Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo fornece configurações de exemplo para conectar dispositivos Cisco Adaptive Security Appliance (ASA) a gateways de VPN do Azure. O exemplo se aplica a dispositivos Cisco ASA que executam o IKEv2 sem o Border Gateway Protocol (BGP).
O dispositivo num relance
- Fornecedor do dispositivo: Cisco
- Modelo do dispositivo: ASA
- Versão de destino: 8.4 e posterior
- Modelo testado: ASA 5505
- Versão testada: 9.2
- Versão IKE: IKEv2
- BGP: Não
- Tipo de gateway de VPN do Azure: Gateway de VPN baseado em rota
Observação
A configuração de exemplo conecta um dispositivo Cisco ASA a um gateway VPN baseado em rota do Azure. A conexão usa uma política IPsec/IKE personalizada com a opção UsePolicyBasedTrafficSelectors , conforme descrito neste artigo.
O exemplo requer que os dispositivos ASA usem a política IKEv2 com configurações baseadas em lista de acesso, não baseadas em VTI. Consulte as especificações do fornecedor do dispositivo VPN para verificar se a política IKEv2 é suportada nos seus dispositivos VPN locais.
Requisitos do dispositivo VPN
Os gateways de VPN do Azure usam os pacotes de protocolo IPsec/IKE padrão para estabelecer túneis VPN Site-to-Site (S2S). Para obter os parâmetros detalhados do protocolo IPsec/IKE e os algoritmos criptográficos padrão para gateways de VPN do Azure, consulte Sobre dispositivos VPN.
Observação
Opcionalmente, você pode especificar uma combinação exata de algoritmos criptográficos e pontos fortes de chave para uma conexão específica, conforme descrito em Sobre requisitos criptográficos. Se você especificar uma combinação exata de algoritmos e pontos fortes de chave, certifique-se de usar as especificações correspondentes em seus dispositivos VPN.
Túnel VPN único
Essa configuração consiste em um único túnel VPN S2S entre um gateway de VPN do Azure e um dispositivo VPN local. Opcionalmente, você pode configurar o BGP através do túnel VPN.
Para obter instruções passo a passo para criar as configurações do Azure, consulte Configuração de túnel VPN único.
Informações de rede virtual e gateway VPN
Esta seção lista os parâmetros para a amostra.
Parâmetro | Valor |
---|---|
Prefixos de endereço de rede virtual | 10.11.0.0/16 10.12.0.0/16 |
Azure VPN gateway IP | Azure_Gateway_Public_IP |
Prefixos de endereço local | 10.51.0.0/16 10.52.0.0/16 |
IP do dispositivo VPN local | OnPrem_Device_Public_IP |
* Rede virtual BGP ASN | 65010 |
* Azure BGP peer IP | 10.12.255.30 |
* ASN BGP no local | 65050 |
IP do parceiro BGP no local | 10.52.255.254 |
* Parâmetro opcional apenas para BGP.
Política e parâmetros IPsec/IKE
A tabela a seguir lista os algoritmos e parâmetros IPsec/IKE usados no exemplo. Consulte as especificações do seu dispositivo VPN para verificar os algoritmos suportados para os modelos de dispositivos VPN e versões de firmware.
IPsec/IKEv2 | Valor |
---|---|
Encriptação IKEv2 | AES256 |
Integridade do IKEv2 | SHA384 |
Grupo DH | DHGroup24 |
* Criptografia IPsec | AES256 |
* Integridade IPsec | SHA1 |
Grupo PFS | PFS24 |
Tempo de vida útil da QM SA | 7.200 segundos |
Seletor de Tráfego | UsePolicyBasedTrafficSelectors $True |
Chave Pré-partilhada | PreSharedKey |
* Em alguns dispositivos, a integridade IPsec deve ser um valor nulo quando o algoritmo de criptografia IPsec é AES-GCM.
Suporte a dispositivos ASA
O suporte para IKEv2 requer ASA versão 8.4 e posterior.
O suporte para DH Group e PFS Group além do Grupo 5 requer ASA versão 9.x.
Suporte para criptografia IPsec com AES-GCM e integridade IPsec com SHA-256, SHA-384 ou SHA-512, requer ASA versão 9.x. Este requisito de suporte aplica-se a dispositivos ASA mais recentes. No momento da publicação, os modelos ASA 5505, 5510, 5520, 5540, 5550 e 5580 não suportam esses algoritmos. Consulte as especificações do seu dispositivo VPN para verificar os algoritmos suportados para os modelos de dispositivos VPN e versões de firmware.
Exemplo de configuração do dispositivo
O script fornece um exemplo baseado na configuração e nos parâmetros descritos nas seções anteriores. A configuração do túnel VPN S2S consiste nas seguintes partes:
- Interfaces e rotas
- Listas de acesso
- Política e parâmetros IKE (fase 1 ou modo principal)
- Política e parâmetros IPsec (fase 2 ou modo rápido)
- Outros parâmetros, como limitação de MSS TCP
Importante
Conclua as etapas a seguir antes de usar o script de exemplo. Substitua os valores de espaço reservado no script pelas configurações do dispositivo para sua configuração.
- Especifique a configuração da interface para interfaces internas e externas.
- Identifique as rotas para as suas redes internas/privadas e externas/públicas.
- Certifique-se de que todos os nomes e números de apólice são únicos no seu dispositivo.
- Certifique-se de que os algoritmos criptográficos são suportados no seu dispositivo.
- Substitua os seguintes valores de placeholder por valores reais para a sua configuração:
- Nome da interface externa: externa
- Azure_Gateway_Public_IP
- OnPrem_Device_Public_IP
- IKE: Pre_Shared_Key
- Nomes de gateway de rede virtual e rede local: VNetName e LNGName
- Rede virtual e prefixos de endereço de rede local
- Máscaras de rede adequadas
Exemplo de script
! Sample ASA configuration for connecting to Azure VPN gateway
!
! Tested hardware: ASA 5505
! Tested version: ASA version 9.2(4)
!
! Replace the following place holders with your actual values:
! - Interface names - default are "outside" and "inside"
! - <Azure_Gateway_Public_IP>
! - <OnPrem_Device_Public_IP>
! - <Pre_Shared_Key>
! - <VNetName>*
! - <LNGName>* ==> LocalNetworkGateway - the Azure resource that represents the
! on-premises network, specifies network prefixes, device public IP, BGP info, etc.
! - <PrivateIPAddress> ==> Replace it with a private IP address if applicable
! - <Netmask> ==> Replace it with appropriate netmasks
! - <Nexthop> ==> Replace it with the actual nexthop IP address
!
! (*) Must be unique names in the device configuration
!
! ==> Interface & route configurations
!
! > <OnPrem_Device_Public_IP> address on the outside interface or vlan
! > <PrivateIPAddress> on the inside interface or vlan; e.g., 10.51.0.1/24
! > Route to connect to <Azure_Gateway_Public_IP> address
!
! > Example:
!
! interface Ethernet0/0
! switchport access vlan 2
! exit
!
! interface vlan 1
! nameif inside
! security-level 100
! ip address <PrivateIPAddress> <Netmask>
! exit
!
! interface vlan 2
! nameif outside
! security-level 0
! ip address <OnPrem_Device_Public_IP> <Netmask>
! exit
!
! route outside 0.0.0.0 0.0.0.0 <NextHop IP> 1
!
! ==> Access lists
!
! > Most firewall devices deny all traffic by default. Create access lists to
! (1) Allow S2S VPN tunnels between the ASA and the Azure gateway public IP address
! (2) Construct traffic selectors as part of IPsec policy or proposal
!
access-list outside_access_in extended permit ip host <Azure_Gateway_Public_IP> host <OnPrem_Device_Public_IP>
!
! > Object group that consists of all VNet prefixes (e.g., 10.11.0.0/16 &
! 10.12.0.0/16)
!
object-group network Azure-<VNetName>
description Azure virtual network <VNetName> prefixes
network-object 10.11.0.0 255.255.0.0
network-object 10.12.0.0 255.255.0.0
exit
!
! > Object group that corresponding to the <LNGName> prefixes.
! E.g., 10.51.0.0/16 and 10.52.0.0/16. Note that LNG = "local network gateway".
! In Azure network resource, a local network gateway defines the on-premises
! network properties (address prefixes, VPN device IP, BGP ASN, etc.)
!
object-group network <LNGName>
description On-Premises network <LNGName> prefixes
network-object 10.51.0.0 255.255.0.0
network-object 10.52.0.0 255.255.0.0
exit
!
! > Specify the access-list between the Azure VNet and your on-premises network.
! This access list defines the IPsec SA traffic selectors.
!
access-list Azure-<VNetName>-acl extended permit ip object-group <LNGName> object-group Azure-<VNetName>
!
! > No NAT required between the on-premises network and Azure VNet
!
nat (inside,outside) source static <LNGName> <LNGName> destination static Azure-<VNetName> Azure-<VNetName>
!
! ==> IKEv2 configuration
!
! > General IKEv2 configuration - enable IKEv2 for VPN
!
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol ikev1 ikev2
exit
!
crypto isakmp identity address
crypto ikev2 enable outside
!
! > Define IKEv2 Phase 1/Main Mode policy
! - Make sure the policy number is not used
! - integrity and prf must be the same
! - DH group 14 and above require ASA version 9.x.
!
crypto ikev2 policy 1
encryption aes-256
integrity sha384
prf sha384
group 24
lifetime seconds 86400
exit
!
! > Set connection type and pre-shared key
!
tunnel-group <Azure_Gateway_Public_IP> type ipsec-l2l
tunnel-group <Azure_Gateway_Public_IP> ipsec-attributes
ikev2 remote-authentication pre-shared-key <Pre_Shared_Key>
ikev2 local-authentication pre-shared-key <Pre_Shared_Key>
exit
!
! ==> IPsec configuration
!
! > IKEv2 Phase 2/Quick Mode proposal
! - AES-GCM and SHA-2 requires ASA version 9.x on newer ASA models. ASA
! 5505, 5510, 5520, 5540, 5550, 5580 are not supported.
! - ESP integrity must be null if AES-GCM is configured as ESP encryption
!
crypto ipsec ikev2 ipsec-proposal AES-256
protocol esp encryption aes-256
protocol esp integrity sha-1
exit
!
! > Set access list & traffic selectors, PFS, IPsec proposal, SA lifetime
! - This sample uses "Azure-<VNetName>-map" as the crypto map name
! - ASA supports only one crypto map per interface, if you already have
! an existing crypto map assigned to your outside interface, you must use
! the same crypto map name, but with a different sequence number for
! this policy
! - "match address" policy uses the access-list "Azure-<VNetName>-acl" defined
! previously
! - "ipsec-proposal" uses the proposal "AES-256" defined previously
! - PFS groups 14 and beyond requires ASA version 9.x.
!
crypto map Azure-<VNetName>-map 1 match address Azure-<VNetName>-acl
crypto map Azure-<VNetName>-map 1 set pfs group24
crypto map Azure-<VNetName>-map 1 set peer <Azure_Gateway_Public_IP>
crypto map Azure-<VNetName>-map 1 set ikev2 ipsec-proposal AES-256
crypto map Azure-<VNetName>-map 1 set security-association lifetime seconds 7200
crypto map Azure-<VNetName>-map interface outside
!
! ==> Set TCP MSS to 1350
!
sysopt connection tcpmss 1350
!
Comandos de depuração simples
Utilize os seguintes comandos ASA para fins de resolução de problemas:
Mostrar a associação de segurança (SA) IPsec ou IKE:
show crypto ipsec sa show crypto ikev2 sa
Ativar modo de depuração
debug crypto ikev2 platform <level> debug crypto ikev2 protocol <level>
Os
debug
comandos podem gerar uma saída significativa no console.Mostrar as configurações atuais no dispositivo:
show run
Use
show
subcomandos para listar partes específicas da configuração do dispositivo, por exemplo:show run crypto show run access-list show run tunnel-group
Próximos passos
Para configurar conexões entre locais e VNet-to-VNet ativo-ativo, consulte Configurar gateways VPN ativo-ativo.