Configurazione di esempio: dispositivo Cisco ASA (IKEv2/senza BGP)Sample configuration: Cisco ASA device (IKEv2/no BGP)

Questo articolo fornisce configurazioni di esempio per la connessione di dispositivi Cisco ASA (Adaptive Security Appliance) a gateway VPN di Azure.This article provides sample configurations for connecting Cisco Adaptive Security Appliance (ASA) devices to Azure VPN gateways. L'esempio si applica a dispositivi Cisco ASA che eseguono IKEv2 senza il protocollo BGP (Border Gateway Protocol).The example applies to Cisco ASA devices that are running IKEv2 without the Border Gateway Protocol (BGP).

Informazioni sul dispositivoDevice at a glance

Fornitore del dispositivoDevice vendor CiscoCisco
Modello del dispositivoDevice model ASAASA
Versione finaleTarget version 8.4 e versioni successive8.4 and later
Modello testatoTested model ASA 5505ASA 5505
Versione testataTested version 9.29.2
Versione IKEIKE version IKEv2IKEv2
BGPBGP NoNo
Tipo di gateway VPN di AzureAzure VPN gateway type Gateway VPN basato su routeRoute-based VPN gateway

Nota

La configurazione di esempio connette un dispositivo Cisco ASA a un gateway VPN di Azure basato su route.The sample configuration connects a Cisco ASA device to an Azure route-based VPN gateway. La connessione usa criteri IPsec/IKE personalizzati con l'opzione UsePolicyBasedTrafficSelectors, come descritto in questo articolo.The connection uses a custom IPsec/IKE policy with the UsePolicyBasedTrafficSelectors option, as described in this article.

L'esempio richiede che i dispositivi ASA usino i criteri IKEv2 con le configurazioni basate sull'elenco di accesso, non su VTI.The sample requires that ASA devices use the IKEv2 policy with access-list-based configurations, not VTI-based. Per verificare che i criteri IKEv2 siano supportati nei dispositivi VPN, vedere le specifiche del fornitore dei dispositivi.Consult your VPN device vendor specifications to verify that the IKEv2 policy is supported on your on-premises VPN devices.

Requisiti del dispositivo VPNVPN device requirements

I gateway VPN di Azure usano le suite di protocolli IPsec/IKE standard per stabilire la connessione tramite tunnel VPN da sito a sito (S2S).Azure VPN gateways use the standard IPsec/IKE protocol suites to establish Site-to-Site (S2S) VPN tunnels. Per i parametri di protocollo IPsec/IKE dettagliati e gli algoritmi di crittografia predefinita per i gateway VPN di Azure, vedere Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sito.For the detailed IPsec/IKE protocol parameters and default cryptographic algorithms for Azure VPN gateways, see About VPN devices.

Nota

È possibile specificare facoltativamente l'esatta combinazione di algoritmi di crittografia e di complessità della chiave per una connessione specifica, come descritto in Informazioni sui requisiti di crittografia e i gateway VPN di Azure.You can optionally specify an exact combination of cryptographic algorithms and key strengths for a specific connection, as described in About cryptographic requirements. Se si seleziona una combinazione specifica di complessità delle chiavi e algoritmi di crittografia, assicurarsi di usare le specifiche corrispondenti nei dispositivi VPN.If you specify an exact combination of algorithms and key strengths, be sure to use the corresponding specifications on your VPN devices.

Tunnel per VPN unicoSingle VPN tunnel

Questa configurazione è costituita da un singolo tunnel VPN S2S tra un gateway VPN di Azure e il dispositivo VPN locale.This configuration consists of a single S2S VPN tunnel between an Azure VPN gateway and an on-premises VPN device. È possibile configurare BGP nel tunnel VPN locale.You can optionally configure the BGP across the VPN tunnel.

Tunnel per VPN S2S unico

Per istruzioni dettagliate per creare le configurazioni di Azure, vedere Single VPN tunnel setup (Configurazione del tunnel VPN singolo).For step-by-step instructions to build the Azure configurations, see Single VPN tunnel setup.

Informazioni sulla rete virtuale e sul gateway di rete VPNVirtual network and VPN gateway information

Questa sezione include i parametri per l'esempio.This section lists the parameters for the sample.

