配置在双重isp方案的asa虚拟隧道接口-cisco.pdfVIP

配置在双重ISP方案的ASA虚拟隧道接口 目录 简介 先决条件 要求 使用的组件 在VTI和加密映射之间的区别 配置 网络图 配置 验证 故障排除 相关信息 简介 本文描述如何配置VTI (虚拟通道Intrfaces)在两ASA (可适应安全工具)之间与使用IKEv2 (互联网密钥 交换提供两个分组之间的安全连接的版本2)协议。两个分组有高availablility和负载均衡目的两条 ISP链路。边界网关协议(BGP)结邻在通道设立为了交换内部路由信息。 此功能在ASA版本9.8(1)介绍。ASA VTI实施是与VTI在IOS路由器的实施联机兼容。 先决条件    要求 Cisco 建议您了解以下主题：  BGP协议 使用的组件 本文档中的信息根据运行9.8(1)6软件版本的ASAv防火墙。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您的网络实际，请保证您了解所有命令潜在影响。 在VTI和加密映射之间的区别 加密映射是接口的输出功能。为了发送流量通过加密映射根据通道，流量需要路由到面对接口 的互联网(传统上呼叫外部接口)并且必须匹配加密ACL。另一方面， VTI是逻辑接口。对每 VPN对等项的通道由一不同的VTI代表。如果往VTI的路由点，数据包将加密并且发送给对应的 对等体。 VTI排除需要使用crypto访问列表和网络地址转换(NAT)免税规则。 加密映射访问控制表(ACL)不允许交迭的条目。VTI是路由基于VPN，并且正常路由规则为 VPN流量适用，简单化配置并且处理排除故障。 如果通道发生故障，加密映射自动地防止在明文将发送的站点之间的流量。VTI不自动地防止受 到它。无效路由需要被添加保证相等的功能。 配置 网络图 配置 Note: 此示例不适用于ASA是independed自治系统成员并且有与ISP网络的BGP对等互连的方 案。它包括ASA有与公共地址的两条独立ISP链路从不同自治系统的拓扑。在这样案件中， ISP可能部署验证的反欺骗保护，如果收到的信息包从属于另一个ISP的公有IP没有被发出。 在此配置中，适当的措施采取防止此。 1. 普通的加密和验证参数。关于推荐的密码参数的信息可以找到在： /c/en/us/about/security-center/next-generation-cryptography.html 在两ASA ： crypto ikev2 policy 10 encryption aes-256 integrity sha256 group 24 prf sha256 lifetime seconds 86400 ! crypto ipsec ikev2 ipsec-proposal PROP protocol esp encryption aes-256 protocol esp integrity sha-256 2. 配置IPSec简档。其中一侧必须是发起者，并且一个需要是IKEv2协商的响应方： 被留下的ASA ： crypto ipsec profile PROF set ikev2 ipsec-proposal PROP set pfs group24 responder-only ASA权利： crypto ipsec profile PROF set ikev2 ipsec-proposal PROP set pfs group24 3. 在两个ISP接口的Enable (event) IKEv2协议。 两ASA ： crypto ikev2 enable ispa crypto ikev2 enable ispb 4. 配置预先共享密钥相互验证ASA ： 被留下的ASA ： tunnel-group type ipsec-l2l tunnel-group ipsec-attributes ikev2 remote-authentication pre-shared-key ***** ikev2 local-authentication pre-shared-key ***** ! tu