AWS 在其 VPC 中提供了一个简洁的功能,可以公开 VPN 服务。我已经配置了此功能,并确认它可以正常运行。
我们的客户正在使用 Cisco 5500 系列 ASA 设备连接到 AWS VPN 服务。AWS 提供的常见问题解答描述了第 1 阶段和第 2 阶段支持以下 Diffie-Hellman 组:
问:您支持哪些 Diffie-Hellman 组?
我们支持阶段 1 和阶段 2 中的以下 Diffie-Hellman (DH) 组。
第 1 阶段 DH 组 2、14-18、22、23、24
第 2 阶段 DH 组 1, 2, 5, 14-18, 22, 23, 24
AWS 提供了 Cisco 5500 ASA 设备的示例配置(http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Cisco_ASA.html)。我可以确认这确实建立了隧道。
但是,提供的示例配置似乎在隧道建立的第 1 阶段和第 2 阶段都使用了 DH 组 2,并且使用的是 IKEv1,而不是 IKEv2。
Cisco 5500 ASA 设备 9.1.x 固件发行说明建议避免使用组 1 和组 2,事实上,其他来源也建议应避免使用组 5(AWS VPC 在第 1 阶段不支持组 5,因此这毫无意义)。
配置 IKEv2 时,出于安全原因,您应使用组 21、20、19、24、14 和 5。我们不建议使用 Diffie Hellman Group1 或 Group2。例如,使用
加密 ikev2 策略 10
组 21 20 19 24 14 5
摘自 Cisco ASA iOS 9.1x 版发行说明
AWS 不提供最佳实践配置,而是提供“十个入门”的示例。我建议对 AWS 示例配置进行以下更新,但在将其提供给我们的客户之前,我希望能够确信它能够实现我认为的目标。
第 48 - 54 行更改为:
crypto ikev2 policy 10
encryption aes256
authentication pre-share
group 24
lifetime 28800
hash sha256
exit
Ln 117 更改为:
crypto map <amzn_vpn_map> 1 set pfs group24
在星际空间的任何地方似乎都很难验证这种配置,所以希望这个瓶中信息能够飘到岸边某个知情人士那里!