Servicios web del Amazonas de la conexión del IPSec VTI de la configuración ASA

Transcripción

1 Servicios web del Amazonas de la conexión del IPSec VTI de la configuración ASA Contenido Introducción Configuración AWS Configure el ASA Verifique y optimice Introducción Este documento describe cómo configurar una conexión virtual de la interfaz del túnel del IPSec adaptante del dispositivo de seguridad (ASA) (VTI). En ASA 9.7.1, se ha introducido el IPSec VTI. Se limita al IPv4 del svti sobre el IPv4 usando IKEv1 en esta versión. Esto es un ejemplo de configuración para que el ASA conecte con los servicios web del Amazonas (AWS). Nota: VTI se soporta actualmente solamente en el solo-contexto, modo ruteado. Configuración AWS Paso 1. Inicie sesión a la consola AWS y navegue al panel de VPC. Navegue al panel de VPC

2 Paso 2. Confirme que una nube privada virtual (VPC) está creada ya. Por abandono, VPC con /16 se crea. Aquí es donde las máquinas virtuales (VM) serán asociadas. Paso 3. Cree un gateway del cliente. Éste es un punto final que represente el ASA. Campo Etiqueta de nombre Ruteo DIRECCIÓN IP BGP ASN Valor Esto es apenas un nombre legible para reconocer el ASA. Dinámico - Esto significa que el Border Gateway Protocol (BGP) será utilizado para intercambiar la información de ruteo. Éste es el IP Address público de la interfaz exterior ASA. El número de Sistema autónomo (AS) del proceso BGP que se ejecuta en el ASA. Uso a menos que su organización tenga un público COMO número.

3 Paso 4. Cree un gateway privado virtual (VPG). Éste es un router simulado que se recibe con AWS que termine el túnel IPsec. Campo Valor Etiqueta de nombre Un nombre legible para reconocer el VPG.

4 Paso 5. Asocie el VPG a VPC. Elija el gateway privado virtual, haga clic la fijación a VPC, elija VPC de la lista desplegable de VPC, y haga clic sí, asocíelo.

5 Paso 6. Cree una conexión VPN.

6 Campo Valor Etiqueta de nombre Una etiqueta legible de la conexión VPN entre AWS y el ASA. Gateway privado virtual Elija el VPG apenas creado. Gateway del cliente Haga clic el botón de radio existente y elija el gateway del ASA. Rutear las opciones Haga clic (requiere el BGP) el botón de radio dinámico.

7 Paso 7. Configure la tabla de ruta para propagar las rutas aprendidas del VPG (vía el BGP) en VPC.

8 Paso 8. Descargue la configuración sugerida. Elija los valores abajo para generar una configuración que sea una configuración de estilo VTI. Campo Valor Vendedor Cisco Systems, Inc. Plataforma Routeres de la serie ISR Software IOS 12.4+

9 Configure el ASA Una vez que usted descarga la configuración hay una cierta conversión necesaria. Paso 1. política isakmp crypto a la directiva crypto ikev1. Solamente una directiva es necesaria puesto que la directiva 200 y la directiva 201 son idénticas. Configuración sugerida política isakmp crypto 200 aes 128 del cifrado authentication pre-share group2 curso de la vida sha del hash política isakmp crypto 201 aes 128 del cifrado authentication pre-share group2 A permiso crypto ikev1 afuera ikev1 directiva crypto 10 authentication pre-share aes del cifrado sha del hash group2 curso de la vida 28800

10 curso de la vida sha del hash Paso 2. transforme el conjunto crypto del IPSec al transforme el conjunto crypto del IPSec ikev1. Solamente un transforme el conjunto es necesario puesto que los dos transformes el conjunto son idénticos. Configuración sugerida esp-sha-hmac crypto del ESP-aes 128 del transforme el conjunto ipsec-prop-vpn-7c79606e-0 del IPSec túnel del modo esp-sha-hmac crypto del ESP-aes 128 del transforme el conjunto ipsec-prop-vpn-7c79606e-1 del IPSec túnel del modo A esp-sha-hmac crypto del ESPdel transforme el conjunto A del IPSec ikev1 Paso 3. perfil de ipsec crypto al perfil de ipsec crypto. Solamente un perfil es necesario puesto que los dos perfiles son idénticos. Configuración sugerida perfil de ipsec crypto ipsec-vpn-7c79606e-0 fije el group2 de los pfs fije los segundos 3600 del curso de la vida de la asociación de seguridad fije el transforme el conjunto ipsec-propvpn-7c79606e-0 salga perfil de ipsec crypto ipsec-vpn-7c79606e-1 fije el group2 de los pfs fije los segundos 3600 del curso de la vida de la asociación de seguridad fije el transforme el conjunto ipsec-propvpn-7c79606e-1 salga A perfil de ipsec crypto AWS fije ikev1 el transforme el conjunto AWS fije el group2 de los pfs fije los segundos 3600 del curso la vida de la asociación de seguridad Paso 4. el llavero crypto y el perfil crypto del isakmp necesitan ser convertidos a un grupo de túnel uno para cada túnel. Configuración sugerida llavero crypto keyring-vpn-7c79606e-0 dirección local clave QZhh90Bjf de del direccionamiento de la clave previamente compartida A tipo ipsec-l2l de del gr de túnel IPSec-atributos de del gr

11 ! perfil crypto isakmp-vpn-7c79606e-0 del isakmp dirección local direccionamiento de la identidad de la coincidencia llavero keyring-vpn-7c79606e-0! llavero crypto keyring-vpn-7c79606e-1 dirección local clave JjxCWy4Ae de del direccionamiento de la clave previamente compartida! perfil crypto isakmp-vpn-7c79606e-1 del isakmp dirección local direccionamiento de la identidad de la coincidencia llavero keyring-vpn-7c79606e-1 de túnel ikev1 clave previame compartida QZhh90Bjf recomprobación 10 d umbral 10 del keepal del isakmp tipo ipsec-l2l de del gr de túnel IPSec-atributos de del gr de túnel ikev1 clave previame compartida JjxCWy4Ae recomprobación 10 d umbral 10 del keepal del isakmp Paso 5. La configuración del túnel es casi idéntica. El ASA no soporta el IP tcp ajusta-mss o el comando del virtual-nuevo ensamble del IP. Configuración sugerida interfaz Tunnel1 dirección IP virtual-nuevo ensamble del IP origen de túnel destino del túnel IPSec ipv4 del modo túnel perfil de ipsec ipsec-vpn-7c79606e-0 de la protección del túnel el IP tcp ajusta-mss 1387 ningún apague salga! interconecte Tunnel2 dirección IP virtual-nuevo ensamble del IP origen de túnel destino del túnel IPSec ipv4 del modo túnel perfil de ipsec ipsec-vpn-7c79606e-1 de la protección del túnel el IP tcp ajusta-mss 1387 ningún apague salga A interconecte Tunnel1 nameif AWS1 dirección IP interfaz del origen de túnel afuera destino del túnel IPSec ipv4 del modo túnel perfil de ipsec AWS de la protección del túnel! interfaz Tunnel2 nameif AWS2 dirección IP interfaz del origen de túnel afuera destino del túnel IPSec ipv4 del modo túnel perfil de ipsec AWS de la protección del túnel Paso 6.

12 En este ejemplo, el ASA hará publicidad solamente encima de la subred interior ( /24) y recibirá la subred dentro de AWS ( /16). Configuración sugerida A BGP del router vecino telecontrol-como 7224 el vecino activa temporizadores de del vecino unicast de la direccionamiento-familia ipv4 vecino telecontrol-como 7224 temporizadores de del vecino el vecino BGP del router valor por log-neighbor-changes BGP defecto-origina BGP 10 de los temporizadores el vecino activa unicast de la soft-reconfiguration direccionamiento-familia ipv4 inbound de vecino del telecontrol-como 7224 vecino el vecino activa red vecino telecontrol-como 7224 el vecino BGP del router activa vecino red telecontrol-como 7224 ningún automóvil summary el vecino ninguna sincronización activa -direccionamientofamilia temporizadores de del vecino unicast de la direccionamiento-familia ipv4 vecino telecontrol-como 7224 temporizadores de del vecino el vecino valor por defectoorigina el vecino activa

13 soft-reconfiguration inbound de del vecino red Verifique y optimice Paso 1. Confirme el ASA establece las asociaciones de seguridad IKEv1 con los dos puntos finales en AWS. El estado del SA debe estar MM_ACTIVE. ASA# show crypto ikev1 sa IKEv1 SAs: Active SA: 2 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 2 1 IKE Peer: Type : L2L Role : initiator Rekey : no State : MM_ACTIVE 2 IKE Peer: Type : L2L Role : initiator Rekey : no State : MM_ACTIVE ASA# Paso 2. Confirme el SA de IPSec están instalados en el ASA. Debe haber un entrante y SPI saliente instalado para cada par y allí debe ser el cierto incrementar de los contadores del encaps y de los decaps. ASA# show crypto ipsec sa interface: AWS1 Crypto map tag: vti-crypto-map-5-0-1, seq num: 65280, local addr: access-list vti-def-acl-0 extended permit ip any any local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: #pkts encaps: 2234, #pkts encrypt: 2234, #pkts digest: 2234 #pkts decaps: 1234, #pkts decrypt: 1234, #pkts verify: 1234 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 2234, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: /4500, remote crypto endpt.: /4500 path mtu 1500, ipsec overhead 82(52), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df

14 ICMP error validation: disabled, TFC packets: disabled current outbound spi: 874FCCF3 current inbound spi : 5E inbound esp sas: spi: 0x5E ( ) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 73728, crypto-map: vti-crypto-map sa timing: remaining key lifetime (kb/sec): ( /2384) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF outbound esp sas: spi: 0x874FCCF3 ( ) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 73728, crypto-map: vti-crypto-map sa timing: remaining key lifetime (kb/sec): ( /2384) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x x interface: AWS2 Crypto map tag: vti-crypto-map-6-0-2, seq num: 65280, local addr: access-list vti-def-acl-0 extended permit ip any any local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: #pkts encaps: 1230, #pkts encrypt: 1230, #pkts digest: 1230 #pkts decaps: 1230, #pkts decrypt: 1230, #pkts verify: 1230 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 1230, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: /4500, remote crypto endpt.: /4500 path mtu 1500, ipsec overhead 82(52), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: DC5E3CA8 current inbound spi : CB6647F6 inbound esp sas: spi: 0xCB6647F6 ( ) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 77824, crypto-map: vti-crypto-map sa timing: remaining key lifetime (kb/sec): ( /1044) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF outbound esp sas: spi: 0xDC5E3CA8 ( ) transform: esp-aes esp-sha-hmac no compression

15 Paso 3. in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 77824, crypto-map: vti-crypto-map sa timing: remaining key lifetime (kb/sec): ( /1044) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x x En el ASA, confirme que las conexiones BGP están establecidas con AWS. El contador del estado/de PfxRcd debe ser 1 mientras que AWS hace publicidad de la subred /16 hacia el ASA. ASA# show bgp summary BGP router identifier , local AS number BGP table version is 5, main routing table version 5 2 network entries using 400 bytes of memory 3 path entries using 240 bytes of memory 3/2 BGP path/bestpath attribute entries using 624 bytes of memory 1 BGP AS-PATH entries using 24 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 1288 total bytes of memory BGP activity 3/1 prefixes, 4/1 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd :41: :42:02 1 Paso 4. En el ASA, verifique que la ruta a /16 se haya aprendido vía las interfaces del túnel. Esta muestra que hay dos trayectorias a del par y La trayectoria hacia hacia fuera hace un túnel 2 (AWS2) se prefiere debido al métrico más bajo. ASA# show bgp BGP table version is 5, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path * i *> i *> i ASA# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is to network S* [1/0] via , outside C is directly connected, outside L is directly connected, outside

16 C is directly connected, AWS2 L is directly connected, AWS2 C is directly connected, AWS1 L is directly connected, AWS1 B [20/100] via , 03:52:55 C is directly connected, inside L is directly connected, inside Paso 5. Para asegurar ese tráfico que vuelva de AWS sigue una trayectoria simétrica, configura un route-map para hacer juego el trayecto preferido y para ajustar el BGP para alterar las rutas anunciadas. ASA# show bgp BGP table version is 5, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path * i *> i *> i ASA# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is to network S* [1/0] via , outside C is directly connected, outside L is directly connected, outside C is directly connected, AWS2 L is directly connected, AWS2 C is directly connected, AWS1 L is directly connected, AWS1 B [20/100] via , 03:52:55 C is directly connected, inside L is directly connected, inside Paso 6. En el ASA, confirme que /24 está hecho publicidad a AWS. ASA# show bgp neighbors advertised-routes BGP table version is 5, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete

17 Network Next Hop Metric LocPrf Weight Path *> i *> i Total number of prefixes 2 ASA# show bgp neighbors advertised-routes BGP table version is 5, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> i Total number of prefixes 1 Paso 7. En AWS, confirme que los túneles para la conexión VPN son ASCENDENTES y las rutas son doctas del par. También marque que la ruta se ha propagado en la tabla de ruteo.

18