Configurar uma sessão de ebgp segura com um IPsec VTI

Documentos relacionados
Configurar o desaparecimento do IPv6 com o null0 da relação

Configurar o buraco negro provocado telecontrole do IPV6 com IPv6 BGP

BGP Border Gateway Protocol

GRE sobre o IPsec com o EIGRP a distribuir com um exemplo de configuração do hub e das sites remoto múltiplo

Configurar a redistribuição de rotas do Internal BGP no IGP

Rotas estáticas do implementar para o exemplo de configuração do IPv6

Vazamento de rota em redes MPLS/VPN

Dinâmico ao exemplo de configuração dinâmico do túnel de IPsec

Exemplo de configuração do refletor da rota de BGP do IPv6

Configurando Modo de Roteador-config, Caractere Geral, Chaves Pré-compartilhadas, sem NAT

Configurando o recurso BGP Local-AS

Compreendendo a agregação de rota no BGP

FlexVPN falou no projeto redundante do hub com um exemplo de configuração duplo da aproximação da nuvem

Exemplo de configuração do enlace virtual OSPFv3

Compreenda o lúpulo seguinte ajustado em propagandas do ibgp nos nexos NX-OS contra o Cisco IOS

Camada dinâmica 3 VPN com exemplo de configuração multiponto dos túneis GRE

Compreendendo o endereço local de link do IPv6

Configurar o acesso do telnet/ssh ao dispositivo com VRF

Formação IPv6 Maputo Moçambique 26 Agosto 29 Agosto 08 Configuração do Multiprotocol BGP

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Configurando IPSec entre três roteadores usando endereços privados

Usando valores da comunidade do BGP para controlar a política de roteamento na rede de provedor de upstream

Client e configuração Nenhum-MODE

Configurando IPSec de IOS para IOS usando criptografia de AES

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

ASA/PIX: Configurar e pesquise defeitos o Reverse Route Injection (RRI)

Compreendendo e configurando o comando ip unnumbered

Configurando e verificando os recursos de anúncio condicional do BGP

Flexible NetFlow que filtra com monitoramento de desempenho

Configurar serviços de Web das Amazonas da conexão do IPsec VTI ASA

Roteador e cliente VPN para Internet públicas em um exemplo de configuração da vara

Configurando e verificando os recursos de anúncio condicional do BGP

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Acesso à Internet a partir de uma VPN MPLS usando uma tabela de roteamento global

Configurando um Cisco 827 para o PPPoE com sobrecarga NAT do IPSec de VPN

Exemplo de configuração para remoção de números AS privados em BGP

Exemplo de configuração para ibgp e ebgp, com ou sem um endereço de loopback

Failover ISP com rotas padrão usando o seguimento IP SLA

Configurando o IPSec com o EIGRP e o IPX Usando o Tunelamento GRE

Configurando o hub and spoke do roteador para roteador do IPsec

Configurando IPSec - Cisco Secure VPN Client para acesso de controle do roteador central

Recursos de contabilidade da interface de saída da contabilidade da política do BGP e da contabilidade da política do BGP

Chave manual do IPsec entre o exemplo de configuração do Roteadores

Configurando o roteador para roteador, o Preshared do IPsec, sobrecarga NAT entre um privado e uma rede pública

Especifique um endereço IP de Um ou Mais Servidores Cisco ICM NT do salto seguinte para rotas estáticas

Configurar OSPFv3 como o protocolo PE-CE com técnicas de prevenção do laço

Entendendo o Roteamento Baseado em Política

Configurar um perfil da segurança de protocolo do Internet (IPSec) em um roteador do RV34x Series

Gerenciamento e interoperabilidade de redes Prof. João Henrique Kleinschmidt Prática Packet tracer Segurança: Firewall, ACLS e VPN

Criação de túnel redundante entre Firewall usando o PDM

What Do EIGRP "Not On Common Subnet" Messages Mean?

