Servicios web del Amazonas de la conexión del IPSec VTI de la configuración ASA

Documentos relacionados
Acceso ASA al ASDM de una interfaz interior sobre un ejemplo de la configuración del túnel VPN

Sitio dinámico para localizar el túnel IKEv2 VPN entre el ejemplo de configuración dos ASA

Configuración que redistribuye las rutas del Internal BGP en el IGP

Configure IPSec sitio a sitio un túnel IKEv1 entre un ASA y un router del Cisco IOS

FlexVPN habló en el diseño redundante del concentrador con un ejemplo de configuración dual del acercamiento de la nube

Configuración de la característica Local-AS BGP

Configure a una sesión ebgp segura con un IPSec VTI

PIX/ASA 7.x para soportar el IPSec sobre el TCP en cualquier ejemplo de la configuración del puerto

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

Envío a agujeros negros del IPv6 de la configuración con el null0 de la interfaz

Router y cliente VPN para el Internet pública en un ejemplo de configuración del palillo

Migración del EzVPN de la herencia al ejemplo de configuración aumentado del EzVPN

Implementación BGP usando de 32 bits COMO ejemplo de la configuración de número

Sitio dinámico para localizar el túnel IKEv2 VPN entre un ASA y un ejemplo de configuración del router IOS

Introducción a la redistribución de las rutas OSPF en el BGP

Ajuste la distancia administrativa para que haya selección de Route en el ejemplo de configuración del Routers del Cisco IOS

Tema: Implementación de redes privadas virtuales VPN de sitio a sitio.

Ejemplo de configuración de ibgp y ebgp con o sin dirección de loopback

Configuración de muestra usando el comando ip nat outside source list

Alternativas de ruteo IP utilizando software libre. Carlos A. Vicente Altamirano

Entienda la importancia del atributo path de la ponderación BGP en los escenarios de falla de la red

Configuración de GRE sobre IPSec entre un router del IOS de Cisco y un concentrador VPN 5000 usando RIP y CVC.

Balanceo de carga IOS NAT para dos Conexiones ISP

Usando los valores de la comunidad BGP para controlar el política de ruteo en la red de proveedor ascendente

Universidad Nacional Autónoma de México

Rutas del host local instaladas en la tabla de ruteo en el Cisco IOS y el Cisco IOS XR

INTRODUCCION Y ENUNCIADO

Conmutación por falla ISP con las rutas predeterminado usando el seguimiento IP SLA

IPSec ASA y debugs IKE (modo principal IKEv1) que resuelven problemas la Nota Técnica

Configurando y verificando la función condicional del anuncio BGP

Configuración y verificación de las ACL estándar

Esto documenta describe cómo configurar las rutas predeterminado en el Enhanced Interior Gateway Routing Protocol (EIGRP).

Configurar el router a router, el Pre-shared del IPSec, sobrecarga NAT entre un soldado y una red pública

Ejemplo de configuración del BGP Prefix-Based Outbound Route Filtering del IPv6

Introduccion a BGP 1

Balanceo de carga IOS NAT con el Edge Routing optimizado para dos conexiones de Internet

Configuración de Gateway de último recurso mediante comandos IP

IPSec entre dos routeres IOS con el ejemplo de configuración de las redes privadas superpuestas

SDM: IPSec sitio a sitio VPN en medio ASA/PIX y un ejemplo de configuración del router IOS

Solución de problemas cuando las rutas del BGP no están anunciadas

PIX: Acceda el PDM de una interfaz exterior sobre un túnel VPN

Tutorial Introducción a las Tecnologías Fundamentales de Internet. Introducción a BGP. LACNIC 25 2 de Mayo 2016

Agujero negro accionado telecontrol del IPV6 de la configuración con el IPv6 BGP

Equilibrio de carga VPN en el CS en el ejemplo de configuración del modo dirigido

Contenido. Introducción. Prerrequisitos. Requisitos. Componentes Utilizados

Preferir una ruta MPLS VPN cuando hay ruta alterna por un IGP.

Especifique un IP Address de Next Hop para las Static rutas

ASA/PIX: Servidor VPN remoto con el NAT entrante para el tráfico del cliente VPN con el CLI y el ejemplo de la Configuración de ASDM

Packet Tracer: Configuración de GRE por IPsec (optativo)

Distribución de la Carga con BGP en Entornos con una Sola Conexión y con Varias Conexiones: Configuraciones de Ejemplo

Packet Tracer: Configuración de VPN (optativo)

VPN entre los productos Sonicwall y el ejemplo de la configuración del aparato del Cisco Security

Configuración de una VPN MPLS básica

Cómo Lograr un Ruteo Óptimo y Reducir el Consumo de Memoria de BGP

El peering de la ruta L4-L7 con transita el recorrido de la configuración de estructura

1. En la red ISIS hay el tipo 3 de Routers, del router Level1 (L1), de router del nivel 2 (L2) y del router Level1Level2 (L1L2).

Mensaje de error del Syslog el "%CRYPTO-4- RECVD_PKT_MAC_ERR:" con la pérdida del ping sobre el troubleshooting del túnel IPsec

Distribución de la Carga con BGP en Entornos con una Sola Conexión y con Varias Conexiones: Configuraciones de Ejemplo

Configurar el IPSec dinámica a estática de router a router con NAT

Configuración de IPSec con EIGRP e IPX usando tunelización GRE

Configuración del Protocolo de tunelización de la capa 2 (L2TP) por IPSec.

Redistribución de protocolos de enrutamiento

BGP Border Gateway Protocol. Mariela Rocha

Práctica de laboratorio Creación de un diagrama de red desde la tablas de enrutamiento

IPSec entre el PIX y el Cliente Cisco VPN que usa el ejemplo de configuración de los Certificados de Smartcard

Discordancía del Next-Hop y nota técnica inactiva de las rutas BGP

L2TPv3 sobre la guía de configuración de FlexVPN

IPSEC de router a router (claves RSA) en el túnel GRE con el ejemplo de la configuración de RIP

Contenido. Introducción. Antecedentes. 4-byte COMO filtro del número

En este ejemplo, dos Puentes Cisco Aironet de la serie 350 establece el WEP; el dos Routers configura un túnel IPsec.

Tema: Implementación de redes privadas virtuales VPN de punto a punto.

Configuración de IPSec sobre ADSL en un Cisco 2600/3600 con módulos de encripción del hardware y ADSL-WIC.

Aplicación IOS de la característica del ibgp PE- CE

ANÁLISIS COMPARATIVO E TECNOLOGÍA MPLS

ASA/PIX con el ejemplo de la configuración de RIP

Configure la característica de la preferencia local del IPv6 BGP

CCNA1 FUNDAMENTOS DE REDES Taller Conectar 3 Routers con RIP por Consola DOCENTE: Oscar Mario Gil Ríos

Configuraciones iniciales para OSPF sobre un link punto a punto

Bloquee una o más redes de un peer BGP

Práctica de laboratorio Prevención de actualizaciones de enrutamiento por una interfaz

Implemente las Static rutas para el ejemplo de configuración del IPv6

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

Características de contabilidad de la interfaz de salida de las estadísticas de la política de BGP y de las estadísticas de la política de BGP

Configurar el IPSec entre dos Routers y un Cliente Cisco VPN 4.x

La Redundancia de la configuración ISP en un DMVPN habló con la característica de VRF-Lite

Túnel ipsec de LAN a LAN entre un Cisco VPN 3000 Concentrator y un router con el ejemplo de configuración AES

El mecanismo de control de tráfico de la configuración PfRv2 con la Static ruta y la directiva basó la encaminamiento

Configuración de una red privada a privada con túnel de router IPsec con NAT y estático

PIX 6.x: Ejemplo de configuración del Túnel VPN PIX a PIX sencillo

Configurar la encaminamiento redundante en el concentrador VPN 3000

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Migración de FlexVPN: Movimiento duro del DMVPN a FlexVPN en un diverso concentrador

Cómo los Routers BGP Utilizan el Discriminador de Salida Múltiple para la Selección de la Mejor Trayectoria

La mayoría de las soluciones comunes del troubleshooting DMVPN

Transcripción:

Servicios web del Amazonas de la conexión del IPSec VTI de la configuración ASA Contenido Introducción Configuración AWS Configure el ASA Verifique y optimice Introducción Este documento describe cómo configurar una conexión virtual de la interfaz del túnel del IPSec adaptante del dispositivo de seguridad (ASA) (VTI). En ASA 9.7.1, se ha introducido el IPSec VTI. Se limita al IPv4 del svti sobre el IPv4 usando IKEv1 en esta versión. Esto es un ejemplo de configuración para que el ASA conecte con los servicios web del Amazonas (AWS). Nota: VTI se soporta actualmente solamente en el solo-contexto, modo ruteado. Configuración AWS Paso 1. Inicie sesión a la consola AWS y navegue al panel de VPC. Navegue al panel de VPC

Paso 2. Confirme que una nube privada virtual (VPC) está creada ya. Por abandono, VPC con 172.31.0.0/16 se crea. Aquí es donde las máquinas virtuales (VM) serán asociadas. Paso 3. Cree un gateway del cliente. Éste es un punto final que represente el ASA. Campo Etiqueta de nombre Ruteo DIRECCIÓN IP BGP ASN Valor Esto es apenas un nombre legible para reconocer el ASA. Dinámico - Esto significa que el Border Gateway Protocol (BGP) será utilizado para intercambiar la información de ruteo. Éste es el IP Address público de la interfaz exterior ASA. El número de Sistema autónomo (AS) del proceso BGP que se ejecuta en el ASA. Uso 65000 a menos que su organización tenga un público COMO número.

Paso 4. Cree un gateway privado virtual (VPG). Éste es un router simulado que se recibe con AWS que termine el túnel IPsec. Campo Valor Etiqueta de nombre Un nombre legible para reconocer el VPG.

Paso 5. Asocie el VPG a VPC. Elija el gateway privado virtual, haga clic la fijación a VPC, elija VPC de la lista desplegable de VPC, y haga clic sí, asocíelo.

Paso 6. Cree una conexión VPN.

Campo Valor Etiqueta de nombre Una etiqueta legible de la conexión VPN entre AWS y el ASA. Gateway privado virtual Elija el VPG apenas creado. Gateway del cliente Haga clic el botón de radio existente y elija el gateway del ASA. Rutear las opciones Haga clic (requiere el BGP) el botón de radio dinámico.

Paso 7. Configure la tabla de ruta para propagar las rutas aprendidas del VPG (vía el BGP) en VPC.

Paso 8. Descargue la configuración sugerida. Elija los valores abajo para generar una configuración que sea una configuración de estilo VTI. Campo Valor Vendedor Cisco Systems, Inc. Plataforma Routeres de la serie ISR Software IOS 12.4+

Configure el ASA Una vez que usted descarga la configuración hay una cierta conversión necesaria. Paso 1. política isakmp crypto a la directiva crypto ikev1. Solamente una directiva es necesaria puesto que la directiva 200 y la directiva 201 son idénticas. Configuración sugerida política isakmp crypto 200 aes 128 del cifrado authentication pre-share group2 curso de la vida 28800 sha del hash política isakmp crypto 201 aes 128 del cifrado authentication pre-share group2 A permiso crypto ikev1 afuera ikev1 directiva crypto 10 authentication pre-share aes del cifrado sha del hash group2 curso de la vida 28800

