Настройка Route-Based IPSec VPN

Route-Based IPSec VPN — это тип VPN-соединения, при котором туннель создается как виртуальный сетевой интерфейс, а маршрутизация трафика через него осуществляется на основе статических или динамических маршрутов.

В зависимости от требований к сети, уровню детализации управления трафиком и сложности конфигурации вы также можете использовать другие способы организации безопасных туннелей для соединения сетей: Site-To-Site IPSec VPN и Policy-Based IPSec VPN.

В данной статье описана настройка Route-Based IPSec VPN между оборудованием Cisco CSR1000v и виртуальным шлюзом Edge Gateway и настройка динамической маршрутизации по протоколу BGP.

Общая схема взаимодействия:

Edge Gateway

В данном разделе приведены параметры настройки Route-Based IPSec на Edge Gateway в рамках IKEv1 и IKEv2.

Пример конфигурации в рамках IKEv1
Пример конфигурации в рамках IKEv2

Параметр	Комментарий	Значение
Enable perfect forward secrecy	Дополнительная безопасность с использованием уникального ключа	On
Local Id и Local Endpoint	Идентификатор локального узла и точка входа для VPN на вашей стороне	213.108.129.202
Local Subnets	Локальные сети, которые будут доступны через VPN-туннель	192.168.101.0/24
Peer Id и Peer Endpoint	Идентификатор удаленного узла и точка входа для VPN-туннеля на стороне удаленного узла	176.118.31.163
Peer Subnets	Сети на удаленной стороне, которые будут доступны через VPN-туннель	192.168.200.0/24
Encryption Algorithm	Алгоритм шифрования, используемый для защиты данных в VPN-туннеле	AES
Authentication	Метод аутентификации, используемый для проверки подлинности сторон	PSK
Pre-Shared Key	Секретный ключ, используемый для аутентификации сторон. Обе стороны должны использовать один и тот же ключ для установки соединения	Changeme123
Diffie-Hellman Group	Тип алгоритма шифрования, используемый для обмена ключами по протоколу Диффи-Хеллмана	DH5
Digest Algorithm	Алгоритм хеширования, используемый для проверки целостности данных	SHA1
IKE Option	Настройки для фазы 1 (IKEv1 или IKEv2) установления VPN-соединения	IKEv1
IKE Responder Only	Инициатором соединения всегда является удаленная сторона	Off
Session Type	Тип сессии VPN	Policy Based Session
Tunnel Interface IP CIDR	IP-адрес и маска подсети в формате CIDR, назначенные виртуальному туннельному интерфейсу	172.16.30.1/30
Tunnel Interface MTU	Максимальный размер пакета, который может быть передан через туннельный интерфейс без фрагментации	1400

Параметр	Комментарий	Значение
Enable perfect forward secrecy	Дополнительная безопасность с использованием уникального ключа	On
Local Id и Local Endpoint	Идентификатор локального узла и точка входа для VPN на вашей стороне	213.108.129.202
Local Subnets	Локальные сети, которые будут доступны через VPN-туннель	192.168.101.0/24
Peer Id и Peer Endpoint	Идентификатор удаленного узла и точка входа для VPN-туннеля на стороне удаленного узла	176.118.31.163
Peer Subnets	Сети на удаленной стороне, которые будут доступны через VPN-туннель	192.168.200.0/24
Encryption Algorithm	Алгоритм шифрования, используемый для защиты данных в VPN-туннеле	AES
Authentication	Метод аутентификации, используемый для проверки подлинности сторон	PSK
Pre-Shared Key	Секретный ключ, используемый для аутентификации сторон. Обе стороны должны использовать один и тот же ключ для установки соединения	Changeme123
Diffie-Hellman Group	Тип алгоритма шифрования, используемый для обмена ключами по протоколу Диффи-Хеллмана	DH5
Digest Algorithm	Алгоритм хеширования, используемый для проверки целостности данных	SHA1
IKE Option	Настройки для фазы 1 (IKEv1 или IKEv2) установления VPN-соединения	IKEv2
IKE Responder Only	Инициатором соединения всегда является удаленная сторона	Off
Session Type	Тип сессии VPN	Policy Based Session
Tunnel Interface IP CIDR	IP-адрес и маска подсети в формате CIDR, назначенные виртуальному туннельному интерфейсу	172.16.30.1/30
Tunnel Interface MTU	Максимальный размер пакета, который может быть передан через туннельный интерфейс без фрагментации	1400

Cisco CSR1000v

В данном разделе приведено описание настройки Route-Based IPSec на Cisco CSR1000v в рамках IKEv1 и IKEv2.

Настройка в рамках IKEv1
Настройка в рамках IKEv2

Настройте ключ PSK:

1
crypto isakmp key Changeme123 address 213.108.129.202

Создайте ISAKMP политику:

1
crypto isakmp policy 10
2
 authentication pre-share
3
 encryption aes 128
4
 hash sha
5
 group 5
6
 lifetime 28800

Настройте ISAKMP профиль:

1
crypto isakmp profile VTI-EDGE-PROFILE
2
 match identity address 213.108.129.202
3
 keyring VTI-EDGE-KEYRING
4
CHANGE:
5
isakmp profile на него не нужен

Настройте IPSec Transform Set:

1
crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac
2
 mode tunnel

Настройте IPSec профиль:

1
crypto ipsec profile VTI-EDGE-IPSEC-PROF
2
 set transform-set TS-EDGE-ESP-AES-SHA
3
 set security-association lifetime seconds 3600

Настройте VTI интерфейс:

1
interface Tunnel 1
2
ip address 172.16.30.2 255.255.255.252
3
tunnel source 176.118.31.163
4
tunnel mode ipsec ipv4
5
tunnel destination 213.108.129.202
6
tunnel protection ipsec profile VTI-EDGE-IPSEC-PROF

Вся конфигурация, относящаяся к настройке Route-Based IPSec на Cisco CSR1000v с использованием IKEv1, выглядит следующим образом:

1
crypto isakmp key Changeme123 address 213.108.129.202
2

3
crypto isakmp policy 10
4
 encr aes
5
 authentication pre-share
6
 group 5
7
 lifetime 28800
8

9
crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac
10
 mode tunnel
11

12
crypto ipsec profile VTI-EDGE-IPSEC-PROF
13
 set transform-set TS-EDGE-ESP-AES-SHA
14

15
interface Tunnel1
16
 ip address 172.16.30.2 255.255.255.252
17
 tunnel source 176.118.31.163
18
 tunnel mode ipsec ipv4
19
 tunnel destination 213.108.129.202
20
 tunnel protection ipsec profile VTI-EDGE-IPSEC-PROF

Настройте связку ключей IKEv2:

1
crypto ikev2 keyring VTI-EDGE-KEYRING
2
peer EDGE
3
  address 213.108.129.202
4
  pre-shared-key local Changeme123
5
  pre-shared-key remote Changeme123

Создайте ISAKMP proposal:

1
crypto ikev2 proposal VTI-EDGE-PROPOSAL
2
  encryption aes-cbc-128
3
  integrity sha1
4
  group 5

Создайте ISAKMP политику:

1
crypto ikev2 policy VTI-EDGE-POLICY
2
  proposal VTI-EDGE-PROPOSAL

Настройте IKEv2 профиль:

1
crypto ikev2 profile VTI-EDGE-PROFILE
2
match identity remote address 213.108.129.202 255.255.255.0
3
identity local address 176.118.31.163
4
  authentication remote pre-share
5
  authentication local pre-share
6
  keyring local VTI-EDGE-KEYRING

Настройте IPSec Transform Set:

1
crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac
2
mode tunnel

Настройте IPSec профиль:

1
crypto ipsec profile VTI-EDGE-IPSEC-PROF
2
 set transform-set TS-EDGE-ESP-AES-SHA
3
 set ikev2-profile VTI-EDGE-PROFILE

Настройте VTI интерфейс:

1
interface Tunnel 1
2
  ip address 172.16.30.2 255.255.255.252
3
  ip mtu 1400
4
  tunnel source 176.118.31.163
5
  tunnel mode ipsec ipv4
6
  tunnel destination 213.108.129.202
7
  tunnel protection ipsec profile VTI-EDGE-IPSEC-PROF

Вся конфигурация, относящаяся к настройке Route-Based IPSec на Cisco CSR1000v с использованием IKEv2, выглядит следующим образом:

1
crypto ikev2 proposal VTI-EDGE-PROPOSAL
2
 encryption aes-cbc-128
3
 integrity sha1
4
 group 5
5

6
crypto ikev2 policy VTI-EDGE-POLICY
7
 proposal VTI-EDGE-PROPOSAL
8

9
crypto ikev2 keyring VTI-EDGE-KEYRING
10
 peer EDGE
11
 address 213.108.129.202
12
 pre-shared-key local Changeme123
13
 pre-shared-key remote Changeme123
14

15
crypto ikev2 profile VTI-EDGE-PROFILE
16
 match identity remote address 213.108.129.202 255.255.255.0
17
 identity local address 176.118.31.163
18
 authentication remote pre-share
19
 authentication local pre-share
20
 keyring local VTI-EDGE-KEYRING
21

22
crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac
23
 mode tunnel
24

25
crypto ipsec profile VTI-EDGE-IPSEC-PROF
26
 set transform-set TS-EDGE-ESP-AES-SHA
27
 set ikev2-profile VTI-EDGE-PROFILE
28

29
interface Tunnel1
30
 ip address 172.16.30.2 255.255.255.252
31
 ip mtu 1400
32
 tunnel source 176.118.31.163
33
 tunnel mode ipsec ipv4
34
 tunnel destination 213.108.129.202
35
 tunnel protection ipsec profile VTI-EDGE-IPSEC-PROF

Настройка BGP для обмена маршрутами

В разделе приведено описание настроек обмена маршрутами по протоколу BGP между Edge Gateway и Cisco CSR1000v.

Настройка BGP на стороне Cisco CSR1000v

Конфигурация к настройке BGP на Cisco CSR1000v выглядит следующим образом:

1
configure terminal
2
router bgp 65502
3
 bgp router-id 172.16.30.2
4
 bgp log-neighbor-changes
5
 neighbor 172.16.30.1 remote-as 65501
6
 address-family ipv4
7
  network 192.168.200.0 mask 255.255.255.0
8
  neighbor 172.16.30.1 activate
9
 exit-address-family
10
end

Настройка BGP на стороне Edge Gateway

Перейдите в Data Centers и выберите виртуальный дата-центр.
Перейдите в Edges и выберите Edge Gateway.
Чтобы добавить Router ID, перейдите в Services > Routing > Routing configuration.
- Перейдите в DYNAMIC ROUTING CONFIGURATION.
- Router ID — нажмите +.
- В окне Add custom ID добавьте адрес туннельного интерфейса и нажмите Keep.
- В Routing > Routing configuration нажмите Save Changes.
Чтобы включить BGP и настроить соседство маршрутизации, перейдите в Routing > BGP.
- Включите переключатель Enable BGP.
- Local AS — введите соседа маршрутизации, например, 65501.
- Neighbors — нажмите +, чтобы добавить соседство.
- Откроется окно New Neighbour. Заполните поля.
- IP Address — введите IP-адрес.
- Remote AS — введите номер AS соседа.
- Нажмите KEEP.
- В Routing > BGP нажмите Save Changes.
Чтобы добавить анонс сетей, которые подключены к Edge Gateway, перейдите в Routing > Route Redistribution.
- Включите опцию BGP Status.
- IP Prefixes — нажмите +, чтобы добавить префикс, который будет анонсироваться в BGP.
- Откроется окно New IP Prefix. Заполните поля.
- Name — введите название.
- IP/Network — добавьте сеть в формате CIDR.
- Нажмите KEEP.
- Route Redistribution Table — нажмите +, чтобы добавить ранее созданную сеть в критерии, по которым будут производиться анонсы в BGP.
- Откроется окно New Redistribution Criteria. Заполните поля.
- Learner Protocol — выберите BGP.
- Allow learning — выберите Connected.
- Нажмите KEEP.
- В Routing > Route Redistribution нажмите Save Changes.

Диагностика туннелей и BGP

Просмотр статуса на стороне Cisco CSR1000v

Посмотреть статус соединения, маршрутов и BGP соседства в рамках Cisco можно с помощью команд в CLI:

1
show ip interface brief
2
show interface tunnel 1
3
show tunnel endpoint Tunnel 1
4
show crypto session interface tunnel 1
5
show crypto isakmp sa
6
show crypto ipsec sa
7

8
show ip route bgp
9
show ip bgp
10
show ip bgp summary
11
show ip bgp neighbors 172.16.30.1 routes
12
show ip bgp neighbors 172.16.30.1 advertised-routes
13
show ip bgp neighbors 172.16.30.1
14
show bgp all

Просмотр статуса на стороне Edge Gateway

Посмотреть статус соединения IPSec связности и построения туннеля можно в свойствах Edge Gateway:

Перейдите в Data Centers и выберите виртуальный дата-центр.
Перейдите в Edges и выберите Edge Gateway.
Перейдите в Services > Statistics > IPSec VPN.
IPSec VPN Statistics & Status — состояние связности.
IPSec VPN Tunnel Statistics & Status — статус туннеля.

Посмотреть статус соединения, маршрутов и BGP соседства в рамках Edge Gateway можно с помощью команд в CLI:

1
show interface vti-1
2

3
show service ipsec
4
show service ipsec sa
5
show service ipsec site
6
show service ipsec sp
7

8
show ip route bgp
9

10
show ip bgp
11

12
show ip bgp neighbors summary
13
show ip bgp neighbors 172.16.30.2 advertised-routes
14
show ip bgp neighbors 172.16.30.2 routes
15
show ip bgp neighbors
16
show ip bgp neighbors 172.16.30.2