Aruba Networks - Switch - Realizar backup da configuração

As transferências de arquivos de configuração para os switches Aruba podem ser realizadas através da rede com o auxílio dos protocolos tftp e sftp. É possível também transferir arquivos a partir de uma máquina conectada a interface serial do switch com o uso do protocolo Xmodem ou a partir de um pendrive conectado à porta USB do dispositivo. Os comandos abaixo estão relacionados a transferência de arquivos utilizando TFTP e Xmodem.

 

Realizar backup da configuração do switch (Gerar novo arquivo no sistema)

 (config)# cfg-backup [running-config | startup-config] config <nome do arquivo>

Realizar backup da configuração para servidor remoto

 # backup startup-configuration to <endereço IP do servidor> <nome do arquivo remoto>

TFTP
Transferir arquivo de configuração para servidor remoto

 # copy [startup-config | running-config] tftp <endereço IP do servidor> <nome do arquivo remoto>

ou

 # copy config <nome do arquivo local> tftp <endereço IP do servidor> <nome do arquivo remoto>

Você precisará indicar o nome do arquivo que será transferido (arquivo local) e definir o nome que o arquivo terá no destino (servidor remoto).



XMODEM (Interface Serial)
Transferir arquivo de configuração para computador conectado a interface serial do switch

  # copy [startup-config | running-config] xmodem

ou

 # copy config <nome do arquivo local> xmodem

________________________________________________

As informações contidas acima foram baseadas em documentos da Aruba Networks e obtidas através da experiência com o próprio equipamento. Os comandos são referentes ao switch Aruba modelo 2530 utilizando a versão WC.16.05.0007 do software ArubaOS.

Aruba Networks - Switch - Restaurar arquivo de configuração

 As transferências de arquivos para os switches Aruba podem ser realizadas através da rede com o auxílio dos protocolos tftp e sftp, via interface serial com o protocolo Xmodem ou a partir de um pendrive conectado à porta USB do dispositivo. Os comandos abaixo estão relacionados a transferência de arquivos utilizando TFTP e Xmodem.

Passo 1 - Transferência do arquivo

Transferir arquivo de configuração a partir de um servidor remoto

 
  # copy tftp startup-config <endereço IP do servidor> <nome do arquivo remoto>
 

 ou

  
  # copy tftp config <nome do arquivo local> <endereço IP do servidor> <nome do arquivo remoto>
 

   

Transferir arquivo de configuração a partir de um computador conectado a interface serial do switch (Download)

  # copy xmodem startup-config

ou

  # copy xmodem config <nome do arquivo>

Passo 2 - Restauração do arquivo de configuração

 Restaurar configuração a partir de arquivo do sistema

 (config)# cfg-restore flash <nome do arquivo local> [diff | force | verbose]

Restaurar configuração a partir de servidor remoto

 # restore startup-configuration from <endereço IP do servidor> <nome do arquivo remoto>

ou

 (config)# cfg-restore [sftp | tftp] <endereço IP do servidor> <nome do arquivo remoto>

Passo 3 - Opcional

Verificar status da restauração da configuração

 # show cfg-restore status

________________________________________________

As informações contidas acima foram baseadas em documentos da Aruba Networks e obtidas através da experiência com o próprio equipamento. Os comandos são referentes ao switch Aruba modelo 2530 utilizando a versão WC.16.05.0007 do software ArubaOS.

Aruba Networks - Switch - Gerenciamento do arquivo de configuração

Visualizar as configurações ativas

 # show running-config
 

Visualizar o conteúdo do startup-config (arquivo de configuração inicial)

 # show config

 
Visualizar o conteúdo de um arquivo específico

 # show config <nome do arquivo>

Comparar as configurações da startup-config com a running-config

 # show config status

Salvar alterações realizadas no sistema

 # write memory
 

Listar arquivos de configuração armazenados no sistema

 # show config files [details]

Renomear arquivo de configuração

 # rename config <nome atual do arquivo> <novo nome do arquivo>

Definir configuração de inicialização (startup-config) a partir de arquivo armazenado no sistema

 # startup saved-configuration <nome do arquivo local>

Definir arquivo de inicialização padrão para o sistema

 # startup-default config <nome do arquivo local>

________________________________________________

As informações contidas acima foram baseadas em documentos da Aruba Networks e obtidas através da experiência com o equipamento. Os comandos utilizados são referentes ao switch Aruba modelo 2530 utilizando a versão WC.16.05.0007 do ArubaOS.

