إنشاء نفق Umbrella SIG اليدوي باستخدام أجهزة Cisco Edge

المقدمة

يوضح هذا المستند كيفية إنشاء نفق CDFW باستخدام موجه Cisco Edge يشغل الإصدار 16.12 في Umbrella SIG.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• يجب أن يكون الجهاز مكونا ومشغلا بالكامل باستخدام القوالب المستندة إلى واجهة سطر الأوامر (CLI) قبل تكوين الأجزاء ذات الصلة ب Umbrella SIG المذكورة لاحقا في هذه المقالة. يتم التقاط العناصر ذات الصلة فقط لتكوين النفق هنا.
• يجب تكوين NAT في واجهة واحدة أو أكثر من واجهات Transport VPN.
• النهج المدرج هو حل بديل حتى تتم إضافة "Allow-Service IPsec" في إصدار مستقبلي.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى عبارة الإنترنت الآمنة (SIG) من Cisco Umbrella.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

نظرة عامة

يشرح هذا المقال كيفية إنشاء نفق CDFW باستخدام موجه Cisco Edge (المعروف سابقا باسم Viptela cEdge) الذي يشغل الإصدار 16.12.

ملاحظة: قالب التكوين أدناه بتنسيق مستند إلى الوجهة، والذي يلزم لإنشاء أنفاق تستند إلى واجهة سطر الأوامر في vManage. التنسيق المستند إلى الوجهة مماثل لتنسيق تكوين vEdge ولكن هناك بعض الاختلافات. لا يمكن إستخدام قالب الميزة بشكل فعال حتى 17.2.1 ل cEdge، وبالتالي فإن هذا المثال يستخدم قالبا مستندا إلى واجهة سطر الأوامر.

تحذير: تم إنشاء هذه المقالة لمعالجة حالة الاستخدام لإرسال حركة مرور ضيف الشركة من خلال حل Cisco Umbrella SIG. تستخدم هذه المقالة "كيفية الاستخدام" القوالب المستندة إلى واجهة سطر الأوامر (CLI) لتجاوز حد القوالب المستندة إلى الميزات في vManage.

إنشاء النفق اليدوي

1. إنشاء نفق CDFW في لوحة معلومات المظلة.

2. قم بتكوين قالب جهاز Viptela كما ستقوم بتكوينه عادة لبيئتك.

3. قم بتكوين سياسة SIG للسماح بمنافذ UDP 500 و 4500 في واجهات النقل. ج

• CL_for_IKE_IPSec_tunnel هو اسم قائمة التحكم في الوصول (ACL) الذي يسمح لحركة مرور IPSec من خلال واجهة النفق
• اختياري: يمكنك تقييد قائمة التحكم في الوصول (ACL) بشكل إضافي إلى وحدات SIG DC الخاصة بميزة Umbrella. قراءة المزيد في وثائق Umbrella. 

access-list ACL_for_IKE_IPSec_tunnel
sequence 10
match
protocol 50
!
action accept
!
!
sequence 20
match
destination-port 4500 500
!
action accept
!
!
default-action drop
!

4. تطبيق قائمة التحكم في الوصول (ACL) على واجهة النفق التي تستخدمها.

sdwan
interface GigabitEthernet1
tunnel-interface
access-list ACL_for_IKE_IPSec_tunnel in

5. تكوين واجهة (واجهات) IPsec في شبكة VPN للنقل بما في ذلك المسارات المطلوبة.

يتم تعريف هذه المتغيرات في قالب تكوين واجهة سطر الأوامر بعد هذه القائمة:

• {transport_vpn_1} هي واجهة الشبكة (عادة ما تكون واجهة WAN) التي تنشئ نفق IPSec
• {transport_vpn_ip_addr_prefix} هو شبكة VPN للنقل التي قمت بتعيينها. (على سبيل المثال، 1.1.1.0/24)
• {ipSec__int_number} هو رقم واجهة نفق IPSec (على سبيل المثال، الرقم 1 في الواجهة "IPSec1")
• {ipSec_ip_addr_prefix} هو عنوان IP وشبكة فرعية معرفة لواجهة نفق IPSec.
• {transport_vpn_interface_1} هي واجهة الشبكة (عادة واجهة WAN) التي تنشئ نفق IPSec. هذه هي الواجهة نفسها المستخدمة في المتغير transport_vpn_1.
• {psk} هي قيمة مفتاح النفق المشترك مسبقا التي تم إنشاؤها في قسم أنفاق لوحة المعلومات Umbrella.
• {sig_fqdn} هو معرف IKE الخاص بالنفق الذي تم إنشاؤه في قسم أنفاق لوحة المعلومات الخاصة ب Umbrella.
• {sig_tunnel_dest_ip} هو عنوان IP الخاص ب CDFW DC المتصل به النفق.

 vpn 0
   interface {{transport_vpn_1}}
    ip address {{transport_vpn_ip_addr_prefix}}
    nat
     refresh bi-directional
    !
   mtu      1360
    no shutdown
   !
   interface ipsec{{ipsec__int_number}}
    ip address {{ipsec_ip_addr_prefix}}
    tunnel-source-interface {{transport_vpn_interface_1}}
    tunnel-destination      {{sig_tunnel_dest_ip}}
    ike
     version      2
     rekey        14400
     cipher-suite aes256-cbc-sha1
     group        14
     authentication-type
      pre-shared-key
       pre-shared-secret {{psk}}
       local-id          {{sig_fqdn}}
       remote-id         {{sig_tunnel_dest_ip}}
      !
     !
    !
    ipsec
     rekey                   3600
     replay-window           512
     cipher-suite            aes256-gcm
     perfect-forward-secrecy none
    !
    no shutdown
   !

ip ipsec-route 0.0.0.0/0 vpn 0 interface ipsec{{ipsec__int_number}}

لمرجعك، هنا نموذج تكوين مذكور في الخطوات 3-5:

access-list ACL_for_IKE_IPSec_tunnel
sequence 10
match
protocol 50
!
action accept
!
!
sequence 20
match
destination-port 4500 500
!
action accept
!
!
default-action drop
!

vpn 0
dns 208.67.222.222 primary
name VPN0
   interface GigabitEthernet4
    ip address 192.168.1.0/24
    nat
     refresh bi-directional
    !
   mtu      1360
    no shutdown
   !
   interface ipsec1
    ip address 10.10.10.1/30
    tunnel-source-interface GigabitEthernet4
    tunnel-destination      146.112.83.8
    ike
     version      2
     rekey        14400
     cipher-suite aes256-cbc-sha1
     group        14
     authentication-type
      pre-shared-key
       pre-shared-secret YourPreSharedKey
       local-id          YourTunnelID@umbrella.sig.cisco.com
       remote-id         146.112.83.8
      !
     !
    !
    ipsec
     rekey                   3600
     replay-window           512
     cipher-suite            aes256-gcm
     perfect-forward-secrecy none
    !
    no shutdown
   !
ip ipsec-route 0.0.0.0/0 vpn 0 interface ipsec1