Migration von EzVPN-NEM+ auf FlexVPN auf demselben Server

Download-Optionen

PDF (160.7 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (114.9 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (143.7 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:25. Januar 2013

Dokument-ID:115013

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Konventionen

IKEv1 und IKEv2

Crypto Map und Virtual Tunnel Interfaces

Netzwerktopologie

Aktuelle Konfiguration mit EzVPN-Client mit Legacy-NEM+-Modus

Client-Konfiguration

Serverkonfiguration

Migration von Server zu FlexVPN

Verlagerung der Legacy-Crypto-Map zu dVTI

Hinzufügen der FlexVPN-Konfiguration zum Server

Konfiguration des FlexVPN-Clients

Vollständige Konfiguration

Vollständige Hybrid-Server-Konfiguration

Vollständige Konfiguration des IKEv1-EzVPN-Clients

Vollständige Konfiguration des IKEv2 FlexVPN-Clients

Konfigurationsprüfung

Zugehörige Informationen

Einleitung

Dieses Dokument beschreibt den Migrationsprozess von EzVPN zu FlexVPN. FlexVPN ist die neue Unified VPN-Lösung von Cisco. FlexVPN nutzt das IKEv2-Protokoll und kombiniert Remote-Zugriff, Site-to-Site-, Hub-and-Spoke- und partielle Mesh-VPN-Bereitstellungen. Bei älteren Technologien wie z. B. EzVPN empfiehlt Cisco dringend, zu FlexVPN zu migrieren, um die zahlreichen Funktionen nutzen zu können.

In diesem Dokument wird eine bestehende EzVPN-Bereitstellung untersucht, die aus Legacy-EzVPN-Hardware-Clients besteht, die Tunnel auf einem EzVPN-Headend-Gerät terminieren, das auf einer veralteten Crypto Map basiert. Ziel ist die Migration von dieser Konfiguration zur Unterstützung von FlexVPN mit folgenden Anforderungen:

Vorhandene Clients arbeiten weiterhin reibungslos, ohne dass Konfigurationsänderungen erforderlich sind. Dies ermöglicht eine schrittweise Migration dieser Clients auf FlexVPN im Laufe der Zeit.
Das Headend-Gerät sollte gleichzeitig die Terminierung neuer FlexVPN-Clients unterstützen.

Zur Umsetzung dieser Migrationsziele werden zwei wichtige IPsec-Konfigurationskomponenten verwendet: IKEv2 und Virtual Tunnel Interfaces (VTI). Diese Ziele werden in diesem Dokument kurz beschrieben.

Weitere Dokumente dieser Serie

FlexVPN-Bereitstellungsleitfaden: AnyConnect zu IOS-Headend über IPsec mit IKEv2 und Zertifikaten

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

IKEv1 und IKEv2

FlexVPN basiert auf dem IKEv2-Protokoll, dem auf RFC 4306 basierenden Schlüsselverwaltungsprotokoll der nächsten Generation, und einer Erweiterung des IKEv1-Protokolls. FlexVPN ist nicht abwärtskompatibel mit Technologien, die nur IKEv1 unterstützen (z. B. EzVPN). Dies ist eine der wichtigsten Überlegungen bei der Migration von EzVPN zu FlexVPN. Eine Protokoll-Einführung zu IKEv2 und ein Vergleich mit IKEv1 finden Sie in IKE-Version 2 auf einen Blick.

Crypto Map und Virtual Tunnel Interfaces

Virtual Tunnel Interface (VTI) ist eine neue Konfigurationsmethode für VPN-Server- und Client-Konfigurationen. VTI:

Ersetzung dynamischer Kryptokarten, die jetzt als veraltete Konfiguration angesehen werden.
Unterstützt natives IPsec-Tunneling.
Keine statische Zuordnung einer IPsec-Sitzung zu einer physischen Schnittstelle erforderlich; bietet daher Flexibilität für das Senden und Empfangen von verschlüsseltem Datenverkehr über eine beliebige physische Schnittstelle (z. B. mehrere Pfade).
Minimale Konfiguration, da der virtuelle On-Demand-Zugriff über die Virtual-Template-Schnittstelle geklont wird.
Der Datenverkehr wird bei der Weiterleitung an die Tunnelschnittstelle verschlüsselt/entschlüsselt und über die IP-Routing-Tabelle verwaltet (dies spielt bei der Verschlüsselung eine wichtige Rolle).
Funktionen können entweder auf Klartext-Pakete an der VTI-Schnittstelle oder auf verschlüsselte Pakete an der physischen Schnittstelle angewendet werden.

Die beiden verfügbaren VTIs sind:

Statisch (sVTI) - Eine statische virtuelle Tunnel-Schnittstelle verfügt über eine feste Tunnelquelle und ein festes Tunnelziel und wird in der Regel in einem Szenario verwendet, in dem die Bereitstellung vom Standort zum Standort erfolgt. Im Folgenden finden Sie ein Beispiel für eine sVTI-Konfiguration:
```
interface Tunnel2
 ip address negotiated
 tunnel source Ethernet0/1
 tunnel mode ipsec ipv4
 tunnel destination 172.16.0.2
 tunnel protection ipsec profile testflex
```
Dynamisch (dVTI) - Mit einer dynamischen virtuellen Tunnelschnittstelle können dynamische IPsec-Tunnel terminiert werden, die kein festes Tunnelziel haben. Nach erfolgreicher Tunnelverhandlung werden Virtual-Access-Schnittstellen aus einer virtuellen Vorlage geklont und übernehmen alle L3-Funktionen dieser virtuellen Vorlage. Das Beispiel zeigt eine dVTI-Konfiguration:
```
interface Virtual-Template1 type tunnel
 ip unnumbered Ethernet0/1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile testflex
```

Weitere Informationen zu dVTI finden Sie in diesen Dokumenten:

Damit EzVPN- und FlexVPN-Clients gleichzeitig verwendet werden können, müssen Sie zunächst den EzVPN-Server von der Konfiguration der Legacy-Crypto Map zu einer dVTI-Konfiguration migrieren. In den folgenden Abschnitten werden die erforderlichen Schritte ausführlich erläutert.

Netzwerktopologie

Aktuelle Konfiguration mit EzVPN-Client mit Legacy-NEM+-Modus

Client-Konfiguration

Nachfolgend finden Sie eine typische EzVPN-Client-Router-Konfiguration. In dieser Konfiguration wird der Network Extension Plus (NEM+)-Modus verwendet, der mehrere SA-Paare sowohl für das LAN innerhalb der Schnittstellen als auch für die dem Client zugewiesene Moduskonfiguration erstellt.

crypto ipsec client ezvpn legacy-client
 connect manual
 group Group-One key cisco123
 mode network-plus
 peer 192.168.1.10
 username client1 password client1
 xauth userid mode local
!
interface Ethernet0/0
 description EzVPN WAN interface
 ip address 192.168.2.101 255.255.255.0
 crypto ipsec client ezvpn legacy-client
!
interface Ethernet1/0
 description EzVPN LAN inside interface
 ip address 172.16.1.1 255.255.255.0
 crypto ipsec client ezvpn legacy-client inside

Serverkonfiguration

Auf dem EzVPN-Server wird vor der Migration eine veraltete Konfiguration der Crypto Map als Basiskonfiguration verwendet.

aaa new-model
!
aaa authentication login client-xauth local
aaa authorization network ezvpn-author local
!
username client1 password 0 client1
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp client configuration group Group-One
 key cisco123
 pool Group-One-Pool
 acl split-tunnel-acl
crypto isakmp profile Group-One-Profile
   match identity group Group-One
   client authentication list client-xauth
   isakmp authorization list ezvpn-author
   client configuration address respond
!
crypto ipsec transform-set aes-sha esp-aes esp-sha-hmac
!
crypto dynamic-map client-dynamic-map 1
 set transform-set aes-sha
 reverse-route
!
crypto map client-map 1 ipsec-isakmp dynamic client-dynamic-map
!
interface Ethernet0/0
 description EzVPN server WAN interface 
 ip address 192.168.1.10 255.255.255.0
 crypto map client-map
!
ip local pool Group-One-Pool 10.1.1.100 10.1.1.200
!
ip access-list extended split-tunnel-acl
  remark EzVPN split tunnel ACL
 permit ip 172.16.0.0 0.0.0.255 any

Migration von Server zu FlexVPN

Wie in den vorherigen Abschnitten beschrieben, verwendet FlexVPN IKEv2 als Kontrollebenenprotokoll und ist nicht abwärtskompatibel mit einer IKEv1-basierten EzVPN-Lösung. Daher besteht die allgemeine Idee dieser Migration darin, den vorhandenen EzVPN-Server so zu konfigurieren, dass sowohl Legacy-EzVPN (IKEv1) als auch FlexVPN (IKEv2) koexistieren. Um dieses Ziel zu erreichen, können Sie diesen zweistufigen Migrationsansatz verwenden:

Verlagern Sie die Legacy-EzVPN-Konfiguration am Headend von einer auf der Crypto Map basierenden Konfiguration auf dVTI.
Fügen Sie die FlexVPN-Konfiguration hinzu, die ebenfalls auf dVTI basiert.

Verlagerung der Legacy-Crypto-Map zu dVTI

Serverkonfigurationsänderungen

Ein EzVPN-Server, der auf der physischen Schnittstelle mit einer Crypto Map konfiguriert ist, weist hinsichtlich der Unterstützung und Flexibilität von Funktionen mehrere Einschränkungen auf. Wenn Sie über EzVPN verfügen, empfiehlt Cisco nachdrücklich die Verwendung von dVTI. Als ersten Schritt für die Migration zu einer vorhandenen EzVPN- und FlexVPN-Konfiguration müssen Sie diese in eine dVTI-Konfiguration ändern. Dadurch wird die IKEv1- und IKEv2-Trennung zwischen den verschiedenen Schnittstellen virtueller Vorlagen ermöglicht, um beide Arten von Clients zu unterstützen.

Hinweis: Zur Unterstützung des Network Extension Plus Mode des EzVPN-Betriebs auf den EzVPN-Clients muss der Headend-Router die Multi-SA-on-dVTI-Funktion unterstützen. Auf diese Weise können mehrere IP-Datenflüsse durch den Tunnel geschützt werden, der für das Headend erforderlich ist, um den Datenverkehr in das interne Netzwerk des EzVPN-Clients zu verschlüsseln, sowie die IP-Adresse, die dem Client durch die Konfiguration des IKEv1-Modus zugewiesen wurde. Weitere Informationen zur Unterstützung mehrerer SAs auf dVTI mit IKEv1 finden Sie unter Multi-SA Support for Dynamic Virtual Tunnel Interfaces for IKEv1.

Gehen Sie wie folgt vor, um die Konfigurationsänderung auf dem Server zu implementieren:

Schritt 1 - Entfernen Sie die Crypto Map von der physischen Ausgangsschnittstelle, die die EzVPN-Client-Tunnel terminiert:

interface Ethernet0/0
 ip address 192.168.1.10 255.255.255.0
 no crypto map client-map

Schritt 2 - Erstellen einer virtuellen Vorlagenschnittstelle, über die virtuelle Zugriffsschnittstellen nach der Einrichtung der Tunnel geklont werden:

interface Virtual-Template1 type tunnel
 ip unnumbered Ethernet1/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile legacy-profile

Schritt 3 - Ordnen Sie diese neu erstellte virtuelle Vorlagenschnittstelle dem isakmp-Profil für die konfigurierte EzVPN-Gruppe zu:

crypto isakmp profile Group-One-Profile
   match identity group Group-One
   client authentication list client-xauth
   isakmp authorization list ezvpn-author
   client configuration address initiate
   client configuration address respond
   virtual-template 1

Überprüfen Sie, ob die bestehenden EzVPN-Clients auch weiterhin funktionieren. Jetzt werden ihre Tunnel jedoch auf einer dynamisch erstellten virtuellen Zugriffsschnittstelle terminiert. Dies kann mithilfe des Befehls show crypto session verifiziert werden (siehe folgendes Beispiel):

PE-EzVPN-Server#show crypto session
Crypto session current status
Interface: Virtual-Access1
Username: client1
Profile: Group-One-Profile
Group: Group-One
Assigned address: 10.1.1.101
Session status: UP-ACTIVE     
Peer: 192.168.2.101 port 500
  IKEv1 SA: local 192.168.1.10/500 remote 192.168.2.101/500 Active
  IPSEC FLOW: permit ip 172.16.0.0/255.255.255.0 host 10.1.1.101
        Active SAs: 2, origin: crypto map
  IPSEC FLOW: permit ip 172.16.0.0/255.255.255.0 172.16.1.0/255.255.255.0
        Active SAs: 2, origin: crypto map

Hinzufügen der FlexVPN-Konfiguration zum Server

In diesem Beispiel wird RSA-SIG (d. h. Certificate Authority) sowohl auf dem FlexVPN-Client als auch auf dem Server verwendet. Bei der Konfiguration in diesem Abschnitt wird davon ausgegangen, dass der Server bereits erfolgreich authentifiziert und beim CA-Server registriert wurde.

Schritt 1 - Überprüfen der IKEv2 Smart Default-Konfiguration

Mit IKEv2 können Sie jetzt die Smart Default-Funktion nutzen, die in 15.2(1)T eingeführt wurde. Sie vereinfacht eine FlexVPN-Konfiguration. Hier einige Standardkonfigurationen:

Standard-IKEv2-Autorisierungsrichtlinie:

VPN-Server#show crypto ikev2 authorization policy default
 IKEv2 Authorization Policy : default
 route set interface
 route accept any tag : 1 distance : 1

Standard-IKEv2-Angebot:

VPN-Server#show crypto ikev2 proposal default
 IKEv2 proposal: default
 Encryption : AES-CBC-256 AES-CBC-192 AES-CBC-128
 Integrity : SHA512 SHA384 SHA256 SHA96 MD596
 PRF : SHA512 SHA384 SHA256 SHA1 MD5
 DH Group : DH_GROUP_1536_MODP/Group 5 DH_GROUP_1024_MODP/Group 2

IKEv2-Standardrichtlinie:

VPN-Server#show crypto ikev2 policy default
 IKEv2 policy : default
 Match fvrf : any
 Match address local : any
 Proposal : default

Standard-IPsec-Profil:

VPN-Server#show crypto ipsec profile default
IPSEC profile default
 Security association lifetime: 4608000 kilobytes/3600 seconds
 Responder-Only (Y/N): N
 PFS (Y/N): N
 Transform sets={
 default: { esp-aes esp-sha-hmac } ,
 }

Standard-IPsec-Umwandlungssatz:

VPN-Server#show crypto ipsec transform default
{ esp-aes esp-sha-hmac }
 will negotiate = { Transport, },

Weitere Informationen zur IKEv2 Smart Default-Funktion finden Sie unter IKEv2 Smart Defaults (nur registrierte Kunden).

Schritt 2 - Ändern Sie die Standard-IKEv2-Autorisierungsrichtlinie und fügen Sie ein Standard-IKEv2-Profil für die FlexVPN-Clients hinzu.

Das hier erstellte IKEv2-Profil wird mit einer Peer-ID auf der Grundlage des Domänennamens cisco.com abgeglichen, und die für die Clients erstellten virtuellen Zugriffsschnittstellen werden aus der virtuellen Vorlage 2 erstellt. Beachten Sie außerdem, dass die Autorisierungsrichtlinie den IP-Adresspool definiert, der für die Zuweisung von Peer-IP-Adressen und Routen verwendet wird, die über den IKEv2-Konfigurationsmodus ausgetauscht werden sollen:

crypto ikev2 authorization policy default
 pool flexvpn-pool
 def-domain cisco.com
 route set interface
 route set access-list 1
!
crypto ikev2 profile default
 match identity remote fqdn domain cisco.com
 identity local fqdn VPN-Server.cisco.com
 authentication remote pre-share
 authentication remote rsa-sig
 authentication local rsa-sig
 pki trustpoint flex-trustpoint
 aaa authorization group cert list default default
 virtual-template 2

Schritt 3 - Erstellen Sie die virtuelle Vorlagenschnittstelle für die FlexVPN-Clients:

interface Virtual-Template2 type tunnel
 ip unnumbered Ethernet1/0
 tunnel protection ipsec profile default