Configure a una sesión ebgp segura con un IPSec VTI

Documentos relacionados
Envío a agujeros negros del IPv6 de la configuración con el null0 de la interfaz

Implementación BGP usando de 32 bits COMO ejemplo de la configuración de número

Agujero negro accionado telecontrol del IPV6 de la configuración con el IPv6 BGP

Contenido. Introducción. Prerrequisitos. Requisitos. Componentes Utilizados

Configuración que redistribuye las rutas del Internal BGP en el IGP

Implemente las Static rutas para el ejemplo de configuración del IPv6

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

L2TPv3 sobre la guía de configuración de FlexVPN

En este ejemplo, dos Puentes Cisco Aironet de la serie 350 establece el WEP; el dos Routers configura un túnel IPsec.

Configurar el hub and spoke del router a router del IPSec

Configurando el IPSec - Claves comodín previamente compartidas con el Cliente Cisco Secure VPN y los Config Ninguno-MODE

Configuración de IPSec entre tres routers mediante el uso de direcciones privadas

FlexVPN habló en el diseño redundante del concentrador con un ejemplo de configuración dual del acercamiento de la nube

Configuración de la característica Local-AS BGP

NetFlow Flexible que filtra con el monitor de rendimiento

Packet Tracer: Configuración de GRE por IPsec (optativo)

ASDM 6.4: Túnel del VPN de sitio a sitio con el ejemplo de configuración IKEv2

Creación de túnel redundante entre los Firewall usando el PDM

Configurando a túnel IPSec de red privada a privada del router con el NAT y los parásitos atmosféricos

Comprensión de la dirección local del link del IPv6

ASDM 6.4: Túnel del VPN de sitio a sitio con el ejemplo de configuración IKEv2

Equilibrio de carga VPN en el CS en el ejemplo de configuración del modo dirigido

Acceso ASA al ASDM de una interfaz interior sobre un ejemplo de la configuración del túnel VPN

Acceso del telnet/ssh de la configuración al dispositivo con los VRF

Tema: Implementación de redes privadas virtuales VPN de sitio a sitio.

IPSec claves generadas manualmente entre el ejemplo de configuración del Routers

Sitio dinámico para localizar el túnel IKEv2 VPN entre un ASA y un ejemplo de configuración del router IOS

Equilibrio de carga remoto del cliente VPN en el ejemplo de configuración ASA 5500

Usando los valores de la comunidad BGP para controlar el política de ruteo en la red de proveedor ascendente

Qué significan los mensajes "Not On Common Subnet" (No en la subred común) de EIGRP?

Introducción a la redistribución de las rutas OSPF en el BGP

Conmutación por falla ISP con las rutas predeterminado usando el seguimiento IP SLA

REDES PRIVADAS VIRTUALES VPN

Configurando y verificando la función condicional del anuncio BGP

Ejemplo de la configuración de módulos del shell CLI del Cisco IOS

Túnel VPN de LAN a LAN entre dos PIXes usando el ejemplo de configuración PDM

Configuración básica de MPLS usando OSPF

Configuración de muestra para eliminar los números AS privados en BGP

Configure la característica de la preferencia local del IPv6 BGP

Ejemplo de configuración usando el comando ip nat outside source static

Configuración de una red privada a privada con túnel de router IPsec con NAT y estático

Comportamiento del comando external de la distancia de la configuración OSPF

Servicios web del Amazonas de la conexión del IPSec VTI de la configuración ASA

Configuración básica de MPLS usando OSPF

Packet Tracer: Conexión de un router a una LAN

Bloquee una o más redes de un peer BGP

Configuración de muestra usando el comando ip nat outside source list

Router y cliente VPN para el Internet pública en un ejemplo de configuración del palillo

Características de contabilidad de la interfaz de salida de las estadísticas de la política de BGP y de las estadísticas de la política de BGP

INTRODUCCION Y ENUNCIADO

Bridging L2 a través de un ejemplo de la configuración de red L3

Ejemplo de configuración de ibgp y ebgp con o sin dirección de loopback

Configuración de una VPN MPLS básica

Autenticación de PPP utilizando los comandos ppp chap hostname y ppp authentication chap callin

Redistribuya las redes conectadas en el OSPF con la palabra clave de subred

Universidad Nacional Autónoma de México

Configuración del concentrador Cisco VPN 3000 en un router Cisco

Migración del EzVPN de la herencia al ejemplo de configuración aumentado del EzVPN

Configurar el router a router, el Pre-shared del IPSec, sobrecarga NAT entre un soldado y una red pública

Configuración de IS-IS para IP en los routers de Cisco

Utilice el NAT para ocultar el IP Address real del ONS15454 para establecer a una sesión CTC

UD 3:Implantación de técnicas de seguridad remoto. Seguridad perimetral

Configuración de ejemplo para la autenticación en RIPv2

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Configuración de WPA/WPA2 con la clave previamente compartida: IOS 15.2JB y posterior

Configuración simultánea de NAT estático y dinámico

Ajuste la distancia administrativa para que haya selección de Route en el ejemplo de configuración del Routers del Cisco IOS

Comprensión del atributo BGP MED

Política de ruteo con el ejemplo de configuración del switch Catalyst de la serie 3550.

Packet Tracer: Configuración de VPN (optativo)

Configuración OSPF para filtrar los LSA tipos 5

Distribución de la Carga con BGP en Entornos con una Sola Conexión y con Varias Conexiones: Configuraciones de Ejemplo

Sitio dinámico para localizar el túnel IKEv2 VPN entre el ejemplo de configuración dos ASA

Entienda la importancia del atributo path de la ponderación BGP en los escenarios de falla de la red

Ejemplo de configuración ISDN - IP

Soporte NAT para varios conjuntos usando mapas de ruta

OSPF con el ejemplo de configuración de la adyacencia del Multi-área

Delegación del prefijo de la configuración en el escenario de VPDN

Conexión VPN con el ejemplo de configuración Zona-basado del router de escudo de protección

Configuración de una clave previamente compartida WPA2 (PSK) Configuración de la autenticación abierta

Especifique un IP Address de Next Hop para las Static rutas

Configurar el IPSec dinámica a estática de router a router con NAT

Balanceo de carga IOS NAT para dos Conexiones ISP

El mecanismo de control de tráfico de la configuración PfRv2 con la Static ruta y la directiva basó la encaminamiento

Routers OSPF conectados por una red multiacceso

Configuraciones iniciales para OSPF sobre un link punto a punto

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

Tema: Implementación de túneles GRE cifrados con IPSec.

IPSec entre dos routeres IOS con el ejemplo de configuración de las redes privadas superpuestas

Práctica de laboratorio 8.4.1: Investigación del proceso de búsqueda de tabla de enrutamiento

PIX/ASA 7.x para soportar el IPSec sobre el TCP en cualquier ejemplo de la configuración del puerto

Acceso del administrador TACACS al ejemplo de configuración convergido de los reguladores del Wireless LAN del acceso

Cómo los Routers BGP Utilizan el Discriminador de Salida Múltiple para la Selección de la Mejor Trayectoria

Resolución de problemas de EIGRP

Trunk entre un Catalyst 2948G-L3 y un ejemplo de configuración del Catalyst 6500 Series Switch

Transcripción:

Configure a una sesión ebgp segura con un IPSec VTI Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Configurar Diagrama de la red Configuraciones Verificación Troubleshooting Introducción Este documento describe cómo asegurar una relación de vecino del Border Gateway Protocol externo (ebgp) con el uso de una interfaz del túnel virtual del IPSec (VTI) junto con las interfaces físicas (NON-túnel) para el tráfico del plano de los datos. Las ventajas de esta configuración incluyen: Aislamiento completa de la sesión del vecino BGP con la confidencialidad de los datos, la anti-respuesta, la autenticidad, y la integridad. El tráfico del plano de los datos no se obliga a los gastos indirectos de la Unidad máxima de transmisión (MTU) (MTU) de la interfaz del túnel. Los clientes pueden enviar los paquetes estándar MTU (1500 bytes) sin las implicaciones en el rendimiento o la fragmentación. Menos gastos indirectos en el Routers del punto extremo puesto que el cifrar/que desencripta del índice de la política de seguridad (SPI) se limita al tráfico del plano del control BGP. La ventaja de esta configuración es que el avión de los datos no está obligado a la limitación de la interfaz tunneled. Por el diseño, el tráfico del plano de los datos no es IPSec asegurado. Charles contribuido Stizza, ingeniero de Cisco TAC. Prerequisites Requisitos Cisco recomienda tener conocimientos de estos temas:

fundamentales de la configuración de ebgp y de la verificación Manipulación de las estadísticas de la política de BGP (PA) usando un route-map Funciones de políticas básicas del Internet Security Association and Key Management Protocol (ISAKMP) y del IPSec Componentes Utilizados La información en este documento se basa en el Cisco IOS? El Software Release 15.3(1.3)T pero el otro trabajo de las versiones admitidas. Puesto que la configuración IPSec es una característica criptográfica, asegúrese que su versión del código contenga a este conjunto de características. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Caution: El ejemplo de configuración en este documento utiliza los algoritmos modestos de la cifra que pudieron o no se pudieron adaptar para su entorno. Vea el White Paper del cifrado de la última generación para una discusión de la Seguridad relativa de las diversas habitaciones y de los tamaños de clave de la cifra. Configurar Note: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección. Diagrama de la red Configuraciones Complete estos pasos:

1. Configure los parámetros de la fase de intercambio de claves de Internet (IKE) 1 en el r1 y el r2 con la clave previamente compartida en el r1:note: Nunca utilice los números de grupo 1, 2 o 5 DH puesto que se consideran inferiores. Si es posible utilice a un grupo DH con la curva elíptica Cryptopgraphy (ECC) por ejemplo los grupos 19, 20 o 24. El Advanced Encryption Standard (AES) y el algoritmo de troceo seguro 256 (SHA256) se deben considerar superior a la Data Encryption Standard (DES)/3DES y la publicación de mensaje 5 (MD5)/SHA1 respectivamente. Nunca utilice la contraseña Cisco en un entorno de producción.configuración del r1 R1(config)#crypto isakmp policy 1 R1(config-isakmp)#encr aes R1(config-isakmp)#hash sha256 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#group 19 R1(config-isakmp)exit R1(config)#crypto isakmp key CISCO address 12.0.0.2 R2(config)#crypto isakmp policy 1 R2(config-isakmp)#encr aes R2(config-isakmp)#hash sha256 R2(config-isakmp)#authentication pre-share R2(config-isakmp)#group 19 2. R2(config-isakmp)exit R2(config)#crypto isakmp key CISCO address 12.0.0.1 Configure la encripción de contraseña del nivel 6 para la clave previamente compartida en el NVRAM en el r1 y el r2. Esto reduce la probabilidad de la clave previamente compartida salvada en el sólo texto de la lectura si comprometen a un router: R1(config)#key config-key password-encrypt CISCOCISCO R1(config)#password encryption aes R2(config)#key config-key password-encrypt CISCOCISCO R2(config)#password encryption aes Note: Una vez que se habilita la encripción de contraseña del nivel 6, la configuración activa muestra no más la versión de sólo texto de la clave previamente compartida:! R1#show run include key crypto isakmp key 6 \Nd`]dcCW\E`^WEObUKRGKIGadiAAB address 12.0.0.2! 3. Configure los parámetros de la fase 2 IKE en el r1 y el r2:configuración del r1 R1(config)#crypto ipsec transform-set TRANSFORM-SET esp-aes 256 esp-sha256 ah-sha256-hmac R1(config)#crypto ipsec profile PROFILE R1(ipsec-profile)#set transform-set TRANSFORM-SET R1(ipsec-profile)#set pfs group19 R2(config)#crypto ipsec transform-set TRANSFORM-SET esp-aes 256 esp-sha256 ah-sha256-hmac R2(config)#crypto ipsec profile PROFILE

4. 5. R2(ipsec-profile)#set transform-set TRANSFORM-SET R2(ipsec-profile)#set pfs group19 Note: La determinación del Confidencialidad directa perfecta (PFS) es opcional pero mejora la fuerza VPN puesto que fuerza una nueva generación de clave simétrica en el establecimiento de la fase 2 SA IKE. Configure las interfaces del túnel en el r1 y el r2 y asegúrelas con el perfil de ipsec:configuración del r1 R1(config)#interface tunnel 12 R1(config-if)#ip address 1.1.1.1 255.255.255.0 R1(config-if)#tunnel source Ethernet0/0 R1(config-if)#tunnel mode ipsec ipv4 R1(config-if)#tunnel destination 12.0.0.2 R1(config-if)#tunnel protection ipsec profile PROFILE R2(config)#interface tunnel 12 R2(config-if)#ip address 1.1.1.2 255.255.255.0 R2(config-if)#tunnel source Ethernet0/0 R2(config-if)#tunnel mode ipsec ipv4 R2(config-if)#tunnel destination 12.0.0.1 R2(config-if)#tunnel protection ipsec profile PROFILE La configuración BGP en el r1 y el r2 y hacen publicidad de las redes del loopback0 en el BGP:Configuración del r1 R1(config)#router bgp 65510 R1(config-router)#neighbor 1.1.1.2 remote-as 65511 R1(config-router)#network 10.0.0.0 mask 255.255.255.0 R2(config)#router bgp 65511 R2(config-router)#neighbor 1.1.1.2 remote-as 65510 R2(config-router)#network 20.0.0.0 mask 255.255.255.0 6. Configure un route-map en el r1 y el r2 para cambiar manualmente el IP Address de Next Hop de modo que señale a la interfaz física y no al túnel. Usted debe aplicar este route-map en la dirección entrante.configuración del r1 R1(config)ip prefix-list R2-NETS seq 5 permit 20.0.0.0/24 R1(config)#route-map CHANGE-NEXT-HOP permit 10 R1(config-route-map)#match ip address prefix-list R2-NETS R1(config-route-map)#set ip next-hop 12.0.0.2 R1(config-route-map)#end R1(config)#router bgp 65510 R1(config-router)#neighbor 1.1.1.2 route-map CHANGE-NEXT-HOP in

R1(config-router)#do clear ip bgp * R1(config-router)#end R2(config)#ip prefix-list R1-NETS seq 5 permit 10.0.0.0/24 R2(config)#route-map CHANGE-NEXT-HOP permit 10 R2(config-route-map)#match ip address prefix-list R1-NETS R2(config-route-map)#set ip next-hop 12.0.0.1 R2(config-route-map)#end R2(config)#router bgp 65511 R2(config-router)#neighbor 1.1.1.1 route-map CHANGE-NEXT-HOP in R2(config-router)#do clear ip bgp * R2(config-router)#end Verificación Use esta sección para confirmar que su configuración funciona correctamente. La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show. Verifique que la fase 1 IKE y la fase 2 IKE hayan completado. El Line Protocol en la interfaz del túnel virtual (VTI) no cambia a encima de hasta que la fase 2 IKE haya completado: R1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 12.0.0.1 12.0.0.2 QM_IDLE 1002 ACTIVE 12.0.0.2 12.0.0.1 QM_IDLE 1001 ACTIVE R1#show crypto ipsec sa inc encaps decaps #pkts encaps: 88, #pkts encrypt: 88, #pkts digest: 88 #pkts decaps: 90, #pkts decrypt: 90, #pkts verify: 90 Observe que antes de la aplicación del route-map, el IP Address de Next Hop señala a la dirección IP del vecino BGP que es la interfaz del túnel: R1#show ip bgp BGP table version is 2, local router ID is 10.0.0.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter, x best-external, a additional-path, c RIB-compressed, Origin codes: i - IGP, e - EGP,? - incomplete RPKI validation codes: V valid, I invalid, N Not found Network Next Hop Metric LocPrf Weight Path *> 20.0.0.0/24 1.1.1.2 0 0 65511 i

Cuando el tráfico utiliza el túnel, el MTU se obliga al túnel MTU: R1#ping 20.0.0.2 size 1500 df-bit Type escape sequence to abort. Sending 5, 1500-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds: Packet sent with the DF bit set *May 6 08:42:07.311: ICMP: dst (20.0.0.2): frag. needed and DF set. *May 6 08:42:09.312: ICMP: dst (20.0.0.2): frag. needed and DF set. *May 6 08:42:11.316: ICMP: dst (20.0.0.2): frag. needed and DF set. *May 6 08:42:13.319: ICMP: dst (20.0.0.2): frag. needed and DF set. *May 6 08:42:15.320: ICMP: dst (20.0.0.2): frag. needed and DF set. Success rate is 0 percent (0/5) R1#show interfaces tunnel 12 inc transport line Tunnel12 is up, line protocol is up Tunnel protocol/transport IPSEC/IP Tunnel transport MTU 1406 bytes <--- R1#ping 20.0.0.2 size 1406 df-bit Type escape sequence to abort. Sending 5, 1406-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds: Packet sent with the DF bit set!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/6 ms Después de aplicar el route-map, la dirección IP se cambia a la interfaz física del r2, no el túnel: R1#show ip bgp BGP table version is 2, local router ID is 10.0.0.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter, x best-external, a additional-path, c RIB-compressed, Origin codes: i - IGP, e - EGP,? - incomplete RPKI validation codes: V valid, I invalid, N Not found Network Next Hop Metric LocPrf Weight Path *> 20.0.0.0/24 12.0.0.2 0 0 65511 i Transborde avión de los datos para utilizar el salto siguiente físico en comparación con el tamaño estándar MTU de los permisos del túnel: R1#ping 20.0.0.2 size 1500 df-bit Type escape sequence to abort. Sending 5, 1500-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds: Packet sent with the DF bit set!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms Troubleshooting Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback