Konfigurer VRF-bevisst IPsec VPN-til-side VPN på en Cisco-ruter

I forrige uke presenterte jeg et scenario der Virtual Routing and Videresending (VRF) ble brukt til å dele en enkelt ruter inn i åtte virtuelle rutere. Jeg viste deg hvordan du konfigurerer VRF-ene, og i dette innlegget vil jeg gå gjennom konfigurasjonen av IPsec-delen av det samme scenariet der jeg måtte duplisere åtte testlaboratorier med identisk topologi og adressering. Når hver testpod ble duplisert, løp jeg inn i et annet problem. Et krav for at hele dette scenariet skal fungere, var å ha ASA i en pod opprette en VPN-forbindelse med Cisco-ruteren. Det er her den VRF-bevisste IPsec kommer inn. Jeg trengte en måte å ha nøyaktig de samme isakmp- policyene, samme forhåndsdelte nøkler, samme krypto ACL, og så videre for hver VRF. Konfigurasjonen er faktisk enklere enn du kanskje tror. Dette eksempelskonfigurasjonen kan hjelpe deg med en lignende situasjon, som krever denne typen oppsett.

Start med å lage ISAKMP-policyen:

 ! 
 crypto isakmp policy 10 
 encr aes 256 
 forhåndsgodkjenning for autentisering 
 gruppe 2 
 ! 

I konfigurasjonen kan du bruke vanlige elementer mellom VRF-er, så vi trenger bare en ISAKMP-policy. Deretter lager du en krypto ACL og et IPsec-transformasjonssett.

 ip tilgangsliste utvidet VPN 
 tillatelse ip 10.0.100.0 0.0.0.255 10.0.1.0 0.0.0.255 
 crypto ipsec transformasjonssett VPN-TRANS esp-aes esp-sha-hmac. 

Nå for den forhåndsdelte nøkkelen. I dette tilfellet har jeg brukt en nøkkelring for de forhåndsdelte tastene, slik at jeg kan knytte den til VRF.

 krypto nøkkelring POD1nøkler vrf POD1 
 forhåndsdelt nøkkeladresse 192.168.1.2 nøkkel cisco123 
 krypto nøkkelring POD2nøkler vrf POD2 
 forhåndsdelt nøkkeladresse 192.168.1.2 nøkkel cisco123 
 krypto nøkkelring POD3nøkler vrf POD3 
 forhåndsdelt nøkkeladresse 192.168.1.2 nøkkel cisco123 
 krypto nøkkelring POD4nøkler vrf POD4 
 forhåndsdelt nøkkeladresse 192.168.1.2 nøkkel cisco123 
 krypto nøkkelring POD5nøkler vrf POD5 
 forhåndsdelt nøkkeladresse 192.168.1.2 nøkkel cisco123 
 krypto nøkkelring POD6nøkler vrf POD6 
 forhåndsdelt nøkkeladresse 192.168.1.2 nøkkel cisco123 
 krypto nøkkelring POD7nøkler vrf POD7 
 forhåndsdelt nøkkeladresse 192.168.1.2 nøkkel cisco123 
 krypto nøkkelring POD8nøkler vrf POD7 
 forhåndsdelt nøkkeladresse 192.168.1.2 nøkkel cisco123 
 ! 

Lag deretter kryptokartene.

 ! 
 kryptokart pod1 10 ipsec-isakmp 
 sett peer 192.168.1.2 
 sett transformasjonssett VPN-TRANS 
 sett pfs gruppe2 
 kampadresse VPN 
 ! 
 kryptokart pod2 10 ipsec-isakmp 
 sett peer 192.168.1.2 
 sett transformasjonssett VPN-TRANS 
 sett pfs gruppe2 
 kampadresse VPN 
 ! 
 kryptokart pod3 10 ipsec-isakmp 
 sett peer 192.168.1.2 
 sett transformasjonssett VPN-TRANS 
 sett pfs gruppe2 
 kampadresse VPN 
 ! 
 kryptokart pod4 10 ipsec-isakmp 
 sett peer 192.168.1.2 
 sett transformasjonssett VPN-TRANS 
 sett pfs gruppe2 
 kampadresse VPN 
 ! 
 kryptokart pod5 10 ipsec-isakmp 
 sett peer 192.168.1.2 
 sett transformasjonssett VPN-TRANS 
 sett pfs gruppe2 
 kampadresse VPN 
 ! 
 kryptokart pod6 10 ipsec-isakmp 
 sett peer 192.168.1.2 
 sett transformasjonssett VPN-TRANS 
 sett pfs gruppe2 
 kampadresse VPN 
 ! 
 kryptokart pod7 10 ipsec-isakmp 
 sett peer 192.168.1.2 
 sett transformasjonssett VPN-TRANS 
 sett pfs gruppe2 
 sett isakmp-profil pod7 
 kampadresse VPN 
 ! 
 kryptokart pod8 10 ipsec-isakmp 
 sett peer 192.168.1.2 
 sett transformasjonssett VPN-TRANS 
 sett pfs gruppe2 
 kampadresse VPN 
 ! 

Når kryptokartene er satt sammen, kan de brukes på grensesnittene.

 grensesnitt FastEthernet0 / 0.1 
 kryptokart pod 1 
 ! 
 grensesnitt FastEthernet0 / 0.2 
 kryptokart pod2 
 ! 
 grensesnitt FastEthernet0 / 0.3 
 kryptokart pod3 
 ! 
 grensesnitt FastEthernet0 / 0.4 
 kryptokart pod4 
 ! 
 grensesnitt FastEthernet0 / 0.5 
 kryptokart pod5 
 ! 
 grensesnitt FastEthernet0 / 0.6 
 kryptokart pod6 
 ! 
 grensesnitt FastEthernet0 / 0.7 
 kryptokart pod7 
 ! 
 grensesnitt FastEthernet0 / 0.8 
 kryptokart pod8 
 ! 
Når den er brukt, kan vi teste. I figur A pinger jeg et sluttpunkt som krever kryptering.

Når vi går tilbake til ruteren, kan vi se at ISAKMP SA er aktiv for POD7 vrf, som er det vi tester her.

 BBR # sh crypto isa sa vrf POD7 
 IPv4 Crypto ISAKMP SA 
 dst src status tilkoblingsstatus 
 192.168.1.1 192.168.1.2 QM_IDLE 1020 AKTIV 

Ser du på IPsec SA, ser du at den beskyttede VRF er POD7. Ytterligere statistikk er der, men vi vil ikke utdype i dette innlegget.

 BBR # sh crypto ipsec sa vrf POD7 
 grensesnitt: FastEthernet0 / 0.7 
 Kryptokartkode: pod7, lokal addr 192.168.1.1 
 beskyttet vrf: POD7 
 lokal identitet (addr / mask / prot / port): (10.0.100.0/255.255.255.0/0/0) 
 ekstern identitet (addr / mask / prot / port): (10.0.1.0/255.255.255.0/0/0) 
 current_peer 192.168.1.2 port 500 
 PERMIT, flagg = {origin_is_acl, } 
 #pkts encaps: 7, #pkts encrypt: 7, #pkts digest: 7 
 #pkts decaps: 7, #pkts dekryptere: 7, #pkts verifisere: 7 
 #pkts komprimert: 0, #pkts dekomprimert: 0 
 #pkts ikke komprimert: 0, #pkts omfatter. mislyktes: 0 
 #pkts ikke dekomprimert: 0, #pkts dekomprimering mislyktes: 0 
 # send feil 0, #recv feil 0 
 lokalt kryptoendpt .: 192.168.1.1, fjern kryptoendpt .: 192.168.1.2 
 bane mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 / 0.7 
 nåværende utgående spi: 0xE2C2B7A6 (3804411814) 
 PFS (Y / N): Y, DH group: group2 
 inngående esp sas: 
 spi: 0x347E881 (55044225) 
 transform: esp-aes esp-sha-hmac, 
 i bruk-innstillinger = {Tunnel, } 
 conn id: 2023, flow_id: NETGX: 23, søsken_flags 80000046, kryptokart: pod7 
 sa timing: gjenværende nøkkellevetid (k / sek): (4514155/3388) 
 IV størrelse: 16 byte 
 støtte for gjenkjenning av gjenta: Y 
 Status: AKTIV 
 inngående ah sas: 
 inngående pcp sas: 
 utgående esp sas: 
 spi: 0xE2C2B7A6 (3804411814) 
 transform: esp-aes esp-sha-hmac, 
 i bruk-innstillinger = {Tunnel, } 
 conn id: 2024, flow_id: NETGX: 24, søsken_flags 80000046, kryptokart: pod7 
 sa timing: gjenværende nøkkellevetid (k / sek): (4514155/3388) 
 IV størrelse: 16 byte 
 støtte for gjenkjenning av gjenta: Y 
 Status: AKTIV 
 utgående ah sas: 
 utgående PCP er: 
 BBR # 

Det er det for VRF-bevisste IPSec VPN-til-side-til-side.

© Copyright 2020 | mobilegn.com