Tuneles L2L Dinamicos conectando a diferentes Tunnel-Groups

Introducción

Este documento describe como hacer que tuneles L2L dinamicos conecten a grupos diferentes del DefaultL2LGroup.

Creado por Gustavo Medina, Ingeniero de Cisco TAC.

Requisitos

No existen requisitos específicos para este documento.

Componentes Utilizados

La informacion en este documento está basada en los siguientes dispositivos y versiones, sin embargo no aplica solamente para estos dispositivos.

  • ASA 5510 version 8.2(5)
  • Router 3845 version 12.4(24)T

La información contenida en este documento ha sido creada a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos utilizados en este documento iniciaron con una configuración limpia (por defecto). Si la red está en producción, asegúrese de que entiende el impacto potencial de cualquier comando.

Informacion general

En túneles dinámicos L2L, un lado del túnel (el iniciador) tiene una dirección IP dinámica. Debido a que el receptor no sabe de qué direcciones IP están viniendo estos túneles, a diferencia de los túneles L2L estáticos, diferentes conexiones caen automáticamente en el DefaultL2LGroup. Sin embargo, en algunas situaciones esto no es aceptable y el usuario podría tener que asignar un Group-Policy o pre-shared key diferente a cada conexión.

Configuración

Esto se puede lograr mediante dos maneras:

  • Certificados

    El proceso de búsqueda de tunnel-group en el ASA aterrizará las conexiones basadas en un campo certificado presentado por los spokes.

    no tunnel-group-map enable rules
    tunnel-group-map enable ou
    tunnel-group-map enable ike-id
    tunnel-group-map enable peer-ip
    tunnel-group-map default-group DefaultRAGroup
  • PSKs y Aggressive Mode

    No todos los usuarios tienen una infraestructura PKI. Sin embargo, lo mismo todavía se puede lograr usando un parámetro de modo agresivo tal como se describe aquí:

    HUB

    crypto ipsec transform-set myset esp-3des esp-sha-hmac
    crypto ipsec security-association lifetime seconds 28800
    crypto ipsec security-association lifetime kilobytes 4608000
    crypto dynamic-map mydyn 10 set transform-set myset
    crypto map mymap 65535 ipsec-isakmp dynamic mydyn
    crypto map mymap interface outside
    
    crypto isakmp enable outside
    crypto isakmp policy 10
     authentication pre-share
     encryption 3des
     hash sha
     group 2
     lifetime 86400
    
    tunnel-group SPOKE1 type ipsec-l2l
    tunnel-group SPOKE1 ipsec-attributes
     pre-shared-key cisco123
    tunnel-group SPOKE2 type ipsec-l2l
    tunnel-group SPOKE2 ipsec-attributes
     pre-shared-key cisco456

    SPOKE1

    access-list interesting extended permit ip 
    192.168.15.0 255.255.255.0 192.168.1.0 255.255.255.0
    
    crypto ipsec transform-set myset esp-3des esp-sha-hmac
    crypto ipsec security-association lifetime seconds 28800
    crypto ipsec security-association lifetime kilobytes 4608000
    crypto map mymap 10 match address interesting
    crypto map mymap 10 set peer 10.198.16.141
    crypto map mymap 10 set transform-set myset
    crypto map mymap 10 set phase1-mode aggressive
    crypto map mymap interface outside
    crypto isakmp identity key-id SPOKE1
    crypto isakmp enable outside
    crypto isakmp policy 10
     authentication pre-share
     encryption 3des
     hash sha
     group 2
     lifetime 86400
    
    tunnel-group 10.198.16.141 type ipsec-l2l
    tunnel-group 10.198.16.141 ipsec-attributes
     pre-shared-key cisco123

    SPOKE2

    ip access-list extended interesting
     permit ip 192.168.16.0 0.0.0.255 192.168.1.0 0.0.0.255
    
    crypto isakmp policy 10
     encr 3des
     authentication pre-share
     group 2
    
    crypto isakmp peer address 10.198.16.141
     set aggressive-mode password cisco456
     set aggressive-mode client-endpoint fqdn SPOKE2
    
    crypto ipsec transform-set myset esp-3des esp-sha-hmac
    
    crypto map mymap 10 ipsec-isakmp
     set peer 10.198.16.141
     set transform-set myset
     match address interesting
    
    interface FastEthernet0/0
     crypto map mymap

Nota: Use el Command Lookup Tool (Usuarios registrados solamente) para obtener más informacion de los comandos utilizados en esta sección.

