ASDM 6.4: Ejemplo de Configuración del Túnel VPN Sitio a Sitio con IKEv2

Opciones de descarga

  • PDF     (245.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:30 de marzo de 2012
ID del documento:113486

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar un túnel VPN de sitio a sitio entre dos Cisco Adaptive Security Appliances (ASA) mediante la versión 2 del Intercambio de claves de Internet (IKE). Describe los pasos que se han seguido para configurar el túnel VPN mediante un Asistente de GUI de Adaptive Security Device Manager (ASDM).

Prerequisites

Requirements

Asegúrese de que Cisco ASA se ha configurado con los parámetros básicos.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Dispositivos de seguridad adaptable de la serie ASA 5500 de Cisco que ejecutan la versión de software 8.4 y posteriores

  • Software Cisco ASDM versión 6.4 y posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

IKEv2 es una mejora del protocolo IKEv1 existente que incluye las siguientes ventajas:

  • Menos intercambios de mensajes entre pares IKE

  • Métodos de autenticación unidireccional

  • Compatibilidad integrada con detección de puntos inactivos (DPD) y NAT-Traversal

  • Uso del protocolo de autenticación extensible (EAP) para la autenticación

  • Elimina el riesgo de simples ataques de DoS mediante cookies antibloqueo

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use el Command Lookup Tool (únicamente clientes registrados) para obtener más información sobre los comandos que se utilizan en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

ikev2-s2s-tunnel-01.gif

Este documento muestra la configuración del túnel VPN de sitio a sitio en HQ-ASA. Lo mismo podría seguirse como un espejo en el BQ-ASA.

Configuración de ASDM en HQ-ASA

Este túnel VPN se puede configurar mediante un asistente de GUI fácil de usar.

Complete estos pasos:

  1. Inicie sesión en ASDM y vaya a Wizards > VPN Wizards > Site-to-site VPN Wizard.

    ikev2-s2s-tunnel-02.gif

  2. Aparecerá una ventana de configuración de la conexión VPN de sitio a sitio. Haga clic en Next (Siguiente).

    ikev2-s2s-tunnel-03.gif

  3. Especifique la dirección IP del par y la interfaz de acceso VPN. Haga clic en Next (Siguiente).

    ikev2-s2s-tunnel-04.gif

  4. Seleccione ambas versiones de IKE y haga clic en Next.

    ikev2-s2s-tunnel-05.gif

    Nota: Ambas versiones de IKE se configuran aquí porque el iniciador podría tener una copia de seguridad de IKEv2 a IKEv1 cuando IKEv2 falla.

  5. Especifique la red local y la red remota para que el tráfico entre estas redes se cifre y pase a través del túnel VPN. Haga clic en Next (Siguiente).

    ikev2-s2s-tunnel-06.gif

  6. Especifique las claves previamente compartidas para ambas versiones de IKE.

    ikev2-s2s-tunnel-07.gif

    La principal diferencia entre las versiones 1 y 2 de IKE radica en el método de autenticación que permiten. IKEv1 solo permite un tipo de autenticación en ambos extremos de VPN (es decir, clave o certificado previamente compartido). Sin embargo, IKEv2 permite configurar métodos de autenticación asimétrica (es decir, autenticación de clave previamente compartida para el autor, pero autenticación de certificado para el respondedor) mediante CLI de autenticación locales y remotas independientes.

    Además, puede tener diferentes claves previamente compartidas en ambos extremos. La clave precompartida local del extremo de HQ-ASA se convierte en la clave precompartida remota del extremo de BQ-ASA. Del mismo modo, la clave precompartida remota del extremo de HQ-ASA se convierte en la clave precompartida local del extremo de BQ-ASA.

  7. Especifique los algoritmos de cifrado para las versiones 1 y 2 de IKE. Aquí se aceptan los valores predeterminados:

    ikev2-s2s-tunnel-08.gif

  8. Haga clic en Manage... para modificar la política IKE.

    ikev2-s2s-tunnel-09.gif

    Nota: 

    • La política IKE en IKEv2 es sinónimo de la política ISAKMP en IKEv1.

    • La propuesta IPsec en IKEv2 es sinónimo del conjunto de transformación en IKEv1.

  9. Este mensaje aparece cuando intenta modificar la política existente:

    ikev2-s2s-tunnel-10.gif

    Haga clic en Aceptar para continuar.

  10. Seleccione la política IKE especificada y haga clic en Editar.

    ikev2-s2s-tunnel-11.gif

  11. Puede modificar los parámetros como, por ejemplo, los valores de prioridad, cifrado, grupo D-H, hash de integridad, hash PRF y vida útil. Haga clic en Aceptar cuando termine.

    ikev2-s2s-tunnel-12.gif

    IKEv2 permite que el algoritmo Integrity se negocie por separado del algoritmo Pseudo Random Function (PRF). Esto se puede configurar en la política IKE con las opciones disponibles actuales como SHA-1 o MD5.

    No puede modificar los parámetros de la propuesta IPSec definidos de forma predeterminada. Haga clic en Seleccionar junto al campo Propuesta IPSec para agregar nuevos parámetros. La diferencia principal entre IKEv1 e IKEv2, en términos de las propuestas de IPsec, es que IKEv1 acepta el conjunto de transformación en términos de combinaciones de algoritmos de cifrado y autenticación. IKEv2 acepta los parámetros de cifrado e integridad de forma individual y, por último, hace posibles todas las combinaciones OR de estos parámetros. Puede verlos al final de este asistente, en la diapositiva Resumen.

  12. Haga clic en Next (Siguiente).

    ikev2-s2s-tunnel-13.gif

  13. Especifique los detalles, como la exención de NAT, PFS y el desvío de ACL de interfaz. Elija Next.

    ikev2-s2s-tunnel-14.gif

  14. Puede ver un resumen de la configuración aquí:

    ikev2-s2s-tunnel-15.gif

    Haga clic en Finish para completar el asistente del túnel VPN de sitio a sitio. Se crea un nuevo perfil de conexión con los parámetros configurados.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Troubleshoot

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
27-Mar-2012
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos