网络管理员可以配置一个从本地环境到 CloudSimple VPN 网关的高可用性 IPsec 站到站 VPN 连接。
本指南介绍了为 IPsec 站点到站点 VPN 高可用性连接配置本地防火墙的步骤。 详细步骤特定于本地防火墙的类型。 例如,本指南介绍了两种类型的防火墙的步骤:Cisco ASA 和 Palo Alto Networks。
开始之前
在配置本地防火墙之前完成以下任务。
- 验证组织是否已 预配 所需的节点,并至少创建了一个 CloudSimple 私有云。
- 在您的本地网络和 CloudSimple 私有云之间配置站点到站点 VPN 网关。
有关支持的阶段 1 和阶段 2 建议,请参阅 VPN 网关概述 。
配置本地 Cisco ASA 防火墙
本节中的说明适用于 Cisco ASA 版本 8.4 及更高版本。 在配置示例中,Cisco Adaptive Security Appliance Software Version 9.10 在 IKEv1 模式下部署和配置。
若要使站点到站点 VPN 正常工作,必须允许本地 Cisco ASA VPN 网关外部接口上的 CloudSimple 主 IP 和辅助公共 IP(对等 IP)中的 UDP 500/4500 和 ESP(IP 协议 50)。
1. 配置 IKEv1 的第一阶段
若要在外部接口上启用阶段 1(IKEv1),请在 Cisco ASA 防火墙中输入以下 CLI 命令。
crypto ikev1 enable outside
2.创建 IKEv1 策略
创建一个 IKEv1 策略,该策略定义用于哈希、身份验证、Diffie-Hellman 组、生存期和加密的算法和方法。
crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 28800
3. 创建隧道组
在 IPsec 属性下创建隧道组。 配置对等 IP 地址和隧道预共享密钥,这是在配置 站点到站点 VPN 网关时设置的。
tunnel-group <primary peer ip> type ipsec-l2l
tunnel-group <primary peer ip> ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group <secondary peer ip> type ipsec-l2l
tunnel-group <secondary peer ip> ipsec-attributes
ikev1 pre-shared-key *****
4. 配置阶段 2 (IPsec)
若要配置阶段 2(IPsec),请创建一个访问控制列表(ACL),用于定义要加密和隧道的流量。 在以下示例中,感兴趣的流量来自从本地子网(10.16.1.0/24)到私有云远程子网(192.168.0.0/24)的隧道。 如果站点之间有多个子网,ACL 可以包含多个条目。
在 Cisco ASA 版本 8.4 及更高版本中,可以创建充当网络、子网、主机 IP 地址或多个对象的容器的对象或对象组。 为本地子网和远程子网创建一个对象,并将其用于加密 ACL 和 NAT 语句。
将本地本地子网定义为对象
object network AZ_inside
subnet 10.16.1.0 255.255.255.0
将 CloudSimple 远程子网定义为对象
object network CS_inside
subnet 192.168.0.0 255.255.255.0
为目标流量配置访问列表
access-list ipsec-acl extended permit ip object AZ_inside object CS_inside
5.配置转换集
配置转换集 (TS),该集必须涉及关键字 ikev1。 TS 中指定的加密和哈希属性必须与 CloudSimple VPN 网关的默认配置中列出的参数匹配。
crypto ipsec ikev1 transform-set devtest39 esp-aes-256 esp-sha-hmac
6. 配置加密映射
配置包含以下组件的加密映射:
- 对等 IP 地址
- 定义的ACL,其中包含感兴趣的流量
- 转换工具集
crypto map mymap 1 set peer <primary peer ip> <secondary peer ip>
crypto map mymap 1 match address ipsec-acl
crypto map mymap 1 set ikev1 transform-set devtest39
7. 应用加密映射
在外部接口上应用加密映射:
crypto map mymap interface outside
8.确认适用的 NAT 规则
下面是使用的 NAT 规则。 确保 VPN 流量不受任何其他 NAT 规则的约束。
nat (inside,outside) source static AZ_inside AZ_inside destination static CS_inside CS_inside
Cisco ASA 建立的示例 IPsec 站点间 VPN 结果
阶段 1 输出:
阶段 2 输出:
配置本地 Palo Alto Networks 防火墙
本节中的说明适用于 Palo Alto Networks 版本 7.1 及更高版本。 在此配置示例中,Palo Alto Networks VM-Series 软件版本 8.1.0 在 IKEv1 模式下部署和配置。
若要使站点到站点 VPN 正常工作,您必须在您本地部署的 Palo Alto Networks 网关外部接口上,允许来自 CloudSimple 主要和次要公共 IP 地址(对等 IP)的 UDP 500/4500 和 ESP(IP 协议 50)的通信。
1.创建主隧道和辅助隧道接口
登录到 Palo Alto 防火墙 ,选择>“网络接口>隧道>添加”,配置以下字段,然后单击“ 确定”。
- 接口名称。 第一个字段是使用关键字“tunnel”自动填充的。 在相邻字段中,输入介于 1 到 9999 之间的任意数字。 此接口将用作主隧道接口,用于在本地数据中心和私有云之间传输站点到站点流量。
- 评论。 输入注释以轻松识别隧道的目的
- Netflow 轮廓。 保留默认值。
- 配置。将接口分配到:虚拟路由器:选择 默认值。 选择受信任的 LAN 流量区域作为安全区域。 在此示例中,LAN 流量的区域名称为“信任”。
- IPv4。 单击“ 添加 ”并在环境中添加任何未重叠的 /32 IP 地址,该地址将分配给主隧道接口,并用于监视隧道(稍后将介绍)。
由于此配置适用于高可用性 VPN,因此需要两个隧道接口:一个主要接口和一个辅助接口。 重复上述步骤以创建辅助隧道接口。 选择不同的隧道 ID 和不同的未使用的 /32 IP 地址。
2. 为通过站点到站点 VPN 访问的私有云子网配置静态路由
本地子网需要路由才能访问 CloudSimple 私有云子网。
选择 “网络>虚拟路由器>默认>添加静态路由>”,配置以下字段,然后单击“ 确定”。
- 姓名。 输入任何名称以轻松识别路由的目的。
- 目的地。 指定要从本地通过 S2S 隧道接口访问的 CloudSimple 私有云子网
- 接口。 从下拉列表中选择在步骤 1(第 2 部分)中创建的主隧道接口。 在此示例中是 tunnel.20。
- 下一跳 选择“无”。
- 管理员距离。 保留默认值。
- 度量 输入从 1 到 65535 的任何值。 关键在于为对应于主隧道接口的路由输入较低的度量值,而不是给辅助隧道接口输入较低值,从而使前者的路由成为首选。 如果 tunnel.20 的指标值为 20,而 tunnel.30 的指标值为 30,那么更优先选择 tunnel.20。
- 路由表。 保留默认值。
- BFD 概要 保留默认值。
- 路径监视。 保持未选中状态。
重复上述步骤,为私有云子网创建另一个路由,以便通过辅助隧道接口用作辅助/备份路由。 这一次,请选择与主路由不同的隧道 ID 和更高的指标。
3.定义加密配置文件
定义一个加密配置文件,该配置文件指定用于在 IKEv1 阶段 1 中设置 VPN 隧道的标识、身份验证和加密的协议和算法。
选择“ 网络>展开网络配置文件>IKE 加密>添加”,配置以下字段,然后单击“ 确定”。
- 姓名。 输入 IKE 加密配置文件的任何名称。
- DH 组。 单击“ 添加 ”并选择相应的 DH 组。
- 加密。 单击“ 添加 ”并选择适当的加密方法。
- 认证。 单击“ 添加 ”并选择适当的身份验证方法。
- 密钥生存期。 保留默认值。
- IKEv2 多重身份验证。 保留默认值。
4. 定义 IKE 网关
定义 IKE 网关,以在 VPN 隧道的各端之间建立通信。
选择“ 网络>展开网络配置文件>IKE 网关>添加”,配置以下字段,然后单击“ 确定”。
“常规”选项卡:
- 姓名。 输入用于与主 CloudSimple VPN 对等方建立对等连接的 IKE 网关的名称。
- 版本。 仅选择 IKEv1 模式。
- 地址类型。 选择“IPv4”。
- 接口。 选择面向公众的接口或外部接口。
- 本地 IP 地址。 保留默认值。
- 对等 IP 地址类型。 选择 IP。
- 对等地址。 输入主要 CloudSimple VPN 对等 IP 地址。
- 认证。 选择 预共享密钥。
- 预共享密钥/确认预共享密钥。 输入预共享密钥以匹配 CloudSimple VPN 网关密钥。
- 本地标识。 输入本地 Palo Alto 防火墙的公共 IP 地址。
- 对等标识。 输入主 CloudSimple VPN 对等 IP 地址。
“高级选项”选项卡:
- 启用被动模式。 保持未选中状态。
- 启用 NAT 遍历。 如果本地 Palo Alto 防火墙不在任何 NAT 设备后面,请保持未选中状态。 否则,请选中该复选框。
IKEv1:
- Exchange模式。 选择main.
- IKE 加密配置文件。 选择之前创建的 IKE 加密配置文件。 请保持“启用碎片”框未选中。
- 死对等检测。 将该复选框保留为未选中状态。
重复前面的步骤以创建辅助 IKE 网关。
5. 定义 IPSEC 加密配置文件
选择 “网络>展开网络配置文件>IPSEC 加密>添加”,配置以下字段,然后单击“ 确定”。
- 姓名。 输入 IPsec 加密配置文件的名称。
- IPsec 协议。 选择 ESP。
- 加密。 单击“ 添加 ”并选择适当的加密方法。
- 认证。 单击“ 添加 ”并选择适当的身份验证方法。
- DH 组。 选择 no-pfs。
- 一生。 设置为 30 分钟。
- 启用。 将该复选框保留为未选中状态。
重复上述步骤,创建另一个 IPsec 加密配置文件,该配置文件将用作 CloudSimple VPN 的次要对等方。 相同的 IPSEC 加密配置文件也可用于主要和辅助 IPsec 隧道(请参阅以下过程)。
6. 定义用于隧道监视的监视配置文件
选择“ 网络>展开网络配置文件>监视器>添加”,配置以下字段,然后单击“ 确定”。
- 姓名。 输入要用于隧道监视的监视器配置文件的任何名称,以便主动响应故障。
- 行动。 选择 故障转移。
- 间隔。 输入值 3。
- 门槛。 输入值 7。
7. 设置主要和辅助 IPsec 隧道。
选择 “网络>IPsec 隧道>添加”,配置以下字段,然后单击“ 确定”。
“常规”选项卡:
- 姓名。 输入要与主 CloudSimple VPN 对等互连的主 IPSEC 隧道的任何名称。
- 隧道接口。 选择主隧道接口。
- 类型。 保留默认值。
- 地址类型。 选择“IPv4”。
- IKE 网关。 选择主 IKE 网关。
- IPsec Crypto Profile。 选择主 IPsec 配置文件。 选择“ 显示高级”选项。
- 启用重播保护。 保留默认值。
- 复制 TOS 标头。 将该复选框保留为未选中状态。
- 隧道监视器。 选中对应框。
- 目标 IP。 在站点到站点连接中,输入任意属于 CloudSimple 私有云子网并被允许的 IP 地址。 请确保允许 Palo Alto 上的隧道接口(如 tunnel.20 - 10.64.5.2/32 和 tunnel.30 - 10.64.6.2/32)通过站点到站点 VPN 访问 CloudSimple 私有云 IP 地址。 请参阅代理 ID 的以下配置。
- 简介。 选择显示器配置文件。
代理 ID 选项卡:单击 “IPv4>添加 ”并配置以下内容:
- 代理 ID。 为感兴趣的流量输入一个名称。 可以在一个 IPsec 隧道内携带多个代理 ID。
- 当地。 指定允许通过站点到站点 VPN 与私有云子网通信的本地子网。
- 远程。 指定允许与本地子网通信的私有云远程子网。
- 协议。 选择 任意。
重复上述步骤,创建另一个 IPsec 隧道,用于次要 CloudSimple VPN 对等互连。
参考
在 Cisco ASA 上配置 NAT:
Cisco ASA 上支持的 IKEv1 和 IKEv2 属性:
使用版本 8.4 及更高版本在 Cisco ASA 上配置 IPsec 站点到站点 VPN:
使用 ASA 上的 ASDM 或 CLI 配置 IKEv1 IPsec 站点到站点隧道
在 Azure 上配置 Cisco Adaptive Security Appliance virtual (ASAv) :
在 Palo Alto 上配置站点到站点 VPN 和代理 ID:
设置隧道监视器:
IKE 网关或 IPsec 隧道操作