Das Szenario der Konfiguration eines Site-to-Site-VPN zwischen zwei Cisco Adaptive Security Appliances wird häufig von Unternehmen verwendet, die an mehr als einem geografischen Standort dieselben Ressourcen, Dokumente, Server usw. Die Cisco-ASA wird häufig als VPN-Terminator verwendet und unterstützt eine Vielzahl von VPN-Typen und -Protokollen.
In diesem Tutorial konfigurieren wir ein Site-to-Site-VPN mit IKEv2. IKEv2 ist der neue Standard für Konfigurieren von IPSEC-VPNs. Obwohl das alte IKEv1 in realen Netzwerken weit verbreitet ist, ist es gut zu wissen, wie man IKEv2 konfiguriert, da dies normalerweise in Hochsicherheits-VPN-Netzwerken erforderlich ist (für Compliance-Zwecke).
Wie im folgenden Topologieszenario beschrieben, ein VPN-Tunnel wird erstellt zwischen ASA1 und ASA2, Verbindung der beiden Firmenstandorte HQ und Branch1. Hinter jeder Security Appliance befindet sich ein privates LAN-Netzwerk. Nach der Konfiguration des VPN-Tunnels werden die privaten LAN-Netzwerke in HQ und Branch1 (zwei geografisch verteilte Standorte) in der Lage sein, über das Internet zu kommunizieren und Ressourcen zu teilen.
Für dieses Konfigurations-Tutorial beziehen wir uns auf das folgende Diagramm.
Wir beginnen mit der Konfiguration der IP-Adressierung. Auf ASA1 und ASA2, Wir konfigurieren die inneren Schnittstellen als mit dem LAN verbunden und die äußeren Schnittstellen mit Blick auf den VPN-Tunnel. In realen Netzwerken befinden sich die externen Schnittstellen in einem anderen Subnetz und verwenden die öffentliche IP-Adressierung. Hier verwenden wir 10.10.10.0/24 für das externe Netzwerk, nur um die Dinge einfacher zu machen.
ASA1
ASA1(config)# Schnittstelle GigabitEthernet0
ASA1(config-if)# nameif drinnen
INFO: Sicherheitsstufe für „innen“ ist standardmäßig auf 100 eingestellt.
ASA1 (config-if) # IP-Adresse 192.168.1.2 255.255.255.0
ASA1(config-if)# kein Herunterfahren
ASA1(config-if)# Schnittstelle GigabitEthernet1
ASA1(config-if)# nameif außerhalb
INFO: Sicherheitsstufe für „außen“ standardmäßig auf 0 gesetzt.
ASA1(config-if)# IP-Adresse 10.10.10.1 255.255.255.0
ASA1(config-if)# kein Herunterfahren
ASA1# Schnittstellen-IP kurz anzeigen
Schnittstelle IP-Adresse OK? Methodenstatusprotokoll
GigabitEthernet0 192.168.1.2 JA manuell nach oben nach oben
GigabitEthernet1 10.10.10.1 JA Handbuch nach oben nach oben
ASA2
ASA2(config)# Schnittstelle GigabitEthernet0
ASA2(config-if)# nameif drinnen
INFO: Sicherheitsstufe für „innen“ ist standardmäßig auf 100 eingestellt.
ASA2 (config-if) # IP-Adresse 192.168.2.2 255.255.255.0
ASA2(config-if)# kein Herunterfahren
ASA2 (config-if) # Schnittstelle GigabitEthernet1
ASA2(config-if)# nameif außerhalb
INFO: Sicherheitsstufe für „außen“ standardmäßig auf 0 gesetzt.
ASA2 (config-if) # IP-Adresse 10.10.10.2 255.255.255.0
ASA2(config-if)# kein Herunterfahren
ASA2 # zeigt Schnittstellen IP kurz
Schnittstelle IP-Adresse OK? Methodenstatusprotokoll
GigabitEthernet0 192.168.2.2 JA manuell nach oben nach oben
GigabitEthernet1 10.10.10.2 JA Handbuch nach oben nach oben
Als Nächstes konfigurieren wir die ISAKMP-Richtlinien mit IKEv2. Wir werden zuerst den Befehl crypto ikev2 policy verwenden, um in den IKEv2-Richtlinienkonfigurationsmodus zu wechseln, in dem wir die IKEv2-Parameter konfigurieren.
In diesem Szenario haben wir 3DES-Verschlüsselung mit Diffie-Hellman-Gruppe 2, Hash-Funktion SHA-1 und einer Lebensdauer des Verschlüsselungsschlüssels von 43200 Sekunden (12 Stunden) verwendet.
ASA1
ASA1(config)# crypto ikev2 Richtlinie 1
ASA1(config-ikev2-policy)# Gruppe 2
ASA1(config-ikev2-policy)# Verschlüsselung 3des
ASA1(config-ikev2-policy)# prf sha
ASA1(config-ikev2-policy)# Lebensdauer Sekunden 43200
Schließlich, nachdem die Parameter eingestellt wurden, aktivieren wir IKEv2 auf der äußeren Schnittstelle
ASA1(config-ikev2-policy)# crypto ikev2 außen aktivieren
ASA2
ASA2(config)# crypto ikev2 Richtlinie 1
ASA2(config-ikev2-policy)# Gruppe 2
ASA2(config-ikev2-policy)# Verschlüsselung 3des
ASA2 (config-ikev2-policy) # prf sha
ASA2(config-ikev2-policy)# Lebensdauer Sekunden 43200
ASA2(config-ikev2-policy)# crypto ikev2 außen aktivieren
Als Nächstes konfigurieren wir den IKEv2-Vorschlag. Im Gegensatz zu IKEv1, wo wir einen Transformationssatz konfiguriert haben, der die Verschlüsselungs- und Authentifizierungsmethode kombiniert, können wir mit IKEv2 mehrere Verschlüsselungs- und Authentifizierungstypen sowie mehrere Integritätsalgorithmen für eine einzelne Richtlinie konfigurieren.
Für dieses Szenario werden wir zunächst in den ipsec-Vorschlagskonfigurationsmodus wechseln und dort die Parameter festlegen.
ASA1
ASA1(config)#crypto ipsec ikev2 ipsec-Vorschlag P1
ASA1(config-ipsec-proposal)#Protokoll esp Verschlüsselung 3des aes des
ASA1 (config-ipsec-proposal)#Protokoll esp-Integrität sha-1
ASA2
Dieselbe Konfiguration wird auf ASA2 angewendet.
ASA2(config)# crypto ipsec ikev2 ipsec-Vorschlag P1
ASA2(config-ipsec-proposal)# Protokoll esp Verschlüsselung 3des aes des
ASA2 (config-ipsec-proposal) # Protokoll esp Integrität sha-1
Als nächstes müssen wir den interessanten VPN-Verkehr mit einer Zugriffsliste identifizieren.
ASA1 (config) # Zugriffsliste ACL1 erweiterte Genehmigung IP 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
Die Spiegel-ACL sollte auf ASA2 konfiguriert werden.
ASA2(config)# Zugriffsliste ACL2 Extended Permission IP 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
Der nächste Schritt besteht darin, eine Tunnelgruppe zu definieren. Es gibt zwei Standard-Tunnelgruppen in der ASA: DefaultRAGroup ist die Standard-IPsec-Fernzugriffs-Tunnelgruppe und DefaultL2Lgroup ist die Standard-IPsec-LAN-zu-LAN-Tunnelgruppe.
Um eine LAN-zu-LAN-Verbindung aufzubauen, müssen zwei Attribute gesetzt werden:
Verbindungstyp – IPsec LAN-zu-LAN.
Authentifizierungsmethode für die IP – in diesem Szenario verwenden wir den vorinstallierten Schlüssel für IKEv2.
Der Name des Tunnels ist die IP-Adresse des Peers. Der vorinstallierte IKEv2-Schlüssel ist als 32fjsk0392fg konfiguriert.
HINWEIS: Für ikev2 können Sie asymmetrische vorinstallierte Schlüssel haben. Sie können einen anderen lokalen und einen anderen Remote Pre-Shared Key konfigurieren. Wenn Sie eine ähnliche Konfiguration wie bei der alten ikev1-Technologie haben möchten, müssen Sie die gleichen lokalen und Remote-Pre-Shared-Keys haben (wie in unserem Beispiel unten).
ASA1
ASA1(config)# Tunnelgruppe 10.10.10.2 geben Sie ipsec-l2l ein
ASA1(config)# Tunnelgruppe 10.10.10.2 IPsec-Attribute
ASA1(config-tunnel-ipsec)# ikev2 Local-Authentifizierung Pre-Shared-Key 32fjsk0392fg
ASA1(config-tunnel-ipsec)# ikev2 remote-authentifizierung pre-shared-key 32fjsk0392fg
ASA2
ASA2(config)# Tunnelgruppe 10.10.10.1 geben Sie ipsec-l2l ein
ASA2(config)# Tunnelgruppe 10.10.10.1 IPsec-Attribute
ASA2(config-tunnel-ipsec)# ikev2 Local-Authentifizierung Pre-Shared-Key 32fjsk0392fg
ASA2(config-tunnel-ipsec)# ikev2 remote-authentifizierung pre-shared-key 32fjsk0392fg
Schließlich erstellen wir eine Kryptokarte, die die Zugriffsliste, den Peer und den IKEv2-Vorschlag verknüpft. Wir werden diese Kryptokarte auf die externe ASA-Schnittstelle anwenden.
ASA1
ASA1(config)# Krypto-Map cmap 1 Übereinstimmungsadresse ACL1
ASA1(config)# crypto map cmap 1 set peer 10.10.10.2
ASA1(config)# crypto map cmap 1 set ikev2 ipsec-proposal P1
ASA1 (config) # Krypto-Map-Cmap-Schnittstelle außerhalb
ASA2
Eine ähnliche Konfiguration wird auf ASA2 angewendet:
ASA2(config)# Krypto-Map cmap 1 Übereinstimmungsadresse ACL2
ASA2(config)# crypto map cmap 1 set peer 10.10.10.1
ASA2(config)# crypto map cmap 1 set ikev2 ipsec-proposal P1
ASA2 (config) # Krypto-Map-Cmap-Schnittstelle außerhalb
-Referenz von https://www.tech21century.com
Weitere verwandte Networking-Tipps:
Site-to-Site IPSEC VPN zwischen zwei Cisco ASA 5520
Statisches NAT auf einer Cisco ASA Security Appliance konfigurieren
EIGRP auf einer Cisco ASA-Firewall-Konfiguration
Wie richte ich eine Cisco ASA 5505 Firewall mit einem Wireless Router ein?
Wie konfiguriere ich die Cisco ASA 5505 Firewall?