curso de la vida 28800 sha del hash Paso 2. transforme el conjunto crypto del IPSec al transforme el conjunto crypto del IPSec ikev1. Solamente un transforme el conjunto es necesario puesto que los dos transformes el conjunto son idénticos. Configuración sugerida esp-sha-hmac crypto del ESP-aes 128 del transforme el conjunto ipsec-prop-vpn-7c79606e-0 del IPSec túnel del modo esp-sha-hmac crypto del ESP-aes 128 del transforme el conjunto ipsec-prop-vpn-7c79606e-1 del IPSec túnel del modo A esp-sha-hmac crypto del ESPdel transforme el conjunto A del IPSec ikev1 Paso 3. perfil de ipsec crypto al perfil de ipsec crypto. Solamente un perfil es necesario puesto que los dos perfiles son idénticos. Configuración sugerida perfil de ipsec crypto ipsec-vpn-7c79606e-0 fije el group2 de los pfs fije los segundos 3600 del curso de la vida de la asociación de seguridad fije el transforme el conjunto ipsec-propvpn-7c79606e-0 salga perfil de ipsec crypto ipsec-vpn-7c79606e-1 fije el group2 de los pfs fije los segundos 3600 del curso de la vida de la asociación de seguridad fije el transforme el conjunto ipsec-propvpn-7c79606e-1 salga A perfil de ipsec crypto AWS fije ikev1 el transforme el conjunto AWS fije el group2 de los pfs fije los segundos 3600 del curso la vida de la asociación de seguridad Paso 4. el llavero crypto y el perfil crypto del isakmp necesitan ser convertidos a un grupo de túnel uno para cada túnel. Configuración sugerida llavero crypto keyring-vpn-7c79606e-0 dirección local 64.100.251.37 clave QZhh90Bjf de 52.34.205.227 del direccionamiento de la clave previamente compartida A tipo ipsec-l2l de 52.34.205.227 del gr de túnel IPSec-atributos de 52.34.205.227 del gr

! perfil crypto isakmp-vpn-7c79606e-0 del isakmp dirección local 64.100.251.37 direccionamiento 52.34.205.227 de la identidad de la coincidencia llavero keyring-vpn-7c79606e-0! llavero crypto keyring-vpn-7c79606e-1 dirección local 64.100.251.37 clave JjxCWy4Ae de 52.37.194.219 del direccionamiento de la clave previamente compartida! perfil crypto isakmp-vpn-7c79606e-1 del isakmp dirección local 64.100.251.37 direccionamiento 52.37.194.219 de la identidad de la coincidencia llavero keyring-vpn-7c79606e-1 de túnel ikev1 clave previame compartida QZhh90Bjf recomprobación 10 d umbral 10 del keepal del isakmp tipo ipsec-l2l de 52.37.194.219 del gr de túnel IPSec-atributos de 52.37.194.219 del gr de túnel ikev1 clave previame compartida JjxCWy4Ae recomprobación 10 d umbral 10 del keepal del isakmp Paso 5. La configuración del túnel es casi idéntica. El ASA no soporta el IP tcp ajusta-mss o el comando del virtual-nuevo ensamble del IP. Configuración sugerida interfaz Tunnel1 dirección IP 169.254.13.190 255.255.255.252 virtual-nuevo ensamble del IP origen de túnel 64.100.251.37 destino del túnel 52.34.205.227 IPSec ipv4 del modo túnel perfil de ipsec ipsec-vpn-7c79606e-0 de la protección del túnel el IP tcp ajusta-mss 1387 ningún apague salga! interconecte Tunnel2 dirección IP 169.254.12.86 255.255.255.252 virtual-nuevo ensamble del IP origen de túnel 64.100.251.37 destino del túnel 52.37.194.219 IPSec ipv4 del modo túnel perfil de ipsec ipsec-vpn-7c79606e-1 de la protección del túnel el IP tcp ajusta-mss 1387 ningún apague salga A interconecte Tunnel1 nameif AWS1 dirección IP 169.254.13.190 255.255.255.252 interfaz del origen de túnel afuera destino del túnel 52.34.205.22 IPSec ipv4 del modo túnel perfil de ipsec AWS de la protección del túnel! interfaz Tunnel2 nameif AWS2 dirección IP 169.254.12.86 255.255.255.252 interfaz del origen de túnel afuera destino del túnel 52.37.194.21 IPSec ipv4 del modo túnel perfil de ipsec AWS de la protección del túnel Paso 6.

