Konfigurieren eines VRF-kompatiblen Site-to-Site-Tunnels mit IKEv2 auf FTD

Einleitung

In diesem Dokument wird beschrieben, wie Sie einen VRF-kompatiblen IKEv2-Site-to-Site-VPN-Tunnel auf Firepower Threat Defense (FTD) konfigurieren, der von einem FirePOWER Management Center (FMC) verwaltet wird.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Grundlegendes Verständnis von VPN
• Erfahrungen mit FMC
• Kenntnisse der VRF-Implementierung

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

• Cisco FMC Version 7.x
• Cisco FTD Version 7.x

Virtual Routing and Forwarding

Beim virtuellen Routing können Sie mehrere virtuelle Router erstellen, um separate Routing-Tabellen für Schnittstellengruppen zu erstellen und so eine Netzwerktrennung zu erreichen. Dies erhöht die Funktionalität durch die Segmentierung von Netzwerkpfaden ohne die Verwendung mehrerer Geräte.
Da die Routing-Instanzen unabhängig sind, können sich überschneidende IP-Adressen ohne Konflikte verwendet werden. Jede VRF-Instanz verfügt über eigene Routing-Protokoll-Sitzungen sowie IPv4- und IPv6-Routing-Tabellen.

Einschränkungen

• Die Schnittstelle(n), die sich in einer VRF-Instanz befindet/befinden, kann/können nicht als Tunnelendpunkt-/VPN-Schnittstelle verwendet werden.
• Eine Schnittstelle, die zur Terminierung des VPN-Tunnels verwendet wird, kann nur in der globalen VRF-Instanz vorhanden sein.

Einschränkung 1

Wenn die outside Schnittstelle dem virtuellen Router hinzugefügt wird, vrf_outside wird diese Schnittstelle beim Erstellen einer Site-to-Site-VPN-Topologie nicht im Dropdown-Menü für die Auswahl der Endpunktschnittstelle angezeigt.

Einschränkung 2

Wenn auf der outside Schnittstelle eine Site-to-Site-VPN-Topologie vorhanden ist, kann die Schnittstelle keiner VRF-Instanz hinzugefügt werden. FMC zeigt einen Fehler an, der besagt, dass die outside (WAN-)Schnittstelle, die als VPN-Tunnel fungiert, den Endpunkt als Teil von Global VRF und nicht als benutzerdefiniertes VRF terminiert.

Netzwerkdiagramm

Konfigurieren

Konfigurieren Sie einen IKEv2-Site-to-Site-VPN-Tunnel zwischen FTD 7.x und einem beliebigen anderen Gerät (ASA/FTD/Router oder ein Drittanbieter).

Navigieren Sie zu Devices > Device Management. Klicken Sie auf Edit und wählen Sie Routing.

Schritt 1: Klicken Sie auf, Manage Virtual Routerswie in der Abbildung dargestellt.

Schritt 2: Klicken Sie auf , Add Virtual Router und fügen Sie die erforderliche VRF-Instanz hinzu. Für diese Bereitstellung vrf_insidewird verwendet.

Schritt 3: Nach dem Erstellen der VRF-Instanz wird eine Option zum Hinzufügen der erforderlichen Schnittstelle(n) angezeigt. Für diese Bereitstellung wird dieinside Schnittstelle vrf_insidewie im Abbild dargestellt hinzugefügt.

Schritt 4: Bei dieser Bereitstellung sind dies die Datenverkehrsauswahl für unseren Site-to-Site-VPN-Tunnel.

Source: 192.168.70.0/24 [This network is on inside interface which is in "vrf_inside"] 192.168.80.0/24 [This network is on dmz interface which is not in any vrf instance] Destination : 192.168.10.0/24

Route Leak

Mit VRF kann ein Router separate Routing-Tabellen für verschiedene virtuelle Netzwerke verwalten. Wenn Ausnahmen erforderlich sind, ermöglicht das VRF-Route-Leaking das Routing eines Teils des Datenverkehrs zwischen den VRF-Instanzen. Das Route Leaking zwischen der Global Routing Table (GRT) und der Virtual Routing and Forwarding (VRF)-Tabelle erfolgt mithilfe statischer Routen. Beide Methoden stellen die Next-Hop-IP-Adresse (für das Multi-Access-Segment) bereit oder weisen die Route aus einer Schnittstelle (Point-to-Point-Schnittstelle).

Route Leaking von VRF zu Global

1. Wählen Sie Devices > Device Management aus, und klicken Sie auf Edit für FTD.
2. Klicken Sie auf .Routing Standardmäßig wird die Seite mit den globalen Routing-Eigenschaften angezeigt.
3. Klicken Sie auf .Static Route
4. Klicken Add Route Sie auf Konfigurieren:

・ Interface — Wählen Sie die interne Schnittstelle aus.

・ Network — Wählen Sie das virtuelle Router-Netzwerkobjekt vrf_inside (192.168.70.0/24).

・ Gateway — Lassen Sie es leer. Wenn eine Route an einen anderen virtuellen Router geleitet wird, wählen Sie das Gateway nicht aus.

Durch das Route Leak können durch das externe (Remote-) Ende des Site-to-Site-VPN geschützte Endpunkte auf das Netzwerk 192.168.70.0/24 im virtuellen Router zugreifenvrf_inside.

5. Klicken Sie OK wie im Bild dargestellt.

In der CLI wird die Route wie folgt angezeigt:

route inside 192.168.70.0 255.255.255.0 1 

Beachten Sie, dass das Netzwerk 192.168.70.0/24 direkt mit derinside Schnittstelle verbunden ist, dieses Netzwerk ist jedoch in GRT nicht sichtbar, da sich das Netzwerk in der VRF-Instanz befindet. Um diese Route in GRT verfügbar zu machen, wurde sie von vrf_inside nach Global geleakt.

Route Leaking von Global zu VRF

1. Wählen Sie Devices > Device Management und klicken Sie auf Edit.
2. Klicken Sie Routing auf und wählen Sievrf_inside im Dropdown-Menü die Option aus.
3. Klicken Sie auf .Static Route
4. Klicken Add Route Sie auf Konfigurieren:

・ Interface — Wählen Sie die externe Schnittstelle des globalen Routers aus.

・ Network — Wählen Sie das globale virtuelle Router-Netzwerkobjekt aus (192.168.10.0/24).

・ Gateway — Lassen Sie es leer. Wenn eine Route an einen anderen virtuellen Router weitergeleitet wird, wählen Sie das Gateway nicht aus.

Über diese statische Route können Endpunkte im Netzwerk 192.168.70.0/24 Verbindungen zu 192.168.10.0/24 initiieren, die den Site-to-Site-VPN-Tunnel durchlaufen.

5. Klicken Sie OKwie im Bild dargestellt.

In der CLI wird die Route wie folgt angezeigt:

route vrf vrf_inside outside 192.168.10.0 255.255.255.0 1

Überprüfung

Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert. Alle Ausgänge werden aus der FTD-Tabelle im Netzwerkdiagramm erfasst.

FTD# show vrf Name VRF ID Description Interfaces vrf_inside 1 inside 

FTD# show run route route outside 10.0.0.0 255.0.0.0 10.106.50.1 1 route inside 192.168.70.0 255.255.255.0 1 

FTD# show run route vrf vrf_inside route vrf vrf_inside outside 192.168.10.0 255.255.255.0 1

FTD# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is not set S 10.0.0.0 255.0.0.0 [1/0] via 10.106.50.1, outside C 10.106.50.0 255.255.255.0 is directly connected, outside L 10.106.50.212 255.255.255.255 is directly connected, outside V 192.168.10.0 255.255.255.0 connected by VPN (advertised), outside S 192.168.70.0 255.255.255.0 [1/0] is directly connected, inside C 192.168.80.0 255.255.255.0 is directly connected, dmz L 192.168.80.1 255.255.255.255 is directly connected, dmz 