Understanding Redistribution of OSPF Routes into BGP

Packet Tracer - Conectar um roteador a uma LAN

Troubleshooting Quando as Rotas de BGP Não São Publicadas

Conexão de VPN com o exemplo de configuração Zona-baseado do roteador de firewall

Series Router de Cisco rv (RV320) Adaptadores dos Serviços integrados do Cisco 500 Series (ISA570)

Configurando o NAT Estático e o NAT Dinâmico Simultaneamente

Migração do EzVPN do legado ao exemplo de configuração aumentado do EzVPN

Acesso à Internet a partir de uma VPN MPLS usando uma tabela de roteamento global

Configurar a característica da preferência local do IPv6 BGP

Configuração e verificação da opção B do INTER-AS MPLS VPN da camada 3 usando IO e IOS-XR

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

Redistribua redes conectadas no OSPF com palavras-chave de sub-rede

Compartilhamento de carga com o BGP no ambientes únicos e multihomed: Configurações de exemplo

Entendendo o Roteamento de Política

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

Configurar o escape da rota VRF no Switches do nexo de Cisco

Virtual Private Network (VPN)

Compartilhamento de carga com o BGP no ambientes únicos e multihomed: Configurações de exemplo

Configuração do gateway ao gateway VPN no Roteadores RV016, RV042, RV042G e RV082 VPN

Configurar o OSPF para filtrar o Tipo 5 LSA

Compreendendo o atributo BGP MED

Pesquisando defeitos loop de roteamento do Cisco Express Forwarding

Como Preencher Rotas Dinâmicas, Usando Injeção de Rota Reversa

Configurando perfis IPSec (auto modo fechando) no RV160 e no RV260

Configurar Virtual Private Network (VPN) avançado Setup no Firewall RV110W

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

Impedindo IDs duplicados de roteadores EIGRO

Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal)

Exemplo de Configuração de Roteador que Permite Clientes VPN se Conectarem via IPsec e à Internet Usando a Separação de Túneis

Compreendendo a imposição de rótulo de switching de rótulo de multiprotocolo (MPLS) em um ambiente ATM

Configurando o IPSec dinâmico a estático de roteador a roteador com NAT

Use uma rota estática para a interface Null0 para prevenção de loop

Má combinação do salto seguinte e de rotas BGP Nota Técnica inativa

Como Utilizar o HSRP para Fornecer Redundância em uma Rede BGP Multihomed

Configurar Inter-COMO O MPLS VPN do C da opção com Cisco IOS e Cisco IOS XR

Função de balanceamento de carga IO NAT com roteamento de extremidade aperfeiçoado para duas conexões com o Internet

Configurando MPLS Básicos Usando IS-IS

Conexões Back-to-Back PPP

Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal)

Exemplo da configuração de HSRP do IPv6

Configuração de exemplo utsando o comando ip nat outside source static

Local dinâmico para situar um túnel IKEv2 VPN entre um exemplo de configuração dois ASA

Tronco entre um Catalyst 2948G-L3 e um exemplo de configuração do Catalyst 6500 Series Switch

Configurar o atributo de métrica AIGP para o BGP

Configurações iniciais para o OSPF em um enlace ponto a ponto

Roteamento de política e seu impacto no ESP e pacotes ISAKMP com Cisco IOS

Transcrição:

Configurar uma sessão de ebgp segura com um IPsec VTI Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Configurar Diagrama de Rede Configurações Verificar Troubleshooting Introdução Este documento descreve como fixar um relacionamento vizinho do Protocolo de Gateway Limite externo (ebgp) (ebgp) com o uso de uma interface de túnel virtual do IPsec (VTI) junto com as interfaces física (NON-túnel) para o tráfego plano dos dados. Os benefícios desta configuração incluem: Termine a privacidade da sessão do vizinho de BGP com confidencialidade de dados, antirepetição, autenticidade, e integridade. O tráfego plano dos dados não é forçado às despesas gerais da unidade de transmissão máxima (MTU) da interface de túnel. Os clientes podem enviar pacotes padrão MTU (1500 bytes) sem implicações de desempenho ou fragmentação. Menos despesas gerais no Roteadores do ponto final desde que a criptografia do deslocamento predeterminado da política de segurança (SPI)/que decifra é limitada ao tráfego plano do controle BGP. O benefício desta configuração é que o plano dos dados não está forçado à limitação da relação em túnel. Pelo projeto, o tráfego plano dos dados não é IPsec fixado. Charles contribuído Stizza, engenheiro de TAC da Cisco. Pré-requisitos Requisitos A Cisco recomenda que você conheça estes tópicos:

fundamentos da configuração de ebgp e da verificação Manipulação da contabilidade da política do BGP (PA) usando um mapa de rotas Características básicas do Internet Security Association and Key Management Protocol (ISAKMP) e da política de IPsec Componentes Utilizados A informação neste documento é baseada no Cisco IOS? Software Release 15.3(1.3)T mas o outro trabalho das versões suportadas. Desde que a configuração IPSec é uma característica criptograficamente, assegure-se de que sua versão de código contenha este conjunto de recursos. As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Caution: O exemplo de configuração neste documento usa os algoritmos modestos da cifra que puderam ou não puderam ser seridos para seu ambiente. Veja o White Paper da criptografia da próxima geração para um exame da Segurança relativa de várias séries e de tamanhos chaves da cifra. Configurar Note: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção. Diagrama de Rede Configurações Conclua estes passos: 1. Configurar parâmetros da fase de intercâmbio de chave de Internet (IKE) 1 no r1 e no R2 com a chave pré-compartilhada no r1:note: Nunca use os números do grupo 1, 2 ou 5 DH desde que são considerados inferiores. Se possível use um grupo DH com curva elíptico Cryptopgraphy (ECC) como os grupos 19, 20 ou 24. O Advanced Encryption Standard (AES) e o algoritmo de mistura segura 256 (SHA256) devem ser considerados superior à criptografia padrão de dados (DES)/3DES e message digest 5 (MD5)/SHA1 respectivamente. Nunca use a senha Cisco em um ambiente de produção.configuração do r1 R1(config)#crypto isakmp policy 1 R1(config-isakmp)#encr aes R1(config-isakmp)#hash sha256 R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#group 19 R1(config-isakmp)exit R1(config)#crypto isakmp key CISCO address 12.0.0.2 R2(config)#crypto isakmp policy 1 R2(config-isakmp)#encr aes R2(config-isakmp)#hash sha256 R2(config-isakmp)#authentication pre-share R2(config-isakmp)#group 19 2. 3. R2(config-isakmp)exit R2(config)#crypto isakmp key CISCO address 12.0.0.1 Configurar a criptografia de senha do nível 6 para a chave pré-compartilhada no NVRAM no r1 e no R2. Isto reduz a probabilidade da chave pré-compartilhada armazenada no texto simples da leitura se um roteador é comprometido: R1(config)#key config-key password-encrypt CISCOCISCO R1(config)#password encryption aes R2(config)#key config-key password-encrypt CISCOCISCO R2(config)#password encryption aes Note: Uma vez que a criptografia de senha do nível 6 é permitida, a configuração ativa já não mostra a versão de texto simples da chave pré-compartilhada:! R1#show run include key crypto isakmp key 6 \Nd`]dcCW\E`^WEObUKRGKIGadiAAB address 12.0.0.2! Configurar os parâmetros da fase 2 IKE no r1 e no R2:Configuração do r1 R1(config)#crypto ipsec transform-set TRANSFORM-SET esp-aes 256 esp-sha256 ah-sha256-hmac R1(config)#crypto ipsec profile PROFILE R1(ipsec-profile)#set transform-set TRANSFORM-SET R1(ipsec-profile)#set pfs group19 R2(config)#crypto ipsec transform-set TRANSFORM-SET esp-aes 256 esp-sha256 ah-sha256-hmac R2(config)#crypto ipsec profile PROFILE R2(ipsec-profile)#set transform-set TRANSFORM-SET R2(ipsec-profile)#set pfs group19 Note: Ajustar o discrição perfeita adiante (PFS) é opcional mas melhora a força VPN desde que força uma geração de chave simétrica nova no estabelecimento da fase 2 SA IKE. 4. Configurar as interfaces de túnel no r1 e no R2 e fixe-as com o perfil IPSec:Configuração do r1 R1(config)#interface tunnel 12 R1(config-if)#ip address 1.1.1.1 255.255.255.0 R1(config-if)#tunnel source Ethernet0/0 R1(config-if)#tunnel mode ipsec ipv4

5. R1(config-if)#tunnel destination 12.0.0.2 R1(config-if)#tunnel protection ipsec profile PROFILE R2(config)#interface tunnel 12 R2(config-if)#ip address 1.1.1.2 255.255.255.0 R2(config-if)#tunnel source Ethernet0/0 R2(config-if)#tunnel mode ipsec ipv4 R2(config-if)#tunnel destination 12.0.0.1 R2(config-if)#tunnel protection ipsec profile PROFILE Configurar o BGP no r1 e no R2 e anuncie as redes loopback0 no BGP:Configuração do r1 R1(config)#router bgp 65510 R1(config-router)#neighbor 1.1.1.2 remote-as 65511 R1(config-router)#network 10.0.0.0 mask 255.255.255.0 R2(config)#router bgp 65511 R2(config-router)#neighbor 1.1.1.2 remote-as 65510 R2(config-router)#network 20.0.0.0 mask 255.255.255.0 6. Configurar um mapa de rotas no r1 e no R2 a fim mudar manualmente o endereço IP de Um ou Mais Servidores Cisco ICM NT do salto seguinte de modo que aponte à interface física e não ao túnel. Você deve aplicar este mapa de rotas na direção de entrada.configuração do r1 R1(config)ip prefix-list R2-NETS seq 5 permit 20.0.0.0/24 R1(config)#route-map CHANGE-NEXT-HOP permit 10 R1(config-route-map)#match ip address prefix-list R2-NETS R1(config-route-map)#set ip next-hop 12.0.0.2 R1(config-route-map)#end R1(config)#router bgp 65510 R1(config-router)#neighbor 1.1.1.2 route-map CHANGE-NEXT-HOP in R1(config-router)#do clear ip bgp * R1(config-router)#end R2(config)#ip prefix-list R1-NETS seq 5 permit 10.0.0.0/24 R2(config)#route-map CHANGE-NEXT-HOP permit 10 R2(config-route-map)#match ip address prefix-list R1-NETS R2(config-route-map)#set ip next-hop 12.0.0.1 R2(config-route-map)#end R2(config)#router bgp 65511

R2(config-router)#neighbor 1.1.1.1 route-map CHANGE-NEXT-HOP in R2(config-router)#do clear ip bgp * R2(config-router)#end Verificar Use esta seção para confirmar se a sua configuração funciona corretamente. A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução. Verifique que a fase 1 IKE e a fase 2 IKE terminaram. O protocolo de linha na interface de túnel virtual (VTI) não muda a acima de até que a fase 2 IKE termine: R1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 12.0.0.1 12.0.0.2 QM_IDLE 1002 ACTIVE 12.0.0.2 12.0.0.1 QM_IDLE 1001 ACTIVE R1#show crypto ipsec sa inc encaps decaps #pkts encaps: 88, #pkts encrypt: 88, #pkts digest: 88 #pkts decaps: 90, #pkts decrypt: 90, #pkts verify: 90 Note que antes do aplicativo do mapa de rotas, o endereço IP de Um ou Mais Servidores Cisco ICM NT do salto seguinte aponta ao endereço IP de Um ou Mais Servidores Cisco ICM NT do vizinho de BGP que é a interface de túnel: R1#show ip bgp BGP table version is 2, local router ID is 10.0.0.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter, x best-external, a additional-path, c RIB-compressed, Origin codes: i - IGP, e - EGP,? - incomplete RPKI validation codes: V valid, I invalid, N Not found Network Next Hop Metric LocPrf Weight Path *> 20.0.0.0/24 1.1.1.2 0 0 65511 i Quando o tráfego usa o túnel, o MTU está forçado ao túnel MTU: R1#ping 20.0.0.2 size 1500 df-bit Type escape sequence to abort. Sending 5, 1500-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds: Packet sent with the DF bit set *May 6 08:42:07.311: ICMP: dst (20.0.0.2): frag. needed and DF set. *May 6 08:42:09.312: ICMP: dst (20.0.0.2): frag. needed and DF set. *May 6 08:42:11.316: ICMP: dst (20.0.0.2): frag. needed and DF set. *May 6 08:42:13.319: ICMP: dst (20.0.0.2): frag. needed and DF set. *May 6 08:42:15.320: ICMP: dst (20.0.0.2): frag. needed and DF set. Success rate is 0 percent (0/5)

R1#show interfaces tunnel 12 inc transport line Tunnel12 is up, line protocol is up Tunnel protocol/transport IPSEC/IP Tunnel transport MTU 1406 bytes <--- R1#ping 20.0.0.2 size 1406 df-bit Type escape sequence to abort. Sending 5, 1406-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds: Packet sent with the DF bit set!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/6 ms Após ter aplicado o mapa de rotas, o endereço IP de Um ou Mais Servidores Cisco ICM NT é mudado à interface física do R2, não o túnel: R1#show ip bgp BGP table version is 2, local router ID is 10.0.0.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter, x best-external, a additional-path, c RIB-compressed, Origin codes: i - IGP, e - EGP,? - incomplete RPKI validation codes: V valid, I invalid, N Not found Network Next Hop Metric LocPrf Weight Path *> 20.0.0.0/24 12.0.0.2 0 0 65511 i Mude o plano dos dados a fim usar o salto seguinte físico ao contrário do tamanho padrão MTU das licenças do túnel: R1#ping 20.0.0.2 size 1500 df-bit Type escape sequence to abort. Sending 5, 1500-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds: Packet sent with the DF bit set!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms Troubleshooting Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback