Configura VPN basata su route con route statica su FTD Gestito da FDM

Opzioni per il download

  • PDF     (4.4 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (4.4 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:1 luglio 2025
ID documento:223198

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come configurare un sito basato su route statica per il tunnel VPN del sito su un FTD gestito da FDM.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenza base del funzionamento di un tunnel VPN.
    • Conoscenza preliminare della navigazione in Firepower Device Manager (FDM).

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software:

    • Cisco Firepower Threat Defense (FTD) versione 7.0 gestito da Firepower Device Manager (FDM).

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    La VPN basata su route consente di determinare il traffico interessante da crittografare o inviare tramite il tunnel VPN e di utilizzare il routing del traffico anziché criteri/elenchi di accesso come nella VPN basata su criteri o su mappa crittografica. Il dominio di crittografia è impostato per consentire il traffico in entrata nel tunnel IPsec. I selettori di traffico locale e remoto di IPSec sono impostati su 0.0.0.0/0.0.0.0. Ciò significa che tutto il traffico instradato nel tunnel IPSec viene crittografato indipendentemente dalla subnet di origine/destinazione.

    Nel documento si fa riferimento alla configurazione SVTI (Static Virtual Tunnel Interface).

    note-icon

    Nota: Non sono necessarie licenze aggiuntive. La VPN basata su route può essere configurata sia in modalità di licenza che in modalità di valutazione. Senza la conformità alla crittografia (funzionalità di esportazione controllate abilitate), solo DES può essere utilizzato come algoritmo di crittografia.

    Procedura di configurazione in FDM

    Passaggio 1. Passare a Dispositivo > Da sito a sito.

    FDM DashboardDashboard FDM

    Passaggio 2. Fare clic sull'icona + per aggiungere un nuovo sito alla connessione.

    Add S2S ConnectionAggiungi connessione da sito a sito

    Passaggio 3. Fornire un nome di topologia e selezionare il tipo di VPN come VTI (Route Based).

    Fare clic su Local VPN Access Interface (Interfaccia di accesso VPN locale) e quindi su Create new Virtual Tunnel Interface (Crea nuova interfaccia tunnel virtuale) o selezionarne una dall'elenco esistente.

    Add Tunnel InterfaceAggiungi interfaccia tunnel

    Passaggio 4. Definire i parametri della nuova interfaccia del tunnel virtuale. Fare clic su OK.

    VTI ConfigConfigurazione VTI

    Passaggio 5. Scegliere la VTI appena creata o una VTI esistente in Virtual Tunnel Interface. Fornire l'indirizzo IP remoto.

    Add Peer IPAggiungi IP peer

    Passaggio 6. Scegliere IKE Version, quindi il pulsante Edit (Modifica) per impostare i parametri IKE e IPsec come mostrato nell'immagine.

    Configure IKE VersionConfigura versione IKE

    Passaggio 7a. Scegliere il pulsante Criterio IKE come illustrato nell'immagine e fare clic sul pulsante OK o su Crea nuovo criterio IKE per creare un nuovo criterio.

    Choose IKE PolicyScegli criterio IKE

    Config of IKE PolicyConfigurazione del criterio IKE

    Passaggio 7b. Scegliere il pulsante Criterio IPSec come illustrato nell'immagine e fare clic sul pulsante OK o su Crea nuova proposta IPSec, se si desidera creare una nuova proposta.

    Select IPsec ProposalSeleziona proposta IPSec

    Config of IPsec ProposalConfigurazione della proposta IPSec

    Passaggio 8a. Selezionare il tipo di autenticazione. Se si utilizza una chiave manuale già condivisa, specificare la chiave precondivisa locale e remota.

    Passaggio 8b. (Facoltativo) Scegliere le impostazioni Perfect Forward Secrecy. Configurare i campi Durata IPSec e Dimensione durata, quindi fare clic su Avanti.

    PSK and Lifetime ConfigPSK e configurazione durata

    Passaggio 9. Esaminare la configurazione e fare clic su Fine.

    Configuration SummaryRiepilogo configurazione


    Passaggio 10a. Selezionare Oggetti > Aree di sicurezza, quindi fare clic sull'icona +.

    Add a Security ZoneAggiungi area di sicurezza


    Passaggio 10b. Create una zona e selezionate l'interfaccia VTI come mostrato di seguito.

    Config of Security ZoneConfigurazione dell'area di protezione

    Passaggio 11a. Selezionare Oggetti > Reti, quindi fare clic sull'icona +.

    Add Network ObjectsAggiungi oggetti di rete


    Passaggio 11b. Aggiungere un oggetto host e creare un gateway con l'ip del tunnel del peer-end.

    Configure VPN GatewayConfigura gateway VPN


    Passaggio 11c. Aggiungere la subnet remota e la subnet locale.

    Remote IP ConfigConfigurazione IP remoto

    Local IP ConfigConfigurazione IP locale


    Passaggio 12. Passare a Periferica > Criteri e configurare i criteri di controllo di accesso.

    Add Access Control PolicyAggiungi criteri di controllo di accesso

    Passaggio 13a. Aggiungere il routing sul tunnel VTI. Selezionare Periferica > Instradamento.

    Select RoutingSeleziona ciclo

    Passaggio 13b. Passare a Instradamento statico nella scheda Instradamento. Fare clic sull'icona +.

    Add RouteAggiungi route

    Passaggio 13c. Fornire l'interfaccia, scegliere la rete, fornire il gateway. Fare clic su OK.

    Configure Static RouteConfigura route statica

    Passaggio 14. Passare a Distribuisci. Rivedere le modifiche, quindi fare clic su Deploy Now (Distribuisci ora).

    Deploy the ConfigDistribuire la configurazione

    Verifica

    Una volta completata la distribuzione, è possibile verificare lo stato del tunnel sulla CLI utilizzando i seguenti comandi:

    1. show crypto ikev2 sa
    2. show crypto ipsec sa <ip-peer>

    Show CommandsComandi show

    Informazioni correlate

    Per ulteriori informazioni sulle VPN da sito a sito sull'FTD gestito da FDM, è possibile trovare la guida alla configurazione completa qui:

    Guida alla configurazione di FTD gestito da FDM

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    01-Jul-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Rashmi Singh
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti