Este documento describe cómo configurar un túnel VPN de sitio a sitio entre dos Cisco Adaptive Security Appliances (ASA) mediante la versión 2 del Intercambio de claves de Internet (IKE). Describe los pasos que se han seguido para configurar el túnel VPN mediante un Asistente de GUI de Adaptive Security Device Manager (ASDM).
Asegúrese de que Cisco ASA se ha configurado con los parámetros básicos.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Dispositivos de seguridad adaptable de la serie ASA 5500 de Cisco que ejecutan la versión de software 8.4 y posteriores
Software Cisco ASDM versión 6.4 y posterior
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
IKEv2 es una mejora del protocolo IKEv1 existente que incluye las siguientes ventajas:
Menos intercambios de mensajes entre pares IKE
Métodos de autenticación unidireccional
Compatibilidad integrada con detección de puntos inactivos (DPD) y NAT-Traversal
Uso del protocolo de autenticación extensible (EAP) para la autenticación
Elimina el riesgo de simples ataques de DoS mediante cookies antibloqueo
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Use el Command Lookup Tool (únicamente clientes registrados) para obtener más información sobre los comandos que se utilizan en esta sección.
En este documento, se utiliza esta configuración de red:
Este documento muestra la configuración del túnel VPN de sitio a sitio en HQ-ASA. Lo mismo podría seguirse como un espejo en el BQ-ASA.
Este túnel VPN se puede configurar mediante un asistente de GUI fácil de usar.
Complete estos pasos:
Inicie sesión en ASDM y vaya a Wizards > VPN Wizards > Site-to-site VPN Wizard.
Aparecerá una ventana de configuración de la conexión VPN de sitio a sitio. Haga clic en Next (Siguiente).
Especifique la dirección IP del par y la interfaz de acceso VPN. Haga clic en Next (Siguiente).
Seleccione ambas versiones de IKE y haga clic en Next.
Nota: Ambas versiones de IKE se configuran aquí porque el iniciador podría tener una copia de seguridad de IKEv2 a IKEv1 cuando IKEv2 falla.
Especifique la red local y la red remota para que el tráfico entre estas redes se cifre y pase a través del túnel VPN. Haga clic en Next (Siguiente).
Especifique las claves previamente compartidas para ambas versiones de IKE.
La principal diferencia entre las versiones 1 y 2 de IKE radica en el método de autenticación que permiten. IKEv1 solo permite un tipo de autenticación en ambos extremos de VPN (es decir, clave o certificado previamente compartido). Sin embargo, IKEv2 permite configurar métodos de autenticación asimétrica (es decir, autenticación de clave previamente compartida para el autor, pero autenticación de certificado para el respondedor) mediante CLI de autenticación locales y remotas independientes.
Además, puede tener diferentes claves previamente compartidas en ambos extremos. La clave precompartida local del extremo de HQ-ASA se convierte en la clave precompartida remota del extremo de BQ-ASA. Del mismo modo, la clave precompartida remota del extremo de HQ-ASA se convierte en la clave precompartida local del extremo de BQ-ASA.
Especifique los algoritmos de cifrado para las versiones 1 y 2 de IKE. Aquí se aceptan los valores predeterminados:
Haga clic en Manage... para modificar la política IKE.
Nota:
La política IKE en IKEv2 es sinónimo de la política ISAKMP en IKEv1.
La propuesta IPsec en IKEv2 es sinónimo del conjunto de transformación en IKEv1.
Este mensaje aparece cuando intenta modificar la política existente:
Haga clic en Aceptar para continuar.
Seleccione la política IKE especificada y haga clic en Editar.
Puede modificar los parámetros como, por ejemplo, los valores de prioridad, cifrado, grupo D-H, hash de integridad, hash PRF y vida útil. Haga clic en Aceptar cuando termine.
IKEv2 permite que el algoritmo Integrity se negocie por separado del algoritmo Pseudo Random Function (PRF). Esto se puede configurar en la política IKE con las opciones disponibles actuales como SHA-1 o MD5.
No puede modificar los parámetros de la propuesta IPSec definidos de forma predeterminada. Haga clic en Seleccionar junto al campo Propuesta IPSec para agregar nuevos parámetros. La diferencia principal entre IKEv1 e IKEv2, en términos de las propuestas de IPsec, es que IKEv1 acepta el conjunto de transformación en términos de combinaciones de algoritmos de cifrado y autenticación. IKEv2 acepta los parámetros de cifrado e integridad de forma individual y, por último, hace posibles todas las combinaciones OR de estos parámetros. Puede verlos al final de este asistente, en la diapositiva Resumen.
Haga clic en Next (Siguiente).
Especifique los detalles, como la exención de NAT, PFS y el desvío de ACL de interfaz. Elija Next.
Puede ver un resumen de la configuración aquí:
Haga clic en Finish para completar el asistente del túnel VPN de sitio a sitio. Se crea un nuevo perfil de conexión con los parámetros configurados.
Use esta sección para confirmar que su configuración funciona correctamente.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
show crypto ikev2 sa : muestra la base de datos SA en tiempo de ejecución IKEv2.
show vpn-sessiondb detail l2l - Muestra la información sobre las sesiones VPN de sitio a sitio.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.
debug crypto ikev2 - Muestra mensajes de debug para IKEv2.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
27-Mar-2012 |
Versión inicial |