Routegebaseerde VPN configureren met statische route op FTD beheerd door FDM

Downloadopties

  • PDF     (4.4 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (4.4 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:1 juli 2025
Document-id:223198

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u een statische route-gebaseerde site naar site VPN-tunnel configureert op een FTD die wordt beheerd door FDM.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Een goed begrip van hoe een VPN tunnel werkt.
    • Voorkennis van het navigeren door de Firepower Device Manager (FDM).

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • Cisco Firepower Threat Defense (FTD) versie 7.0 wordt beheerd door Firepower Device Manager (FDM).

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Met routegebaseerde VPN kan interessant verkeer worden gecodeerd of via een VPN-tunnel worden verzonden en verkeersroutering worden gebruikt in plaats van een beleid / toegangslijst zoals in een op beleid gebaseerde of op Crypto-map gebaseerde VPN. Het encryptiedomein is ingesteld om elk verkeer toe te staan dat de IPsec-tunnel binnenkomt. IPsec De lokale en externe verkeersselectors zijn ingesteld op 0.0.0.0/0.0.0.0. Dit betekent dat elk verkeer dat naar de IPsec-tunnel wordt geleid, wordt gecodeerd, ongeacht het bron- / bestemmingssubnet.

    Dit document richt zich op de configuratie van de statische Virtual Tunnel Interface (SVTI).

    note-icon

    Opmerking: er is geen extra licentie nodig, Route Based VPN kan worden geconfigureerd in zowel Licensed als Evaluation Modes. Zonder crypto-compliance (Export Controlled Features Enabled) kan alleen DES worden gebruikt als een coderingsalgoritme.

    Configuratiestappen op FDM

    Stap 1. Navigeer naar Apparaat > Site-to-site.

    FDM DashboardFDM-dashboard

    Stap 2. Klik op het + pictogram om een nieuwe site aan de siteverbinding toe te voegen.

    Add S2S ConnectionS2S-verbinding toevoegen

    Stap 3: Geef een topologienaam op en selecteer het type VPN als Route Based (VTI).

    Klik op Local VPN Access Interface en klik vervolgens op Create new Virtual Tunnel Interface of selecteer een van de bestaande lijsten.

    Add Tunnel InterfaceTunnel-interface toevoegen

    Stap 4. Definieer de parameters van de nieuwe virtuele tunnelinterface. Klik op OK.

    VTI ConfigVTI-configuratie

    Stap 5. Kies de nieuw gemaakte VTI of een VTI die bestaat onder Virtual Tunnel Interface.Geef het externe IP-adres op.

    Add Peer IPPeer IP toevoegen

    Stap 6. Kies de IKE-versie en kies de knop Bewerken om de IKE- en IPsec-parameters in te stellen zoals weergegeven in de afbeelding.

    Configure IKE VersionIKE-versie configureren

    Stap 7a. Kies de knop IKE-beleid zoals weergegeven in de afbeelding en klik op ok of Nieuwe IKE-beleid maken, als u een nieuw beleid wilt maken.

    Choose IKE PolicyKies IKE-beleid

    Config of IKE PolicyConfig van het IKE-beleid

    Stap 7b. Kies de knop IPSec-beleid zoals weergegeven in de afbeelding en klik op de knop ok of Maak een nieuw IPsec-voorstel, als u een nieuw voorstel wilt maken.

    Select IPsec ProposalIPsec-voorstel selecteren

    Config of IPsec ProposalConfig van het IPsec-voorstel

    Stap 8a. Selecteer het verificatietype. Als een vooraf gedeelde handmatige sleutel wordt gebruikt, geeft u de lokale en externe vooraf gedeelde sleutel op.

    Stap 8b. (Optioneel) Kies de instellingen voor Perfect Forward Secrecy. Configureer de IPsec Lifetime Duration en Lifetime Size en klik vervolgens op Next.

    PSK and Lifetime ConfigPSK en Lifetime Config

    Stap 9. Controleer de configuratie en klik op Voltooien.

    Configuration SummaryConfiguratieoverzicht


    Stap 10a. Navigeer naar Objecten > Beveiligingszones en klik op het + pictogram.

    Add a Security ZoneEen beveiligingszone toevoegen


    Stap 10b. Maak een zone en selecteer de VTI-interface zoals hieronder wordt weergegeven.

    Config of Security ZoneBeveiligingszone configureren

    Stap 11a. Navigeer naar Objecten > Netwerken, klik op + pictogram.

    Add Network ObjectsNetwerkobjecten toevoegen


    Stap 11b. Voeg een host-object toe en maak een gateway met een IP-tunnel van peer-end.

    Configure VPN GatewayVPN-gateway configureren


    Stap 11c. Voeg het externe subnet en het lokale subnet toe.

    Remote IP ConfigExterne IP-configuratie

    Local IP ConfigLokale IP-configuratie


    Stap 12. Navigeer naar Apparaat > Beleid en configureer het beleid voor toegangscontrole.

    Add Access Control PolicyToegangscontrolebeleid toevoegen

    Stap 13a. Voeg de routering over de VTI-tunnel toe. Navigeer naar Apparaat > Routering.

    Select RoutingRoutering selecteren

    Stap 13b. Navigeer naar Statische route onder het tabblad Routering. Klik op + pictogram.

    Add RouteRoute toevoegen

    Stap 13c. Geef de interface op, kies het netwerk, geef de gateway op. Klik op OK.

    Configure Static RouteStatische route configureren

    Stap 14. Navigeer naar Implementeren. Controleer de wijzigingen en klik op Nu implementeren.

    Deploy the ConfigImplementeer de configuratie

    Verifiëren

    Nadat de implementatie is voltooid, kunt u de tunnelstatus op de CLI controleren met behulp van de volgende opdrachten:

    1. Crypto IKEV2 SA weergeven
    2. Crypto IPSec SA <peer-IP> weergeven

    Show CommandsOpdrachten weergeven

    Gerelateerde informatie

    Voor meer informatie over Site-to-Site VPN's op de FTD beheerd door FDM, kunt u de volledige configuratiehandleiding hier vinden:

    FTD beheerd door FDM Configuration Guide

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    01-Jul-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Rashmi Singh
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten