Configurazione tunnel IPv2 IPv6 da sito a sito tra ASA e FTD

Opzioni per il download

  • PDF     (2.2 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.1 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:15 giugno 2020
ID documento:215522

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene illustrato un esempio di configurazione per configurare un tunnel da sito IPv6 a sito tra un'appliance ASA (Adaptive Security Appliance) e un protocollo FTD (Firepower Threat Defense) tramite il protocollo IKEv2 (Internet Key Exchange versione 2). L'installazione include la connettività di rete IPv6 end-to-end con ASA e FTD come dispositivi di terminazione VPN.


    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenze fondamentali della configurazione ASA CLI
    • Conoscenze base dei protocolli IKEv2 e IPSEC
    • Informazioni sull'indirizzamento e il routing IPv6
    • Conoscenze di base della configurazione FTD tramite FMC

    Componenti usati

    Le informazioni discusse in questo documento si basano su un ambiente virtuale creato con dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è in produzione, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco ASAv con versione 9.6(4)12
    • Cisco FTDv con versione 6.5.0
    • Cisco FMCv versione 6.6.0

    Configurazione

    Esempio di rete

    Configurazione ASA

    In questa sezione viene descritta la configurazione richiesta sull'appliance ASA. 

    Passaggio 1. Configurare le interfacce ASA.

    interface GigabitEthernet0/0
    nameif outside
    security-level 0
    ipv6 address 2001:bbbb::1/64
    ipv6 enable

    interface GigabitEthernet0/1
    nameif inside
    security-level 100
    ipv6 address 2001:aaaa::1/64
    ipv6 enable

    Passaggio 2. Impostare una route predefinita IPv6.

    ipv6 route outside ::/0 2001:bbbb::2

    Passaggio 3. Configurare il criterio IKEv2 e abilitare IKEv2 sull'interfaccia esterna.

    crypto ikev2 policy 1
    encryption aes-256
    integrity sha256
    group 14
    prf sha256
    lifetime seconds 86400

    crypto ikev2 enable outside

    Passaggio 4. Configurare il gruppo di tunnel.

    tunnel-group 2001:cccc::1 type ipsec-l2l
    tunnel-group 2001:cccc::1 ipsec-attributes
    ikev2 remote-authentication pre-shared-key cisco123
    ikev2 local-authentication pre-shared-key cisco123

    Passaggio 5. Creare gli oggetti e l'Access Control List (ACL) in modo che corrispondano al traffico interessato. 

    object-group network local-network
    network-object 2001:aaaa::/64

    object-group network remote-network
    network-object 2001:dddd::/64

    access-list CRYPTO_ACL extended permit ip object-group local-network object-group remote-network

    Passaggio 6. Configurare le regole NAT (Network Address Translation) dell'identità per il traffico interessato. 

    nat (inside,outside) source static local-network local-network destination static remote-network remote-network no-proxy-arp route-lookup

    Passaggio 7. Configurare la proposta IPSec IKEv2.

    crypto ipsec ikev2 ipsec-proposal ikev2_aes256
    protocol esp encryption aes-256
    protocol esp integrity sha-1

    Passaggio 8. Impostare la mappa crittografica e applicarla all'interfaccia esterna. 

    crypto map VPN 1 match address CRYPTO_ACL
    crypto map VPN 1 set peer 2001:cccc::1
    crypto map VPN 1 set ikev2 ipsec-proposal ikev2_aes256
    crypto map VPN 1 set reverse-route

    crypto map VPN interface outside

    Configurazione FTD

    In questa sezione vengono fornite le istruzioni per configurare un FTD utilizzando FMC. 

    Definire la topologia VPN

    Passaggio 1. Passare a Dispositivi > VPN > Da sito a sito.

    Seleziona Aggiungere VPN e scegliere Firepower Threat Defense Device, come mostrato nell'immagine.

    Passaggio 2. Viene visualizzata la casella 'Create New VPN Topology'. Dai alla VPN un nome facilmente identificabile.