FTD# show crypto ikev2 sa IKEv2 SAs: Session-id:8, Status:UP-ACTIVE, IKE count:1, CHILD count:1 Tunnel-id Local Remote Status Role 444445753 10.106.50.212/500 10.197.224.175/500 READY RESPONDER Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:19, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/11 sec Child sa: local selector 192.168.70.0/0 - 192.168.70.255/65535 remote selector 192.168.10.0/0 - 192.168.10.255/65535 ESP spi in/out: 0x5e950adb/0x47acd2dc 

FTD# show crypto ipsec sa peer 10.197.224.175 peer address: 10.197.224.175 Crypto map tag: CSM_outside_map, seq num: 2, local addr: 10.106.50.212 access-list vrf-crypto-acl extended permit ip 192.168.70.0 255.255.255.0 192.168.10.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.70.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0) current_peer: 10.197.224.175 #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 10.106.50.212/500, remote crypto endpt.: 10.197.224.175/500 path mtu 1500, ipsec overhead 74(44), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: 47ACD2DC current inbound spi : 5E950ADB inbound esp sas: spi: 0x5E950ADB (1586825947) SA State: active transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, IKEv2, } slot: 0, conn_id: 10, crypto-map: CSM_outside_map sa timing: remaining key lifetime (kB/sec): (4193279/28774) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x0000001F outbound esp sas: spi: 0x47ACD2DC (1202508508) SA State: active transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, IKEv2, } slot: 0, conn_id: 10, crypto-map: CSM_outside_map sa timing: remaining key lifetime (kB/sec): (4147199/28774) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 

Fehlerbehebung

In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

FTD# show crypto ipsec sa peer 10.197.224.175 peer address: 10.197.224.175 Crypto map tag: CSM_outside_map, seq num: 2, local addr: 10.106.50.212 access-list vrf-crypto-acl extended permit ip 192.168.70.0 255.255.255.0 192.168.10.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.70.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0) current_peer: 10.197.224.175 #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 >>>> Packets received from remote end gets decapsulated but there are not encaps for the responses #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 10.106.50.212/500, remote crypto endpt.: 10.197.224.175/500 path mtu 1500, ipsec overhead 74(44), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: 490F4CD1 current inbound spi : DB5608EB inbound esp sas: spi: 0xDB5608EB (3679848683) SA State: active transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, IKEv2, } slot: 0, conn_id: 11, crypto-map: CSM_outside_map sa timing: remaining key lifetime (kB/sec): (4008959/28761) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x0000001F outbound esp sas: spi: 0x490F4CD1 (1225739473) SA State: active transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, IKEv2, } slot: 0, conn_id: 11, crypto-map: CSM_outside_map sa timing: remaining key lifetime (kB/sec): (4239360/28761) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 

capture capin type raw-data interface inside [Capturing - 0 bytes] >>>> Captures applied on LAN(inside) interface shows decapsulated packets are not routed into LAN network match ip host 192.168.10.2 host 192.168.70.2 FTD# show cap capin 0 packet captured 0 packet shown 

capture asp type asp-drop all [Capturing - 0 bytes] >>>> ASP Captures shows decapsulated packets are being dropped on FTD FTD# show capture asp | i 192.168.70.2 145: 15:28:47.670894 192.168.10.2 > 192.168.70.2 icmp: echo request 154: 15:28:49.666545 192.168.10.2 > 192.168.70.2 icmp: echo request 171: 15:28:51.672740 192.168.10.2 > 192.168.70.2 icmp: echo request 172: 15:28:53.664928 192.168.10.2 > 192.168.70.2 icmp: echo request 

