IBM Cloud Docs
Conexión a un igual de Cisco ASAv

Conexión a un igual de Cisco ASAv

Puede utilizar IBM Cloud VPN for VPC para conectar de forma segura el VPC a una red local a través de un túnel de VPN. En este tema encontrará una orientación sobre cómo configurar la pasarela VPN de Cisco ASAv para conectarse con VPN for VPC.

Lea Problemas conocidos de las pasarelas VPN antes de seguir conectándose a su homólogo local.

Conexión de una VPN basada en políticas de IBM a un igual de Cisco ASAv

Cisco ASAv utiliza IKEv2 cuando tiene varias subredes en IBM VPC o en su red local y en el dispositivo VPN local. Debe crear una conexión VPN por cada par de subredes en una pasarela de IBM VPN porque Cisco ASAv crea una nueva asociación de seguridad (SA) por par de subredes.

Estas instrucciones se basan en Cisco ASAv, Cisco Adaptative Security Appliance versión 9.10(1).

El primer paso para configurar Cisco ASAv para utilizarlo con VPN for VPC es asegurarse de que se cumplen las siguientes condiciones previas:

  • Cisco ASAv está en línea y funciona con una licencia adecuada.
  • Se ha habilitado una contraseña para Cisco ASAv.
  • Hay al menos una interfaz interna funcional configurada y verificada.
  • Hay al menos una interfaz externa funcional configurada y verificada.

Cuando una VPN de Cisco ASAv recibe una solicitud de conexión de VPN for VPC, utiliza los parámetros de fase 1 de IKE para establecer una conexión segura y autenticarse en VPN for VPC. Después, si la política de seguridad permite la conexión, el ASAv de Cisco establece el túnel utilizando los parámetros de IPsec fase 2y aplica la política de seguridad IPsec. Los servicios de seguridad, autenticación y gestión de claves se negocian dinámicamente mediante el protocolo IKE.

Para ofrecer soporte a estas funciones, se deben seguir los siguientes pasos de configuración general en la VPN de Cisco ASAv:

  • Asegúrese de que la dirección IP pública para Cisco ASAv se haya configurado directamente en ASAv. Utilice crypto isakmp identity address para asegurarse de que el ASAv de CISCO use la dirección IP pública de la interfaz como identidad.

    Este valor global se aplica a todas las conexiones del dispositivo Cisco. Por lo tanto, si necesita mantener varias conexiones, establezca crypto isakmp identity auto en su lugar, para asegurarse de que el dispositivo Cisco determine automáticamente la identidad por tipo de conexión.

  • Defina los parámetros de fase 1 que la VPN de Cisco ASAv necesita para autenticar VPN for VPC y establecer una conexión segura.

  • Defina los parámetros de fase 2 que la VPN de Cisco ASAv necesita para crear un túnel VPN con VPN for VPC.

El dispositivo ASAv soporta grupos de objetos para la característica de ACL. Esta característica amplía las ACL convencionales para soportar las ACL basadas en grupos de objetos. Puede crear el siguiente grupo de objetos de acuerdo con las subredes de VPC y las subredes locales:

# define network object according to your VPC and on-premises subnet
object-group network on-premise-subnets
 network-object 172.16.0.0 255.255.0.0
object-group network ibm-vpc-zone3-subnets
 network-object 10.241.129.0 255.255.255.0
object-group network ibm-vpc-zone2-subnets
 network-object 10.240.64.0 255.255.255.0

Cree un objeto de propuesta de IKE versión 2. Los objetos de propuesta IKEv2 contienen los parámetros necesarios para crear propuestas IKEv2 cuando se define el acceso remoto y las políticas VPN 'sitio a sitio'. IKE es un protocolo de gestión de claves que facilita la gestión de las comunicaciones basadas en IPsec. Se utiliza para autenticar los iguales de IPsec, negociar y distribuir claves de cifrado IPSec y establecer automáticamente asociaciones de seguridad (SA) IPSec.

En este bloque, se configuran los parámetros siguientes a modo de ejemplo. Puede elegir otros parámetros de acuerdo con la política de seguridad de la empresa; sin embargo, asegúrese de utilizar parámetros idénticos en la pasarela de IBM VPN y ASAv.

  • Algoritmo de cifrado : Se establece a aes-256 en este ejemplo.
  • Algoritmo de integridad: Se establece a sha256 en este ejemplo.
  • Grupo Diffie-Hellman: IPsec utiliza el algoritmo Diffie-Hellman para generar la clave de cifrado inicial entre los iguales. En este ejemplo, está establecido al grupo 19.
  • Función pseudoaleatoria (PRF): IKEv2 requiere un método separado que se utiliza como algoritmo para derivar material de claves y operaciones de hash necesarias para el cifrado de túnel de IKEv2. Esto se conoce como función pseudoaleatoria y se establece a sha256.
  • Tiempo de vida de la SA: Establece el tiempo de vida de las asociaciones de seguridad (transcurrido el cual se produce una reconexión) a 36000 segundos.
crypto ikev2 policy 100
encryption aes-256
integrity sha256
group 19
prf sha256
lifetime seconds 36000
crypto ikev2 enable outside

Cree una política IPsec para la conexión. IKEv2 soporta varios cifrados y tipos de autenticación, y varios algoritmos de integridad para una única política. El ASAv ordena los ajustes desde el "más seguro" hasta el "menos seguro" y negocia con el igual siguiendo ese orden.

# Create IPsec policy, IKEv2 support multiple proposals
crypto ipsec ikev2 ipsec-proposal ibm-vpc-proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-256

Cree la política de grupo y el grupo de túneles. La dirección de igual y la clave precompartida se configuran en este paso.

# Create VPN default group policy
group-policy ibm_vpn internal
group-policy ibm_vpn attributes
 vpn-tunnel-protocol ikev2

# Create the tunnel-group to configure pre-shared keys, 150.239.170.57 is public IP of IBM policy-based VPN gateway
tunnel-group 150.239.170.57 type ipsec-l2l
tunnel-group 150.239.170.57 general-attributes
 default-group-policy ibm_vpn
tunnel-group 150.239.170.57 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your pre-shared key>
 ikev2 local-authentication pre-shared-key <your pre-shared key>

Cree una ACL para que coincida con el tráfico que va de local a VPC. En el tráfico de VPC a local, el ASAv utiliza el SPI para buscar el selector de tráfico. Asegúrese de que ambos lados estén utilizando un selector de tráfico coincidente.

access-list outside_cryptomap_ibm_vpc_zone2 extended permit ip object-group on-premise-subnets object-group ibm-vpc-zone2-subnets

Cree una correlación criptográfica para unir los distintos elementos del túnel VPN y actívela en la interfaz externa. 150.239.170.57 es la IP pública de la pasarela VPN basada en políticas de IBM.

crypto map ibm_vpc 1 match address outside_cryptomap_ibm_vpc_zone2
crypto map ibm_vpc 1 set peer 150.239.170.57
crypto map ibm_vpc 1 set ikev2 ipsec-proposal ibm-vpc-proposal
crypto map ibm_vpc 1 set pfs group19
crypto map ibm_vpc interface outside

Si tiene reglas de NAT en los dispositivos ASAv, tendrá que eximir el tráfico de la VPN de las reglas NAT.

nat (inside,outside) source static on-premise-subnets on-premise-subnets destination static ibm-vpc-zone2-subnets ibm-vpc-zone2-subnets

Configure la sujeción MSS de TCP en ASAv para evitar una fragmentación innecesaria:

sysopt connection tcpmss 1360

Conexión de una VPN estática basada en ruta de IBM con un igual de Cisco ASAv

Estas instrucciones se basan en Cisco ASAv, Cisco Adaptative Security Appliance versión 9.10(1).

El primer paso para configurar Cisco ASAv para utilizarlo con VPN for VPC es asegurarse de que se cumplen las siguientes condiciones previas:

  • Cisco ASAv está en línea y funciona con una licencia adecuada.
  • Se ha habilitado una contraseña para Cisco ASAv.
  • Hay al menos una interfaz interna funcional configurada y verificada.
  • Hay al menos una interfaz externa funcional configurada y verificada.

Cuando una VPN de Cisco ASAv recibe una solicitud de conexión de VPN for VPC, utiliza los parámetros de fase 1 de IKE para establecer una conexión segura y autenticarse en VPN for VPC. A continuación, si la política de seguridad permite la conexión, la unidad Cisco ASAv establece el túnel utilizando los parámetros de fase 2 de IPsec y aplica la política de seguridad de IPsec. Los servicios de seguridad, autenticación y gestión de claves se negocian dinámicamente mediante el protocolo IKE.

Para ofrecer soporte a estas funciones, se deben seguir los siguientes pasos de configuración general en la VPN de Cisco ASAv:

  • Asegúrese de que la dirección IP pública para Cisco ASAv se haya configurado directamente en ASAv. Utilice crypto isakmp identity address para asegurarse de que el ASAv de CISCO use la dirección IP pública de la interfaz como identidad.

    Este valor global se aplica a todas las conexiones en el dispositivo Cisco, por lo que si necesita mantener varias conexiones, configure crypto isakmp identity auto en su lugar, para asegurarse de que el dispositivo Cisco determine automáticamente la identidad por tipo de conexión.

  • Defina los parámetros de fase 1 que la VPN de Cisco ASAv necesita para autenticar VPN for VPC y establecer una conexión segura.

  • Defina los parámetros de fase 2 que la VPN de Cisco ASAv necesita para crear un túnel VPN con VPN for VPC.

Cree un objeto de propuesta de IKE versión 2. Los objetos de propuesta IKEv2 contienen los parámetros necesarios para crear propuestas IKEv2 cuando se define el acceso remoto y las políticas VPN 'sitio a sitio'. IKE es un protocolo de gestión de claves que facilita la gestión de las comunicaciones basadas en IPsec. Se utiliza para autenticar iguales de IPsec, negociar y distribuir claves de cifrado IPsec, y establecer automáticamente SA de IPsec.

En este bloque, se configuran los parámetros siguientes a modo de ejemplo. Puede elegir otros parámetros de acuerdo con la política de seguridad de la empresa; sin embargo, asegúrese de utilizar parámetros idénticos en la pasarela de IBM VPN y ASAv.

  • Algoritmo de cifrado : Se establece a aes-256 en este ejemplo.
  • Algoritmo de integridad: Se establece a sha256 en este ejemplo.
  • Grupo Diffie-Hellman: IPsec utiliza el algoritmo Diffie-Hellman para generar la clave de cifrado inicial entre los iguales. En este ejemplo, está establecido al grupo 19.
  • Función pseudoaleatoria (PRF): IKEv2 requiere un método separado que se utiliza como algoritmo para derivar material de claves y operaciones de hash necesarias para el cifrado de túnel de IKEv2. Esto se conoce como función pseudoaleatoria y se establece a sha256.
  • Tiempo de vida de la SA: Establece el tiempo de vida de las asociaciones de seguridad (transcurrido el cual se produce una reconexión) a 86400 segundos.
crypto ikev2 policy 100
 encryption aes-256
 integrity sha256
 group 19
 prf sha256
 lifetime seconds 86400
crypto ikev2 enable outside

Cree un perfil IPsec para la interfaz de túnel virtual (VTI). El perfil referencia la propuesta de IPsec y la VTI referencia el perfil. Asegúrese de que la pasarela de IBM VPN y el ASAv usen parámetros idénticos de propuesta IPsec y perfil IPsec.

crypto ipsec ikev2 ipsec-proposal ibm-ipsec-proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-256
crypto ipsec profile ibm-ipsec-profile
 set ikev2 ipsec-proposal ibm-ipsec-proposal
 set pfs group19
 set security-association lifetime kilobytes unlimited
 set security-association lifetime seconds 3600
 responder-only

Cree el grupo de túneles en el túnel primario de IBM. La dirección de igual 169.59.210.199 es la IP pública pequeña de la pasarela VPN basada en ruta de IBM, y la clave precompartida debe ser la misma que la pasarela VPN basada en ruta de IBM. Para obtener más información sobre la IP pública pequeña, consulte este aviso importante.

tunnel-group 169.59.210.199 type ipsec-l2l
tunnel-group 169.59.210.199 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your-pre-shared-key>
 ikev2 local-authentication pre-shared-key <your-pre-shared-key>

Cree la interfaz de túnel virtual y configure la dirección de enlace local (169.254.0.2/30) en la interfaz. Procure elegir la dirección de enlace local y asegúrese de que no se solape con otras direcciones del dispositivo. Hay dos direcciones IP disponibles (169.254.0.1 y 169.254.0.2) en una subred con una máscara de red de 30 bits. La primera dirección IP 169.254.0.1 se utiliza como dirección VTI de pasarela de IBM VPN; la segunda, 169.254.0.2, se utiliza como dirección VTI de ASAv. Si tiene más de un VTI en ASAv, puede elegir otra subred local de enlace como, por ejemplo, 169.254.0.4/30, 169.254.0.8/30, etc.

No es necesario configurar 169.254.0.1 en la pasarela de IBM VPN. Solo se referencia al configurar las rutas en el ASAv.

interface Tunnel1
 nameif ibm-gateway-primary-tunnel
 no shutdown
 ip address 169.254.0.2 255.255.255.252
 tunnel source interface outside
 tunnel destination 169.59.210.199
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ibm-ipsec-profile
!

Añada una ruta al ASAv. El destino 10.240.65.0 es la subred VPC de IBM y el siguiente salto es la dirección VTI de la pasarela de IBM VPN. La distancia de ruta es 1.

route ibm-gateway-primary-tunnel 10.240.65.0 255.255.255.0 169.254.0.1 1

Cree el grupo de túneles en el túnel secundario de IBM. La dirección de igual 169.59.210.200 es la IP pública grande de la pasarela VPN basada en ruta de IBM, y la clave precompartida debe ser la misma que la pasarela VPN basada en ruta de IBM. Para obtener más información sobre la IP pública grande, consulte este aviso importante.

tunnel-group 169.59.210.200 type ipsec-l2l
tunnel-group 169.59.210.200 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your-pre-shared-key>
 ikev2 local-authentication pre-shared-key <your-pre-shared-key>
!

Cree la interfaz de túnel virtual y configure la dirección de enlace local (169.254.0.6/30) en la interfaz. Procure elegir la dirección de enlace local y asegúrese de que no se solape con otras direcciones del dispositivo. Hay dos direcciones IP disponibles (169.254.0.5 y 169.254.0.6) en una subred con una máscara de red de 30 bits. La primera dirección IP 169.254.0.5 se utiliza como dirección VTI de pasarela de IBM VPN; la segunda, 169.254.0.6, se utiliza como dirección VTI de ASAv. Si tiene más de un VTI en ASAv, puede elegir otra subred local de enlace como, por ejemplo, 169.254.0.0/30, 169.254.0.8/30, etc.

No es necesario configurar 169.254.0.5 en la pasarela de IBM VPN. Solo se referencia al configurar las rutas en el ASAv.

interface Tunnel2
 nameif ibm-gateway-secondary-tunnel
 no shutdown
 ip address 169.254.0.6 255.255.255.252
 tunnel source interface outside
 tunnel destination 169.59.210.200
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ibm-ipsec-profile
!

Añada una ruta al ASAv. El destino 10.240.65.0 es la subred VPC de IBM y el siguiente salto es la dirección VTI secundaria de la pasarela de IBM VPN. La distancia de ruta es 10.

route ibm-gateway-secondary-tunnel 10.240.65.0 255.255.255.0 169.254.0.5 10

Configure la sujeción MSS de TCP en ASAv para evitar una fragmentación innecesaria:

sysopt connection tcpmss 1360