Маршрутизатор Cisco с VRF и Route Based IPSEC до Microsoft Azure через ikev2

Если вы хотите построить несколько тоннелей до своей облачной площадки, то вам нужно использовать только Route-Based IPSEC, при использовании policy-based Azure не даст добавить еще один peer. Делать еще одну подсеть и связывать их внутри облака — та ещё история.

Настроить Route-Based без ikev2 невозможно,  ну спасибо Azure…

Понять, поддерживает ли ваш роутер ikev2 можно при помощи Cisco Feature Navigator, фича называется ikev2 site to site

Настройка со стороны Azure — статья на русском языке

Настройка на Cisco:

Дисклеймер: на моём маршрутизаторе исторически сложилось так, что внешний интерфейс роутера находится в vrf WAN.
Если у вас нет vrf, пропускайте строчки с указанием vrf - их всего 3: в crypto ikev2 policy,crypto ikev2 profile и interface Tunnel 1

Создаём proposal с рекомендованными параметрами для azure (ознакомиться с ними иожно тут):

crypto ikev2 proposal AZURE-PROPOSAL
encryption aes-cbc-256 aes-cbc-128 3des
integrity sha1
group 2

Создаем полиси:

crypto ikev2 policy AZURE-POLICY
match fvrf WAN (Нужно, если внешний интерфейс в vrf)
proposal AZURE-PROPOSAL

Создаём связку ключей. И в отличии от ikev1 в ней не указывается vrf (меняем пир и ключ на свой):

crypto ikev2 keyring AZURE-KEYRING
peer xxx.xxx.xxx.xxx
address xxx.xxx.xxx.xxx
pre-shared-key yourkey

Создаём профиль ikev2:

crypto ikev2 profile AZURE-PROFILE
match fvrf WAN (Нужно, если внешний интерфейс в vrf)
match address local interface название-внешнего-интерфейса
match identity remote address ххх.ххх.ххх.ххх 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring AZURE-KEYRING

Создаем transform-set:

crypto ipsec transform-set azure-ipsec-proposal-set esp-aes 256 esp-sha-hmac

Создаем Ipsec профиль:

crypto ipsec profile AZURE-VTI
set transform-set azure-ipsec-proposal-set
set ikev2-profile AZURE-PROFILE

И в итоге создаем VTI (Virtual Tunnel Interface):

interface Tunnel1
ip address 169.254.0.1 255.255.255.0 (именно эту подсеть предлагает Azure для стыка, можно брать любой адрес)
ip tcp adjust-mss 1350
tunnel source название-внешнего-интерфейса
tunnel mode ipsec ipv4
tunnel destination ххх.ххх.ххх.ххх
tunnel vrf WAN (Нужно, если внешний интерфейс в vrf)
tunnel protection ipsec profile AZURE-VTI

Маршрутизируем траффик до облачной сети через тоннель:

ip route ваша-облачная-сеть Tunnel1

В итоге всё работает, тоннель поднимается. Не забудьте разрешить себе доступ в acl внутри облака в Network Security Groups, но это уже совсем другая история.

0

Маршрутизатор Cisco с VRF и Route Based IPSEC до Microsoft Azure через ikev2: 2 комментария

    1. mno Автор записи

      Да, действительно в этом месте забыл поменять название интерфейса. Спасибо, исправил в статье.

      0

Добавить комментарий

Ваш e-mail не будет опубликован.