IBM Cloud Docs
連接至 Cisco ASAv 同層級

連接至 Cisco ASAv 同層級

您可以使用 IBM Cloud VPN for VPC,透過 VPN 通道安全地將 VPC 連接到內部網路。 本主題提供有關如何設定 Cisco ASAv VPN 閘道以連線至 VPN for VPC 的指引。

在繼續連線至您的內部對等網路之前,請閱讀 VPN 閘道的已知問題

將 IBM 原則型 VPN 連接至 Cisco ASAv 對等節點

當您在 IBM VPC 或內部部署網路上以及內部部署 VPN 裝置上具有多個子網路時,Cisco ASAv 會使用 IKEv2。 您必須在 IBM VPN 閘道上為每一個子網路配對建立一個 VPN 連線,因為 Cisco ASAv 會為每一個子網路配對建立新的安全關聯 (SA)。

這些說明是基於 Cisco ASAv,Cisco Adaptive Security Appliance 軟體版本 9.10 (1)。

配置 Cisco ASAv 以與 VPN for VPC 搭配使用的首要步驟是確保符合下列必要條件:

  • Cisco ASAv 已線上運作,並取得適當的授權。
  • Cisco ASAv 的密碼已啟用。
  • 至少有一個已設定且經過驗證的功能性內部介面。
  • 至少有一個已設定且經過驗證的功能性外部介面。

當 Cisco ASAv VPN 收到來自 VPN for VPC的連線要求時,它會使用 IKE Phase 1 參數來建立安全連線,並向 VPN for VPC進行鑑別。 然後,如果安全政策允許連線,Cisco ASAv 會使用 IPsec Phase 2 參數建立隧道,並套用 IPsec 安全政策。 金鑰管理、鑑別及安全服務會透過 IKE 通訊協定動態協議。

要支援這些功能,必須在 Cisco ASAv VPN 上執行下列一般設定步驟:

  • 請確定直接在 ASAv 上配置 Cisco ASAv 的公用 IP 位址。 使用 crypto isakmp identity address 以確保 Cisco ASAv 使用介面的公用 IP 位址作為其身分。

    此廣域設定適用於 Cisco 裝置上的所有連線。 因此,如果您需要維護多個連線,請改為設定 crypto isakmp identity auto,以確保 Cisco 裝置會依連線類型自動判定身分。

  • 定義 Cisco ASAv VPN 認證 VPN for VPC 和建立安全連線所需的 Phase 1 參數。

  • 定義 Cisco ASAv VPN 與 VPN for VPC 建立 VPN 通道所需的 Phase 2 參數。

ASAv 裝置支援 ACL 功能的物件群組。 此特性延伸慣用 ACL,以支援物件群組型 ACL。 您可以根據 VPC 子網路及內部部署子網路建立下列物件群組:

# define network object according to your VPC and on-premises subnet
object-group network on-premise-subnets
 network-object 172.16.0.0 255.255.0.0
object-group network ibm-vpc-zone3-subnets
 network-object 10.241.129.0 255.255.255.0
object-group network ibm-vpc-zone2-subnets
 network-object 10.240.64.0 255.255.255.0

建立 IKE 第 2 版提案物件。 IKEv2 提案物件包含在您定義遠端存取和站點對站點 VPN 政策時,建立 提案所需的參數。IKEv2 IKE 是一種金鑰管理通訊協定,可協助管理 IPsec 型通訊。 它是用來鑑別 IPsec 對等節點,協議及配送 IPsec 加密金鑰,並自動建立 IPsec 安全關聯 (SA)。

在此區塊中,下列參數設定為範例。 您可以根據公司的安全原則選擇其他參數; 不過,請確保在 IBM VPN 閘道及 ASAv 上使用相同的參數。

  • 加密演算法- 本範例設定為 aes-256
  • 完整性演算法- 本範例設定為 sha256
  • Diffie-Hellman 群組- IPsec 使用 Diffie-Hellman 演算法來產生對等體之間的初始加密金鑰。 在這個範例中,它被設定為群組 19
  • 偽隨機函數 (Pseudo-Random Function, PRF)- IKEv2 需要一個獨立的方法,用來作為 IKEv2 隧道加密所需的演算法,以推導出金鑰材料和散列運算。 這稱為偽隨機函數,設定為 sha256
  • SA 生命期限-將安全關聯的生命期限 (在此之後會重新連線) 設為 36000 秒。
crypto ikev2 policy 100
encryption aes-256
integrity sha256
group 19
prf sha256
lifetime seconds 36000
crypto ikev2 enable outside

建立連線的 IPsec 原則。 IKEv2 支援多個加密和鑑別類型,以及單一原則的多個完整性演算法。 ASAv 會將設定從「最安全」到「最不安全」,並使用該順序與對等節點協議。

# Create IPsec policy, IKEv2 support multiple proposals
crypto ipsec ikev2 ipsec-proposal ibm-vpc-proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-256

建立群組原則及通道群組。 在此步驟中配置對等節點位址及預先共用金鑰。

# Create VPN default group policy
group-policy ibm_vpn internal
group-policy ibm_vpn attributes
 vpn-tunnel-protocol ikev2

# Create the tunnel-group to configure pre-shared keys, 150.239.170.57 is public IP of IBM policy-based VPN gateway
tunnel-group 150.239.170.57 type ipsec-l2l
tunnel-group 150.239.170.57 general-attributes
 default-group-policy ibm_vpn
tunnel-group 150.239.170.57 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your pre-shared key>
 ikev2 local-authentication pre-shared-key <your pre-shared key>

建立 ACL 以符合從內部部署至 VPC 的資料流量。 對於從 VPC 到內部部署的資料流量,ASAv 會使用 SPI 來查閱資料流量選取器。 請確定兩端都使用相符的資料流量選取器。

access-list outside_cryptomap_ibm_vpc_zone2 extended permit ip object-group on-premise-subnets object-group ibm-vpc-zone2-subnets

建立加密對映以將 VPN 通道的各種元素聚集在一起,並在外部介面上啟動它。150.239.170.57 是 IBM 原則型 VPN 閘道的公用 IP。

crypto map ibm_vpc 1 match address outside_cryptomap_ibm_vpc_zone2
crypto map ibm_vpc 1 set peer 150.239.170.57
crypto map ibm_vpc 1 set ikev2 ipsec-proposal ibm-vpc-proposal
crypto map ibm_vpc 1 set pfs group19
crypto map ibm_vpc interface outside

如果您在 ASAv 裝置上具有 NAT 規則,則必須從 NAT 規則中豁免 VPN 上的資料流量。

nat (inside,outside) source static on-premise-subnets on-premise-subnets destination static ibm-vpc-zone2-subnets ibm-vpc-zone2-subnets

在 ASAv 上配置 TCP MSS 夾持,以避免不必要的片段化:

sysopt connection tcpmss 1360

將 IBM 靜態路由型 VPN 連接至 Cisco ASAv 對等節點

這些說明是基於 Cisco ASAv,Cisco Adaptive Security Appliance 軟體版本 9.10 (1)。

配置 Cisco ASAv 以與 VPN for VPC 搭配使用的首要步驟是確保符合下列必要條件:

  • Cisco ASAv 已線上運作,並取得適當的授權。
  • Cisco ASAv 的密碼已啟用。
  • 至少有一個已設定且經過驗證的功能性內部介面。
  • 至少有一個已設定且經過驗證的功能性外部介面。

當 Cisco ASAv VPN 收到來自 VPN for VPC的連線要求時,它會使用 IKE Phase 1 參數來建立安全連線,並向 VPN for VPC進行鑑別。 然後,如果安全政策允許連線,Cisco ASAv 會使用 IPsec Phase 2 參數建立隧道,並套用 IPsec 安全政策。 金鑰管理、鑑別及安全服務會透過 IKE 通訊協定動態協議。

要支援這些功能,必須在 Cisco ASAv VPN 上執行下列一般設定步驟:

  • 請確定直接在 ASAv 上配置 Cisco ASAv 的公用 IP 位址。 使用 crypto isakmp identity address 以確保 Cisco ASAv 使用介面的公用 IP 位址作為其身分。

    此廣域設定適用於 Cisco 裝置上的所有連線,因此如果您需要維護多個連線,請改為設定 crypto isakmp identity auto,以確保 Cisco 裝置會依連線類型自動判定身分。

  • 定義 Cisco ASAv VPN 認證 VPN for VPC 和建立安全連線所需的 Phase 1 參數。

  • 定義 Cisco ASAv VPN 與 VPN for VPC 建立 VPN 通道所需的 Phase 2 參數。

建立 IKE 第 2 版提案物件。 IKEv2 提案物件包含在您定義遠端存取和站點對站點 VPN 政策時,建立 提案所需的參數。IKEv2 IKE 是一種金鑰管理通訊協定,可協助管理 IPsec 型通訊。 它用來驗證 IPsec 對等體、協商和分發 IPsec 加密金鑰,以及自動建立 IPsec SA。

在此區塊中,下列參數設定為範例。 您可以根據公司的安全原則選擇其他參數; 不過,請確保在 IBM VPN 閘道及 ASAv 上使用相同的參數。

  • 加密演算法- 本範例設定為 aes-256
  • 完整性演算法- 本範例設定為 sha256
  • Diffie-Hellman 群組- IPsec 使用 Diffie-Hellman 演算法來產生對等體之間的初始加密金鑰。 在這個範例中,它被設定為群組 19
  • 偽隨機函數 (Pseudo-Random Function, PRF)- IKEv2 需要一個獨立的方法,用來作為 IKEv2 隧道加密所需的演算法,以推導出金鑰材料和散列運算。 這稱為偽隨機函數,設定為 sha256
  • SA 生命期限-將安全關聯的生命期限 (在此之後會重新連線) 設為 86400 秒。
crypto ikev2 policy 100
 encryption aes-256
 integrity sha256
 group 19
 prf sha256
 lifetime seconds 86400
crypto ikev2 enable outside

建立虛擬通道介面 (VTI) 的 IPsec 設定檔。 設定檔會參照 IPsec 提案,而 VTI 會參照設定檔。 請確定 IBM VPN 閘道及 ASAv 使用相同的 IPsec 提案及 IPsec 設定檔參數。

crypto ipsec ikev2 ipsec-proposal ibm-ipsec-proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-256
crypto ipsec profile ibm-ipsec-profile
 set ikev2 ipsec-proposal ibm-ipsec-proposal
 set pfs group19
 set security-association lifetime kilobytes unlimited
 set security-association lifetime seconds 3600
 responder-only

建立 IBM 主要通道的通道群組。 對等節點位址 169.59.210.199 是 IBM 路由型 VPN 閘道的小型公用 IP,且預先共用金鑰應該與 IBM 路由型 VPN 閘道相同。 如需小型公用 IP 的相關資訊,請參閱此 重要注意事項

tunnel-group 169.59.210.199 type ipsec-l2l
tunnel-group 169.59.210.199 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your-pre-shared-key>
 ikev2 local-authentication pre-shared-key <your-pre-shared-key>

建立虛擬通道介面,並在介面上配置鏈結本端位址 (169.254.0.2/30)。 請小心選擇鏈結本端位址,並確定它不會與裝置上的其他位址重疊。 在具有 30 位元網路遮罩的子網路中,有兩個可用的 IP 位址 (169.254.0.1169.254.0.2)。 第一個 IP 位址 169.254.0.1 用作 IBM VPN 閘道 VTI 位址; 第二個 IP 位址 169.254.0.2 用作 ASAv VTI 位址。 如果您在 ASAv 上具有多個 VTI,則可以選擇另一個鏈結-本端子網路,例如 169.254.0.4/30169.254.0.8/30 等。

您不需要在 IBM VPN 閘道上配置 169.254.0.1。 只有在您配置 ASAv 上的路徑時,才會參照它。

interface Tunnel1
 nameif ibm-gateway-primary-tunnel
 no shutdown
 ip address 169.254.0.2 255.255.255.252
 tunnel source interface outside
 tunnel destination 169.59.210.199
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ibm-ipsec-profile
!

新增路徑至 ASAv。 目的地 10.240.65.0 是 IBM VPC 子網路,下一個躍點是 IBM VPN 閘道的 VTI 位址。 路線距離為 1

route ibm-gateway-primary-tunnel 10.240.65.0 255.255.255.0 169.254.0.1 1

建立 IBM 次要通道的通道群組。 對等節點位址 169.59.210.200 是 IBM 路由型 VPN 閘道的大型公用 IP,且預先共用金鑰應該與 IBM 路由型 VPN 閘道相同。 如需大型公用 IP 的相關資訊,請參閱此 重要注意事項

tunnel-group 169.59.210.200 type ipsec-l2l
tunnel-group 169.59.210.200 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your-pre-shared-key>
 ikev2 local-authentication pre-shared-key <your-pre-shared-key>
!

建立虛擬通道介面,並在介面上配置鏈結本端位址 (169.254.0.6/30)。 請小心選擇鏈結本端位址,並確定它不會與裝置上的其他位址重疊。 在具有 30 位元網路遮罩的子網路中,有兩個可用的 IP 位址 (169.254.0.5169.254.0.6)。 第一個 IP 位址 169.254.0.5 用作 IBM VPN 閘道 VTI 位址; 第二個 IP 位址 169.254.0.6 用作 ASAv VTI 位址。 如果您在 ASAv 上具有多個 VTI,則可以選擇另一個鏈結-本端子網路,例如 169.254.0.0/30169.254.0.8/30 等。

您不需要在 IBM VPN 閘道上配置 169.254.0.5。 只有在您配置 ASAv 上的路徑時,才會參照它。

interface Tunnel2
 nameif ibm-gateway-secondary-tunnel
 no shutdown
 ip address 169.254.0.6 255.255.255.252
 tunnel source interface outside
 tunnel destination 169.59.210.200
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ibm-ipsec-profile
!

新增路徑至 ASAv。 目的地 10.240.65.0 是 IBM VPC 子網路,下一個躍點是 IBM VPN 閘道的次要 VTI 位址。 路線距離為 10

route ibm-gateway-secondary-tunnel 10.240.65.0 255.255.255.0 169.254.0.5 10

在 ASAv 上配置 TCP MSS 夾持,以避免不必要的片段化:

sysopt connection tcpmss 1360