Page tree
Skip to end of metadata
Go to start of metadata

Общая схема взаимодействия

Настройка Route-based IPsec на NSX Edge Services Gateway

Настройка в рамках IKEv1


Enable perfect forward secrecy: Off

Authentication: PSK 

IKE Option : IKEv1

172.16.30.1/30

Tunnel Interface MTU: 1400

Настройка в рамках IKEv2


Enable perfect forward secrecy: Off

Authentication: PSK 

IKE Option : IKEv2

172.16.30.1/30

Tunnel Interface MTU: 1400


Конфигурация Route-based IPsec на Cisco CSR1000v

Настройка в рамках IKEv1

  1. Настроим ключ PSK:

    crypto isakmp key Changeme123 address 213.108.129.202
  2. Создаем ISAKMP политику:

    crypto isakmp policy 10
      authentication pre-share
      encryption aes 128
      hash sha
      group 5
      lifetime 28800
  3. Настраиваем ISAKMP профиль:

    crypto isakmp profile VTI-EDGE-PROFILE
      match identity address 213.108.129.202
      keyring VTI-EDGE-KEYRING
    
    CHANGE:
    isakmp profile на него не нужен
  4. Настраиваем IPsec Transform Set:

    crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac
      mode tunnel
  5. Настраиваем IPsec профиль:

    crypto ipsec profile VTI-EDGE-IPSEC-PROF
      set transform-set TS-EDGE-ESP-AES-SHA
      set security-association lifetime seconds 3600
  6. Настраиваем VTI интерфейс:

    interface Tunnel 1
    ip address 172.16.30.2 255.255.255.252
    tunnel source 176.118.31.163
    tunnel mode ipsec ipv4
    tunnel destination 213.108.129.202
    tunnel protection ipsec profile VTI-EDGE-IPSEC-PROF

Итого вся конфигурация , относящаяся к настройке Route-based IPsec на Cisco CSR1000v с использованием IKEv1 выглядит следующим образом:

crypto isakmp key Changeme123 address 213.108.129.202

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 5
 lifetime 28800

crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac
 mode tunnel

crypto ipsec profile VTI-EDGE-IPSEC-PROF
 set transform-set TS-EDGE-ESP-AES-SHA

interface Tunnel1
 ip address 172.16.30.2 255.255.255.252
 tunnel source 176.118.31.163
 tunnel mode ipsec ipv4
 tunnel destination 213.108.129.202
 tunnel protection ipsec profile VTI-EDGE-IPSEC-PROF


Настройка в рамках IKEv2

  1. Настроим связку ключей IKEv2:

    crypto ikev2 keyring VTI-EDGE-KEYRING
    peer EDGE
    	address 213.108.129.202
    	pre-shared-key local Changeme123
    	pre-shared-key remote Changeme123
  2. Создаем ISAKMP proposal:

    crypto ikev2 proposal VTI-EDGE-PROPOSAL
    	encryption aes-cbc-128
    	integrity sha1
    	group 5
  3. Создаем ISAKMP политику:

    crypto ikev2 policy VTI-EDGE-POLICY
    	proposal VTI-EDGE-PROPOSAL
  4. Настраиваем IKEv2 профиль:

    crypto ikev2 profile VTI-EDGE-PROFILE
    match identity remote address 213.108.129.202 255.255.255.0
    identity local address 176.118.31.163
    	authentication remote pre-share
    	authentication local pre-share
    	keyring local VTI-EDGE-KEYRING
    
  5. Настраиваем IPsec Transform Set:

    crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac
      mode tunnel
  6. Настраиваем IPsec профиль:

    crypto ipsec profile VTI-EDGE-IPSEC-PROF
      set transform-set TS-EDGE-ESP-AES-SHA
      set ikev2-profile VTI-EDGE-PROFILE
  7. Настраиваем VTI интерфейс:

    interface Tunnel 1
    	ip address 172.16.30.2 255.255.255.252
     	ip mtu 1400
    	tunnel source 176.118.31.163
    	tunnel mode ipsec ipv4
    	tunnel destination 213.108.129.202
    	tunnel protection ipsec profile VTI-EDGE-IPSEC-PROF

Итого вся конфигурация , относящаяся к настройке Route-based IPsec на Cisco CSR1000v с использованием IKEv2 выглядит следующим образом:

crypto ikev2 proposal VTI-EDGE-PROPOSAL
 encryption aes-cbc-128
 integrity sha1
 group 5

crypto ikev2 policy VTI-EDGE-POLICY
 proposal VTI-EDGE-PROPOSAL

crypto ikev2 keyring VTI-EDGE-KEYRING
 peer EDGE
 address 213.108.129.202
 pre-shared-key local Changeme123
 pre-shared-key remote Changeme123
 
crypto ikev2 profile VTI-EDGE-PROFILE
 match identity remote address 213.108.129.202 255.255.255.0
 identity local address 176.118.31.163
 authentication remote pre-share
 authentication local pre-share
 keyring local VTI-EDGE-KEYRING

crypto ipsec transform-set TS-EDGE-ESP-AES-SHA esp-aes esp-sha-hmac
 mode tunnel

crypto ipsec profile VTI-EDGE-IPSEC-PROF
 set transform-set TS-EDGE-ESP-AES-SHA
 set ikev2-profile VTI-EDGE-PROFILE

interface Tunnel1
 ip address 172.16.30.2 255.255.255.252
 ip mtu 1400
 tunnel source 176.118.31.163
 tunnel mode ipsec ipv4
 tunnel destination 213.108.129.202
 tunnel protection ipsec profile VTI-EDGE-IPSEC-PROF

Если опция Enable perfect forward secrecy стоит в значении On , то в рамках crypto ipsec profile нужно прописать опцию set pfs groupX, где X - это значение Diffie-Hellman Group из настройки NSX Edge Services Gateway

Настраиваем обмен маршрутами по BGP между NSX Edge Services Gateway и Cisco CSR1000v

Настройка BGP на Cisco CSR1000v

configure terminal
router bgp 65502
 bgp router-id 172.16.30.2
 bgp log-neighbor-changes
 neighbor 172.16.30.1 remote-as 65501
 address-family ipv4
  network 192.168.200.0 mask 255.255.255.0
  neighbor 172.16.30.1 activate
 exit-address-family
end

Настройка BGP на стороне NSX Edge Services Gateway

Настроим Router ID. Перейдем в Routing → Routing configuration → в блоке DYNAMIC ROUTING CONFIGURATION в поле Router ID нажмите +:

Добавьте адрес туннельного интерфейса в поле IP Address и нажмите Keep:

Переходим на вкладку Routing → BGP → включаем переключатель Enable BGP, задаем Local AS 65501 и далее открываем настройку соседства через + :

Задаем IP адрес соседа, его номер AS и сохраняем настройки нажав на кнопку KEEP :

Сохраняем настройки на вкладке Routing → BGP нажав на Save Changes.

Переходим на вкладку Routing → Route Redistribution. Необходимо добавить анонс сетей , которые подключены к Edge Gateway. Включаем BGP Status → добавляем IP Prefixes через + :

Добавляем нужный префикс, который будет анонсироваться в BGP задав название, сеть в CIDR формате и нажав на KEEP для сохранения настроек:

Далее нажимаем в меню Route Redistribution Table на + и добавляем ранее созданную сеть в критерии по которым будут производиться анонсы в BGP. В Learner Protocol выберите BGP и Allow learning from: Connected. Сохраните настройки нажав на KEEP:

Сохраняем настройки нажав на Save Changes.

Диагностика туннелей и BGP

Посмотреть статус соединения , маршрутов и BGP соседства можно в рамках Cisco можно с помощью команд в CLI:

show ip interface brief
show interface tunnel 1
show tunnel endpoint Tunnel 1
show crypto session interface tunnel 1
show crypto isakmp sa
show crypto ipsec sa

show ip route bgp
show ip bgp
show ip bgp summary
show ip bgp neighbors 172.16.30.1 routes
show ip bgp neighbors 172.16.30.1 advertised-routes
show ip bgp neighbors 172.16.30.1 
show bgp all

Посмотреть статус соединения IPsec связности и построения туннеля можно в свойствах Edge Gateway в HTML5 интерфейсе на вкладке Statistics → IPsec VPN. 

Первая таблица - состояние связности (Phase 1) , вторая таблица - статус туннеля (Phase 2).

Посмотреть статус соединения , маршрутов и BGP соседства можно в рамках NSX Edge Services Gateway можно с помощью команд в CLI:

show interface vti-1

show service ipsec
show service ipsec sa
show service ipsec site
show service ipsec sp

show ip route bgp

show ip bgp

show ip bgp neighbors summary
show ip bgp neighbors 172.16.30.2 advertised-routes
show ip bgp neighbors 172.16.30.2 routes
show ip bgp neighbors
show ip bgp neighbors 172.16.30.2
  • No labels