FTD# packet-tracer input outside icmp 192.168.10.2 8 0 192.168.70.2 detailed >>>> Packet tracer from outside shows "no route" for 192.168.70.0/24 network Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: Forward Flow based lookup yields rule: in id=0x2ba3bce77330, priority=1, domain=permit, deny=false hits=171480, user_data=0x0, cs_id=0x0, l3_type=0x8 src mac=0000.0000.0000, mask=0000.0000.0000 dst mac=0000.0000.0000, mask=0100.0000.0000 input_ifc=outside, output_ifc=any Result: input-interface: outside(vrfid:0) input-status: up input-line-status: up Action: drop Drop-reason: (no-route) No route to host, Drop-location: frame 0x000055d9b7e8c7ce flow (NA)/NA 

FTD# show run route route outside 10.0.0.0 255.0.0.0 10.106.50.1 1  >>>> As the network 192.168.70.0/24 is in "vrf_inside" instance, there is no route leaked from Global to vrf_inside 

FTD# show run route route outside 10.0.0.0 255.0.0.0 10.106.50.1 1 route inside 192.168.70.0 255.255.255.0 1 >>>> After leaking the route from Global to vrf_inside 

FTD# show cap capin >>>> Now capture shows bi-directional traffic on LAN(inside) interface 10 packets captured 1: 15:44:32.972743 192.168.10.2 > 192.168.70.2 icmp: echo request 2: 15:44:32.974543 192.168.70.2 > 192.168.10.2 icmp: echo reply 3: 15:44:33.032209 192.168.10.2 > 192.168.70.2 icmp: echo request 4: 15:44:33.033353 192.168.70.2 > 192.168.10.2 icmp: echo reply 5: 15:44:33.089656 192.168.10.2 > 192.168.70.2 icmp: echo request 6: 15:44:33.092814 192.168.70.2 > 192.168.10.2 icmp: echo reply 7: 15:44:33.149024 192.168.10.2 > 192.168.70.2 icmp: echo request 8: 15:44:33.151878 192.168.70.2 > 192.168.10.2 icmp: echo reply 9: 15:44:33.158774 192.168.10.2 > 192.168.70.2 icmp: echo request 10: 15:44:33.161048 192.168.70.2 > 192.168.10.2 icmp: echo reply 10 packets shown 

FTD# packet-tracer input outside icmp 192.168.10.2 8 0 192.168.70.2 detailed >>>> Verified packet flow using Packet tracer Phase: 1 Type: INPUT-ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: Found next-hop 0.0.0.0 using egress ifc inside(vrfid:1) -------------------Output Omitted------------------------
 Phase: 8 Type: VPN Subtype: ipsec-tunnel-flow Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0x2ba3bdc75cc0, priority=70, domain=ipsec-tunnel-flow, deny=false hits=7, user_data=0xea71cdc, cs_id=0x2ba3bce93e70, reverse, flags=0x0, protocol=0 src ip/id=192.168.10.0, mask=255.255.255.0, port=0, tag=any dst ip/id=192.168.70.0, mask=255.255.255.0, port=0, tag=any, dscp=0x0 input_ifc=outside(vrfid:0), output_ifc=any -------------------Output Omitted------------------------ Phase: 13 Type: VPN Subtype: encrypt Result: ALLOW Config: Additional Information: Reverse Flow based lookup yields rule: out id=0x2ba3bd44ed40, priority=70, domain=encrypt, deny=false hits=7, user_data=0xea6e344, cs_id=0x2ba3bce93e70, reverse, flags=0x0, protocol=0 src ip/id=192.168.70.0, mask=255.255.255.0, port=0, tag=any dst ip/id=192.168.10.0, mask=255.255.255.0, port=0, tag=any, dscp=0x0 input_ifc=any(vrfid:65535), output_ifc=outside Result: input-interface: outside(vrfid:0) input-status: up input-line-status: up output-interface: inside(vrfid:1) output-status: up output-line-status: up Action: drop Drop-reason: (ipsec-spoof) IPSEC Spoof detected, Drop-location: frame 0x000055d9b7e8b4d1 flow (NA)/NA