Diagrama de red

download.png

Verificación

HUB

Session Type: LAN-to-LAN Detailed

Connection   : SPOKE2
Index        : 59                     IP Addr      : 10.198.16.132
Protocol     : IKE IPsec
Encryption   : 3DES                   Hashing      : SHA1
Bytes Tx     : 400                    Bytes Rx     : 400
Login Time   : 23:45:00 UTC Thu Oct 27 2011
Duration     : 0h:00m:18s
IKE Tunnels: 1
IPsec Tunnels: 1

IKE:
  Tunnel ID    : 59.1
  UDP Src Port : 500                    UDP Dst Port : 500
  IKE Neg Mode : Aggressive             Auth Mode    : preSharedKeys
  Encryption   : 3DES                   Hashing      : SHA1
  Rekey Int (T): 86400 Seconds          Rekey Left(T): 86381 Seconds
  D/H Group    : 2
  Filter Name  :

IPsec:
  Tunnel ID    : 59.2
  Local Addr   : 192.168.1.0/255.255.255.0/0/0
  Remote Addr  : 192.168.16.0/255.255.255.0/0/0
  Encryption   : 3DES                   Hashing      : SHA1
  Encapsulation: Tunnel
  Rekey Int (T): 3600 Seconds           Rekey Left(T): 3581 Seconds
  Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4608000 K-Bytes
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Bytes Tx     : 400                    Bytes Rx     : 400
  Pkts Tx      : 4                      Pkts Rx      : 4

NAC:
  Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
  SQ Int (T)   : 0 Seconds              EoU Age(T)   : 21 Seconds
  Hold Left (T): 0 Seconds              Posture Token:
  Redirect URL :

Connection   : SPOKE1
Index        : 60                     IP Addr      : 10.198.16.142
Protocol     : IKE IPsec
Encryption   : 3DES                   Hashing      : SHA1
Bytes Tx     : 400                    Bytes Rx     : 400
Login Time   : 23:45:12 UTC Thu Oct 27 2011
Duration     : 0h:00m:08s
IKE Tunnels: 1
IPsec Tunnels: 1

IKE:
  Tunnel ID    : 60.1
  UDP Src Port : 500                    UDP Dst Port : 500
  IKE Neg Mode : Aggressive             Auth Mode    : preSharedKeys
  Encryption   : 3DES                   Hashing      : SHA1
  Rekey Int (T): 86400 Seconds          Rekey Left(T): 86391 Seconds
  D/H Group    : 2
  Filter Name  :

IPsec:
  Tunnel ID    : 60.2
  Local Addr   : 192.168.1.0/255.255.255.0/0/0
  Remote Addr  : 192.168.15.0/255.255.255.0/0/0
  Encryption   : 3DES                   Hashing      : SHA1
  Encapsulation: Tunnel
  Rekey Int (T): 28800 Seconds          Rekey Left(T): 28791 Seconds
  Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4608000 K-Bytes
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Bytes Tx     : 400                    Bytes Rx     : 400
  Pkts Tx      : 4                      Pkts Rx      : 4

NAC:
  Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
  SQ Int (T)   : 0 Seconds              EoU Age(T)   : 9 Seconds
  Hold Left (T): 0 Seconds              Posture Token:
  Redirect URL :
Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎07-02-2013 04:19 PM
Actualizado por:
 
Etiquetas (1)