    Topologia della rete: Punto-punto

    Versione IKE: IKEv2

    In questo esempio, quando si selezionano gli endpoint, il nodo A è l'FTD. Il nodo B è l'ASA. Fare clic sul pulsante verde più per aggiungere dispositivi alla topologia.

    Passaggio 3. Aggiungere l'FTD come primo endpoint.


    Scegliere l'interfaccia a cui applicare la mappa crittografica. L'indirizzo IP deve essere popolato automaticamente dalla configurazione del dispositivo.

    Fare clic sul pulsante più verde in Reti protette per selezionare le subnet crittografate tramite questo tunnel VPN. In questo esempio, l'oggetto di rete 'Proxy locale' in FMC è costituito dalla subnet IPv6 '2001:DDDD::/64'.



    Con il passo precedente, la configurazione dell'endpoint FTD è completa.


    Passaggio 4. Nell'esempio di configurazione, fare clic sul pulsante più verde per il nodo B che è un'ASA. I dispositivi non gestiti dal FMC sono considerati Extranet. Aggiungere un nome di dispositivo e un indirizzo IP.


    Passaggio 5. Selezionare il segno più verde per aggiungere le reti protette.

    Passaggio 6. Selezionare le subnet ASA da cifrare e aggiungerle alle reti selezionate.

    In questo esempio, 'Remote Proxy' è la subnet ASA '2001:AAAA::/64'.


    Configura parametri IKE

    Passaggio 1. Nella scheda IKE specificare i parametri da utilizzare per lo scambio iniziale di IKEv2. Fare clic sul pulsante più verde per creare un nuovo criterio IKE.

    Passaggio 2. Nel nuovo criterio IKE specificare un numero di priorità e la durata della fase 1 della connessione. Questa guida utilizza i seguenti parametri per lo scambio iniziale:
    Integrità (SHA256),
    Crittografia (AES-256),
    PRF (SHA256) e
    Gruppo Diffie-Hellman (Gruppo 14).

    Tutti i criteri IKE nel dispositivo verranno inviati al peer remoto indipendentemente dal contenuto della sezione criteri selezionata. Il primo corrispondente peer remoto verrà selezionato per la connessione VPN.

    [Facoltativo] Scegliere il criterio da inviare per primo utilizzando il campo Priorità. La priorità 1 viene inviata per prima.


    Passaggio 3. Dopo aver aggiunto i parametri, selezionare il criterio configurato in precedenza e scegliere il tipo di autenticazione.

    Selezionare l'opzione Chiave manuale già condivisa. Per questa guida viene utilizzata la chiave già condivisa 'cisco123'.


    Configura parametri IPSEC

    Passaggio 1. Passare alla scheda IPSec e creare una nuova proposta IPSec facendo clic sull'icona a forma di matita per modificare il set di trasformazioni.

    Passaggio 2. Creare una nuova proposta IPSec IKEv2 selezionando l'icona più verde e immettendo i parametri della fase 2 come mostrato di seguito:

    Hash ESP: SHA-1

    Crittografia ESP: AES-256

    Passaggio 3. Dopo aver creato la nuova proposta IPSec, aggiungerla ai set di trasformazioni selezionati.

    Passaggio 4. La nuova proposta IPSec selezionata viene ora elencata nelle proposte IPSec IKEv2.

    Se necessario, è possibile modificare la durata della fase 2 e l'opzione PFS. In questo esempio, la durata è impostata come predefinita e PFS è disattivato.


    È necessario configurare i passaggi seguenti per ignorare il controllo di accesso o creare regole dei criteri di controllo di accesso per consentire le subnet VPN tramite FTD.

    Ignora controllo di accesso

    Se sysopt allow-vpn non è abilitato, è necessario creare una policy di controllo dell'accesso per consentire il traffico VPN attraverso il dispositivo FTD. Se sysopt allow-vpn è abilitato, ignorare la creazione di criteri di controllo di accesso. In questo esempio di configurazione viene utilizzata l'opzione "Bypass Access Control".

    Il parametro sysopt allow-vpn può essere abilitato in Advanced > Tunnel.

    Attenzione: Questa opzione elimina la possibilità di utilizzare i criteri di controllo di accesso per ispezionare il traffico proveniente dagli utenti. È comunque possibile usare filtri VPN o ACL scaricabili per filtrare il traffico degli utenti. Questo è un comando globale e si applica a tutte le VPN se questa casella di controllo è abilitata.



    Configura esenzione NAT

    Configurare un'istruzione di esenzione NAT per il traffico VPN. L'esenzione NAT deve essere in atto per evitare che il traffico VPN corrisponda a un'altra istruzione NAT e traduca in modo errato il traffico VPN.

    Passaggio 1. Passare a Dispositivi > NAT e cCreare un nuovo criterio facendo clic su Nuovo criterio > Threat Defense NAT.


    Passaggio 2. Fare clic su Aggiungi regola.



    Passaggio 3. Creare una nuova regola NAT manuale statica.

    Fare riferimento alle interfacce interne ed esterne per la regola NAT. La specifica delle interfacce nella scheda Oggetti interfaccia impedisce che queste regole influiscano sul traffico proveniente da altre interfacce. 

    Passare alla scheda Traduzione e selezionare le subnet di origine e di destinazione. Trattandosi di una regola di esenzione NAT, verificare che l'origine/destinazione originale e l'origine/destinazione tradotta siano uguali.


    Fare clic sulla scheda Avanzate e selezionare no-proxy-arp e route-lookup.


    Salva questa regola e conferma l'istruzione NAT finale nell'elenco NAT.


    Passaggio 4. Dopo aver completato la configurazione, salvarla e distribuirla nell'FTD.

    Verifica

    Inviare il traffico interessante dal computer LAN o è possibile eseguire il comando packet-tracer seguente sull'appliance ASA.

    packet-tracer input inside icmp 2001:aaaa::23 128 0 2001:dddd::33 detail

    Nota: Qui Tipo = 128 e Codice=0 rappresenta ICMPv6 "Richiesta echo".

    Nella sezione seguente vengono descritti i comandi che è possibile eseguire sulla CLI di ASAv o FTD LINA per controllare lo stato del tunnel IKEv2.

    Questo è un esempio di output dell'appliance ASA:

    ciscoasa# show crypto ikev2 sa

    IKEv2 SAs:

    Session-id:3, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id Local                                               Remote                                                  Status         Role
      6638313 2001:bbbb::1/500                                    2001:cccc::1/500                                         READY    INITIATOR
          Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:14, Auth sign: PSK, Auth verify: PSK
          Life/Active Time: 86400/224 sec
    Child sa: local selector  2001:aaaa::/0 - 2001:aaaa::ffff:ffff:ffff:ffff/65535
              remote selector 2001:dddd::/0 - 2001:dddd::ffff:ffff:ffff:ffff/65535
              ESP spi in/out: 0xa0fd3fe6/0xd95ecdb8 


    ciscoasa# show crypto ipsec sa detail
    interface: outside
        Crypto map tag: VPN, seq num: 1, local addr: 2001:bbbb::1

          access-list CRYPTO_ACL extended permit ip 2001:aaaa::/64 2001:dddd::/64
          local ident (addr/mask/prot/port): (2001:aaaa::/64/0/0)
          remote ident (addr/mask/prot/port): (2001:dddd::/64/0/0)
          current_peer: 2001:cccc::1

          #pkts encaps: 11, #pkts encrypt: 11, #pkts digest: 11
          #pkts decaps: 11, #pkts decrypt: 11, #pkts verify: 11
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #TFC rcvd: 0, #TFC sent: 0
          #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
          #pkts no sa (send): 0, #pkts invalid sa (rcv): 0
          #pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
          #pkts invalid prot (rcv): 0, #pkts verify failed: 0
          #pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
          #pkts invalid pad (rcv): 0,
          #pkts invalid ip version (rcv): 0,
          #pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
          #pkts replay failed (rcv): 0
          #pkts min mtu frag failed (send): 0, #pkts bad frag offset (rcv): 0
          #pkts internal err (send): 0, #pkts internal err (rcv): 0

          local crypto endpt.: 2001:bbbb::1/500, remote crypto endpt.: 2001:cccc::1/500
          path mtu 1500, ipsec overhead 94(64), media mtu 1500
          PMTU time remaining (sec): 0, DF policy: copy-df
          ICMP error validation: disabled, TFC packets: disabled
          current outbound spi: D95ECDB8
          current inbound spi : A0FD3FE6

        inbound esp sas:
          spi: 0xA0FD3FE6 (2700951526)
             transform: esp-aes-256 esp-sha-hmac no compression
             in use settings ={L2L, Tunnel, IKEv2, }
             slot: 0, conn_id: 1937408, crypto-map: VP
             sa timing: remaining key lifetime (kB/sec): (4055040/28535)
             IV size: 16 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x00000001
        outbound esp sas:
          spi: 0xD95ECDB8 (3646868920)
             transform: esp-aes-256 esp-sha-hmac no compression
             in use settings ={L2L, Tunnel, IKEv2, }
             slot: 0, conn_id: 1937408, crypto-map: VPN
             sa timing: remaining key lifetime (kB/sec): (4193280/28535)
             IV size: 16 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x00000001


    ciscoasa# show vpn-sessiondb detail l2l filter name 2001:cccc::1 

    Session Type: LAN-to-LAN Detailed

    Connection   : 2001:cccc::1
    Index        : 473                    IP Addr      : 2001:cccc::1
    Protocol     : IKEv2 IPsec
    Encryption   : IKEv2: (1)AES256  IPsec: (1)AES256
    Hashing      : IKEv2: (1)SHA256  IPsec: (1)SHA1
    Bytes Tx     : 352                     Bytes Rx     : 352
    Login Time   : 12:27:36 UTC Sun Apr 12 2020
    Duration     : 0h:06m:40s

    IKEv2 Tunnels: 1
    IPsec Tunnels: 1

    IKEv2:
      Tunnel ID    : 473.1
      UDP Src Port : 500                    UDP Dst Port : 500
      Rem Auth Mode: preSharedKeys
      Loc Auth Mode: preSharedKeys
      Encryption   : AES256                 Hashing      : SHA256
      Rekey Int (T): 86400 Seconds          Rekey Left(T): 86000 Seconds
      PRF          : SHA256                 D/H Group    : 14
      Filter Name  :

    IPsec:
      Tunnel ID    : 473.2
      Local Addr   : 2001:aaaa::/64/0/0
      Remote Addr  : 2001:dddd::/64/0/0
      Encryption   : AES256                 Hashing      : SHA1                   
      Encapsulation: Tunnel                 
      Rekey Int (T): 28800 Seconds          Rekey Left(T): 28400 Seconds          
      Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4608000 K-Bytes        
      Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes             
      Bytes Tx     : 352                    Bytes Rx     : 352                     
      Pkts Tx      : 11                     Pkts Rx      : 11      

    Risoluzione dei problemi


    Per risolvere i problemi di impostazione del tunnel IKEv2 su ASA e FTD, eseguire i seguenti comandi di debug:


    debug crypto condition peer <IP peer>
    debug crypto ikev2 protocol 255
    debug crypto ikev2 platform 255

    Di seguito è riportato un esempio di utilizzo dei debug IKEv2 come riferimento:
    https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115935-asa-ikev2-debugs.html

    Riferimenti


    https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/119425-configure-ipsec-00.html
    https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble.html
    https://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/vpn/asa-95-vpn-config/vpn-site2site.html

    TAC Authored

    Contributo dei tecnici Cisco

    • Created by Dinesh Moudgil
      Tecnico dell'assistenza tecnica High-Touch Cisco
    • Created by Pulkit Saxena
      Tecnico dell'assistenza tecnica High-Touch Cisco
    • Edited by Cesar Lopez Zamarripa
      Cisco Security Technical Leader

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti