Partilhar via


Exemplo de configuração: dispositivo Cisco ASA (IKEv2/no BGP)

Este artigo fornece configurações de exemplo para conectar dispositivos Cisco Adaptive Security Appliance (ASA) a gateways de VPN do Azure. O exemplo se aplica a dispositivos Cisco ASA que executam o IKEv2 sem o Border Gateway Protocol (BGP).

O dispositivo num relance

  • Fornecedor do dispositivo: Cisco
  • Modelo do dispositivo: ASA
  • Versão de destino: 8.4 e posterior
  • Modelo testado: ASA 5505
  • Versão testada: 9.2
  • Versão IKE: IKEv2
  • BGP: Não
  • Tipo de gateway de VPN do Azure: Gateway de VPN baseado em rota

Observação

A configuração de exemplo conecta um dispositivo Cisco ASA a um gateway VPN baseado em rota do Azure. A conexão usa uma política IPsec/IKE personalizada com a opção UsePolicyBasedTrafficSelectors , conforme descrito neste artigo.

O exemplo requer que os dispositivos ASA usem a política IKEv2 com configurações baseadas em lista de acesso, não baseadas em VTI. Consulte as especificações do fornecedor do dispositivo VPN para verificar se a política IKEv2 é suportada nos seus dispositivos VPN locais.

Requisitos do dispositivo VPN

Os gateways de VPN do Azure usam os pacotes de protocolo IPsec/IKE padrão para estabelecer túneis VPN Site-to-Site (S2S). Para obter os parâmetros detalhados do protocolo IPsec/IKE e os algoritmos criptográficos padrão para gateways de VPN do Azure, consulte Sobre dispositivos VPN.

Observação

Opcionalmente, você pode especificar uma combinação exata de algoritmos criptográficos e pontos fortes de chave para uma conexão específica, conforme descrito em Sobre requisitos criptográficos. Se você especificar uma combinação exata de algoritmos e pontos fortes de chave, certifique-se de usar as especificações correspondentes em seus dispositivos VPN.

Túnel VPN único

Essa configuração consiste em um único túnel VPN S2S entre um gateway de VPN do Azure e um dispositivo VPN local. Opcionalmente, você pode configurar o BGP através do túnel VPN.

Túnel VPN S2S único

Para obter instruções passo a passo para criar as configurações do Azure, consulte Configuração de túnel VPN único.

Informações de rede virtual e gateway VPN

Esta seção lista os parâmetros para a amostra.

Parâmetro Valor
Prefixos de endereço de rede virtual 10.11.0.0/16
10.12.0.0/16
Azure VPN gateway IP Azure_Gateway_Public_IP
Prefixos de endereço local 10.51.0.0/16
10.52.0.0/16
IP do dispositivo VPN local OnPrem_Device_Public_IP
* Rede virtual BGP ASN 65010
* Azure BGP peer IP 10.12.255.30
* ASN BGP no local 65050
IP do parceiro BGP no local 10.52.255.254

* Parâmetro opcional apenas para BGP.

Política e parâmetros IPsec/IKE

A tabela a seguir lista os algoritmos e parâmetros IPsec/IKE usados no exemplo. Consulte as especificações do seu dispositivo VPN para verificar os algoritmos suportados para os modelos de dispositivos VPN e versões de firmware.

IPsec/IKEv2 Valor
Encriptação IKEv2 AES256
Integridade do IKEv2 SHA384
Grupo DH DHGroup24
* Criptografia IPsec AES256
* Integridade IPsec SHA1
Grupo PFS PFS24
Tempo de vida útil da QM SA 7.200 segundos
Seletor de Tráfego UsePolicyBasedTrafficSelectors $True
Chave Pré-partilhada PreSharedKey

* Em alguns dispositivos, a integridade IPsec deve ser um valor nulo quando o algoritmo de criptografia IPsec é AES-GCM.

Suporte a dispositivos ASA

  • O suporte para IKEv2 requer ASA versão 8.4 e posterior.

  • O suporte para DH Group e PFS Group além do Grupo 5 requer ASA versão 9.x.

  • Suporte para criptografia IPsec com AES-GCM e integridade IPsec com SHA-256, SHA-384 ou SHA-512, requer ASA versão 9.x. Este requisito de suporte aplica-se a dispositivos ASA mais recentes. No momento da publicação, os modelos ASA 5505, 5510, 5520, 5540, 5550 e 5580 não suportam esses algoritmos. Consulte as especificações do seu dispositivo VPN para verificar os algoritmos suportados para os modelos de dispositivos VPN e versões de firmware.

Exemplo de configuração do dispositivo

O script fornece um exemplo baseado na configuração e nos parâmetros descritos nas seções anteriores. A configuração do túnel VPN S2S consiste nas seguintes partes:

  1. Interfaces e rotas
  2. Listas de acesso
  3. Política e parâmetros IKE (fase 1 ou modo principal)
  4. Política e parâmetros IPsec (fase 2 ou modo rápido)
  5. Outros parâmetros, como limitação de MSS TCP

Importante

Conclua as etapas a seguir antes de usar o script de exemplo. Substitua os valores de espaço reservado no script pelas configurações do dispositivo para sua configuração.

  • Especifique a configuração da interface para interfaces internas e externas.
  • Identifique as rotas para as suas redes internas/privadas e externas/públicas.
  • Certifique-se de que todos os nomes e números de apólice são únicos no seu dispositivo.
  • Certifique-se de que os algoritmos criptográficos são suportados no seu dispositivo.
  • Substitua os seguintes valores de placeholder por valores reais para a sua configuração:
    • Nome da interface externa: externa
    • Azure_Gateway_Public_IP
    • OnPrem_Device_Public_IP
    • IKE: Pre_Shared_Key
    • Nomes de gateway de rede virtual e rede local: VNetName e LNGName
    • Rede virtual e prefixos de endereço de rede local
    • Máscaras de rede adequadas

Exemplo de script

! Sample ASA configuration for connecting to Azure VPN gateway
!
! Tested hardware: ASA 5505
! Tested version:  ASA version 9.2(4)
!
! Replace the following place holders with your actual values:
!   - Interface names - default are "outside" and "inside"
!   - <Azure_Gateway_Public_IP>
!   - <OnPrem_Device_Public_IP>
!   - <Pre_Shared_Key>
!   - <VNetName>*
!   - <LNGName>* ==> LocalNetworkGateway - the Azure resource that represents the
!     on-premises network, specifies network prefixes, device public IP, BGP info, etc.
!   - <PrivateIPAddress> ==> Replace it with a private IP address if applicable
!   - <Netmask> ==> Replace it with appropriate netmasks
!   - <Nexthop> ==> Replace it with the actual nexthop IP address
!
! (*) Must be unique names in the device configuration
!
! ==> Interface & route configurations
!
!     > <OnPrem_Device_Public_IP> address on the outside interface or vlan
!     > <PrivateIPAddress> on the inside interface or vlan; e.g., 10.51.0.1/24
!     > Route to connect to <Azure_Gateway_Public_IP> address
!
!     > Example:
!
!       interface Ethernet0/0
!        switchport access vlan 2
!       exit
!
!       interface vlan 1
!        nameif inside
!        security-level 100
!        ip address <PrivateIPAddress> <Netmask>
!       exit
!
!       interface vlan 2
!        nameif outside
!        security-level 0
!        ip address <OnPrem_Device_Public_IP> <Netmask>
!       exit
!
!       route outside 0.0.0.0 0.0.0.0 <NextHop IP> 1
!
! ==> Access lists
!
!     > Most firewall devices deny all traffic by default. Create access lists to
!       (1) Allow S2S VPN tunnels between the ASA and the Azure gateway public IP address
!       (2) Construct traffic selectors as part of IPsec policy or proposal
!
access-list outside_access_in extended permit ip host <Azure_Gateway_Public_IP> host <OnPrem_Device_Public_IP>
!
!     > Object group that consists of all VNet prefixes (e.g., 10.11.0.0/16 &
!       10.12.0.0/16)
!
object-group network Azure-<VNetName>
 description Azure virtual network <VNetName> prefixes
 network-object 10.11.0.0 255.255.0.0
 network-object 10.12.0.0 255.255.0.0
exit
!
!     > Object group that corresponding to the <LNGName> prefixes.
!       E.g., 10.51.0.0/16 and 10.52.0.0/16. Note that LNG = "local network gateway".
!       In Azure network resource, a local network gateway defines the on-premises
!       network properties (address prefixes, VPN device IP, BGP ASN, etc.)
!
object-group network <LNGName>
 description On-Premises network <LNGName> prefixes
 network-object 10.51.0.0 255.255.0.0
 network-object 10.52.0.0 255.255.0.0
exit
!
!     > Specify the access-list between the Azure VNet and your on-premises network.
!       This access list defines the IPsec SA traffic selectors.
!
access-list Azure-<VNetName>-acl extended permit ip object-group <LNGName> object-group Azure-<VNetName>
!
!     > No NAT required between the on-premises network and Azure VNet
!
nat (inside,outside) source static <LNGName> <LNGName> destination static Azure-<VNetName> Azure-<VNetName>
!
! ==> IKEv2 configuration
!
!     > General IKEv2 configuration - enable IKEv2 for VPN
!
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol ikev1 ikev2
exit
!
crypto isakmp identity address
crypto ikev2 enable outside
!
!     > Define IKEv2 Phase 1/Main Mode policy
!       - Make sure the policy number is not used
!       - integrity and prf must be the same
!       - DH group 14 and above require ASA version 9.x.
!
crypto ikev2 policy 1
 encryption       aes-256
 integrity        sha384
 prf              sha384
 group            24
 lifetime seconds 86400
exit
!
!     > Set connection type and pre-shared key
!
tunnel-group <Azure_Gateway_Public_IP> type ipsec-l2l
tunnel-group <Azure_Gateway_Public_IP> ipsec-attributes
 ikev2 remote-authentication pre-shared-key <Pre_Shared_Key> 
 ikev2 local-authentication  pre-shared-key <Pre_Shared_Key> 
exit
!
! ==> IPsec configuration
!
!     > IKEv2 Phase 2/Quick Mode proposal
!       - AES-GCM and SHA-2 requires ASA version 9.x on newer ASA models. ASA
!         5505, 5510, 5520, 5540, 5550, 5580 are not supported.
!       - ESP integrity must be null if AES-GCM is configured as ESP encryption
!
crypto ipsec ikev2 ipsec-proposal AES-256
 protocol esp encryption aes-256
 protocol esp integrity  sha-1
exit
!
!     > Set access list & traffic selectors, PFS, IPsec proposal, SA lifetime
!       - This sample uses "Azure-<VNetName>-map" as the crypto map name
!       - ASA supports only one crypto map per interface, if you already have
!         an existing crypto map assigned to your outside interface, you must use
!         the same crypto map name, but with a different sequence number for
!         this policy
!       - "match address" policy uses the access-list "Azure-<VNetName>-acl" defined 
!         previously
!       - "ipsec-proposal" uses the proposal "AES-256" defined previously 
!       - PFS groups 14 and beyond requires ASA version 9.x.
!
crypto map Azure-<VNetName>-map 1 match address Azure-<VNetName>-acl
crypto map Azure-<VNetName>-map 1 set pfs group24
crypto map Azure-<VNetName>-map 1 set peer <Azure_Gateway_Public_IP>
crypto map Azure-<VNetName>-map 1 set ikev2 ipsec-proposal AES-256
crypto map Azure-<VNetName>-map 1 set security-association lifetime seconds 7200
crypto map Azure-<VNetName>-map interface outside
!
! ==> Set TCP MSS to 1350
!
sysopt connection tcpmss 1350
!

Comandos de depuração simples

Utilize os seguintes comandos ASA para fins de resolução de problemas:

  • Mostrar a associação de segurança (SA) IPsec ou IKE:

    show crypto ipsec sa
    show crypto ikev2 sa
    
  • Ativar modo de depuração

    debug crypto ikev2 platform <level>
    debug crypto ikev2 protocol <level>
    

    Os debug comandos podem gerar uma saída significativa no console.

  • Mostrar as configurações atuais no dispositivo:

    show run
    

    Use show subcomandos para listar partes específicas da configuração do dispositivo, por exemplo:

    show run crypto
    show run access-list
    show run tunnel-group
    

Próximos passos

Para configurar conexões entre locais e VNet-to-VNet ativo-ativo, consulte Configurar gateways VPN ativo-ativo.