Este documento fornece informações sobre as alterações de configuração a serem feitas quando um novo par de VPN é adicionado à configuração de VPN site a site existente usando o Adaptive Security Device Manager (ASDM). Isso é necessário nestes cenários:
O ISP (Provedor de serviços de Internet) foi alterado e um novo conjunto de intervalos de IP públicos é usado.
Um novo projeto completo da rede em um local.
O dispositivo usado como gateway VPN em um local é migrado para um novo dispositivo com um endereço IP público diferente.
Este documento pressupõe que a VPN site a site já esteja configurada corretamente e funcione bem. Este documento fornece as etapas a serem seguidas para alterar as informações de um peer de VPN na configuração de VPN L2L.
A Cisco recomenda ter conhecimento deste tópico:
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco Adapative Security Appliance série 5500 com software versão 8.2 e posterior
Cisco Adapative Security Device Manager com versão de software 6.3 e posterior
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
A VPN site a site funciona bem entre o HQASA e o BQASA. Suponha que o BQASA tenha um novo projeto de rede completo e que o esquema IP tenha sido modificado no nível do ISP, mas todos os detalhes da sub-rede interna permaneçam os mesmos.
Esta configuração de exemplo usa estes endereços IP:
Endereço IP externo BQASA existente - 200.200.200.200
Novo endereço IP externo BQASA - 209.165.201.2
Observação: aqui, somente as informações de peer serão modificadas. Como não há outra alteração na sub-rede interna, as listas de acesso de criptografia permanecem as mesmas.
Esta seção fornece informações sobre os possíveis métodos usados para alterar as informações de peer de VPN no HQASA usando o ASDM.
Esse pode ser o método mais fácil, pois não perturba a configuração de VPN existente e pode criar um novo perfil de conexão com as novas informações relacionadas ao peer de VPN.
Vá para Configuration > Site-to-Site VPN > Connection Profiles e clique em Add na área Connection Profiles.
A janela Add IPSec Site-to-Site Connection Profile é aberta.
Na guia Basic, forneça os detalhes de Peer IP Address, Pre-shared Key e Protected Networks. Use todos os mesmos parâmetros que a VPN existente, exceto as informações de peer. Click OK.
No menu Avançado, clique em Entrada do mapa de criptografia. Consulte a guia Prioridade. Essa prioridade é igual ao número de sequência em sua configuração CLI equivalente. Quando um número menor que a entrada do mapa de criptografia existente é atribuído, esse novo perfil é executado primeiro. Quanto maior o número de prioridade, menor o valor. Isso é usado para alterar a ordem de sequência em que um mapa de criptografia específico será executado. Clique em OK para concluir a criação do novo perfil de conexão.
Isso cria automaticamente um novo grupo de túneis junto com um mapa de criptografia associado. Certifique-se de que você pode acessar o BQASA com o novo endereço IP antes de usar este novo perfil de conexão.
Outra maneira de adicionar um novo peer é modificar a configuração existente. O perfil de conexão existente não pode ser editado para as novas informações de par porque está associado a um par específico. Para editar a configuração existente, você precisa executar estas etapas:
Criar um novo grupo de túneis
Editar o mapa de criptografia existente
Vá para Configuration > Site-to-Site VPN > Advanced > Tunnel groups e clique em Add para criar um novo grupo de túneis que contenha as novas informações de peer de VPN. Especifique os campos Nome e Chave pré-compartilhada e clique em OK.
Observação: certifique-se de que a chave pré-compartilhada corresponda à outra extremidade da VPN.
Observação: no campo Name, somente o endereço IP do peer remoto deverá ser inserido quando o modo de autenticação for chaves pré-compartilhadas. Qualquer nome pode ser usado somente quando o método de autenticação é por meio de certificados. Este erro aparece quando um nome é adicionado ao campo Name e o método de autenticação é pré-compartilhado:
O mapa de criptografia existente pode ser editado para associar as novas informações de peer.
Conclua estes passos:
Vá para Configuration > Site-to-Site VPN > Advanced > Crypto Maps, selecione o mapa de criptografia necessário e clique em Edit.
A janela Edit IPSec Rule é exibida.
Na guia Tunnel Policy (Basic), na área Peer Settings, especifique o novo peer no campo IP Address of Peer a ser adicionado. Em seguida, clique em Adicionar.
Selecione o endereço IP do peer existente e clique em Remover para reter apenas as novas informações do peer. Click OK.
Observação: Depois de modificar as informações de peer no mapa de criptografia atual, o Perfil de Conexão associado a esse mapa de criptografia é excluído instantaneamente na janela ASDM.
Os detalhes das redes criptografadas permanecem os mesmos. Se precisar modificá-los, vá para a guia Seleção de tráfego.
Vá para o painel Configuration > Site-to-Site VPN > Advanced > Crypto Maps para exibir o mapa de criptografia modificado. No entanto, essas alterações não ocorrerão até que você clique em Aplicar. Depois de clicar em Apply, vá para o menu Configuration > Site-to-Site VPN > Advanced > Tunnel groups para verificar se um grupo de túneis associado está presente ou não. Se sim, um Perfil de Conexão associado será criado.
Use esta seção para confirmar se a sua configuração funciona corretamente.
A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
Use este comando para exibir os parâmetros de associação de segurança específicos de um único peer:
Use esta seção para resolver problemas de configuração.
Esse erro é exibido nas mensagens de log ao tentar alterar o par da VPN de um concentrador de VPN para o ASA.
Solução:
Isso pode ser resultado de etapas de configuração inadequadas seguidas durante a migração. Certifique-se de que a associação de criptografia à interface seja removida antes de adicionar um novo peer. Além disso, certifique-se de usar o endereço IP do peer no grupo de túneis, mas não o nome.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
22-Oct-2011
|
Versão inicial |