ParametroParameter ValoreValue
Prefissi di indirizzi di rete virtualeVirtual network address prefixes 10.11.0.0/1610.11.0.0/16
10.12.0.0/1610.12.0.0/16
Indirizzo IP del gateway VPN di AzureAzure VPN gateway IP Azure_Gateway_Public_IPAzure_Gateway_Public_IP
Prefissi di indirizzi localiOn-premises address prefixes 10.51.0.0/1610.51.0.0/16
10.52.0.0/1610.52.0.0/16
Indirizzo IP del dispositivo VPN localeOn-premises VPN device IP OnPrem_Device_Public_IPOnPrem_Device_Public_IP
* ASN BGP di rete virtuale* Virtual network BGP ASN 6501065010
* Indirizzo IP del peer BGP di Azure* Azure BGP peer IP 10.12.255.3010.12.255.30
* ASN BGP locale* On-premises BGP ASN 6505065050
* Indirizzo IP del peer BGP locale* On-premises BGP peer IP 10.52.255.25410.52.255.254

* Parametro facoltativo solo per BGP.* Optional parameter for BGP only.

Parametri e criteri IPsec/IKEIPsec/IKE policy and parameters

La tabella seguente include gli algoritmi di IPsec/IKE e i parametri usati nell'esempio.The following table lists the IPsec/IKE algorithms and parameters that are used in the sample. Per verificare gli algoritmi supportati per i modelli del dispositivo VPN e le versioni del firmware, vedere le specifiche del dispositivo VPN.Consult your VPN device specifications to verify the algorithms that are supported for your VPN device models and firmware versions.

IPsec/IKEv2IPsec/IKEv2 ValoreValue
Crittografia IKEv2IKEv2 Encryption AES256AES256
Integrità IKEv2IKEv2 Integrity SHA384SHA384
Gruppo DHDH Group DHGroup24DHGroup24
* Crittografia IPsec* IPsec Encryption AES256AES256
* Integrità IPsec* IPsec Integrity SHA1SHA1
Gruppo PFSPFS Group PFS24PFS24
Durata associazione di sicurezza in modalità rapidaQM SA Lifetime 7.200 secondi7,200 seconds
Selettore di trafficoTraffic Selector UsePolicyBasedTrafficSelectors $TrueUsePolicyBasedTrafficSelectors $True
Chiave precondivisaPre-Shared Key PreSharedKeyPreSharedKey

*In alcuni dispositivi il valore di integrità IPsec deve essere null se l'algoritmo di crittografia IPsec è AES-GCM.* On some devices, IPsec Integrity must be a null value when the IPsec Encryption algorithm is AES-GCM.

Supporto di dispositivi ASAASA device support

  • Il supporto per IKEv2 richiede ASA 8.4 e versioni successive.Support for IKEv2 requires ASA version 8.4 and later.

  • Il supporto per il gruppo DH e il gruppo PFS oltre al gruppo 5 richiede ASA versione 9.Support for DH Group and PFS Group beyond Group 5 requires ASA version 9.x.

  • Il supporto per la crittografia IPsec con AES-GCM e l'integrità IPsec con SHA-256, SHA-384 e SHA-512 richiede ASA versione 9.Support for IPsec Encryption with AES-GCM and IPsec Integrity with SHA-256, SHA-384, or SHA-512, requires ASA version 9.x. Questo requisito di supporto si applica ai dispositivi ASA più recenti.This support requirement applies to newer ASA devices.

    Nota

    I modelli di dispositivi ASA 5505 5510, 5520, 5540, 5550 e 5580 non sono supportati.ASA device models 5505, 5510, 5520, 5540, 5550, and 5580 are not supported. Per verificare gli algoritmi supportati per i modelli del dispositivo VPN e le versioni del firmware, vedere le specifiche del dispositivo VPN.Consult your VPN device specifications to verify the algorithms that are supported for your VPN device models and firmware versions.

Configurazione di esempio del dispositivoSample device configuration

Lo script seguente è un esempio basato sulla configurazione e sui parametri elencati in precedenza.The script provides a sample that is based on the configuration and parameters that are described in the previous sections. La configurazione del tunnel VPN S2S è costituita dai seguenti elementi:The S2S VPN tunnel configuration consists of the following parts:

  1. Interfacce e routeInterfaces and routes
  2. Elenchi di accessoAccess lists
  3. Criteri IKE e parametri (fase 1 o in modalità principale)IKE policy and parameters (phase 1 or main mode)
  4. Criteri IKE e parametri (fase 2 o in modalità rapida)IPsec policy and parameters (phase 2 or quick mode)
  5. Altri parametri, ad esempio fissaggio TCP MSSOther parameters, such as TCP MSS clamping

Importante

Prima di usare lo script di esempio, completare questa procedura.Complete the following steps before you use the sample script. Sostituire i valori segnaposto nello script con le impostazioni del dispositivo per la configurazione.Replace the placeholder values in the script with the device settings for your configuration.

  • Specificare la configurazione dell'interfaccia per le interfacce interne ed esterne.Specify the interface configuration for both inside and outside interfaces.
  • Identificare le route per le reti esterne/pubbliche e interne/private.Identify the routes for your inside/private and outside/public networks.
  • Verificare che tutti i nomi e i numeri dei criteri siano univoci nel dispositivo.Ensure all names and policy numbers are unique on your device.
  • Verificare che gli algoritmi di crittografia siano supportati nel dispositivo.Ensure that the cryptographic algorithms are supported on your device.
  • Sostituire i valori segnaposto seguenti con i valori effettivi per la configurazione:Replace the following placeholder values with actual values for your configuration:
    • Nome interfaccia esterna: outsideOutside interface name: outside
    • Azure_Gateway_Public_IPAzure_Gateway_Public_IP
    • OnPrem_Device_Public_IPOnPrem_Device_Public_IP
    • IKE: Pre_Shared_KeyIKE: Pre_Shared_Key
    • Nomi per i gateway di rete virtuale e locale: VNetName e LNGNameVirtual network and local network gateway names: VNetName and LNGName
    • Prefissi degli indirizzi di rete virtuale e localeVirtual network and on-premises network address prefixes
    • Netmask appropriateProper netmasks

Script di esempioSample script

! Sample ASA configuration for connecting to Azure VPN gateway
!
! Tested hardware: ASA 5505
! Tested version:  ASA version 9.2(4)
!
! Replace the following place holders with your actual values:
!   - Interface names - default are "outside" and "inside"
!   - <Azure_Gateway_Public_IP>
!   - <OnPrem_Device_Public_IP>
!   - <Pre_Shared_Key>
!   - <VNetName>*
!   - <LNGName>* ==> LocalNetworkGateway - the Azure resource that represents the
!     on-premises network, specifies network prefixes, device public IP, BGP info, etc.
!   - <PrivateIPAddress> ==> Replace it with a private IP address if applicable
!   - <Netmask> ==> Replace it with appropriate netmasks
!   - <Nexthop> ==> Replace it with the actual nexthop IP address
!
! (*) Must be unique names in the device configuration
!
! ==> Interface & route configurations
!
!     > <OnPrem_Device_Public_IP> address on the outside interface or vlan
!     > <PrivateIPAddress> on the inside interface or vlan; e.g., 10.51.0.1/24
!     > Route to connect to <Azure_Gateway_Public_IP> address
!
!     > Example:
!
!       interface Ethernet0/0
!        switchport access vlan 2
!       exit
!
!       interface vlan 1
!        nameif inside
!        security-level 100
!        ip address <PrivateIPAddress> <Netmask>
!       exit
!
!       interface vlan 2
!        nameif outside
!        security-level 0
!        ip address <OnPrem_Device_Public_IP> <Netmask>
!       exit
!
!       route outside 0.0.0.0 0.0.0.0 <NextHop IP> 1
!
! ==> Access lists
!
!     > Most firewall devices deny all traffic by default. Create access lists to
!       (1) Allow S2S VPN tunnels between the ASA and the Azure gateway public IP address
!       (2) Construct traffic selectors as part of IPsec policy or proposal
!
access-list outside_access_in extended permit ip host <Azure_Gateway_Public_IP> host <OnPrem_Device_Public_IP>
!
!     > Object group that consists of all VNet prefixes (e.g., 10.11.0.0/16 &
!       10.12.0.0/16)
!
object-group network Azure-<VNetName>
 description Azure virtual network <VNetName> prefixes
 network-object 10.11.0.0 255.255.0.0
 network-object 10.12.0.0 255.255.0.0
exit
!
!     > Object group that corresponding to the <LNGName> prefixes.
!       E.g., 10.51.0.0/16 and 10.52.0.0/16. Note that LNG = "local network gateway".
!       In Azure network resource, a local network gateway defines the on-premises
!       network properties (address prefixes, VPN device IP, BGP ASN, etc.)
!
object-group network <LNGName>
 description On-Premises network <LNGName> prefixes
 network-object 10.51.0.0 255.255.0.0
 network-object 10.52.0.0 255.255.0.0
exit
!
!     > Specify the access-list between the Azure VNet and your on-premises network.
!       This access list defines the IPsec SA traffic selectors.
!
access-list Azure-<VNetName>-acl extended permit ip object-group <LNGName> object-group Azure-<VNetName>
!
!     > No NAT required between the on-premises network and Azure VNet
!
nat (inside,outside) source static <LNGName> <LNGName> destination static Azure-<VNetName> Azure-<VNetName>
!
! ==> IKEv2 configuration
!
!     > General IKEv2 configuration - enable IKEv2 for VPN
!
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol ikev1 ikev2
exit
!
crypto isakmp identity address
crypto ikev2 enable outside
!
!     > Define IKEv2 Phase 1/Main Mode policy
!       - Make sure the policy number is not used
!       - integrity and prf must be the same
!       - DH group 14 and above require ASA version 9.x.
!
crypto ikev2 policy 1
 encryption       aes-256
 integrity        sha384
 prf              sha384
 group            24
 lifetime seconds 86400
exit
!
!     > Set connection type and pre-shared key
!
tunnel-group <Azure_Gateway_Public_IP> type ipsec-l2l
tunnel-group <Azure_Gateway_Public_IP> ipsec-attributes
 ikev2 remote-authentication pre-shared-key <Pre_Shared_Key> 
 ikev2 local-authentication  pre-shared-key <Pre_Shared_Key> 
exit
!
! ==> IPsec configuration
!
!     > IKEv2 Phase 2/Quick Mode proposal
!       - AES-GCM and SHA-2 requires ASA version 9.x on newer ASA models. ASA
!         5505, 5510, 5520, 5540, 5550, 5580 are not supported.
!       - ESP integrity must be null if AES-GCM is configured as ESP encryption
!
crypto ipsec ikev2 ipsec-proposal AES-256
 protocol esp encryption aes-256
 protocol esp integrity  sha-1
exit
!
!     > Set access list & traffic selectors, PFS, IPsec protposal, SA lifetime
!       - This sample uses "Azure-<VNetName>-map" as the crypto map name
!       - ASA supports only one crypto map per interface, if you already have
!         an existing crypto map assigned to your outside interface, you must use
!         the same crypto map name, but with a different sequence number for
!         this policy
!       - "match address" policy uses the access-list "Azure-<VNetName>-acl" defined 
!         previously
!       - "ipsec-proposal" uses the proposal "AES-256" defined previously 
!       - PFS groups 14 and beyond requires ASA version 9.x.
!
crypto map Azure-<VNetName>-map 1 match address Azure-<VNetName>-acl
crypto map Azure-<VNetName>-map 1 set pfs group24
crypto map Azure-<VNetName>-map 1 set peer <Azure_Gateway_Public_IP>
crypto map Azure-<VNetName>-map 1 set ikev2 ipsec-proposal AES-256
crypto map Azure-<VNetName>-map 1 set security-association lifetime seconds 7200
crypto map Azure-<VNetName>-map interface outside
!
! ==> Set TCP MSS to 1350
!
sysopt connection tcpmss 1350
!

Semplici comandi di debugSimple debugging commands

Usare i comandi ASA seguenti a scopo di debug:Use the following ASA commands for debugging purposes:

  • Mostrare l'associazione di sicurezza IPsec o IKE:Show the IPsec or IKE security association (SA):

    show crypto ipsec sa
    show crypto ikev2 sa
    
  • Attivare la modalità debug:Enter debug mode:

    debug crypto ikev2 platform <level>
    debug crypto ikev2 protocol <level>
    

    I comandi debug possono generare output significativo nella console.The debug commands can generate significant output on the console.

  • Mostrare le configurazioni correnti nel dispositivo:Show the current configurations on the device:

    show run
    

    Usare show comandi secondari per elencare parti specifiche della configurazione, ad esempio:Use show subcommands to list specific parts of the device configuration, for example:

    show run crypto
    show run access-list
    show run tunnel-group
    

Passaggi successiviNext steps

Per configurare connessioni cross-premise e da rete virtuale a rete virtuale di tipo attivo/attivo, vedere Configurare gateway VPN di tipo attivi/attivo.To configure active-active cross-premises and VNet-to-VNet connections, see Configure active-active VPN gateways.