Инструкция по настройке Site-to-Site VPN между Edge Gateway и Cisco ISR 1000

Оглавление

В данной статье будет показано, как настроить VPN – туннель типа «сеть-сеть» с использованием протокола IPSec между маршрутизаторами Vmware NSX Edge и Cisco ISR 1100. Необходимым условием является то, что маршрутизатор Cisco ISR 1100 имеет статический публичный IP-адрес.

Демонстрационный стенд

195.19.176.9– внешний IP адрес Edge Gateway
10.177.0.0/16 – локальная сеть, подключенная к Edge Gateway
185.23.83.57 – внешний IP-адрес маршрутизатора Cisco ISR 1100
10.36.0.0/16 – локальная сеть, подключенная к Cisco ISR 1100

Настройка VPN-туннеля на Edge Gateway

Откройте портал управления vCloud Director и войдите в систему в качестве администратора организации. Перейдите во вкладку Data Centers и выберите нужный виртуальный ЦОД (vDC).

В открывшемся списке выберите нужный виртуальный ЦОД (Virtual Datacenters) и перейдите в раздел Network – Edges.

Отметьте нужный Edge в списке Edge Gateways и нажмите SERVICES.

В открывшемся окне настроек перейдите на вкладку VPN и включите поддержку VPN, изменив положение переключателя.

Для добавления нового VPN-туннеля перейдите на вкладку IPsec VPN Sites и нажмите

Откроется новое окно:

В появившемся окне выключите пункт «Enabled» и включите «Enable perfect forward secrecy».

В поле «Name» введите название для VPN-туннеля.

В поля «Local Id» и «Local Endpoint» укажите внешний IP-адрес Edge Gateway

В поле «Local Subnets» укажите адрес локальной сети, подключенной к Edge Gateway. В данном случае это будет 0.0.0.0/0.

В полях «Peer Id» и «Peer Endpoint» укажите внешний IP-адрес маршрутизатора Cisco.

В поле «Peer Subnets» укажите адрес локальной сети, подключенной к Cisco. В данном случае это будет 0.0.0.0/0.

Рекомендуется использовать следующие параметры:

Encryption Algorithm – AES256
Authentication – PSK
В поле «Pre-Shared Key» вводим придуманный пароль для подключения.
Diffie-Hellman Group – DH14
Digest Algorithm – SHA-256
IKE Option – IKEv2
Session Type – Route Based Session

Tunnel Interface IP CIDR – введите IP – адрес туннельного интерфейса со стороны Edge Gateway. В данном примере используется 172.16.177.177/24

Нажмите кнопку «Keep», чтобы сохранить изменения.

Создание статических маршрутов к сетям пиров

Затем перейдите в Edge Gateway в раздел Routing – Static Routeа нажмите кнопку Add:

Network – укажите сеть, подключенную за Cisco AR.

Next Hop – IP – адрес туннельного интерфейса на стороне маршрутизатора Cisco. В данном примере используется 172.16.177.36/24

Перейдите во вкладку «Activation Status» и включите настройку «IPsec VPN Service Status».

Настройка VPN-туннеля на маршрутизаторе Cisco ISR 1100

Современные маршрутизаторы и файерволы Cisco поддерживают логический интерфейс, называемый виртуальным туннельным интерфейсом (VTI). В качестве альтернативы VPN на основе политик можно создать VPN-туннель между одноранговыми сетями с настроенными виртуальными туннельными интерфейсами. Это поддерживает VPN на основе маршрутов с профилями IPsec, прикрепленными к концу каждого туннельного интерфейса.

Использование VTI устраняет необходимость настройки списков доступа статических криптокарт (ACL) и их сопоставления с интерфейсами. Больше не нужно отслеживать все удаленные подсети и включать их в список доступа криптокарты. Достаточно лишь добавить маршрут к удаленной сети через виртуальный интерфейс.

В данной инструкции используется настройка VPN – туннеля на Cisco ISR 1100 с использованием виртуального туннельного интерфейса (VTI).

Этапы создания VPN – туннеля:

Все описанные ниже команды должны выполняться в консоли в режиме глобальной конфигурации (config t).

# Создайте предложение ikev2 IPsec_proposal_name

crypto ikev2 proposal MSK02-PROP-1
encryption aes-cbc-256 # Укажите алгоритм шифрования AES256
integrity sha256 # Укажите алгорим проверки целостности SHA256
group 14 # Укажите DH - группу 14

# Создайте политику IKEv2 и привяжите предложение IKEv2

crypto ikev2 policy MSK02-POL-1
proposal MSK02-PROP-1

# Создайте связку ключей IKEv2 и определите предварительный общий ключ

crypto ikev2 keyring MSK02-KEYRING-1
peer CLOUD-MSK02
address 195.19.176.9 # Укажите IP-адрес Edge Gateway
pre-shared-key local P@ssw0rd # Укажите ключ, заданный при создании VPN – туннеля на Edge Gateway
pre-shared-key remote P@ssw0rd # Повторите ключ, заданный при создании VPN – туннеля на Edge Gateway

# Создайте профиль IKEv2

crypto ikev2 profile MSK02-PROFILE-1
match identity remote address 195.19.176.9 255.255.255.255 # Укажите IP-адрес Edge Gateway
identity local address 185.23.83.57 # Укажите IP-адрес Cisco ISR 1100
authentication remote pre-share
authentication local pre-share
keyring local MSK02-KEYRING-1
dpd 30 5 periodic

# Создайте набор преобразований IPSec, определите алгоритмы шифрования и целостности (хеширования)

crypto ipsec transform-set MSK02-TS-1 esp-aes 256 esp-sha256-hmac
mode tunnel

# Создайте профиль IPSec

crypto ipsec profile MSK02-PROFILE-1
set transform-set MSK02-TS-1 # Привяжите созданный ранее набор предобразований IPSec
set ikev2-profile MSK02-PROFILE-1 # Привяжите созданный ранее ikev2 профиль
set pfs group14 # Укажите PFS - группу 14

# Создайте новый туннельный интерфейс

interface Tunnel 177 # Укажите идентификатор туннеля в диапазоне от 0 до 100. Поддерживается до 100 интерфейсов VTI
description "MSK02" # Укажите описание туннеля (необязательно)
ip address 172.16.177.36 255.255.255.0 # Укажите IP-адрес туннеля в виде IP-адреса и маски
ip nat inside # Укажите интерфейс как внутренний относительно NAT
tunnel source Dialer2 # Укажите внешний интерфейс Cisco ISR 1100
tunnel mode ipsec ipv4 # Укажите туннельный режим ipsec ipv4
tunnel destination 195.19.176.9 # Укажите IP-адрес Edge Gateway
tunnel protection ipsec profile MSK02-PROFILE-1 # Назначьте созданный профиль IPsec для туннеля

# Создайте статический маршрут к удаленной сети через туннельный интерфейс

ip route 10.177.0.0 255.255.0.0 Tunnel177
end

Проверка состояния туннеля со стороны Cisco ISR 1100

Выполните в консоли следующую команду для проверки состояния этапа 1 Security Association (SA):

show crypto ikev2 sa

Выполните в консоли следующую команду для проверки состояния этапа 2 Security Association (SA):

show crypto ipsec sa

Выполните проверку прохождения пакетов через туннель с помощью команды ping (source – локальный IP – адрес, 10.178.1.1 – адрес на стороне Edge Gateway):

ping 10.177.1.1 source 10.36.1.1

Посмотреть статистику прохождения трафика через туннель:

show crypto ipsec sa | i pkts

Устранение неполадок

Выполните в консоли следующие команды отладки для согласования туннеля:

debug crypto ikev2
debug crypto ikev2 error
debug crypto ikev2 internal

Проверка состояния туннеля со стороны Edge Gateway

Для просмотра состояния туннеля перейдите в раздел Edge Gateway – Statistics – IPSec VPN. В данном разделе можно отслеживать состояние как самого туннеля, так и сетей пиров: