Configurar serviços de Web das Amazonas da conexão do IPsec VTI ASA

Transcrição

1 Configurar serviços de Web das Amazonas da conexão do IPsec VTI ASA Índice Introdução Configurar AW Configurar o ASA Verifique e aperfeiçoe Introdução Este documento descreve como configurar uma conexão virtual da interface de túnel do IPsec adaptável da ferramenta de segurança (ASA) (VTI). Em ASA 9.7.1, o IPsec VTI foi introduzido. É limitado ao IPv4 do svti sobre o IPv4 usando IKEv1 nesta liberação. Este é um exemplo de configuração para que o ASA conecte aos serviços de Web das Amazonas (AW). Nota: VTI é apoiado atualmente somente no único-contexto, modo roteado. Configurar AW Etapa 1. Entre ao console AW e navegue ao painel VPC. Navegue ao painel VPC

2 Etapa 2. Confirme que uma nuvem privada virtual (VPC) está criada já. À revelia, um VPC com /16 é criado. Isto é o lugar onde as máquinas virtuais (VM) serão anexadas. Etapa 3. Crie do um gateway cliente. Isto é um valor-limite que represente o ASA. Campo Caractere de nome Roteamento Endereço IP BGP ASN Valor Este é apenas um nome compreensível para o utilizador para reconhecer o ASA. Dinâmico - Isto significa que o Border Gateway Protocol (BGP) estará usado a fim trocar a informação de roteamento. Este é o endereço IP público da interface externa do ASA. O número de sistema autônomo (AS) do processo BGP do que é executado no ASA. Uso a menos que sua organização tiver um público COMO o número.

3 Etapa 4. Crie um gateway privado virtual (VPG). Este é um roteador simulado que seja hospedado com AW que termina o túnel de IPsec. Campo Valor Caractere de nome Um nome compreensível para o utilizador para reconhecer o VPG.

4 Etapa 5. Anexe o VPG ao VPC. Escolha o gateway privado virtual, clique o anexo ao VPC, escolha o VPC da lista de drop-down VPC, e clique-o sim, anexe-o.

5 Etapa 6. Crie uma conexão de VPN.

6 Campo Valor Caractere de nome Uma etiqueta compreensível para o utilizador da conexão de VPN entre AW e o A Gateway privado virtual Escolha o VPG apenas criado. Gateway do cliente Clique o botão de rádio existente e escolha o gateway do ASA. Distribuindo opções Clique (exige o BGP) o botão de rádio dinâmico.

7 Etapa 7. Configurar a tabela de rota para propagar as rotas aprendidas do VPG (através do BGP) no VPC.

8 Etapa 8. Transfira a configuração sugerida. Escolha os valores abaixo a fim gerar uma configuração que seja uma configuração de estilo VTI. Campo Valor Vendedor Cisco Systems, Inc. Plataforma Series Router ISR Software IO 12.4+

9 Configurar o ASA Uma vez que você transfere a configuração há alguma conversão necessária. Etapa 1. política cripto do isakmp à política ikev1 cripto. Somente uma política é precisada desde que a política 200 e a política 201 são idênticas. Configuração sugerida política cripto 200 do isakmp aes 128 da criptografia Pré-compartilhamento de autenticação grupo2 vida sha da mistura política cripto 201 do isakmp aes 128 da criptografia Pré-compartilhamento de autenticação grupo2 Para ikev1 criptos permitem fora ikev1 política cripto 10 Pré-compartilhamento de autenticação aes da criptografia sha da mistura grupo2 vida 28800

10 vida sha da mistura Etapa 2. conjunto de transformação cripto do IPsec ao conjunto de transformação cripto do IPsec ikev1. Somente um conjunto de transformação é precisado desde que os dois conjuntos de transformação são idênticos. Configuração sugerida esp-sha-hmac 128 cripto do conjunto de transformação ipsec-prop-vpn-7c79606e-0 ESP-aes do IPsec túnel do modo esp-sha-hmac 128 cripto do conjunto de transformação ipsec-prop-vpn-7c79606e-1 ESP-aes do IPsec túnel do modo Para esp-sha-hmac cripto do conju de transformação AW ESP-aes IPsec ikev1 Etapa 3. perfil IPSec cripto ao perfil IPSec cripto. Somente um perfil é precisado desde que os dois perfis são idênticos. Configuração sugerida Para perfil IPSec cripto ipsec-vpn-7c79606e-0 ajuste o grupo2 dos pfs ajuste os segundos 3600 da vida da associação de segurança ajuste o conjunto de transformação ipsecprop-vpn-7c79606e-0 ajuste ikev1 o conjunto de perfil IPSec cripto AW retire transformação AW perfil IPSec cripto ipsec-vpn-7c79606e-1 ajuste o grupo2 dos pfs ajuste o grupo2 dos pfs ajuste os segundos 3600 da vida ajuste os segundos 3600 da vida da associação associação de segurança de segurança ajuste o conjunto de transformação ipsecprop-vpn-7c79606e-1 retire Etapa 4. o keyring cripto e o perfil cripto do isakmp precisam de ser convertidos a um grupo de túneis um para cada túnel. Configuração sugerida keyring cripto keyring-vpn-7c79606e-0 endereço local chave QZhh90Bjf de do endereço da chave pré-compartilhada Para tipo ipsec-l2l de do grupo túneis IPsec-atributos de do grupo

11 ! perfil cripto isakmp-vpn-7c79606e-0 do isakmp endereço local endereço da identidade do fósforo keyring keyring-vpn-7c79606e-0! keyring cripto keyring-vpn-7c79606e-1 endereço local chave JjxCWy4Ae de do endereço da chave pré-compartilhada! perfil cripto isakmp-vpn-7c79606e-1 do isakmp endereço local endereço da identidade do fósforo keyring keyring-vpn-7c79606e-1 túneis ikev1 chave précompartilhada QZhh90Bj nova tentativa 10 do ponto inicial 10 do keepalive do isakmp tipo ipsec-l2l de do grupo túneis IPsec-atributos de do grupo túneis ikev1 chave précompartilhada JjxCWy4A nova tentativa 10 do ponto inicial 10 do keepalive do isakmp Etapa 5. A configuração de túnel é quase idêntica. O ASA não apoia o IP tcp ajusta-mss ou o comando da virtual-remontagem IP. Configuração sugerida relação Tunnel1 endereço IP virtual-remontagem IP origem de túnel destino de túnel IPv4 do IPsec do modo de túnel perfil IPSec ipsec-vpn-7c79606e-0 da proteção do túnel o IP tcp ajusta-mss 1387 nenhuma parada programada! relação Tunnel2 endereço IP virtual-remontagem IP origem de túnel destino de túnel IPv4 do IPsec do modo de túnel perfil IPSec ipsec-vpn-7c79606e-1 da proteção do túnel o IP tcp ajusta-mss 1387 nenhuma parada programada Para relação Tunnel1 nameif AWS1 endereço IP relação do origem de túnel fo destino de túnel IPv4 do IPsec do modo de túne perfil IPSec AW da proteção d túnel! relação Tunnel2 nameif AWS2 endereço IP relação do origem de túnel fo destino de túnel IPv4 do IPsec do modo de túne perfil IPSec AW da proteção d túnel Etapa 6. Neste exemplo, o ASA anunciará somente acima da sub-rede interna ( /24) e receberá a sub-rede dentro de AW ( /16).

12 Configuração sugerida BGP do roteador vizinho remoto-como 7224 o vizinho ativa temporizadores de do vizinho unicast do IPv4 da endereço-família vizinho remoto-como 7224 temporizadores de do vizinho o vizinho padrão-origina o vizinho ativa soft-reconfiguration inbound de do vizinho rede BGP do roteador vizinho remoto-como 7224 o vizinho ativa temporizadores de do vizinho unicast do IPv4 da endereço-família vizinho remoto-como 7224 temporizadores de do vizinho o vizinho padrão-origina o vizinho ativa soft-reconfiguration inbound de do vizinho rede Para BGP do roteador log-neighbor-changes BGP BGP dos temporizadores unicast do IPv4 da endereç família vizinho remo como 7224 o vizinho at vizinho remoto-como 7224 o vizinho ativa rede nenhum resumo automático nenhuma sincronização -endereço-família Verifique e aperfeiçoe Etapa 1. Confirme o ASA institui as associações de segurança IKEv1 com os dois valores-limite em AW. O estado do SA deve ser MM_ACTIVE. ASA# show crypto ikev1 sa IKEv1 SAs: Active SA: 2 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 2 1 IKE Peer: Type : L2L Role : initiator Rekey : no State : MM_ACTIVE 2 IKE Peer: Type : L2L Role : initiator

13 Rekey : no State : MM_ACTIVE ASA# Etapa 2. Confirme o sas de IPSec são instalados no ASA. Deve haver um de entrada e o SPI de partida instalado para cada par e lá deve ser alguns encaps e incremento dos contadores dos decaps. ASA# show crypto ipsec sa interface: AWS1 Crypto map tag: vti-crypto-map-5-0-1, seq num: 65280, local addr: access-list vti-def-acl-0 extended permit ip any any local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: #pkts encaps: 2234, #pkts encrypt: 2234, #pkts digest: 2234 #pkts decaps: 1234, #pkts decrypt: 1234, #pkts verify: 1234 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 2234, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: /4500, remote crypto endpt.: /4500 path mtu 1500, ipsec overhead 82(52), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: 874FCCF3 current inbound spi : 5E inbound esp sas: spi: 0x5E ( ) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 73728, crypto-map: vti-crypto-map sa timing: remaining key lifetime (kb/sec): ( /2384) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF outbound esp sas: spi: 0x874FCCF3 ( ) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 73728, crypto-map: vti-crypto-map sa timing: remaining key lifetime (kb/sec): ( /2384) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x x interface: AWS2 Crypto map tag: vti-crypto-map-6-0-2, seq num: 65280, local addr: access-list vti-def-acl-0 extended permit ip any any local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer:

14 #pkts encaps: 1230, #pkts encrypt: 1230, #pkts digest: 1230 #pkts decaps: 1230, #pkts decrypt: 1230, #pkts verify: 1230 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 1230, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: /4500, remote crypto endpt.: /4500 path mtu 1500, ipsec overhead 82(52), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: DC5E3CA8 current inbound spi : CB6647F6 inbound esp sas: spi: 0xCB6647F6 ( ) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 77824, crypto-map: vti-crypto-map sa timing: remaining key lifetime (kb/sec): ( /1044) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF outbound esp sas: spi: 0xDC5E3CA8 ( ) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 77824, crypto-map: vti-crypto-map sa timing: remaining key lifetime (kb/sec): ( /1044) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x x Etapa 3. No ASA, confirme que as conexões BGP estão estabelecidas com AW. O contador do estado/pfxrcd deve ser 1 enquanto os AW anunciam a sub-rede /16 para o ASA. ASA# show bgp summary BGP router identifier , local AS number BGP table version is 5, main routing table version 5 2 network entries using 400 bytes of memory 3 path entries using 240 bytes of memory 3/2 BGP path/bestpath attribute entries using 624 bytes of memory 1 BGP AS-PATH entries using 24 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 1288 total bytes of memory BGP activity 3/1 prefixes, 4/1 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd :41: :42:02 1 Etapa 4. No ASA, verifique que a rota a /16 esteve aprendida através das interfaces de túnel. Esta mostra que há dois trajetos a do par e O

15 trajeto para para fora escava um túnel 2 (AWS2) é preferido devido à métrica mais baixa. ASA# show bgp BGP table version is 5, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path * i *> i *> i ASA# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is to network S* [1/0] via , outside C is directly connected, outside L is directly connected, outside C is directly connected, AWS2 L is directly connected, AWS2 C is directly connected, AWS1 L is directly connected, AWS1 B [20/100] via , 03:52:55 C is directly connected, inside L is directly connected, inside Etapa 5. A fim assegurar esse tráfego que retorna dos AW segue um trajeto simétrico, configura um mapa de rotas para combinar o caminho preferido e para ajustar o BGP para alterar as rotas anunciadas. ASA# show bgp BGP table version is 5, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path * i *> i *> i ASA# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN

16 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is to network S* [1/0] via , outside C is directly connected, outside L is directly connected, outside C is directly connected, AWS2 L is directly connected, AWS2 C is directly connected, AWS1 L is directly connected, AWS1 B [20/100] via , 03:52:55 C is directly connected, inside L is directly connected, inside Etapa 6. No ASA, confirme que /24 estão anunciados aos AW. ASA# show bgp neighbors advertised-routes BGP table version is 5, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> i *> i Total number of prefixes 2 ASA# show bgp neighbors advertised-routes BGP table version is 5, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> i Total number of prefixes 1 Etapa 7. Nos AW, confirme que os túneis para a conexão de VPN são ASCENDENTES e as rotas são instruídas do par. Igualmente certifique-se da rota esteja propagada na tabela de roteamento.

17