse pode ser o método mais fácil, pois não perturba a configuração de VPN existente e pode criar um novo perfil de conexão com as novas informações relacionadas ao peer de VPN.

  1. Vá para Configuration > Site-to-Site VPN > Connection Profiles e clique em Add na área Connection Profiles.

    add-new-vpn-peer-01.gif

    A janela Add IPSec Site-to-Site Connection Profile é aberta.

  2. Na guia Basic, forneça os detalhes de Peer IP Address, Pre-shared Key e Protected Networks. Use todos os mesmos parâmetros que a VPN existente, exceto as informações de peer. Click OK.

    add-new-vpn-peer-02.gif

  3. No menu Avançado, clique em Entrada do mapa de criptografia. Consulte a guia Prioridade. Essa prioridade é igual ao número de sequência em sua configuração CLI equivalente. Quando um número menor que a entrada do mapa de criptografia existente é atribuído, esse novo perfil é executado primeiro. Quanto maior o número de prioridade, menor o valor. Isso é usado para alterar a ordem de sequência em que um mapa de criptografia específico será executado. Clique em OK para concluir a criação do novo perfil de conexão.

    add-new-vpn-peer-03.gif

Isso cria automaticamente um novo grupo de túneis junto com um mapa de criptografia associado. Certifique-se de que você pode acessar o BQASA com o novo endereço IP antes de usar este novo perfil de conexão.

Editar a configuração de VPN existente

Outra maneira de adicionar um novo peer é modificar a configuração existente. O perfil de conexão existente não pode ser editado para as novas informações de par porque está associado a um par específico. Para editar a configuração existente, você precisa executar estas etapas:

  1. Criar um novo grupo de túneis

  2. Editar o mapa de criptografia existente

Criar um novo grupo de túneis

Vá para Configuration > Site-to-Site VPN > Advanced > Tunnel groups e clique em Add para criar um novo grupo de túneis que contenha as novas informações de peer de VPN. Especifique os campos Nome e Chave pré-compartilhada e clique em OK.

Observação: certifique-se de que a chave pré-compartilhada corresponda à outra extremidade da VPN.

add-new-vpn-peer-04.gif

Observação: no campo Name, somente o endereço IP do peer remoto deverá ser inserido quando o modo de autenticação for chaves pré-compartilhadas. Qualquer nome pode ser usado somente quando o método de autenticação é por meio de certificados. Este erro aparece quando um nome é adicionado ao campo Name e o método de autenticação é pré-compartilhado:

add-new-vpn-peer-05.gif

Editar o mapa de criptografia existente

O mapa de criptografia existente pode ser editado para associar as novas informações de peer.

Conclua estes passos:

  1. Vá para Configuration > Site-to-Site VPN > Advanced > Crypto Maps, selecione o mapa de criptografia necessário e clique em Edit.

    add-new-vpn-peer-06.gif

    A janela Edit IPSec Rule é exibida.

  2. Na guia Tunnel Policy (Basic), na área Peer Settings, especifique o novo peer no campo IP Address of Peer a ser adicionado. Em seguida, clique em Adicionar.

    add-new-vpn-peer-07.gif

  3. Selecione o endereço IP do peer existente e clique em Remover para reter apenas as novas informações do peer. Click OK.

    add-new-vpn-peer-08.gif

    Observação: Depois de modificar as informações de peer no mapa de criptografia atual, o Perfil de Conexão associado a esse mapa de criptografia é excluído instantaneamente na janela ASDM.

  4. Os detalhes das redes criptografadas permanecem os mesmos. Se precisar modificá-los, vá para a guia Seleção de tráfego.

    add-new-vpn-peer-09.gif

  5. Vá para o painel Configuration > Site-to-Site VPN > Advanced > Crypto Maps para exibir o mapa de criptografia modificado. No entanto, essas alterações não ocorrerão até que você clique em Aplicar. Depois de clicar em Apply, vá para o menu Configuration > Site-to-Site VPN > Advanced > Tunnel groups para verificar se um grupo de túneis associado está presente ou não. Se sim, um Perfil de Conexão associado será criado.

    add-new-vpn-peer-10.gif

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Troubleshooting

Use esta seção para resolver problemas de configuração.

Iniciador IKE incapaz de encontrar a política: Intf test_ext, Src: 172.16.1.103, Horário De Verão: 10.1.4.251

Esse erro é exibido nas mensagens de log ao tentar alterar o par da VPN de um concentrador de VPN para o ASA.

Solução:

Isso pode ser resultado de etapas de configuração inadequadas seguidas durante a migração. Certifique-se de que a associação de criptografia à interface seja removida antes de adicionar um novo peer. Além disso, certifique-se de usar o endereço IP do peer no grupo de túneis, mas não o nome.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
22-Oct-2011
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos