IBM Cloud Docs
连接到 Cisco ASAv 同级

连接到 Cisco ASAv 同级

您可以使用 IBM Cloud VPN for VPC 通过 VPN 隧道将 VPC 安全地连接到内部部署网络。 本主题提供有关如何配置 Cisco ASAv VPN 网关以连接到 VPN for VPC的指导。

在继续连接到内部部署同级之前,请阅读 VPN 网关限制

将基于 IBM 策略的 VPN 连接到 Cisco ASAv 同级

当您在 IBM VPC 或本地网络上以及本地 VPN 设备上具有多个子网时,Cisco ASAv 将使用 IKEv2。 必须在 IBM VPN 网关上为每个子网对创建一个 VPN 连接,因为 Cisco ASAv 会为每个子网对创建一个新的安全性关联 (SA)。

这些指示信息基于 Cisco ASAv,Cisco Adaptive Security Appliance Software V 9.10(1)。

配置 Cisco ASAv 以用于 VPN for VPC 的第一步是确保满足以下先决条件:

  • Cisco ASAv 处于联机状态,并且具有正确的许可证。
  • 已启用 Cisco ASAv 的密码。
  • 至少有一个经过配置和验证的功能内部接口。
  • 至少有一个经过配置和验证的功能外部接口。

当 Cisco ASAv VPN 从 VPN for VPC接收连接请求时,它使用 IKE 阶段 1 参数来建立安全连接并向 VPN for VPC进行认证。 然后,如果安全策略允许连接,那么 Cisco ASAv 将使用 IPsec 阶段 2 参数来建立隧道,并应用 IPsec 安全策略。 密钥管理、认证和安全服务均通过 IKE 协议动态协商。

要支持这些功能,必须在 Cisco ASAv VPN 上执行以下常规配置步骤:

  • 确保在 ASAv 上直接配置了 Cisco ASAv 的公共 IP 地址。 使用 crypto isakmp identity address 来确保 Cisco ASAv 使用接口的公共 IP 地址作为其身份。

    此全局设置适用于 Cisco 设备上的所有连接。 因此,如果需要维护多个连接,请改为设置 crypto isakmp identity auto,以确保 Cisco 设备按连接类型自动确定身份。

  • 定义 Cisco ASAv VPN 认证 VPN for VPC 并建立安全连接所需的阶段 1 参数。

  • 定义 2 阶段参数,Cisco ASAv VPN 需要这些参数才能使用 VPN for VPC创建 VPN 隧道。

ASAv 设备支持 ACL 功能部件的对象组。 此功能部件扩展传统 ACL 以支持基于对象组的 ACL。 您可以根据 VPC 子网和本地子网创建以下对象组:

# define network object according to your VPC and on-premises subnet
object-group network on-premise-subnets
 network-object 172.16.0.0 255.255.0.0
object-group network ibm-vpc-zone3-subnets
 network-object 10.241.129.0 255.255.255.0
object-group network ibm-vpc-zone2-subnets
 network-object 10.240.64.0 255.255.255.0

创建 IKE V 2 建议对象。 IKEv2 建议对象包含在定义远程访问和站点间 VPN 策略时创建 IKEv2 建议所需的参数。 IKE 是一种密钥管理协议,有助于管理基于 IPsec 的通信。 IKE 用于认证 IPsec 同级,协商和分发 IPsec 加密密钥,以及自动建立 IPsec 安全性关联 (SA)。

在此块中,以下参数设置为示例。 您可以根据公司的安全策略选择其他参数; 但是,请确保在 IBM VPN 网关和 ASAv 上使用相同的参数。

  • 加密算法-针对此示例设置为 aes-256
  • 完整性算法-针对此示例设置为 sha256
  • Diffie-Hellman 组-IPsec 使用 Diffie-Hellman 算法在同级之间生成初始加密密钥。 在此示例中,它设置为组 19
  • 伪随机函数 (PRF)- IKEv2 需要一个单独的方法,该方法用作算法来派生 IKEv2 隧道加密所需的密钥材料和散列操作。 这称为伪随机函数,并设置为 sha256
  • SA 生存期-将安全性关联的生存期 (在此之后发生重新连接) 设置为 36000 秒。
crypto ikev2 policy 100
encryption aes-256
integrity sha256
group 19
prf sha256
lifetime seconds 36000
crypto ikev2 enable outside

为连接创建 IPsec 策略。 IKEv2 支持针对单个策略的多个加密和认证类型以及多个完整性算法。 ASAv 将设置从“最安全”排序为“最不安全”,并使用该顺序与同级协商。

# Create IPsec policy, IKEv2 support multiple proposals
crypto ipsec ikev2 ipsec-proposal ibm-vpc-proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-256

创建组策略和隧道组。 此步骤中配置了对等地址和预共享密钥。

# Create VPN default group policy
group-policy ibm_vpn internal
group-policy ibm_vpn attributes
 vpn-tunnel-protocol ikev2

# Create the tunnel-group to configure pre-shared keys, 150.239.170.57 is public IP of IBM policy-based VPN gateway
tunnel-group 150.239.170.57 type ipsec-l2l
tunnel-group 150.239.170.57 general-attributes
 default-group-policy ibm_vpn
tunnel-group 150.239.170.57 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your pre-shared key>
 ikev2 local-authentication pre-shared-key <your pre-shared key>

创建 ACL 以匹配从内部部署到 VPC 的流量。 对于从 VPC 到本地的流量,ASAv 使用 SPI 来查找流量选择器。 确保双方都在使用匹配的流量选择器。

access-list outside_cryptomap_ibm_vpc_zone2 extended permit ip object-group on-premise-subnets object-group ibm-vpc-zone2-subnets

创建加密映射以将 VPN 隧道的各个元素拉到一起,并在外部接口上激活该映射。150.239.170.57 是基于 IBM 策略的 VPN 网关的公共 IP。

crypto map ibm_vpc 1 match address outside_cryptomap_ibm_vpc_zone2
crypto map ibm_vpc 1 set peer 150.239.170.57
crypto map ibm_vpc 1 set ikev2 ipsec-proposal ibm-vpc-proposal
crypto map ibm_vpc 1 set pfs group19
crypto map ibm_vpc interface outside

如果在 ASAv 设备上具有 NAT 规则,那么必须从 NAT 规则中豁免 VPN 上的流量。

nat (inside,outside) source static on-premise-subnets on-premise-subnets destination static ibm-vpc-zone2-subnets ibm-vpc-zone2-subnets

在 ASAv 上配置 TCP MSS 箝位以避免不必要的分段:

sysopt connection tcpmss 1360

将基于路由的 IBM 静态 VPN 连接到 Cisco ASAv 同级

这些指示信息基于 Cisco ASAv,Cisco Adaptive Security Appliance Software V 9.10(1)。

配置 Cisco ASAv 以用于 VPN for VPC 的第一步是确保满足以下先决条件:

  • Cisco ASAv 处于联机状态,并且具有正确的许可证。
  • 已启用 Cisco ASAv 的密码。
  • 至少有一个经过配置和验证的功能内部接口。
  • 至少有一个经过配置和验证的功能外部接口。

当 Cisco ASAv VPN 从 VPN for VPC接收连接请求时,它使用 IKE 阶段 1 参数来建立安全连接并向 VPN for VPC进行认证。 然后,如果安全策略允许连接,那么 Cisco ASAv 将使用 IPsec 阶段 2 参数建立隧道并应用 IPsec 安全策略。 密钥管理、认证和安全服务均通过 IKE 协议动态协商。

要支持这些功能,必须在 Cisco ASAv VPN 上执行以下常规配置步骤:

  • 确保在 ASAv 上直接配置了 Cisco ASAv 的公共 IP 地址。 使用 crypto isakmp identity address 来确保 Cisco ASAv 使用接口的公共 IP 地址作为其身份。

    此全局设置适用于 Cisco 设备上的所有连接,因此如果需要维护多个连接,请改为设置 crypto isakmp identity auto,以确保 Cisco 设备按连接类型自动确定身份。

  • 定义 Cisco ASAv VPN 认证 VPN for VPC 并建立安全连接所需的阶段 1 参数。

  • 定义 2 阶段参数,Cisco ASAv VPN 需要这些参数才能使用 VPN for VPC创建 VPN 隧道。

创建 IKE V 2 建议对象。 IKEv2 建议对象包含在定义远程访问和站点间 VPN 策略时创建 IKEv2 建议所需的参数。 IKE 是一种密钥管理协议,有助于管理基于 IPsec 的通信。 它用于认证 IPsec 同级,协商和分发 IPsec 加密密钥,以及自动建立 IPsec SA。

在此块中,以下参数设置为示例。 您可以根据公司的安全策略选择其他参数; 但是,请确保在 IBM VPN 网关和 ASAv 上使用相同的参数。

  • 加密算法-针对此示例设置为 aes-256
  • 完整性算法-针对此示例设置为 sha256
  • Diffie-Hellman 组-IPsec 使用 Diffie-Hellman 算法在同级之间生成初始加密密钥。 在此示例中,它设置为组 19
  • 伪随机函数 (PRF)- IKEv2 需要一个单独的方法,该方法用作算法来派生 IKEv2 隧道加密所需的密钥材料和散列操作。 这称为伪随机函数,并设置为 sha256
  • SA 生存期-将安全性关联的生存期 (在此之后发生重新连接) 设置为 86400 秒。
crypto ikev2 policy 100
 encryption aes-256
 integrity sha256
 group 19
 prf sha256
 lifetime seconds 86400
crypto ikev2 enable outside

为虚拟隧道接口 (VTI) 创建 IPsec 概要文件。 概要文件引用 IPsec 建议,而 VTI 引用概要文件。 确保 IBM VPN 网关和 ASAv 使用相同的 IPsec 建议和 IPsec 概要文件参数。

crypto ipsec ikev2 ipsec-proposal ibm-ipsec-proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-256
crypto ipsec profile ibm-ipsec-profile
 set ikev2 ipsec-proposal ibm-ipsec-proposal
 set pfs group19
 set security-association lifetime kilobytes unlimited
 set security-association lifetime seconds 3600
 responder-only

创建到 IBM 主隧道的隧道组。 对等地址 169.59.210.199 是基于 IBM 路由的 VPN 网关的小型公共 IP,预先共享的密钥应该与基于 IBM 路由的 VPN 网关相同。 有关小型公共 IP 的更多信息,请参阅此 重要声明

tunnel-group 169.59.210.199 type ipsec-l2l
tunnel-group 169.59.210.199 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your-pre-shared-key>
 ikev2 local-authentication pre-shared-key <your-pre-shared-key>

创建虚拟隧道接口并在该接口上配置链路本地地址 (169.254.0.2/30)。 请注意选择链接本地地址,并确保它与设备上的其他地址不重叠。 在具有 30 位网络掩码的子网中,有两个可用的 IP 地址 (169.254.0.1169.254.0.2)。 第一个 IP 地址 169.254.0.1 用作 IBM VPN 网关 VTI 地址; 第二个 IP 地址 169.254.0.2 用作 ASAv VTI 地址。 如果 ASAv 上有多个 VTI,那么可以选择另一个链路本地子网,例如 169.254.0.4/30169.254.0.8/30 等。

您无需在 IBM VPN 网关上配置 169.254.0.1。 仅当您在 ASAv 上配置路由时,才会引用此参数。

interface Tunnel1
 nameif ibm-gateway-primary-tunnel
 no shutdown
 ip address 169.254.0.2 255.255.255.252
 tunnel source interface outside
 tunnel destination 169.59.210.199
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ibm-ipsec-profile
!

将路径添加到 ASAv。 目标 10.240.65.0 是 IBM VPC 子网,下一个中继段是 IBM VPN 网关的 VTI 地址。 路由距离为 1

route ibm-gateway-primary-tunnel 10.240.65.0 255.255.255.0 169.254.0.1 1

创建到 IBM 辅助隧道的隧道组。 对等地址 169.59.210.200 是基于 IBM 路由的 VPN 网关的大型公共 IP,预先共享的密钥应该与基于 IBM 路由的 VPN 网关相同。 有关大型公共 IP 的更多信息,请参阅此 重要声明

tunnel-group 169.59.210.200 type ipsec-l2l
tunnel-group 169.59.210.200 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your-pre-shared-key>
 ikev2 local-authentication pre-shared-key <your-pre-shared-key>
!

创建虚拟隧道接口并在该接口上配置链路本地地址 (169.254.0.6/30)。 请注意选择链接本地地址,并确保它与设备上的其他地址不重叠。 在具有 30 位网络掩码的子网中,有两个可用的 IP 地址 (169.254.0.5169.254.0.6)。 第一个 IP 地址 169.254.0.5 用作 IBM VPN 网关 VTI 地址; 第二个 IP 地址 169.254.0.6 用作 ASAv VTI 地址。 如果 ASAv 上有多个 VTI,那么可以选择另一个链路本地子网,例如 169.254.0.0/30169.254.0.8/30 等。

您无需在 IBM VPN 网关上配置 169.254.0.5。 仅当您在 ASAv 上配置路由时,才会引用此参数。

interface Tunnel2
 nameif ibm-gateway-secondary-tunnel
 no shutdown
 ip address 169.254.0.6 255.255.255.252
 tunnel source interface outside
 tunnel destination 169.59.210.200
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ibm-ipsec-profile
!

将路径添加到 ASAv。 目标 10.240.65.0 是 IBM VPC 子网,下一个中继段是 IBM VPN 网关的辅助 VTI 地址。 路由距离为 10

route ibm-gateway-secondary-tunnel 10.240.65.0 255.255.255.0 169.254.0.5 10

在 ASAv 上配置 TCP MSS 箝位以避免不必要的分段:

sysopt connection tcpmss 1360