Sdílet prostřednictvím

Ukázková konfigurace: Zařízení Cisco ASA (IKEv2/bez protokolu BGP)

Tento článek obsahuje ukázkové konfigurace pro připojení zařízení Cisco Adaptive Security Appliance (ASA) k branám Azure VPN Gateway. Příklad platí pro zařízení Cisco ASA, která používají protokol IKEv2 bez protokolu BGP (Border Gateway Protocol).

Zařízení na první pohled

  • Dodavatel zařízení: Cisco
  • Model zařízení: ASA
  • Cílová verze: 8.4 a novější
  • Testovaný model: ASA 5505
  • Testovaná verze: 9.2
  • Verze protokolu IKE: IKEv2
  • BGP: Ne
  • Typ brány Azure VPN: Brána VPN založená na směrování

Poznámka

Ukázková konfigurace připojí zařízení Cisco ASA k bráně VPN založené na trasách Azure. Připojení používá vlastní zásady IPsec/IKE s možností UsePolicyBasedTrafficSelectors , jak je popsáno v tomto článku.

Ukázka vyžaduje, aby zařízení ASA používala zásadu IKEv2 s konfiguracemi založenými na seznamu přístupu, nikoli na základě VTI. Projděte si specifikace dodavatele zařízení VPN a ověřte, že se na místních zařízeních VPN podporují zásady IKEv2.

Požadavky na zařízení VPN

Brány Azure VPN používají standardní sady protokolů IPsec/IKE k vytvoření tunelů VPN typu Site-to-Site (S2S). Podrobné parametry protokolu IPsec/IKE a výchozí kryptografické algoritmy pro brány Azure VPN najdete v tématu o zařízeních VPN.

Poznámka

Volitelně můžete zadat přesnou kombinaci kryptografických algoritmů a síly klíčů pro konkrétní připojení, jak je popsáno v tématu O kryptografických požadavcích. Pokud zadáte přesnou kombinaci algoritmů a silných hodnot klíčů, nezapomeňte na svých zařízeních VPN použít odpovídající specifikace.

Jeden tunel VPN

Tato konfigurace se skládá z jednoho tunelu VPN S2S mezi bránou VPN Azure a místním zařízením VPN. Volitelně můžete nakonfigurovat protokol BGP napříč tunelem VPN.

Jeden tunel VPN S2S

Podrobné pokyny k sestavení konfigurací Azure najdete v tématu Nastavení tunelu s jednou sítí VPN.

Informace o virtuální síti a bráně VPN

Tato část obsahuje seznam parametrů pro ukázku.

Parametr Hodnota
Předpony adres virtuální sítě 10.11.0.0/16
10.12.0.0/16
IP adresa brány Azure VPN Azure_Gateway_Public_IP
Předpony místních adres 10.51.0.0/16
10.52.0.0/16
IP adresa místního zařízení VPN OnPrem_Device_Public_IP
* AsN protokolu BGP virtuální sítě 65010
* IP adresa partnerského uzlu Azure BGP 10.12.255.30
* Místní BGP ASN 65050
* Místní IP adresa partnerského vztahu protokolu BGP 10.52.255.254

* Volitelný parametr pouze pro protokol BGP.

Zásady a parametry protokolu IPsec/IKE

V následující tabulce jsou uvedeny algoritmy IPsec/IKE a parametry, které se v ukázce používají. Projděte si specifikace zařízení VPN a ověřte algoritmy podporované pro vaše modely zařízení VPN a verze firmwaru.

IPsec/IKEv2 Hodnota
Šifrování protokolem IKEv2 AES256
Integrita protokolu IKEv2 SHA384
Skupina DH DHGroup24
* Šifrování IPsec AES256
* Integrita protokolu IPsec SHA1
Skupina PFS PFS24
Doba života přidružení zabezpečení v rychlém režimu 7 200 sekund
Selektor provozu UsePolicyBasedTrafficSelectors $True
Předsdílený klíč PreSharedKey

* Na některých zařízeních musí mít integrita protokolu IPsec hodnotu null, pokud je šifrovací algoritmus IPsec AES-GCM.

Podpora zařízení ASA

  • Podpora IKEv2 vyžaduje ASA verze 8.4 a novější.

  • Podpora skupiny DH a skupiny PFS nad rámec skupiny 5 vyžaduje ASA verze 9.x.

  • Podpora šifrování IPsec pomocí AES-GCM a integrity protokolu IPsec pomocí SHA-256, SHA-384 nebo SHA-512 vyžaduje ASA verze 9.x. Tento požadavek na podporu platí pro novější zařízení ASA. V době publikování modely ASA 5505, 5510, 5520, 5540, 5550 a 5580 tyto algoritmy nepodporují. Projděte si specifikace zařízení VPN a ověřte algoritmy podporované pro vaše modely zařízení VPN a verze firmwaru.

Ukázková konfigurace zařízení

Skript poskytuje ukázku založenou na konfiguraci a parametrech popsaných v předchozích částech. Konfigurace tunelu VPN S2S se skládá z následujících částí:

  1. Rozhraní a trasy
  2. Přístupové seznamy
  3. Zásady a parametry protokolu IKE (fáze 1 nebo hlavní režim)
  4. Zásady a parametry protokolu IPsec (fáze 2 nebo rychlý režim)
  5. Další parametry, jako je upínání TCP MSS

Důležité

Před použitím ukázkového skriptu proveďte následující kroky. Zástupné hodnoty ve skriptu nahraďte nastavením zařízení pro vaši konfiguraci.

  • Zadejte konfiguraci rozhraní pro vnitřní i vnější rozhraní.
  • Identifikujte trasy pro vaše vnitřní/privátní a vnější/veřejné sítě.
  • Ujistěte se, že jsou všechny názvy a čísla zásad na vašem zařízení jedinečné.
  • Ujistěte se, že vaše zařízení podporuje kryptografické algoritmy.
  • Nahraďte následující zástupné hodnoty skutečnými hodnotami pro vaši konfiguraci:
    • Název vnějšího rozhraní: mimo
    • Azure_Gateway_Public_IP
    • OnPrem_Device_Public_IP
    • IKE: Pre_Shared_Key
    • Názvy virtuálních sítí a bran místní sítě: VNetName a LNGName
    • Předpony virtuální sítě a místních síťových adres
    • Správné síťové masky

Ukázkový skript

! Sample ASA configuration for connecting to Azure VPN gateway
!
! Tested hardware: ASA 5505
! Tested version:  ASA version 9.2(4)
!
! Replace the following place holders with your actual values:
!   - Interface names - default are "outside" and "inside"
!   - <Azure_Gateway_Public_IP>
!   - <OnPrem_Device_Public_IP>
!   - <Pre_Shared_Key>
!   - <VNetName>*
!   - <LNGName>* ==> LocalNetworkGateway - the Azure resource that represents the
!     on-premises network, specifies network prefixes, device public IP, BGP info, etc.
!   - <PrivateIPAddress> ==> Replace it with a private IP address if applicable
!   - <Netmask> ==> Replace it with appropriate netmasks
!   - <Nexthop> ==> Replace it with the actual nexthop IP address
!
! (*) Must be unique names in the device configuration
!
! ==> Interface & route configurations
!
!     > <OnPrem_Device_Public_IP> address on the outside interface or vlan
!     > <PrivateIPAddress> on the inside interface or vlan; e.g., 10.51.0.1/24
!     > Route to connect to <Azure_Gateway_Public_IP> address
!
!     > Example:
!
!       interface Ethernet0/0
!        switchport access vlan 2
!       exit
!
!       interface vlan 1
!        nameif inside
!        security-level 100
!        ip address <PrivateIPAddress> <Netmask>
!       exit
!
!       interface vlan 2
!        nameif outside
!        security-level 0
!        ip address <OnPrem_Device_Public_IP> <Netmask>
!       exit
!
!       route outside 0.0.0.0 0.0.0.0 <NextHop IP> 1
!
! ==> Access lists
!
!     > Most firewall devices deny all traffic by default. Create access lists to
!       (1) Allow S2S VPN tunnels between the ASA and the Azure gateway public IP address
!       (2) Construct traffic selectors as part of IPsec policy or proposal
!
access-list outside_access_in extended permit ip host <Azure_Gateway_Public_IP> host <OnPrem_Device_Public_IP>
!
!     > Object group that consists of all VNet prefixes (e.g., 10.11.0.0/16 &
!       10.12.0.0/16)
!
object-group network Azure-<VNetName>
 description Azure virtual network <VNetName> prefixes
 network-object 10.11.0.0 255.255.0.0
 network-object 10.12.0.0 255.255.0.0
exit
!
!     > Object group that corresponding to the <LNGName> prefixes.
!       E.g., 10.51.0.0/16 and 10.52.0.0/16. Note that LNG = "local network gateway".
!       In Azure network resource, a local network gateway defines the on-premises
!       network properties (address prefixes, VPN device IP, BGP ASN, etc.)
!
object-group network <LNGName>
 description On-Premises network <LNGName> prefixes
 network-object 10.51.0.0 255.255.0.0
 network-object 10.52.0.0 255.255.0.0
exit
!
!     > Specify the access-list between the Azure VNet and your on-premises network.
!       This access list defines the IPsec SA traffic selectors.
!
access-list Azure-<VNetName>-acl extended permit ip object-group <LNGName> object-group Azure-<VNetName>
!
!     > No NAT required between the on-premises network and Azure VNet
!
nat (inside,outside) source static <LNGName> <LNGName> destination static Azure-<VNetName> Azure-<VNetName>
!
! ==> IKEv2 configuration
!
!     > General IKEv2 configuration - enable IKEv2 for VPN
!
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol ikev1 ikev2
exit
!
crypto isakmp identity address
crypto ikev2 enable outside
!
!     > Define IKEv2 Phase 1/Main Mode policy
!       - Make sure the policy number is not used
!       - integrity and prf must be the same
!       - DH group 14 and above require ASA version 9.x.
!
crypto ikev2 policy 1
 encryption       aes-256
 integrity        sha384
 prf              sha384
 group            24
 lifetime seconds 86400
exit
!
!     > Set connection type and pre-shared key
!
tunnel-group <Azure_Gateway_Public_IP> type ipsec-l2l
tunnel-group <Azure_Gateway_Public_IP> ipsec-attributes
 ikev2 remote-authentication pre-shared-key <Pre_Shared_Key> 
 ikev2 local-authentication  pre-shared-key <Pre_Shared_Key> 
exit
!
! ==> IPsec configuration
!
!     > IKEv2 Phase 2/Quick Mode proposal
!       - AES-GCM and SHA-2 requires ASA version 9.x on newer ASA models. ASA
!         5505, 5510, 5520, 5540, 5550, 5580 are not supported.
!       - ESP integrity must be null if AES-GCM is configured as ESP encryption
!
crypto ipsec ikev2 ipsec-proposal AES-256
 protocol esp encryption aes-256
 protocol esp integrity  sha-1
exit
!
!     > Set access list & traffic selectors, PFS, IPsec proposal, SA lifetime
!       - This sample uses "Azure-<VNetName>-map" as the crypto map name
!       - ASA supports only one crypto map per interface, if you already have
!         an existing crypto map assigned to your outside interface, you must use
!         the same crypto map name, but with a different sequence number for
!         this policy
!       - "match address" policy uses the access-list "Azure-<VNetName>-acl" defined 
!         previously
!       - "ipsec-proposal" uses the proposal "AES-256" defined previously 
!       - PFS groups 14 and beyond requires ASA version 9.x.
!
crypto map Azure-<VNetName>-map 1 match address Azure-<VNetName>-acl
crypto map Azure-<VNetName>-map 1 set pfs group24
crypto map Azure-<VNetName>-map 1 set peer <Azure_Gateway_Public_IP>
crypto map Azure-<VNetName>-map 1 set ikev2 ipsec-proposal AES-256
crypto map Azure-<VNetName>-map 1 set security-association lifetime seconds 7200
crypto map Azure-<VNetName>-map interface outside
!
! ==> Set TCP MSS to 1350
!
sysopt connection tcpmss 1350
!

Jednoduché ladicí příkazy

Pro účely ladění použijte následující příkazy ASA:

  • Zobrazení přidružení zabezpečení protokolu IPsec nebo IKE:

    show crypto ipsec sa
show crypto ikev2 sa

  • Přejděte do režimu ladění:

    debug crypto ikev2 platform <level>
debug crypto ikev2 protocol <level>

    Příkazy debug můžou v konzole generovat významný výstup.

  • Zobrazení aktuálních konfigurací na zařízení:

    show run

    Pomocí show dílčích příkazů vypište konkrétní části konfigurace zařízení, například:

    show run crypto
show run access-list
show run tunnel-group

Další kroky

Informace o konfiguraci připojení aktivní-aktivní mezi různými místy a připojení typu VNet-to-VNet najdete v tématu Konfigurace bran VPN typu aktivní-aktivní.