En este ejemplo, el ASA hará publicidad solamente encima de la subred interior (192.168.1.0/24) y recibirá la subred dentro de AWS (172.31.0.0/16). Configuración sugerida A BGP 65000 del router vecino 169.254.13.189 telecontrol-como 7224 el vecino 169.254.13.189 activa temporizadores de 169.254.13.189 del vecino 10 30 30 unicast de la direccionamiento-familia ipv4 vecino 169.254.13.189 telecontrol-como 7224 temporizadores de 169.254.13.189 del vecino 10 30 30 el vecino BGP 65000 del router 169.254.13.189 valor por log-neighbor-changes BGP defecto-origina BGP 10 de los temporizadores el vecino 30 0 169.254.13.189 activa unicast de la soft-reconfiguration direccionamiento-familia ipv4 inbound de vecino 169.254.12.85 169.254.13.189 del telecontrol-como 7224 vecino el vecino 169.254.12.85 activa red 0.0.0.0 vecino 169.254.13.189 telecontrol-como 7224 el vecino 169.254.13.189 BGP 65000 del router activa vecino 169.254.12.85 red 192.168.1.0 telecontrol-como 7224 ningún automóvil summary el vecino 169.254.12.85 ninguna sincronización activa -direccionamientofamilia temporizadores de 169.254.12.85 del vecino 10 30 30 unicast de la direccionamiento-familia ipv4 vecino 169.254.12.85 telecontrol-como 7224 temporizadores de 169.254.12.85 del vecino 10 30 30 el vecino 169.254.12.85 valor por defectoorigina el vecino 169.254.12.85 activa

soft-reconfiguration inbound de 169.254.12.85 del vecino red 0.0.0.0 Verifique y optimice Paso 1. Confirme el ASA establece las asociaciones de seguridad IKEv1 con los dos puntos finales en AWS. El estado del SA debe estar MM_ACTIVE. ASA# show crypto ikev1 sa IKEv1 SAs: Active SA: 2 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 2 1 IKE Peer: 52.37.194.219 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE 2 IKE Peer: 52.34.205.227 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE ASA# Paso 2. Confirme el SA de IPSec están instalados en el ASA. Debe haber un entrante y SPI saliente instalado para cada par y allí debe ser el cierto incrementar de los contadores del encaps y de los decaps. ASA# show crypto ipsec sa interface: AWS1 Crypto map tag: vti-crypto-map-5-0-1, seq num: 65280, local addr: 64.100.251.37 access-list vti-def-acl-0 extended permit ip any any local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer: 52.34.205.227 #pkts encaps: 2234, #pkts encrypt: 2234, #pkts digest: 2234 #pkts decaps: 1234, #pkts decrypt: 1234, #pkts verify: 1234 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 2234, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 64.100.251.37/4500, remote crypto endpt.: 52.34.205.227/4500 path mtu 1500, ipsec overhead 82(52), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df

ICMP error validation: disabled, TFC packets: disabled current outbound spi: 874FCCF3 current inbound spi : 5E653906 inbound esp sas: spi: 0x5E653906 (1583692038) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 73728, crypto-map: vti-crypto-map-5-0-1 sa timing: remaining key lifetime (kb/sec): (4373986/2384) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF outbound esp sas: spi: 0x874FCCF3 (2270153971) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 73728, crypto-map: vti-crypto-map-5-0-1 sa timing: remaining key lifetime (kb/sec): (4373986/2384) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 interface: AWS2 Crypto map tag: vti-crypto-map-6-0-2, seq num: 65280, local addr: 64.100.251.37 access-list vti-def-acl-0 extended permit ip any any local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer: 52.37.194.219 #pkts encaps: 1230, #pkts encrypt: 1230, #pkts digest: 1230 #pkts decaps: 1230, #pkts decrypt: 1230, #pkts verify: 1230 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 1230, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 64.100.251.37/4500, remote crypto endpt.: 52.37.194.219/4500 path mtu 1500, ipsec overhead 82(52), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: DC5E3CA8 current inbound spi : CB6647F6 inbound esp sas: spi: 0xCB6647F6 (3412477942) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 77824, crypto-map: vti-crypto-map-6-0-2 sa timing: remaining key lifetime (kb/sec): (4373971/1044) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF outbound esp sas: spi: 0xDC5E3CA8 (3697163432) transform: esp-aes esp-sha-hmac no compression

Paso 3. in use settings ={L2L, Tunnel, NAT-T-Encaps, PFS Group 2, IKEv1, VTI, } slot: 0, conn_id: 77824, crypto-map: vti-crypto-map-6-0-2 sa timing: remaining key lifetime (kb/sec): (4373971/1044) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 En el ASA, confirme que las conexiones BGP están establecidas con AWS. El contador del estado/de PfxRcd debe ser 1 mientras que AWS hace publicidad de la subred 172.31.0.0/16 hacia el ASA. ASA# show bgp summary BGP router identifier 192.168.1.55, local AS number 65000 BGP table version is 5, main routing table version 5 2 network entries using 400 bytes of memory 3 path entries using 240 bytes of memory 3/2 BGP path/bestpath attribute entries using 624 bytes of memory 1 BGP AS-PATH entries using 24 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 1288 total bytes of memory BGP activity 3/1 prefixes, 4/1 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 169.254.12.85 4 7224 1332 1161 5 0 0 03:41:31 1 169.254.13.189 4 7224 1335 1164 5 0 0 03:42:02 1 Paso 4. En el ASA, verifique que la ruta a 172.31.0.0/16 se haya aprendido vía las interfaces del túnel. Esta muestra que hay dos trayectorias a 172.31.0.0 del par 169.254.12.85 y 169.254.13.189. La trayectoria hacia 169.254.13.189 hacia fuera hace un túnel 2 (AWS2) se prefiere debido al métrico más bajo. ASA# show bgp BGP table version is 5, local router ID is 192.168.1.55 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path * 172.31.0.0 169.254.12.85 200 0 7224 i *> 169.254.13.189 100 0 7224 i *> 192.168.1.0 0.0.0.0 0 32768 i ASA# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is 64.100.251.33 to network 0.0.0.0 S* 0.0.0.0 0.0.0.0 [1/0] via 64.100.251.33, outside C 64.100.251.32 255.255.255.224 is directly connected, outside L 64.100.251.37 255.255.255.255 is directly connected, outside

C 169.254.12.84 255.255.255.252 is directly connected, AWS2 L 169.254.12.86 255.255.255.255 is directly connected, AWS2 C 169.254.13.188 255.255.255.252 is directly connected, AWS1 L 169.254.13.190 255.255.255.255 is directly connected, AWS1 B 172.31.0.0 255.255.0.0 [20/100] via 169.254.13.189, 03:52:55 C 192.168.1.0 255.255.255.0 is directly connected, inside L 192.168.1.55 255.255.255.255 is directly connected, inside Paso 5. Para asegurar ese tráfico que vuelva de AWS sigue una trayectoria simétrica, configura un route-map para hacer juego el trayecto preferido y para ajustar el BGP para alterar las rutas anunciadas. ASA# show bgp BGP table version is 5, local router ID is 192.168.1.55 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path * 172.31.0.0 169.254.12.85 200 0 7224 i *> 169.254.13.189 100 0 7224 i *> 192.168.1.0 0.0.0.0 0 32768 i ASA# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is 64.100.251.33 to network 0.0.0.0 S* 0.0.0.0 0.0.0.0 [1/0] via 64.100.251.33, outside C 64.100.251.32 255.255.255.224 is directly connected, outside L 64.100.251.37 255.255.255.255 is directly connected, outside C 169.254.12.84 255.255.255.252 is directly connected, AWS2 L 169.254.12.86 255.255.255.255 is directly connected, AWS2 C 169.254.13.188 255.255.255.252 is directly connected, AWS1 L 169.254.13.190 255.255.255.255 is directly connected, AWS1 B 172.31.0.0 255.255.0.0 [20/100] via 169.254.13.189, 03:52:55 C 192.168.1.0 255.255.255.0 is directly connected, inside L 192.168.1.55 255.255.255.255 is directly connected, inside Paso 6. En el ASA, confirme que 192.168.1.0/24 está hecho publicidad a AWS. ASA# show bgp neighbors 169.254.12.85 advertised-routes BGP table version is 5, local router ID is 192.168.1.55 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete

Network Next Hop Metric LocPrf Weight Path *> 172.31.0.0 169.254.13.189 100 0 7224 i *> 192.168.1.0 0.0.0.0 0 32768 i Total number of prefixes 2 ASA# show bgp neighbors 169.254.13.189 advertised-routes BGP table version is 5, local router ID is 192.168.1.55 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *> 192.168.1.0 0.0.0.0 0 32768 i Total number of prefixes 1 Paso 7. En AWS, confirme que los túneles para la conexión VPN son ASCENDENTES y las rutas son doctas del par. También marque que la ruta se ha propagado en la tabla de ruteo.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback