Udostępnij za pośrednictwem

Konfigurowanie połączenia o wysokiej dostępności z lokalnej bramy sieci VPN CloudSimple

  • Artykuł

Administratorzy sieci mogą skonfigurować połączenie sieci VPN typu lokacja-lokacja protokołu IPsec o wysokiej dostępności ze środowiska lokalnego do bramy sieci VPN CloudSimple.

W tym przewodniku przedstawiono kroki konfigurowania zapory lokalnej dla połączenia sieci VPN typu lokacja-lokacja protokołu IPsec. Szczegółowe kroki są specyficzne dla typu zapory lokalnej. Na przykład w tym przewodniku przedstawiono kroki dwóch typów zapór: Cisco ASA i Palo Alto Networks.

Zanim rozpoczniesz

Przed skonfigurowaniem zapory lokalnej wykonaj następujące zadania.

  1. Sprawdź, czy organizacja zaaprowizowała wymagane węzły i utworzyła co najmniej jedną chmurę prywatną CloudSimple.
  2. Skonfiguruj bramę sieci VPN typu lokacja-lokacja między siecią lokalną a chmurą prywatną CloudSimple.

Zobacz Omówienie bram sieci VPN, aby zapoznać się z obsługiwanymi propozycjami fazy 1 i fazy 2.

Konfigurowanie lokalnej zapory Cisco ASA

Instrukcje w tej sekcji dotyczą aplikacji Cisco ASA w wersji 8.4 lub nowszej. W przykładzie konfiguracji oprogramowanie Cisco Adaptive Security Appliance w wersji 9.10 jest wdrażane i konfigurowane w trybie IKEv1.

Aby sieć VPN typu lokacja-lokacja działała, należy zezwolić na korzystanie z protokołu UDP 500/4500 i ESP (protokołu IP 50) z podstawowego i pomocniczego publicznego publicznego adresu IP usługi CloudSimple na zewnętrznym interfejsie lokalnej bramy sieci VPN Cisco ASA.

1. Konfigurowanie fazy 1 (IKEv1)

Aby włączyć fazę 1 (IKEv1) w interfejsie zewnętrznym, wprowadź następujące polecenie interfejsu wiersza polecenia w zaporze Cisco ASA.

crypto ikev1 enable outside

2. Tworzenie zasad IKEv1

Utwórz zasady IKEv1, które definiują algorytmy i metody, które mają być używane do tworzenia skrótów, uwierzytelniania, Diffie-Hellman grupy, okresu istnienia i szyfrowania.

crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 28800

3. Tworzenie grupy tunelu

Utwórz grupę tunelu pod atrybutami protokołu IPsec. Skonfiguruj równorzędny adres IP i klucz wstępny tunelu ustawiony podczas konfigurowania bramy sieci VPN typu lokacja-lokacja.

tunnel-group <primary peer ip> type ipsec-l2l
tunnel-group <primary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

tunnel-group <secondary peer ip> type ipsec-l2l
tunnel-group <secondary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

4. Konfigurowanie fazy 2 (IPsec)

Aby skonfigurować fazę 2 (IPsec), utwórz listę kontroli dostępu (ACL), która definiuje ruch do szyfrowania i tunelowania. W poniższym przykładzie ruch zainteresowania pochodzi z tunelu źródłowego z lokalnej podsieci (10.16.1.1.0/24) do podsieci zdalnej chmury prywatnej (192.168.0.0/24). Lista ACL może zawierać wiele wpisów, jeśli istnieje wiele podsieci między lokacjami.

W programie Cisco ASA w wersji 8.4 lub nowszej można utworzyć obiekty lub grupy obiektów, które służą jako kontenery dla sieci, podsieci, adresów IP hosta lub wielu obiektów. Utwórz obiekt dla lokalnego i obiektu dla zdalnych podsieci i użyj ich dla listy ACL kryptograficznej i instrukcji TRANSLATOR adresów sieciowych.

Definiowanie lokalnej podsieci lokalnej jako obiektu

object network AZ_inside
subnet 10.16.1.0 255.255.255.0

Definiowanie zdalnej podsieci CloudSimple jako obiektu

object network CS_inside
subnet 192.168.0.0 255.255.255.0

Konfigurowanie listy dostępu dla ruchu interesującego

access-list ipsec-acl extended permit ip object AZ_inside object CS_inside

5. Konfigurowanie zestawu przekształceń

Skonfiguruj zestaw przekształceń (TS), który musi zawierać słowo kluczowe ikev1. Atrybuty szyfrowania i skrótu określone w przewodniku rozwiązywania problemów muszą być zgodne z parametrami wymienionymi w konfiguracji domyślnej dla bram sieci VPN CloudSimple.

crypto ipsec ikev1 transform-set devtest39 esp-aes-256 esp-sha-hmac

6. Konfigurowanie mapy kryptograficznej

Skonfiguruj mapę kryptograficzną zawierającą następujące składniki:

  • Równorzędny adres IP
  • Zdefiniowana lista ACL zawierająca interesujący ruch
  • Zestaw przekształceń
crypto map mymap 1 set peer <primary peer ip> <secondary peer ip>
crypto map mymap 1 match address ipsec-acl
crypto map mymap 1 set ikev1 transform-set devtest39

7. Stosowanie mapy kryptograficznej

Zastosuj mapę kryptograficzną w interfejsie zewnętrznym:

crypto map mymap interface outside

8. Potwierdzanie odpowiednich reguł NAT

Poniżej znajduje się reguła translatora adresów sieciowych, która jest używana. Upewnij się, że ruch sieci VPN nie podlega żadnej innej regule translatora adresów sieciowych.

nat (inside,outside) source static AZ_inside AZ_inside destination static CS_inside CS_inside

Przykładowe dane wyjściowe sieci VPN typu lokacja-lokacja protokołu IPsec z aplikacji Cisco ASA

Dane wyjściowe fazy 1:

Dane wyjściowe fazy 1 zapory Cisco ASA

Dane wyjściowe fazy 2:

Dane wyjściowe fazy 2 zapory Cisco ASA

Konfigurowanie lokalnej zapory Palo Alto Networks

Instrukcje w tej sekcji dotyczą aplikacji Palo Alto Networks w wersji 7.1 lub nowszej. W tym przykładzie konfiguracji wdrożono i skonfigurowano aplikację Palo Alto Networks VM-Series Software Version 8.1.0 w trybie IKEv1.

Aby sieć VPN typu lokacja-lokacja działała, należy zezwolić na połączenie UDP 500/4500 i ESP (protokół IP 50) z podstawowego i pomocniczego publicznego adresu IP (równorzędnego adresu IP) cloudSimple na zewnętrznym interfejsie lokalnej bramy Palo Alto Networks.

1. Tworzenie interfejsów tunelu podstawowego i pomocniczego

Zaloguj się do zapory Palo Alto, wybierz pozycjęInterfejsy>sieciowe>Dodaj>, skonfiguruj następujące pola i kliknij przycisk OK.

  • Nazwa interfejsu. Pierwsze pole jest wypełniane automatycznie słowem kluczowym "tunnel". W sąsiednim polu wprowadź dowolną liczbę z zakresu od 1 do 9999. Ten interfejs będzie używany jako podstawowy interfejs tunelu do przenoszenia ruchu lokacja-lokacja między lokalnym centrum danych a chmurą prywatną.
  • Komentarz. Wprowadź komentarze w celu łatwej identyfikacji celu tunelu
  • Profil netflow. Pozostaw wartość domyślną.
  • Config. Przypisywanie interfejsu do: Router wirtualny: wybierz wartość domyślną. Strefa zabezpieczeń: wybierz strefę dla zaufanego ruchu lan. W tym przykładzie nazwa strefy dla ruchu lan to "Trust".
  • IPv4. Kliknij przycisk Dodaj i dodaj dowolny nienakładujący się nieużywany adres IP /32 w środowisku, który zostanie przypisany do podstawowego interfejsu tunelu i będzie używany do monitorowania tuneli (wyjaśniono później).

Ponieważ ta konfiguracja jest przeznaczona dla sieci VPN o wysokiej dostępności, wymagane są dwa interfejsy tunelu: jeden podstawowy i drugi pomocniczy. Powtórz poprzednie kroki, aby utworzyć pomocniczy interfejs tunelu. Wybierz inny identyfikator tunelu i inny nieużywany /32 adres IP.

2. Konfigurowanie tras statycznych dla podsieci chmury prywatnej, które mają być osiągane za pośrednictwem sieci VPN typu lokacja-lokacja

Trasy są niezbędne dla podsieci lokalnych w celu uzyskania dostępu do podsieci chmury prywatnej CloudSimple.

Wybierz pozycję Domyślnetrasy>statyczne routerów>>sieciowych>Dodaj, skonfiguruj następujące pola, a następnie kliknij przycisk OK.

  • Nazwa. Wprowadź dowolną nazwę, aby ułatwić identyfikację przeznaczenia trasy.
  • Docelowy. Określ podsieci chmury prywatnej CloudSimple, które mają zostać osiągnięte za pośrednictwem interfejsów tunelu S2S ze środowiska lokalnego
  • Interfejs. Wybierz podstawowy interfejs tunelu utworzony w kroku 1(Sekcja-2) z listy rozwijanej. W tym przykładzie jest to tunnel.20.
  • Następny przeskok. Wybierz pozycję Brak.
  • Administracja odległość. Pozostaw wartość domyślną.
  • Metrycznych. Wprowadź dowolną wartość z zakresu od 1 do 65535. Kluczem jest wprowadzenie niższej metryki dla trasy odpowiadającej interfejsowi tunelu podstawowego w porównaniu z trasą odpowiadającym interfejsowi tunelu pomocniczego, dzięki czemu była preferowana trasa. Jeśli parametr tunnel.20 ma wartość metryki 20 w przeciwieństwie do wartości metryki 30 dla tunelu.30, preferowany jest tunel.20.
  • Tabela tras. Pozostaw wartość domyślną.
  • Profil BFD. Pozostaw wartość domyślną.
  • Monitorowanie ścieżki. Pozostaw niezaznaczone.

Powtórz poprzednie kroki, aby utworzyć kolejną trasę dla podsieci chmury prywatnej do użycia jako trasa pomocnicza/kopia zapasowa za pośrednictwem pomocniczego interfejsu tunelu. Tym razem wybierz inny identyfikator tunelu i wyższą metrykę niż dla trasy podstawowej.

3. Definiowanie profilu kryptograficznego

Zdefiniuj profil kryptograficzny, który określa protokoły i algorytmy do identyfikacji, uwierzytelniania i szyfrowania, które mają być używane do konfigurowania tuneli sieci VPN w fazie 1 protokołu IKEv1.

Wybierz pozycję Sieć >Rozwiń profile> siecioweIKE Crypto>Dodaj, skonfiguruj następujące pola, a następnie kliknij przycisk OK.

  • Nazwa. Wprowadź dowolną nazwę profilu kryptograficznego IKE.
  • GRUPA DH. Kliknij przycisk Dodaj i wybierz odpowiednią grupę DH.
  • Szyfrowanie. Kliknij przycisk Dodaj i wybierz odpowiednią metodę szyfrowania.
  • Uwierzytelnianie. Kliknij przycisk Dodaj i wybierz odpowiednią metodę uwierzytelniania.
  • Okres istnienia klucza. Pozostaw wartość domyślną.
  • Wiele uwierzytelniania IKEv2. Pozostaw wartość domyślną.

4. Definiowanie bram IKE

Zdefiniuj bramy IKE, aby nawiązać komunikację między elementami równorzędnymi na każdym końcu tunelu sieci VPN.

Wybierz pozycję Sieć> Rozwiń profile > siecioweDodajbramy> IKE, skonfiguruj następujące pola, a następnie kliknij przycisk OK.

Karta Ogólne:

  • Nazwa. Wprowadź nazwę bramy IKE, która ma być równorzędna z podstawowym elementem równorzędnym sieci VPN CloudSimple.
  • Wersja. Wybierz tylko tryb IKEv1.
  • Typ adresu. Wybierz pozycję IPv4.
  • Interfejs. Wybierz publiczny interfejs dostępny lub zewnętrzny.
  • Lokalny adres IP. Pozostaw wartość domyślną.
  • Typ adresu IP elementu równorzędnego. Wybierz pozycję ADRES IP.
  • Adres równorzędny. Wprowadź podstawowy adres IP równorzędnej sieci VPN CloudSimple.
  • Uwierzytelnianie. Wybierz pozycję Klucz wstępny.
  • Klucz wstępny / Potwierdź klucz wstępny. Wprowadź klucz wstępny, aby był zgodny z kluczem bramy sieci VPN CloudSimple.
  • Identyfikacja lokalna. Wprowadź publiczny adres IP lokalnej zapory Palo Alto.
  • Identyfikacja elementu równorzędnego. Wprowadź podstawowy adres IP równorzędnej sieci VPN CloudSimple.

Karta Opcje zaawansowane:

  • Włącz tryb pasywny. Pozostaw niezaznaczone.
  • Włącz przechodzenie translatora adresów sieciowych. Pozostaw niezaznaczone, jeśli lokalna zapora Palo Alto nie znajduje się za żadnym urządzeniem NAT. W przeciwnym razie zaznacz pole wyboru.

IKEv1:

  • Tryb wymiany. Wybierz pozycję main.
  • Profil kryptograficzny IKE. Wybierz utworzony wcześniej profil kryptograficzny IKE. Pozostaw niezaznaczone pole Włącz fragmentację.
  • Wykrywanie utraconych elementów równorzędnych. Pozostaw pole niezaznaczone.

Powtórz poprzednie kroki, aby utworzyć pomocniczą bramę IKE.

5. Definiowanie profilów kryptograficznych PROTOKOŁU IPSEC

Wybierz pozycję Sieć >Rozwiń profile> siecioweIPSEC Crypto>Dodaj, skonfiguruj następujące pola, a następnie kliknij przycisk OK.

  • Nazwa. Wprowadź nazwę profilu kryptograficznego protokołu IPsec.
  • Protokół IPsec. Wybierz pozycję ESP.
  • Szyfrowanie. Kliknij przycisk Dodaj i wybierz odpowiednią metodę szyfrowania.
  • Uwierzytelnianie. Kliknij przycisk Dodaj i wybierz odpowiednią metodę uwierzytelniania.
  • GRUPA DH. Wybierz pozycję no-pfs.
  • Okres istnienia. Ustaw jako 30 minut.
  • Włącz. Pozostaw pole niezaznaczone.

Powtórz poprzednie kroki, aby utworzyć inny profil kryptograficzny protokołu IPsec, który będzie używany jako pomocniczy element równorzędny sieci VPN CloudSimple. Ten sam profil kryptograficzny protokołu IPSEC może być również używany zarówno dla tuneli podstawowych, jak i pomocniczych protokołu IPsec (zobacz poniższą procedurę).

6. Definiowanie profilów monitora na potrzeby monitorowania tunelu

Wybierz pozycję Sieć> Rozwiń monitor profilów>>sieciOwych Dodaj, skonfiguruj następujące pola, a następnie kliknij przycisk OK.

  • Nazwa. Wprowadź dowolną nazwę profilu monitora, który ma być używany do monitorowania tunelu w celu proaktywnej reakcji na awarię.
  • Działania. Wybierz pozycję Tryb failover.
  • Interwał. Wprowadź wartość 3.
  • Próg. Wprowadź wartość 7.

7. Skonfiguruj podstawowe i pomocnicze tunele IPsec.

Wybierz pozycjęTunele>IPsec sieci>Dodaj, skonfiguruj następujące pola, a następnie kliknij przycisk OK.

Karta Ogólne:

  • Nazwa. Wprowadź dowolną nazwę podstawowego tunelu IPSEC, który ma być równorzędny z podstawowym elementem równorzędnym sieci VPN CloudSimple.
  • Interfejs tunelu. Wybierz podstawowy interfejs tunelu.
  • Typu. Pozostaw wartość domyślną.
  • Typ adresu. Wybierz pozycję IPv4.
  • Brama IKE. Wybierz podstawową bramę IKE.
  • Profil kryptograficzny protokołu IPsec. Wybierz podstawowy profil protokołu IPsec. Wybierz pozycję Pokaż opcje zaawansowane.
  • Włącz ochronę odtwarzania. Pozostaw wartość domyślną.
  • Skopiuj nagłówek TOS. Pozostaw pole niezaznaczone.
  • Monitor tunelu. Zaznacz pole wyboru.
  • Docelowy adres IP. Wprowadź dowolny adres IP należący do podsieci CloudSimple Private Cloud dozwolony za pośrednictwem połączenia typu lokacja-lokacja. Upewnij się, że interfejsy tunelu (takie jak tunnel.20 - 10.64.5.2/32 i tunnel.30 - 10.64.6.2/32) w aplikacji Palo Alto mogą uzyskać adres IP chmury prywatnej CloudSimple za pośrednictwem sieci VPN typu lokacja-lokacja. Zobacz następującą konfigurację identyfikatorów serwerów proxy.
  • Profil. Wybierz profil monitora.

Karta Identyfikatory serwerów proxy: kliknij pozycję IPv4>Dodaj i skonfiguruj następujące elementy:

  • Identyfikator serwera proxy. Wprowadź dowolną nazwę interesującego ruchu. W jednym tunelu IPsec może być przenoszonych wiele identyfikatorów serwera proxy.
  • Lokalnych. Określ lokalne podsieci, które mogą komunikować się z podsieciami chmury prywatnej za pośrednictwem sieci VPN typu lokacja-lokacja.
  • Zdalnego. Określ zdalne podsieci chmury prywatnej, które mogą komunikować się z podsieciami lokalnymi.
  • Protokół. Wybierz dowolny.

Powtórz poprzednie kroki, aby utworzyć kolejny tunel IPsec do użycia dla pomocniczej komunikacji równorzędnej sieci VPN CloudSimple.

Odwołania

Konfigurowanie translatora adresów sieciowych w aplikacji Cisco ASA:

Cisco ASA 5500 Series Configuration Guide

Obsługiwane atrybuty IKEv1 i IKEv2 w usłudze Cisco ASA:

Przewodnik konfiguracji interfejsu wiersza polecenia serii Cisco ASA

Konfigurowanie sieci VPN typu lokacja-lokacja protokołu IPsec w usłudze Cisco ASA w wersji 8.4 lub nowszej:

Konfigurowanie tuneli IKEv1 IPsec typu lokacja-lokacja za pomocą rozwiązania ASDM lub interfejsu wiersza polecenia w usłudze ASA

Konfigurowanie wirtualnego urządzenia Cisco Adaptive Security Appliance (ASAv) na platformie Azure:

Przewodnik Szybki start dotyczący wirtualnego urządzenia Cisco Adaptive Security (ASAv)

Konfigurowanie sieci VPN typu lokacja-lokacja przy użyciu identyfikatorów proxy w aplikacji Palo Alto:

Konfigurowanie sieci VPN typu lokacja-lokacja

Konfigurowanie monitora tunelu:

Konfigurowanie monitorowania tunelu

Operacje tunelu IPsec lub bramy IKE:

Włączanie/wyłączanie, odświeżanie lub ponowne uruchamianie bramy IKE lub tunelu IPsec