适用于 AWS VPC 的 Cisco ASA VPN DH 组

适用于 AWS VPC 的 Cisco ASA VPN DH 组

AWS 在其 VPC 中提供了一个简洁的功能,可以公开 VPN 服务。我已经配置了此功能,并确认它可以正常运行。

我们的客户正在使用 Cisco 5500 系列 ASA 设备连接到 AWS VPN 服务。AWS 提供的常见问题解答描述了第 1 阶段和第 2 阶段支持以下 Diffie-Hellman 组:

问:您支持哪些 Diffie-Hellman 组?

我们支持阶段 1 和阶段 2 中的以下 Diffie-Hellman (DH) 组。

  • 第 1 阶段 DH 组 2、14-18、22、23、24

  • 第 2 阶段 DH 组 1, 2, 5, 14-18, 22, 23, 24

取自http://aws.amazon.com/vpc/faqs/

AWS 提供了 Cisco 5500 ASA 设备的示例配置(http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Cisco_ASA.html)。我可以确认这确实建立了隧道。

但是,提供的示例配置似乎在隧道建立的第 1 阶段和第 2 阶段都使用了 DH 组 2,并且使用的是 IKEv1,而不是 IKEv2。

Cisco 5500 ASA 设备 9.1.x 固件发行说明建议避免使用组 1 和组 2,事实上,其他来源也建议应避免使用组 5(AWS VPC 在第 1 阶段不支持组 5,因此这毫无意义)。

配置 IKEv2 时,出于安全原因,您应使用组 21、20、19、24、14 和 5。我们不建议使用 Diffie Hellman Group1 或 Group2。例如,使用

加密 ikev2 策略 10

组 21 20 19 24 14 5

摘自 Cisco ASA iOS 9.1x 版发行说明

AWS 不提供最佳实践配置,而是提供“十个入门”的示例。我建议对 AWS 示例配置进行以下更新,但在将其提供给我们的客户之前,我希望能够确信它能够实现我认为的目标。

第 48 - 54 行更改为:

crypto ikev2 policy 10
  encryption aes256
  authentication pre-share
  group 24
  lifetime 28800
  hash sha256
exit

Ln 117 更改为:

crypto map <amzn_vpn_map> 1 set pfs group24

在星际空间的任何地方似乎都很难验证这种配置,所以希望这个瓶中信息能够飘到岸边某个知情人士那里!

相关内容