分享方式:


設定從內部部署到 CloudSimple VPN 閘道的高可用性連線

網路管理員可以設定從內部部署環境到 CloudSimple VPN 閘道的高可用性 IPsec 站對站 VPN 連線。

本指南提供的步驟可讓您設定內部部署防火牆的 IPsec 站對站 VPN 高可用性連線。 這些詳細說明的步驟只適用於內部部署防火牆類型。 如範例所示,本指南提供的步驟適用於兩種防火牆類型:Cisco ASA 和 Palo Alto Networks。

開始之前

在設定內部部署防火牆之前,請先完成下列工作。

  1. 確認您的組織已佈建必要節點,並建立至少一個 CloudSimple 私人雲端。
  2. 設定內部部署網路和 CloudSimple 私人雲端之間的站對站 VPN 閘道

如需支援的階段 1 和階段 2 提案,請參閱 VPN 閘道概觀

設定內部部署 Cisco ASA 防火牆

本節中的指示適用於 Cisco ASA 8.4 版和更新版本。 在設定範例中,使用 IKEv1 模式部署及設定 Cisco Adaptive Security Appliance 軟體 9.10 版。

若要讓站對站 VPN 運作,您必須在內部部署 Cisco ASA VPN 閘道外部介面上允許來自 CloudSimple 主要和次要公用 IP (對等 IP) 的 UDP 500/4500 和 ESP (IP 通訊協定 50)。

1. 設定階段 1 (IKEv1)

若要在外部介面上啟用階段 1 (IKEv1),請在 Cisco ASA 防火牆中輸入下列 CLI 命令。

crypto ikev1 enable outside

2. 建立 IKEv1 原則

建立 IKEv1 原則,定義用於雜湊、驗證、Diffie-Hellman 群組、存留期和加密的演算法與方法。

crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 28800

3. 建立通道群組

依據 IPsec 屬性建立通道群組。 設定對等 IP 位址和通道預先共用金鑰,該金鑰是您在設定站對站 VPN 閘道時所設定。

tunnel-group <primary peer ip> type ipsec-l2l
tunnel-group <primary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

tunnel-group <secondary peer ip> type ipsec-l2l
tunnel-group <secondary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

4. 設定階段 2 (IPsec)

若要設定階段 2 (IPsec),請建立存取控制清單 (ACL),以定義要加密和通道傳送的流量。 在下列範例中,關注的流量是來自內部部署本機子網路 (10.16.1.0/24) 到私人雲端遠端子網路 (192.168.0.0/24) 之間的通道。 如果網站之間有多個子網路,則 ACL 可以包含多個項目。

在 Cisco ASA 8.4 版和更新版本中,可以建立物件或物件群組,作為網路、子網路、主機 IP 位址或多個物件的容器。 建立本機的物件和遠端子網路的物件,並用於密碼編譯 ACL 和 NAT 陳述式。

將內部部署本機子網路定義為物件

object network AZ_inside
subnet 10.16.1.0 255.255.255.0

將 CloudSimple 遠端子網路定義為物件

object network CS_inside
subnet 192.168.0.0 255.255.255.0

針對關注的流量設定存取清單

access-list ipsec-acl extended permit ip object AZ_inside object CS_inside

5. 設定轉換集

設定轉換集 (TS),其中必須包含關鍵字 ikev1。 TS 中指定的加密和雜湊屬性必須與 CloudSimple VPN 閘道的預設設定所列出的參數相符。

crypto ipsec ikev1 transform-set devtest39 esp-aes-256 esp-sha-hmac 

6. 設定密碼編譯對應

設定密碼編譯對應,其中包含下列元件:

  • 對等 IP 位址
  • 已定義的 ACL,其中包含關注的流量
  • 轉換集
crypto map mymap 1 set peer <primary peer ip> <secondary peer ip>
crypto map mymap 1 match address ipsec-acl
crypto map mymap 1 set ikev1 transform-set devtest39

7. 套用密碼編譯對應

在外部介面上套用密碼編譯對應:

crypto map mymap interface outside

8. 確認適用的 NAT 規則

以下是使用的 NAT 規則。 確定 VPN 流量不受任何其他 NAT 規則限制。

nat (inside,outside) source static AZ_inside AZ_inside destination static CS_inside CS_inside

IPsec 站對站 VPN 建立 Cisco ASA 輸出範例

階段 1 輸出:

Cisco ASA 防火牆的階段 1 輸出

階段 2 輸出:

Cisco ASA 防火牆的階段 2 輸出

設定內部部署 Palo Alto Networks 防火牆

本節中的指示適用於 Palo Alto Networks 7.1 版和更新版本。 在此設定範例中,Palo Alto Networks VM 系列軟體 8.1.0 版是在 IKEv1 模式中部署及設定。

若要讓站對站 VPN 運作,您必須在內部部署 Palo Alto Networks 閘道外部介面上允許來自 CloudSimple 主要和次要公用 IP (對等 IP) 的 UDP 500/4500 和 ESP (IP 通訊協定 50)。

1. 建立主要和次要通道介面

登入 Palo Alto 防火牆,選取 [網路]>[介面]>[通道]>[新增],設定下列欄位,然後按一下 [確定]。

  • 介面名稱。 第一個欄位會自動填入關鍵字 'tunnel'。 在相鄰欄位中,輸入介於 1 到 9999 之間的任何數字。 此介面將用作主要通道介面,承載內部部署資料中心與私人雲端之間的站對站流量。
  • 註解。 輸入註解,以便輕鬆識別通道的用途
  • Netflow 設定檔。 保留預設值。
  • 設定指派介面至:虛擬路由器:選取 [預設]。 安全性區域:選取區域作為信任的 LAN 流量。 在此範例中,LAN 流量的區域名稱是 'Trust'。
  • IPv4。 按一下 [新增],並在環境中新增任何未重疊的 /32 IP 位址,此位址會指派給主要通道介面,並用來監視通道 (稍後說明)。

由於此設定適用於高可用性 VPN,因此需要兩個通道介面:一個主要和一個次要。 重複上述步驟以建立次要通道介面。 選取不同的通道識別碼和不同的未使用 /32 IP 位址。

2. 設定要透過站對站 VPN 連線的私人雲端子網路靜態路由

內部部署子網路需要路由,才能連線到 CloudSimple 私人雲端子網路。

選取 [網路]>[虛擬路由器]>[預設]>[靜態路由]>[新增],設定下列欄位,然後按一下 [確定]。

  • Name: 輸入任何名稱,以便輕鬆識別路由的用途。
  • 目的地。 指定從內部部署環境透過 S2S 通道介面所要連線的 CloudSimple 私人雲端子網路
  • 介面。 從下拉式清單中選取步驟 1 (第 2 節) 中建立的主要通道介面。 在此範例中,指 tunnel.20。
  • 下一個躍點。 選取 [無]。
  • 管理員距離。 保留預設值。
  • 計量。 輸入 1 到 65535 的任何值。 關鍵是為對應主要通道介面的路由輸入的計量必須較對應次要通道介面的路由更低,讓前者成為慣用路由。 如果 tunnel.20 的計量值為 20,而 tunnel.30 的計量值是 30,則建議使用 tunnel.20。
  • 路由表。 保留預設值。
  • BFD 設定檔。 保留預設值。
  • 路徑監視。 請勿核取。

重複上述步驟,為私人雲端子網路建立另一個路由,透過次要通道介面作為次要/備份路由。 這次,請選取不同於主要路由的通道識別碼和較高的計量。

3. 定義密碼編譯設定檔

定義密碼編譯設定檔,指定識別、驗證和加密的通訊協定和演算法,用來在 IKEv1 階段 1 設定 VPN 通道。

選取 [網路]>[展開網路設定檔]>[IKE 密碼編譯]>[新增],設定下列欄位,然後按一下 [確定]。

  • Name: 輸入 IKE 密碼編譯設定檔的任何名稱。
  • DH 群組。 按一下 [新增],然後選取適當的 DH 群組。
  • 加密。 按一下 [新增],然後選取適當的加密方法。
  • 驗證。 按一下 [新增],然後選取適當的驗證方法。
  • 金鑰存留期。 保留預設值。
  • IKEv2 多重驗證。 保留預設值。

4. 定義 IKE 閘道

定義 IKE 閘道,在 VPN 通道兩端的同儕節點之間建立通訊。

選取 [網路]>[展開網路設定檔]>[IKE 閘道]>[新增],設定下列欄位,然後按一下 [確定]。

一般索引標籤:

  • Name: 輸入要與主要 CloudSimple VPN 同儕節點對等互連的 IKE 閘道名稱。
  • 版本。 選取 [僅 IKEv1 模式]。
  • 位址類型。 選取 [IPv4]。
  • 介面。 選取公開或外部介面。
  • 本機 IP 位址。 保留預設值。
  • 對等 IP 位址類型。 選取 [IP]。
  • 對等位址。 輸入主要 CloudSimple VPN 對等 IP 位址。
  • 驗證。 選取 [預先共用金鑰]。
  • 預先共用金鑰/確認預先共用金鑰。 輸入預先共用金鑰以比對 CloudSimple VPN 閘道金鑰。
  • 本機識別。 輸入內部部署 Palo Alto 防火牆的公用 IP 位址。
  • 對等識別。 輸入主要 CloudSimple VPN 對等 IP 位址。

進階選項索引標籤:

  • 啟用被動模式。 請勿核取。
  • 啟用 NAT 周遊。 如果內部部署 Palo Alto 防火牆不在任何 NAT 裝置後方,請保持未核取狀態。 否則,請選取核取方塊。

IKEv1:

  • Exchange 模式。 選取 [主要]。
  • IKE 密碼編譯設定檔。 選取您稍早建立的 IKE 密碼編譯設定檔。 維持 [啟用片段] 方塊的未核取狀態。
  • 失效對等偵測。 維持方塊的未核取狀態。

重複上述步驟以建立次要 IKE 閘道。

5. 定義 IPSEC 密碼編譯設定檔

選取 [網路]>[展開網路設定檔]>[IPSEC 密碼編譯]>[新增],設定下列欄位,然後按一下 [確定]。

  • Name: 輸入 IPsec 密碼編譯設定檔的名稱。
  • IPsec 通訊協定。 選取 [ESP]。
  • 加密。 按一下 [新增],然後選取適當的加密方法。
  • 驗證。 按一下 [新增],然後選取適當的驗證方法。
  • DH 群組。 選取 [no-pfs]。
  • 存留期。 設定為 30 分鐘。
  • 啟用。 維持方塊的未核取狀態。

重複上述步驟以建立另一個 IPsec 密碼編譯設定檔,供次要 CloudSimple VPN 對等連線使用。 相同的 IPSEC 密碼編譯設定檔也可用於主要和次要 IPsec 通道 (請參閱下列程序)。

6. 定義通道監視的監視設定檔

選取 [網路]>[展開網路設定檔]>[監視]>[新增],設定下列欄位,然後按一下 [確定]。

  • Name: 輸入用於通道監視的監視設定檔名稱,以主動回應失敗。
  • 動作。 選取 [容錯移轉]。
  • 間隔。 輸入值 3
  • 閾值。 輸入值 7

7. 設定主要和次要 IPsec 通道。

選取 [網路]>[IPsec 通道]>[新增],設定下列欄位,然後按一下 [確定]。

一般索引標籤:

  • Name: 輸入要與主要 CloudSimple VPN 同儕節點對等互連的主要 IPSEC 通道名稱。
  • 通道介面。 選取主要通道介面。
  • 類型。 保留預設值。
  • 位址類型。 選取 [IPv4]。
  • IKE 閘道。 選取主要 IKE 閘道。
  • IPsec 密碼編譯設定檔。 選取主要 IPsec 設定檔。 選取 [顯示進階選項]。
  • 啟用重新執行保護。 保留預設值。
  • 複製 TOS 標頭。 維持方塊的未核取狀態。
  • 通道監視器。 核取方塊。
  • 目的地 IP。 輸入任何屬於 CloudSimple 私人雲端子網路且允許使用站對站連線的 IP 位址。 請確定允許 Palo Alto 上的通道介面 (例如 tunnel.20 - 10.64.5.2/32 和 tunnel.30 - 10.64.6.2/32) 透過站對站 VPN 連線到 CloudSimple 私人雲端 IP 位址。 請參閱 Proxy 識別碼的下列設定。
  • 設定檔。 選取監視器設定檔。

[Proxy 識別碼] 索引標籤:按一下 [IPv4]>[新增],然後設定下列項目:

  • Proxy 識別碼。 輸入關注流量的任何名稱。 一個 IPsec 通道可能承載多個 Proxy 識別碼。
  • 本機。 指定允許透過站對站 VPN 與私人雲端子網路通訊的內部部署本機子網路。
  • 遠端。 指定允許與本機子網路通訊的私人雲端遠端子網路。
  • 通訊協定。 選取 [任何]。

重複上述步驟,以建立另一個 IPsec 通道,用於次要 CloudSimple VPN 同儕節點。

參考資料

在 Cisco ASA 上設定 NAT:

Cisco ASA 5500 系列設定指南

Cisco ASA 支援的 IKEv1 和 IKEv2 屬性:

Cisco ASA 系列 CLI 設定指南

在 8.4 版和更新版本的 Cisco ASA 上設定 IPsec 站對站 VPN:

在 ASA 上使用 ASDM 或 CLI 設定 IKEv1 IPsec 站對站通道

在 Azure 上設定 Cisco Adaptive Security Appliance Virtual (ASAv):

Cisco Adaptive Security Virtual Appliance (ASAv) 快速入門指南

在 Palo Alto 上使用 Proxy 識別碼設定站對站 VPN:

設定站對站 VPN

設定通道監視器:

設定通道監視

IKE 閘道或 IPsec 通道作業:

啟用/停用、重新整理或重新啟動 IKE 閘道或 IPsec 通道