Aruba Networks - Switch - Realizar backup do arquivo de imagem

 Para realizar o backup do arquivo de imagem (ArubaOS) nos switches você poderá utilizar os protocolos tftp e sftp para a transferência através da rede, utilizar a interface serial com o protocolo Xmodem ou fazer o backup local utilizando as memórias flash primária e secundária.


TFTP
Transferir arquivo de imagem para servidor remoto

 # copy flash tftp <endereço IP do servidor> <nome do arquivo> [primary | secondary]

 

SFTP
Transferir arquivo de imagem para servidor remoto

 # copy flash sftp <username>@<endereço IP do servidor> <nome do arquivo> [primary | secondary]

 

MEMÓRIA FLASH
Copiar arquivos entre memórias flash

 # copy flash flash [primary | secondary]

XMODEM (Interface Serial)
Transferir arquivo de imagem para computador conectado a interface serial do switch

 # copy flash xmodem [primary | secondary] [detail]

No aplicativo emulador de terminal do seu computador selecione o arquivo de imagem, escolha o protocolo Xmodem e inicie a transferência. Se o local de armazenamento não for especificado através do comando o sistema irá copiar o arquivo para a flash primária.

Para diminuir o tempo de transferência do arquivo você pode aumentar a taxa de transferência da porta serial (baud rate) utilizando o comando indicado abaixo.

 # console baud-rate 115200

                                                     ________________________________________________
As informações contidas acima foram baseadas em documentos da Aruba Networks e obtidas através da experiência com o próprio equipamento. Os comandos são referentes ao switch Aruba modelo 2530 utilizando a versão WC.16.05.0007 do software ArubaOS.

Aruba Networks - Switch - Transferir arquivo de imagem

A transferência de arquivos de imagem (ArubaOS) para os switches Aruba pode ser realizada através da rede com o auxílio dos protocolos tftp e sftp. É possível também transferir arquivos a partir de uma máquina conectada à interface serial do switch com o uso do protocolo Xmodem, a partir de um pendrive conectado à porta USB ou entre as memórias flash do dispositivo. Os arquivos de imagem ficam armazenados na memória flash primária ou secundária do switch.


TFTP
Transferir arquivo de imagem a partir de um servidor remoto

 # copy tftp flash <endereço IP do servidor> <nome do arquivo remoto> [primary | secondary]

As opções 'primary' e 'secondary' fazem referência as memórias flash do dispositivo. A indicação da localização do arquivo de imagem é opcional. Se o local de armazenamento não for especificado o sistema irá copiar o arquivo para a flash primária.



SFTP
Transferir arquivo de imagem a partir de um servidor remoto

 # copy sftp flash <username>@<endereço IP do servidor> <nome do arquivo remoto> [primary | secondary]

Você precisará informar o username e o IP do servidor de SFTP. Em seguida será solicitada a senha de acesso da conta utilizada.

MEMÓRIA FLASH
Copiar arquivos entre as memórias flash

 # copy flash flash [primary | secondary]

USB
Transferir arquivo de imagem a partir de um pendrive (USB flash drive)

 # copy usb flash <nome do arquivo> [primary | secondary]

 

XMODEM (Interface Serial)
Transferir arquivo de imagem a partir de um computador conectado a interface serial do switch (Download)

 # copy xmodem flash [primary | secondary]

No aplicativo emulador de terminal do seu computador selecione o arquivo de imagem, escolha o protocolo Xmodem e inicie a transferência. Se o local de armazenamento não for especificado através do comando o sistema irá copiar o arquivo para a flash primária.

Para diminuir o tempo de transferência do arquivo você pode aumentar a taxa de transferência da porta serial (baud rate) utilizando o comando indicado abaixo.

 # console baud-rate 115200

                                                     ________________________________________________

As informações contidas acima foram baseadas em documentos da Aruba Networks e obtidas através da experiência com o próprio equipamento. Os comandos são referentes ao switch Aruba modelo 2530 utilizando a versão WC.16.05.0007 do software ArubaOS.

Firewall Cisco ASA - Criação de grupo de objetos de rede (network-object-group)

Criação de um grupo de objetos de rede baseado no endereço de host

 (config)# object-group network <nome do objeto>

 (config-network-group)# network-object host <endereço IP do host>

Criação de um grupo de objetos de rede baseado no endereço de rede

 (config)# object-group network <nome do objeto>

 (config-network-group)# network-object <endereço de rede> <máscara de rede>

Criação de um grupo de objetos de rede baseado em objetos

 (config)# object-group network <nome do objeto>

 (config-network-group)# network-object object <nome do object network>

O firewall permite criar grupos de objetos de rede contendo outro objetos.Para essa configuração é necessário que os objetos de rede tenham sido criados em uma etapa anterior.



Criação de um grupo de objetos de rede baseado em outros grupo de objetos

 (config)# object-group network <nome do objeto>

 (config-network-group)# group-object <nome do object-group>

O firewall permite criar grupos de objetos de rede contendo outros grupos de objetos. Para essa configuração é necessário que os grupos de rede tenham sido criados em uma etapa anterior.

..........................................................

EXEMPLOS DE CONFIGURAÇÃO:

Criação de um object-group network com endereços de host
(config)# object-group network GRP-SERVIDORES-INFRA
(config-network-object-group)# network-object host 172.16.10.5
(config-network-object-group)# network-object host 172.16.10.15

Criação de um object-group network com endereços de rede
(config)# object-group network GRP-REDE-TI
(config-network-object-group)# network-object 10.100.4.0 255.255.255.0
(config-network-object-group)# network-object 10.100.5.0 255.255.255.0

Criação de um object-group network com objetos e grupo de objetos
(config)# object-group network GRP-REDES-USUARIOS
(config-network-object-group)# network-object object REDE-MARKETING
(config-network-object-group)# network-object object REDE-RH
(config-network-object-group)# group-object GRP-REDE-TI

 _________________________________________

As informações contidas neste post são baseadas em documentos publicados no site da Cisco e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foi utilizado um Firewall Cisco ASA modelo 5510 com versão de software 9.1.

Firewall Cisco ASA - Criação de objetos de rede (network-object)

Criação de um object network baseado no endereço de host

 (config)# object network <nome do objeto>

 (config-network-object)# host <endereço IP do host>

Criação de um object network baseado no endereço de rede

 (config)# object network <nome do objeto>

 (config-network-object)# subnet <endereço de rede> <máscara de rede>

Criação de um object network baseado em um range de endereços

 (config)# object network <nome do objeto>

 (config-network-object)# range <endereço IP inicial> <endereço IP final>

Criação de um object network baseado no FQDN

 (config)# object network <nome do objeto>

 (config-network-object)# fqdn <URL / FQDN>

..........................................................

EXEMPLOS:

Criação de object network baseado em hosts
(config)# object network SERVIDOR-DNS
(config-network-object)# host 172.16.10.1
!
(config)# object network SERVIDOR-DHCP
(config-network-object)# host 172.16.10.2


Criação de object network baseado em subnets
(config)# object network REDE-MARKETING
(config-network-object)# subnet 10.100.1.0 255.255.255.0
!
(config)# object network REDE-RH
(config-network-object)# subnet 10.100.2.0 255.255.255.0


Criação de object network baseado em range de IPs
(config)# object network SERVIDORES-DESENVOLVIMENTO
(config-network-object)# range 172.16.10.100 172.16.10.110
!
(config)# object network SERVIDORES-PRODUCAO
(config-network-object)# range 172.16.10.200 172.16.10.210


Criação de object network baseado em FQDN
(config)# object network Globo-com
(config-network-object)# fqdn www.globo.com
!
(config)# object network Uol-com-br
(config-network-object)# host www.uol.com.br

 _________________________________________

As informações contidas neste post são baseadas em documentos publicados no site da Cisco e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foi utilizado um Firewall Cisco ASA modelo 5510 com versão de software 9.1.

Aruba Networks - Switch - Restaurar configuração de fábrica

Opção 1

Apagar as configurações da startup-config
O comando irá apagar as configurações da startup-config e em seguida solicitará a reboot do switch.

  # erase startup-config

O comando 'erase startup-config' não remove as configurações de senha ou credenciais armazenadas no sistema. Para removê-las por completo é necessário adicionar a opção 'include-credentials'.  


Opção 2

Apagar todos os arquivos do sistema

  # erase all

O comando removerá todos os arquivos armazenados na flash exceto os arquivos de imagem do sistema. São removidos os arquivos de configuração, as chaves de criptografia, arquivos de senha, core dumps e de logs.


Opção 3
Apagar todos os arquivos do sistema (Zeroize)

  # erase all zeroize

Quando utilizada a opção ‘zeroize’ o sistema remove os arquivos de um modo que não será mais possível recuperá-los mesmo utilizando ferramentas e software com esse propósito. São removidos os arquivos de configuração, as chaves de criptografia, arquivos de senha, core dumps e de logs, exceto os arquivos de imagem do sistema. A Aruba recomenda que esse comando seja realizado via console pois torna possível a visualização das informações de status durante o processo de zeroize.

                                                     ________________________________________________
As informações contidas acima foram baseadas em documentos da Aruba Networks e obtidas através da experiência com o dispositivo. Os comandos são referentes ao switch Aruba modelo 2530 utilizando a versão WC.16.05.0007 do software ArubaOS.

Aruba Networks - Switch - Atualização de software

A atualização de software nos switches Aruba é realizada de forma simples e rápida. Basicamente você precisará baixar a nova versão no site do fabricante, transferi-la via TFTP ou SFTP e reiniciar o dispositivo indicando a nova imagem. É uma boa prática fazer o backup da configuração do switch antes de iniciar a atualização. Relacionei abaixo os passos necessários para a execução dessa atividade.

1 - Faça o download do novo arquivo de imagem no site da HPE
     http://www.hpe.com/networking/support


2 - Transfira o novo arquivo de imagem para o switch

 # copy tftp flash <endereço IP do servidor> <nome do arquivo remoto> [primary|secondary]

Se não for especificada a memória flash de armazenamento o sistema irá copiar o arquivo para a flash primária.

Podem ser utilizados os protocolos TFTP e SFTP com o auxílio de um servidor remoto. É possível também transferir o arquivo utilizando um pendrive através da porta USB do dispositivo ou através da interface serial via Xmodem.


3 - Verifique os arquivos de imagem armazenados no sistema

  # show flash

4 - Realize o restart do switch para carregar a nova imagem no sistema

 # boot system flash [primary | secondary]

5 - Verifique a nova versão de software (Após o boot)

 # show system information

Recomendação: Realize o backup da configuração do switch antes de iniciar a atualização

 (config)# cfg-backup running-config config <nome do arquivo>

Você pode fazer um backup da configuração no próprio equipamento realizando uma cópia do arquivo atual.

 # copy startup-config tftp <endereço IP do servidor>
<nome do arquivo remoto>

Você pode também transferir o arquivo de configuração para um servidor externo via SFTP.

________________________________________________
As informações contidas acima foram baseadas em documentos da Aruba Networks e obtidas através da experiência com o dispositivo. Os comandos são referentes ao switch Aruba modelo 2530 utilizando a versão WC.16.05.0007 do software ArubaOS.

Aruba Networks - Switch - Verificar arquivos de imagem do sistema

Visualizar versão de software utilizada pelo sistema

 > show version

Verificar informações do sistema

 > show system information

Verificar arquivos de imagem armazenados no sistema

 > show flash

________________________________________________

As informações contidas acima foram baseadas em documentos da Aruba Networks e obtidas através da experiência com o dispositivo. Os comandos são referentes ao switch Aruba modelo 2530 utilizando a versão WC.16.05.0007 do software ArubaOS.

Firewall Cisco ASA - Captura de pacotes

Realizar captura de pacotes

 # capture <nome do arquivo> interface <nome da interface> match ip host <endereço IP de origem> host <endereço IP de destino>

Visualizar arquivo de captura

 # show capture <nome do arquivo>

 _________________________________________

As informações contidas neste post são baseadas em documentos publicados no site da Cisco e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foi utilizado um Firewall Cisco ASA modelo 5510 com versão de software 9.1. 

Firewall Cisco ASA - Verificar status de conexões VPN

Verificar informações de sessões VPN

 # show vpn-sessiondb

ou

 # show vpn-sessiondb [anyconnect | l2l | ra-ikev1-ipsec | webvpn]

Verificar o status de sessões VPN Site-to-Site

 # show vpn-sessiondb l2l filter name <nome da conexão>

Verificar informações de túneis IPsec

 # show vpn-sessiondb detail l2l

Verificar o status de sessões VPN Client-to-Site (L2TP over IPsec)

 # show vpn-sessiondb ra-ikev1-ipsec filter name <nome do usuário>

Verificar o status de sessões VPN Anyconnect

 # show vpn-sessiondb anyconnect filter name <nome do usuário>

Verificar status de sessões SSL VPN

 # show vpn-sessiondb webvpn filter name <nome do usuário>

Verificar o status das SAs (Security Associations) (Fase1)

 # show crypto [ikev1 | ikev2] sa [detail]

Verificar o status das SAs (Security Associations) (Fase2)

 # show crypto ipsec sa [detail]

 _________________________________________

As informações contidas neste post são baseadas em documentos publicados no site da Cisco e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foi utilizado um Firewall Cisco ASA modelo 5510 com versão de software 9.1.

Firewall Cisco ASA - Verificar configurações de VPN

Verificar configurações ativas

 # show running-configuration crypto

Esse comandos mostra todas as configurações relacionadas ao serviço de VPN. Com ele você pode visualizar as informações de IPsec, crypto maps, certificados e ISAKMP.


Verificar configurações do IKE Policy (Fase1)

 # show running-config crypto [ikev1 | ikev2]

Verificar configurações do IPsec (Fase2)

 # show running-config crypto ipsec

Verificar configurações de Group-Policy

 # show running-config group-policy

Verificar configurações de Túneis VPN

 # show running-config tunnel-group

Verificar configurações de Cypto Map

 # show running-config crypto map

ou

 # show running-config crypto dynamic-map

Verificar as configurações de access-lists

 # show running-config access-list

ou

 # show access-list  <nome da ACL>

Verificar as configurações de SSL VPN

 # show running-config webvpn

 _________________________________________

As informações contidas neste post são baseadas em documentos publicados no site da Cisco e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foi utilizado um Firewall Cisco ASA modelo 5510 com versão de software 9.1.

Firewall Cisco ASA - Configurando uma VPN IPsec Site-to-Site (IKEv2)

Neste post estão relacionados os comandos básicos para a criação de um túnel IPsec Site-to-Site utilizando o método de autenticação IKEv2. Nos testes realizados foram utilizados dois firewalls Cisco ASA modelo 5510 com versão de software 9.1.

Para a configuração da VPN você precisará criar um perfil de conexão onde serão definidos os parâmetros para o estabelecimento do túnel. Uma conexão VPN ocorre em duas etapas, chamadas de fase 1 e fase 2. Em cada uma delas nós indicamos os algoritmos de criptografia e hash que serão utilizados. Para a autenticação dos dispositivos nós usaremos uma chave pré-compartilhada (PSK).

ETAPAS

1. Criação de uma IKE Policy (Definição dos parâmetros da fase 1);
2. Habilitar a IKE Policy na interface outside;
3. Criação do IPsec-Proposal (Definição dos parâmetros da fase 2);
4. Criação de um Tunnel Group;
5. Criação de uma ACL (Definição do tráfego de interesse);
6. Configuração do Crypto Map;

......................................................

CONFIGURAÇÃO

1. Criação da IKE Policy (Fase 1)

 # crypto ikev2 policy <priority>

Na criação de uma política IKEv2 são definidos os parâmetros de criptografia, hash, autenticação, Diffie-Hellman e lifetime. Uma vez criada a política ela poderá ser utilizada em outros perfis de conexão VPN. 

Você precisará atribuir um número de prioridade para cada política. O interessante é definir um conjunto de combinações de encryption e hash e posicionar as cifras mais fortes primeiro (Menor valor de priority). No momento da negociação de uma SA os pares tentam encontrar uma configuração correspondente entre as várias políticas existentes respeitando a ordem de prioridade.

 # encryption <algoritmo de criptografia>

Você deve especificar um algoritmo de criptografia entre as opções disponíveis para a proteção dos dados.

Opções:
3des        - 3des encryption
aes         - aes-128 encryption
aes-192     - aes-192 encryption
aes-256     - aes-256 encryption
des         - des encryption

 # integrity <algoritmo de hash>

Nesse ponto é preciso especificar um algoritmo de hash que será utilizado pelos pares para garantir que as mensagens não tenham sido modificadas durante a transmissão.

Opções:
md5     - set hash md5
sha     - set hash sha1

sha256  - set hash sha256

sha384  - set hash sha384

sha512  - set hash sha512

 # group <ID do grupo Diffie-Hellman >

Você deve especificar o ID do grupo Diffie-Hellman entre as opções disponíveis. O Firewall ASA utiliza esse algoritmo para derivar as chaves de criptografia e hash. O grupo default é 2.

Opções:
1     - Diffie-Hellman group 1
2     - Diffie-Hellman group 2
5     - Diffie-Hellman group 5

14    - Diffie-Hellman group 14

19    - Diffie-Hellman group 19

20    - Diffie-Hellman group 20

21    - Diffie-Hellman group 21

24    - Diffie-Hellman group 24

 # lifetime <valor em segundos>

Você deve especificar o valor do lifetime para a Secure Association. Esse valor corresponde ao período de tempo para o uso das chaves de criptografia. Ao término desse período a chave é substituída. Se os valores definidos não forem correspondentes entre os dispositivos envolvidos, será escolhido o menor valor. O default é 86400 (24horas).


EXEMPLO
(config)# crypto ikev2 policy 1
(config-ikev2-policy)# encryption aes-256
(config-ikev2-policy)# integrity sha256
(config-ikev2-policy)# group 2
(config-ikev2-policy)# lifetime 28800



2 . Habilitar a IKE Policy na interface outside

 # crypto ikev2 enable <nome da interface outside>

O comando permite habilitar o IKEv2 na interface de saída do firewall.



3 . Criação do IPsec Proposal (Fase 2)

 # crypto ipsec ikev2 ipsec-proposal <Nome do IPsec>

 # protocol esp encryption [ 3des | aes | aes-192 | aes-256 | des ]

 # protocol esp integrity [ md5 | sha-1 ] 

O transform-set é utilizado pelos pares durante as negociações de uma associação de segurança para o estabelecimento de uma VPN IPsec. Você precisará indicar um nome para a identificação do transform set e definir os algoritmos de criptografia e hash utilizados para esse túnel. 

Abaixo estão indicadas as opções disponíveis. Ao definir essas opções elas poderão ser utilizadas em outros perfis de conexão VPN.

EXEMPLO
(config)# crypto ipsec ikev2 ipsec-proposal ESP-AES-256-SHA-256

(config-ipsec-proposal)# protocol esp encryption aes-256

(config-ipsec-proposal)# protocol esp integrity sha-1



4 . Criação de um Tunnel Group 

 # tunnel-group <endereço IP do peer> type ipsec-l2l
 # tunnel-group <endereço IP do peer> ipsec-attributes
 # ikev2 local-authentication pre-shared-key <chave compartilhada> 
 # ikev2 remote-authentication pre-shared-key <chave compartilhada>

Nessa etapa é realizada a configuração do Tunnel Group onde você informará o endereço IP do dispositivo remoto definindo o nome para a conexão e indicará a chave pré-compartilhada utilizada para o estabelecimento da VPN.

5 . Criação de uma Access-list (Classificação do tráfego de interesse)

 # access-list <nome da ACL> line <número> extended permit <protocolo> <objeto/endereço de origem> <objeto/endereço de destino>

Nessa etapa é criada uma access-list para a definição do tráfego que será encriptado no túnel VPN. No firewall ASA podem ser criados objetos e grupos de objetos para auxiliar nessa atividade. Essa access-list será vinculada a uma Crypto Map.

EXEMPLO
Objeto/Endereço de origem

(config)# object network REDE-Marketing

(config-network-object)# subnet 10.100.1.0 255.255.255.0

Objeto/Endereço de destino

(config)# object network REDE-EmpresaABC

(config-network-object)# subnet 192.168.100.0 255.255.255.0

ACL

access-list ACL_CryptoMap_1 line 1 extended permit ip object REDE-Marketing object REDE-EmpresaABC

6 . Configuração do Crypto Map

 # crypto map <Nome do Crypto Map> <número/id> set peer <endereço ip do peer>

Nessa etapa você configurará o Crypto Map, definirá um nome para ele e um ID e informará o endereço IP do par remoto.

 # crypto map <Nome do Crypto Map> <número/id> set ikev2 ipsec-proposal <Nome do transform-set>

Nesse comando você indicará o nome do perfil do ipsec transform-set configurado anteriormente (Passo 3).

 # crypto map <Nome do Crypto Map> <número/id> match address <Nome da access-list>

Aqui você indicará o nome da access-list criada anteriormente (Passo 5).

 # crypto map <Nome do Crypto Map> interface <nome da interface outside>

Nesse comando você indicará a interface de saída utilizada para o estabelecimento da VPN.

EXEMPLO

crypto map vpn_crypto_map 1 set peer <endereço ip do peer>

crypto map vpn_crypto_map 1 set ikev2 ipsec-proposal ESP-AES-256-SHA

crypto map vpn_crypto_map 1 match address ACL_CryptoMap_1

crypto map vpn_crypto_map interface outside

 _________________________________________

As informações contidas neste post são baseadas em documentos publicados no site da Cisco e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foram utilizados Firewalls Cisco ASA modelo 5510 com versão de software 9.1.

Firewall Cisco ASA - Configurando uma VPN IPsec Site-to-Site (IKEv1)

Neste post foram relacionados os comandos básicos para a criação de um túnel IPsec Site-To-Site utilizando o método de autenticação IKEv1. Nos testes realizados foram utilizados dois firewalls Cisco ASA modelo 5510 com versão de software 9.1.

É bom lembrar que o IKEv1 está obsoleto e é recomendado a sua substituição pelo IKEv2 (RFC 8247). As informações contidas abaixo servem apenas para mostrar como o serviço é implementado nessa versão pois em breve irei publicar as etapas necessárias para a criação de um perfil de conexão VPN com o IKEv2.

......................................................

Para a configuração da VPN é necessário cumprir algumas etapas. Na configuração via CLI é criado um perfil de conexão onde definimos os parâmetros para o estabelecimento do túnel VPN. A conexão ocorre em duas etapas, chamadas de fase 1 e fase 2. Em cada uma delas nós indicamos os algoritmos de criptografia e hash que serão utilizados. Para a autenticação dos dispositivos nós usaremos uma chave pré-compartilhada (PSK).
ETAPAS

1. Criação de uma IKE Policy (Definição dos parâmetros da fase 1);
2. Habilitar a IKE Policy na interface outside;
3. Criação do IPsec Transform (Definição dos parâmetros da fase 2);
4. Criação de um Tunnel Group;
5. Criação de uma ACL (Definição do tráfego de interesse);
6. Configuração do Crypto Map;
7. Criação de uma política de exceção de NAT (Opcional);

......................................................

CONFIGURAÇÃO

1. Criação da IKE Policy (Fase 1)
Na criação de uma política IKEv1 são definidos os parâmetros de criptografia, hash, autenticação, Diffie-Hellman e lifetime. Uma vez criada a política ela poderá ser utilizada em outros perfis de conexão VPN.

 # crypto ikev1 policy <priority>

Você precisará atribuir um número de prioridade para cada política. O interessante é definir um conjunto de combinações de encryption e hash e posicionar as cifras mais fortes primeiro (Menor valor de priority). No momento da negociação de uma SA os pares tentam encontrar uma configuração correspondente entre as várias políticas existentes respeitando a ordem de prioridade.

 # authentication pre-share

Para autenticação é possível utilizar o RSA através de certificado digital ou chave pré-compartilhada (PSK). Na opção acima está indicado apenas a opção de chave compartilhada.

 # encryption <algoritmo de criptografia>

Você deve especificar um algoritmo de criptografia entre as opções disponíveis para a proteção dos dados.

Opções:
. 3des: 3des encryption
. aes: aes-128 encryption
. aes-192: aes-192 encryption
. aes-256: aes-256 encryption
. des: des encryption

 # hash <algoritmo de hash>

Nesse ponto é preciso especificar um algoritmo de hash que será utilizado pelos pares para garantir que as mensagens não tenham sido modificadas durante a transmissão.

Opções:
. md5: set hash md5
. sha: set hash sha1

 # group <ID do grupo Diffie-Hellman >

Você deve especificar o ID do grupo Diffie-Hellman entre as opções disponíveis. O Firewall ASA utiliza esse algoritmo para derivar as chaves de criptografia e hash. O grupo default é 2.

Opções:
. 1: Diffie-Hellman group 1
. 2: Diffie-Hellman group 2
. 5: Diffie-Hellman group 5

 # lifetime <valor em segundos>

Você deve especificar o valor do lifetime para a Secure Association. Esse valor corresponde ao período de tempo para o uso das chaves de criptografia. Ao término desse período a chave é substituída. Se os valores definidos não forem correspondentes entre os dispositivos envolvidos, será escolhido o menor valor. O default é 86400 (24horas).


EXEMPLO
(config)# crypto ikev1 policy 1
(config-ikev1-policy)# encryption aes-256
(config-ikev1-policy)# hash sha
(config-ikev1-policy)# authentication pre-share
(config-ikev1-policy)# group 2
(config-ikev1-policy)# lifetime 28800



2 . Habilitar a IKE Policy na interface outside

 # crypto ikev1 enable <nome da interface outside>

O comando permite habilitar o IKEv1 na interface de saída do firewall.



3 . Criação do IPsec Transform (Fase 2)
O transform-set é utilizado pelos pares durante as negociações de uma associação de segurança para o estabelecimento de uma VPN IPsec. Você precisará indicar um nome para a identificação do transform set e definir os algoritmos de criptografia e hash utilizados para a criação do túnel.

 # crypto ipsec ikev1 transform-set <Nome do IPsec> [Opção de criptografia] [Opção de hash]

Abaixo estão indicadas as opções disponíveis. Ao definir essas opções elas poderão ser utilizadas em outros perfis de conexão VPN.

Opções de criptografia:
. esp-3des: esp 3des encryption
. esp-aes: esp aes 128 encryption
. esp-aes-192: esp aes 192 encryption
. esp-aes-256: esp aes 256 encryption
. esp-des: esp des encryption

Opções de hash:
. esp-md5-hmac: esp md5 authentication
. esp-sha-hmac: esp sha authentication


EXEMPLO
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac



4 . Criação de um Tunnel Group
Nessa etapa é realizada a configuração do Tunnel Group onde você informará o endereço IP do dispositivo remoto, definirá um nome para a conexão (opcional) e indicará a chave pré-compartilhada utilizada para o estabelecimento da VPN.

 # tunnel-group <endereço IP do peer> type ipsec-l2l

 # tunnel-group <endereço IP do peer> ipsec-attributes

 # ikev1 pre-shared-key <chave compartilhada>

5. Criação de uma Access-list (Classificação do tráfego de interesse)
Nessa etapa é criada uma access-list para a definição do tráfego que será encriptado no túnel VPN. No firewall Cisco ASA podem ser criados objetos e grupos de objetos para auxiliar na identificação das redes/hosts que participarão dessa comunicação. Essa access-list será vinculada a uma Crypto Map que será configurada na próxima etapa.

 # access-list  <nome da ACL> line <número> extended permit <protocolo> <objeto/endereço de origem> <objeto/endereço de destino>

EXEMPLO
Criação de um objeto com o endereço da rede local (origem)
(config)# object network REDE-LOCAL
(config-network-object)# subnet 10.100.1.0 255.255.255.0

Criação de um objeto com o endereço da rede remota (destino)
(config)# object network REDE-REMOTA
(config-network-object)# subnet 192.168.100.0 255.255.255.0

Configuração da ACL
access-list ACL_CryptoMap_1 line 1 extended permit ip object REDE-LOCAL object REDE-REMOTA



6. Configuração do Crypto Map

 # crypto map <nome do Crypto Map> <número/id> set peer <endereço ip do peer>

Nessa etapa você configurará o Crypto Map, definirá um nome para ele e um ID e informará o endereço IP do par remoto.

 # crypto map <nome do Crypto Map> <número/id> set ikev1 transform-set <nome do transform-set>

Nesse comando você indicará o nome do perfil do ipsec transform-set configurado anteriormente (Realizado na etapa 3).

 # crypto map <nome do Crypto Map> <número/id> match address <nome da access-list>

Aqui você indicará o nome da access-list criada anteriormente (Realizado na etapa 5).

 # crypto map <nome do Crypto Map> interface <nome da interface outside>

Nesse comando você indicará a interface de saída utilizada para o estabelecimento da VPN.


EXEMPLO
crypto map vpn_crypto_map 1 set peer <endereço ip do peer>
crypto map vpn_crypto_map 1 set ikev1 transform-set ESP-AES-256-SHA
crypto map vpn_crypto_map 1 match address ACL_CryptoMap_1
crypto map vpn_crypto_map interface outside



7. Criação de uma política de exceção de NAT (Opcional)
Nessa etapa você precisará garantir que os hosts com destino a VPN preservem o seu endereço IP original. No firewall Cisco ASA isso é feito com a criação de uma política de NAT vinculando o fluxo de comunicação (indicação das interfaces de origem e destino) com os hosts/redes envolvidos.

Para a criação da política são utilizados objetos ou grupos de objetos com as informações de IP dos hosts/redes correspondentes. Você precisará criar os objetos (object network) de origem e destino e inseri-los na política de NAT.

Criação do objeto

 (config)# object network <nome do objeto>

 (config-network-object)# subnet <endereço de rede> <máscara de rede>

Criação da Política de NAT

 # nat (<interface inside>,<interface outside>) source static <objeto de origem> <objeto de origem> destination static <objeto de destino> <objeto de destino> no-proxy-arp route-lookup

EXEMPLO
Criação do objeto com o endereço da rede local
(config)# object network REDE-10-100-1-0-M24
(config-network-object)# subnet 10.100.1.0 255.255.255.0

Criação do objeto com o endereço da rede remota
(config)# object network REDE-192-168-100-0-M24
(config-network-object)# subnet 192.168.100.0 255.255.255.0

Configuração da Política de NAT
nat (inside,outside) source static REDE-10-100-1-0-M24 REDE-10-100-1-0-M24 destination static REDE-192-168-100-0-M24 REDE-192-168-100-0-M24 no-proxy-arp route-lookup

 _________________________________________

As informações contidas neste post são baseadas em documentos publicados no site da Cisco e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foram utilizados Firewalls Cisco ASA modelo 5510 com versão de software 9.1.