Partilhar via

Configurar uma ligação de elevada disponibilidade a partir do local para o gateway de VPN do CloudSimple

  • Artigo

Os administradores de rede podem configurar uma ligação de Rede de VPNs IPsec de elevada disponibilidade a partir do respetivo ambiente no local para um gateway de VPN da CloudSimple.

Este guia apresenta os passos para configurar uma firewall no local para uma ligação de elevada disponibilidade de VPN site a site IPsec. Os passos detalhados são específicos do tipo de firewall no local. Como exemplos, este guia apresenta passos para dois tipos de firewalls: Cisco ASA e Palo Alto Networks.

Antes de começar

Conclua as seguintes tarefas antes de configurar a firewall no local.

  1. Verifique se a sua organização aprovisionou os nós necessários e criou, pelo menos, uma Cloud Privada da CloudSimple.
  2. Configure um gateway de VPN Site a Site entre a rede no local e a Cloud Privada da CloudSimple.

Veja Descrição geral dos gateways de VPN para obter as propostas suportadas da fase 1 e da fase 2.

Configurar a firewall do Cisco ASA no local

As instruções nesta secção aplicam-se à versão 8.4 e posterior do Cisco ASA. No exemplo de configuração, a Versão 9.10 do Software da Aplicação de Segurança Adaptável Cisco é implementada e configurada no modo IKEv1.

Para que a VPN Site a Site funcione, tem de permitir uDP 500/4500 e ESP (protocolo IP 50) a partir do IP público primário e secundário (IP de elemento da rede) da CloudSimple na interface externa do gateway de VPN cisco ASA no local.

1. Configurar a fase 1 (IKEv1)

Para ativar a fase 1 (IKEv1) na interface externa, introduza o seguinte comando da CLI na firewall cisco ASA.

crypto ikev1 enable outside

2. Criar uma política IKEv1

Crie uma política IKEv1 que defina os algoritmos e os métodos a utilizar para hashing, autenticação, grupo Diffie-Hellman, duração e encriptação.

crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 28800

3. Criar um grupo de túneis

Crie um grupo de túneis nos atributos IPsec. Configure o endereço IP do elemento da rede e a chave pré-partilhada do túnel, que definiu ao configurar o gateway de Rede de VPNs.

tunnel-group <primary peer ip> type ipsec-l2l
tunnel-group <primary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

tunnel-group <secondary peer ip> type ipsec-l2l
tunnel-group <secondary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

4. Configurar a fase 2 (IPsec)

Para configurar a fase 2 (IPsec), crie uma lista de controlo de acesso (ACL) que defina o tráfego a encriptar e o túnel. No exemplo seguinte, o tráfego de interesse é proveniente do túnel proveniente da sub-rede local no local (10.16.1.0/24) para a sub-rede remota da Nuvem Privada (192.168.0.0/24). A ACL pode conter múltiplas entradas se existirem várias sub-redes entre os sites.

Nas versões 8.4 e posteriores do Cisco ASA, podem ser criados objetos ou grupos de objetos que servem de contentores para as redes, sub-redes, endereços IP do anfitrião ou vários objetos. Crie um objeto para o local e um objeto para as sub-redes remotas e utilize-os para a ACL criptográfica e as instruções NAT.

Definir uma sub-rede local no local como um objeto

object network AZ_inside
subnet 10.16.1.0 255.255.255.0

Definir a sub-rede remota do CloudSimple como um objeto

object network CS_inside
subnet 192.168.0.0 255.255.255.0

Configurar uma lista de acesso para o tráfego de interesse

access-list ipsec-acl extended permit ip object AZ_inside object CS_inside

5. Configurar o conjunto de transformações

Configure o conjunto de transformação (TS), que tem de envolver a palavra-chave ikev1. Os atributos de encriptação e hash especificados no TS têm de corresponder aos parâmetros listados em Configuração predefinida para os gateways de VPN CloudSimple.

crypto ipsec ikev1 transform-set devtest39 esp-aes-256 esp-sha-hmac

6. Configurar o mapa criptografativo

Configure o mapa criptografativo, que contém estes componentes:

  • Endereço IP do elemento da rede
  • ACL definida que contém o tráfego de interesse
  • Transformar Conjunto
crypto map mymap 1 set peer <primary peer ip> <secondary peer ip>
crypto map mymap 1 match address ipsec-acl
crypto map mymap 1 set ikev1 transform-set devtest39

7. Aplicar o mapa criptografativo

Aplique o mapa criptografativo na interface externa:

crypto map mymap interface outside

8. Confirmar as regras NAT aplicáveis

Segue-se a regra NAT utilizada. Certifique-se de que o tráfego de VPN não está sujeito a nenhuma outra regra NAT.

nat (inside,outside) source static AZ_inside AZ_inside destination static CS_inside CS_inside

Saída de rede de VPNs IPsec de exemplo estabelecida a partir do Cisco ASA

Saída da fase 1:

Saída da Fase 1 para a firewall do Cisco ASA

Saída da Fase 2:

Saída da Fase 2 para a firewall do Cisco ASA

Configurar a firewall da Palo Alto Networks no local

As instruções nesta secção aplicam-se à versão 7.1 e posterior da Palo Alto Networks. Neste exemplo de configuração, a Palo Alto Networks VM-Series Software Versão 8.1.0 é implementada e configurada no modo IKEv1.

Para que a VPN Site a Site funcione, tem de permitir uDP 500/4500 e ESP (protocolo IP 50) a partir do IP público primário e secundário da CloudSimple (IP de elemento da rede) na interface externa do gateway da Palo Alto Networks no local.

1. Criar interfaces de túnel primária e secundária

Inicie sessão na firewall da Palo Alto, selecioneAdicionar Túnel> deInterfaces> de Rede>, configure os seguintes campos e clique em OK.

  • Nome da Interface. O primeiro campo é preenchido automaticamente com a palavra-chave "túnel". No campo adjacente, introduza qualquer número entre 1 e 9999. Esta interface será utilizada como uma interface de túnel principal para transportar o tráfego Site a Site entre o datacenter no local e a Cloud Privada.
  • Comentário. Introduza comentários para uma identificação fácil da finalidade do túnel
  • Perfil netflow. Mantenha a predefinição.
  • Configuração. Atribuir Interface a: Router Virtual: selecione predefinição. Zona de Segurança: selecione a zona para tráfego LAN fidedigno. Neste exemplo, o nome da zona para tráfego LAN é "Confiança".
  • IPv4. Clique em Adicionar e adicione qualquer endereço IP /32 não sobreposto não utilizado no seu ambiente, que será atribuído à interface do túnel primário e será utilizado para monitorizar os túneis (explicado mais tarde).

Uma vez que esta configuração se destina a uma VPN de elevada disponibilidade, são necessárias duas interfaces de túnel: uma primária e uma secundária. Repita os passos anteriores para criar a interface de túnel secundária. Selecione um ID de túnel diferente e um endereço IP /32 não utilizado diferente.

2. Configurar rotas estáticas para que as sub-redes da Nuvem Privada sejam acedidas através da VPN Site a Site

As rotas são necessárias para que as sub-redes no local cheguem às sub-redes da cloud privada da CloudSimple.

Selecione Adicionar Rotas >Estáticaspredefinidas> dosRouters> Virtuais de Rede>, configure os seguintes campos e clique em OK.

  • Nome. Introduza qualquer nome para uma identificação fácil da finalidade da rota.
  • Destino. Especifique as sub-redes de nuvem privada da CloudSimple a serem acedidas através de interfaces de túnel S2S a partir do local
  • Interface. Selecione a interface de túnel principal criada no passo 1 (Secção-2) na lista pendente. Neste exemplo, é o túnel.20.
  • Próximo Salto. Selecione Nenhuma.
  • Administração Distância. Mantenha a predefinição.
  • Métrica. Introduza qualquer valor de 1 a 65535. A chave é introduzir uma métrica inferior para a rota correspondente à interface de túnel primária em comparação com a rota correspondente da interface de túnel secundário, o que torna a rota anterior preferida. Se o túnel.20 tiver um valor métrico de 20 em oposição a um valor de métrica de 30 para o túnel.30, é preferível o túnel.20.
  • Tabela de Rotas. Mantenha a predefinição.
  • Perfil BFD. Mantenha a predefinição.
  • Monitorização do caminho. deixe esta opção desselecionada.

Repita os passos anteriores para criar outra rota para as sub-redes da Cloud Privada utilizarem como uma rota secundária/de cópia de segurança através da interface de túnel secundária. Desta vez, selecione um ID de túnel diferente e uma métrica superior à da rota primária.

3. Definir o perfil criptográfico

Defina um perfil criptográfico que especifique os protocolos e algoritmos para identificação, autenticação e encriptação a utilizar para configurar túneis VPN na Fase 1 do IKEv1.

SelecioneExpandir Perfis> de Rede>IKE Crypto>Add, configure os seguintes campos e clique em OK.

  • Nome. Introduza qualquer nome do perfil de criptografia IKE.
  • Grupo DH. Clique em Adicionar e selecione o grupo DH adequado.
  • Encriptação. Clique em Adicionar e selecione o método de encriptação adequado.
  • Autenticação. Clique em Adicionar e selecione o método de autenticação adequado.
  • Duração da chave. Mantenha a predefinição.
  • Autenticação IKEv2 Múltipla. Mantenha a predefinição.

4. Definir gateways IKE

Defina gateways IKE para estabelecer a comunicação entre os pares em cada extremidade do túnel VPN.

Selecione Expandir>Rede Perfis> de RedeIKE Gateways>Adicionar, configurar os seguintes campos e clique em OK.

Separador Geral:

  • Nome. Introduza o nome do gateway IKE a ser apresentado em modo de peering com o elemento principal da VPN cloudSimple.
  • Versão. Selecione o modo apenas IKEv1.
  • Tipo de Endereço. Selecione IPv4.
  • Interface. Selecione a interface pública virada para o público ou externa.
  • Endereço IP local. Mantenha a predefinição.
  • Tipo de Endereço IP do Elemento Da Rede. Selecione IP.
  • Endereço do Elemento da Rede. Introduza o endereço IP do elemento da rede VPN da CloudSimple principal.
  • Autenticação. Selecione Chave Pré-Partilhada.
  • Chave Pré-partilhada /Confirmar Chave Pré-partilhada. Introduza a chave pré-partilhada para corresponder à chave de gateway de VPN cloudSimple.
  • Identificação Local. Introduza o endereço IP público da firewall do Palo Alto no local.
  • Identificação do Elemento de Rede. Introduza o endereço IP do elemento da rede VPN da CloudSimple principal.

Separador Opções Avançadas:

  • Ativar Modo Passivo. deixe esta opção desselecionada.
  • Ative o NAT Traversal. Deixe desmarcado se a firewall do Palo Alto no local não estiver por trás de nenhum dispositivo NAT. Caso contrário, selecione a caixa de verificação.

IKEv1:

  • Modo Exchange. Selecione principal.
  • Perfil Criptografo IKE. Selecione o perfil IKE Crypto que criou anteriormente. Deixe a caixa Ativar Fragmentação desmarcada.
  • Deteção de Peer Inativo. Deixe a caixa desmarcada.

Repita os passos anteriores para criar o gateway IKE secundário.

5. Definir perfis criptografais IPSEC

SelecioneExpandir Perfis> de Rede>IpSEC Crypto>Add, configure os seguintes campos e clique em OK.

  • Nome. Introduza um nome para o perfil criptografo IPsec.
  • Protocolo IPsec. Selecione ESP.
  • Encriptação. Clique em Adicionar e selecione o método de encriptação adequado.
  • Autenticação. Clique em Adicionar e selecione o método de autenticação adequado.
  • Grupo DH. Selecione sem pfs.
  • Duração. Defina como 30 minutos.
  • Ativar. Deixe a caixa desmarcada.

Repita os passos anteriores para criar outro perfil criptografo IPsec, que será utilizado como elemento de rede secundário da CloudSimple. O mesmo perfil IpSEC Crypto também pode ser utilizado para os túneis IPsec primários e secundários (veja o seguinte procedimento).

6. Definir perfis de monitorização para monitorização de túneis

Selecione Expandir Rede>Perfis de> RedeMonitorizar Adicionar>, configurar os seguintes campos e clique em OK.

  • Nome. Introduza qualquer nome do perfil monitor a ser utilizado para a monitorização do túnel para reação proativa à falha.
  • Ação. Selecione Ativação Pós-falha.
  • Intervalo. Introduza o valor 3.
  • Limiar. Introduza o valor 7.

7. Configure túneis IPsec primários e secundários.

SelecioneAdicionar Túneis> IPsec de Rede>, configure os seguintes campos e clique em OK.

Separador Geral:

  • Nome. Introduza qualquer nome para o túnel IPSEC primário a ser peering com o elemento da rede de VPN cloudSimple primário.
  • Interface de Túnel. Selecione a interface de túnel principal.
  • Escreva. Mantenha a predefinição.
  • Tipo de Endereço. Selecione IPv4.
  • Gateway IKE. Selecione o gateway IKE principal.
  • Perfil Crypto IPsec. Selecione o perfil IPsec principal. Selecione Mostrar opções avançadas.
  • Ativar a Proteção contra Repetição. Mantenha a predefinição.
  • Copiar Cabeçalho do TOS. Deixe a caixa desmarcada.
  • Monitor de Túnel. Selecione a caixa.
  • IP de destino. Introduza qualquer endereço IP pertencente à sub-rede CloudSimple Private Cloud permitida através da ligação Site a Site. Certifique-se de que as interfaces de túnel (como o túnel.20 - 10.64.5.2/32 e o túnel.30 - 10.64.6.2/32) em Palo Alto têm permissão para aceder ao endereço IP da Cloud Privada cloud da Cloud da Cloud através da VPN Site a Site. Veja a seguinte configuração para IDs de proxy.
  • Perfil. Selecione o perfil do monitor.

Separador IDs de Proxy: clique em Adicionar IPv4> e configure o seguinte:

  • ID do Proxy. Introduza qualquer nome para o tráfego interessante. Podem existir vários IDs de Proxy transportados dentro de um túnel IPsec.
  • Local. Especifique as sub-redes locais no local que têm permissão para comunicar com sub-redes da Cloud Privada através da VPN Site a Site.
  • Remoto. Especifique as sub-redes remotas da Cloud Privada que têm permissão para comunicar com as sub-redes locais.
  • Protocolo. Selecione qualquer.

Repita os passos anteriores para criar outro túnel IPsec para utilizar para o elemento de rede VPN do CloudSimple secundário.

Referências

Configurar o NAT no Cisco ASA:

Guia de Configuração da Série Cisco ASA 5500

Atributos IKEv1 e IKEv2 suportados no Cisco ASA:

Guia de Configuração da CLI da Série ASA da Cisco

Configurar a VPN Site a Site IPsec no Cisco ASA com a versão 8.4 e posterior:

Configurar túneis IKEv1 IPsec Site a Site com o ASDM ou a CLI no ASA

Configurar o Cisco Adaptive Security Appliance virtual (ASAv) no Azure:

Guia de Início Rápido da Aplicação Virtual de Segurança Adaptável da Cisco (ASAv)

Configurar a VPN Site a Site com IDs de Proxy em Palo Alto:

Configurar a VPN Site a Site

Configurar o monitor de túnel:

Configurar a Monitorização do Túnel

Operações do gateway IKE ou do túnel IPsec:

Ativar/Desativar, Atualizar ou Reiniciar um Gateway IKE ou túnel IPsec