購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
416
閲覧回数
3
いいね!
0
コメント

事象:ASAのアップグレードを実施した後、IPsec IKEv1 が動作しなくなる

jianzh3
Cisco Employee
Cisco Employee

‎2023-03-08 02:25 PM ‎2023-03-08 03:31 PM 更新

はじめに

一部のASA5500-X機種のEOLに伴い、ASA5500-XからFirepowerへのリプレースを実施しているお客様が増えています。本ドキュメントでは、ASA5500-XからFirepowerへのリプレース(ソフトウェアのバージョンアップを伴う)を行った後、元々利用できていた IPsec IKEv1 が動作しなくなる事象について紹介します。

本ドキュメントは、ASA5525 バージョン 9.12(1) と Firepower1120 バージョン 9.14(4) を用いて確認、作成しております。

 

 

事象の説明

1. リプレースを行う前は、拠点Aと拠点B間で IPsec IKEv1 が正常に利用できます。
  拠点A(ASA5525:9.12(1))--- 拠点B(ASA5525:9.12(1))

拠点Aで ASA の設定例:

crypto ikev1 enable outside

crypto ikev1 policy 99
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 28800

access-list test extended permit ip host x.x.5.1 host x.x.8.1

crypto ipsec ikev1 transform-set ipsecTS esp-aes-256 esp-sha-hmac 

crypto map outside_map 999 match address test
crypto map outside_map 999 set pfs 
crypto map outside_map 999 set peer x.x.7.2
crypto map outside_map 999 set ikev1 transform-set ipsecTS

crypto map outside_map interface outside

tunnel-group x.x.7.2 type ipsec-l2l
tunnel-group x.x.7.2 ipsec-attributes
 ikev1 pre-shared-key cisco

拠点BでASAの設定例:

crypto ikev1 enable outside

crypto ikev1 policy 99
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 28800

access-list test extended permit ip host x.x.8.1 host x.x.5.1

crypto ipsec ikev1 transform-set ipsecTS esp-aes-256 esp-sha-hmac 

crypto map outside_map 999 match address test
crypto map outside_map 999 set pfs 
crypto map outside_map 999 set peer x.x.6.2
crypto map outside_map 999 set ikev1 transform-set ipsecTS

crypto map outside_map interface outside

tunnel-group x.x.6.2 type ipsec-l2l
tunnel-group x.x.6.2 ipsec-attributes
 ikev1 pre-shared-key cisco

2. 拠点BのASAのみに対し、リプレースを実施します。
  ・リプレース前:ASA5525 9.12(1)
  ・リプレース後:Firepower1120 9.14(4)

3. 上記リプレースを実施した後、IPsec IKEv1 の Phase2 でエラーが発生し、IPsec SA が正しく生成されません。

  エラーメッセージの例:

ASA-1-711001: Group = x.x.6.2, IP = x.x.6.2, Session is being torn down. Reason: Phase 2 Mismatch

 

 

事象の発生原因

事象の発生原因は、ASA 9.13(1) 以降のバージョンから、IPsec IKEv1 Phase2 の pfs で使用している Diffie-Hellman アルゴリズムで以下のような仕様変更が発生したためです。

・9.13(1)未満のバージョン:デフォルトで Group 2 を使用
・9.13(1)以降のバージョン:デフォルトで Group 14 を使用

上記の仕様変更については、show run all crypto map コマンドにより確認できます。

 9.13(1)未満のバージョンでの確認例:

ciscoasa# show run all crypto map
crypto map outside_map1 999 set pfs group2

 9.13(1)以降のバージョンでの確認例:

ciscoasa# show run all crypto map
crypto map outside_map1 999 set pfs group14

 

 

対策

拠点Aと拠点Bに対し、IPsec IKEv1 Phase2 の pfs で使用する DH Group を統一してください。Group 2 は今後のリリースで削除されますため、Group 14 の利用を推奨します。

 

 

参考情報

https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa913/release/notes/asarn913.html

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents