Hebt u een account?

  •   Gepersonaliseerde content
  •   Uw producten en ondersteuning

Hebt u een account nodig?

Account maken

Configureer routegebaseerde site met site-VPN-tuner op FTD beheerde door FMC

Downloadopties

  • PDF     (1.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (898.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:22 november 2020
Document-id:216276
Over de vertaling

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een routegebaseerde Site to Site VPN-tunnel kunt configureren op een Firepower Threat Defense (FTD), beheerd door een FireSIGHT Management Center (FMC).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basisbegrip van het werken van een VPN-tunnel.
    • Begrijpen van navigatie door het FMC.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op deze softwareversies:

    • Cisco Firepower Management Center (FMC) versie 6.7.0
    • Cisco Firepower Threat Defense (FTD) versie 6.7.0

    Opmerking: de informatie in dit document is gemaakt van apparatuur in een specifieke labomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg ervoor dat u de potentiële impact van elke configuratie verandering begrijpt.

    Achtergrondinformatie

    Op route-gebaseerde VPN kan de bepaling van interessant verkeer worden versleuteld of via VPN-tunnels worden verzonden met behulp van routing in plaats van beleid/toegangslijst zoals in op beleid gebaseerde of op Crypto-kaart gebaseerde VPN. Het encryptiedomein is ingesteld om elk verkeer toe te staan dat de IPsec-tunnel ingaat. IPsec Local and Remote Traffic Selectors worden ingesteld op 0.0.0.0/0.0.0..0. Dit betekent dat elk verkeer dat in de IPsec-tunnel wordt routeerd, is versleuteld ongeacht het bron-/doelnet.

    Beperkingen en beperkingen

    Dit zijn bekende beperkingen en beperkingen voor tunnels op basis van route op FTD:

    • Ondersteunt alleen IPsec. GRE wordt niet ondersteund.

    • Geen ondersteuning voor Dynamic VTI.

    • Ondersteunt alleen IPv4 interfaces, evenals IPv4, beschermde netwerken of VPN payload (geen Ondersteuning voor IPv6).

    • Statische routing en alleen BGP Dynamic Routing Protocol worden ondersteund voor VTI-interfaces voor het classificeren van verkeer voor VPN (geen ondersteuning voor andere protocollen zoals OSPF, RIP, enzovoort).

    • Slechts 100 VTI’s worden per interface ondersteund.

    • VTI wordt niet ondersteund in een FTD Cluster.

    • VTI wordt in dit beleid niet ondersteund:

      ・ QoS
      ・ NAT
      ・ Platform-instellingen

    Deze algoritmen worden niet langer ondersteund door FMC/FTD versie 6.7.0 voor nieuwe VPN-tunnels (FMC ondersteunt alle verwijderde tekens om FTD < 6.7 te beheren):

    • 3DES, DES en NULL Encryption worden niet ondersteund in IKE-beleid.

    • De groepen DH 1, 2 en 24 worden niet ondersteund in IKE-beleid en IPsec-voorstel.

    • MD5 Integriteit wordt niet ondersteund in IKE-beleid.

    • PRF MD5 wordt niet ondersteund in het IKE-beleid.

    • DES, 3DES, AES-GMAC, AES-GMAC-192 en AES-GMAC-256 coderingsalgoritmen worden niet ondersteund in IPsec Proposal.

    Opmerking: dit geldt voor zowel site-to-site route als op beleid gebaseerde VPN-tunnels. Om een oudere FTD van het FMC naar 6.7 te upgraden, geeft het de gebruiker een waarschuwing voor een voorafgaande valideringscontrole over wijzigingen met betrekking tot de verwijderde ciferen die de upgrade blokkeren.

    FTD 6.7 beheerd via FMC 6.7 Beschikbare configuratie Site met VPN-tunnelbouw op site
    Vers installeren
    Zwakke telefoons zijn beschikbaar maar kunnen niet worden gebruikt om het FTD 6.7 apparaat te configureren.
    		Zwakke telefoons zijn beschikbaar maar kunnen niet worden gebruikt om het FTD 6.7-apparaat te configureren
    Upgraden: FTD alleen geconfigureerd met zwakke cifers
    upgrade vanaf FMC 6.7 UI, een pre-validatiecontrole geeft een fout weer. De upgrade is geblokkeerd tot de configuratie
    Post FTD upgrade, ervan uitgaande dat de peer zijn instellingen niet heeft gewijzigd, wordt de tunnel beëindigd
    Upgraden: FTD alleen ingesteld met een paar zwakke cifers en een aantal sterke cifers
    upgrade vanaf FMC 6.7 UI, een pre-validatiecontrole geeft een fout weer. De upgrade is geblokkeerd tot de configuratie
    Post-FTD upgrade, ervan uitgaande dat de peer sterke cifers heeft, stelt de tunnel opnieuw vast
    Upgraden: Land van klasse C (heeft geen sterke crypto-licentie)
    		DES toestaan is toegestaan DES toestaan is toegestaan

    Opmerking: Er is geen extra licentie nodig, routegebaseerde VPN kan zowel in Licentie- als evaluatiemodi worden geconfigureerd. Zonder encryptie-conformiteit (Exportwetgeving ingeschakeld) kunnen alleen DES als encryptie-algoritme worden gebruikt.

    Configuratiestappen op FMC

    Stap 1. Navigeer naar apparaten > VPN>Site met informatie.

    Stap 2. Klik op Add VPN en kies Firepower Threat Defense Devices, zoals in de afbeelding.

    Stap 3. Typ een Naam van de topologie en selecteer het type VPN als Routegebaseerd (VTI). Kies de IKE versie.

    Voor deze demonstratie:

    Naam van de topologie: VTI-ASA

    IKE versie: IKEv2

    Stap 4. Kies het apparaat waarop de tunnel moet worden geconfigureerd, u kunt ervoor kiezen een nieuwe virtuele Sjablooninterface toe te voegen (klik op het + pictogram) of een van de lijst te selecteren die bestaat.

    Stap 5. Bepaal de parameters van de nieuwe virtuele tunnelinterface. Klik op OK.

    Voor deze demonstratie:

    Name: VTI-ASA

    Beschrijving (optioneel): VTI-tunnels met extranet ASA

    Security zone: VTI-zone

    Tunnel-ID: 1

    IP-adres: 192.168.100.1/30

    Tunnel bron: Gigabit Ethernet0/0 (buiten)

    Stap 6. Klik op OK in de pop-up om aan te geven dat het nieuwe VTI is gemaakt.

    Stap 7. Kies de nieuwe VTI of een bestaande VTI onder Virtuele tunnelinterface. Geef de informatie voor Node B (dat het peer apparaat is).

    Voor deze demonstratie:

    Apparaat: Extranet

    Apparaatnaam: ASA-peer

    IP-adres eindpunt: 10.106.67.252

    Stap 8. Navigeer naar het tabblad IKE. U kunt ervoor kiezen een vooraf bepaald beleid te gebruiken of op de + knop naast het tabblad Beleid te klikken en een nieuw beleid te maken.

    Stap 9. (Optioneel indien u een nieuw IKEv2-beleid maakt) Geef een naam voor het beleid en selecteer de algoritmen die in het beleid moeten worden gebruikt. Klik op Opslaan.

    Voor deze demonstratie:

    Name: ASA 5500-IKEv2-beleid

    Integrity Algorithms: SHA-512

    Encryptiealgoritmen: AES-256

    PRF-algoritmen: SHA-512

    Diffie-Hellman groep: 21

    Stap 10. Kies het nieuwe of bestaande beleid. Selecteer het verificatietype. Indien een Vooraf gedeelde handleiding wordt gebruikt, specificeert u de toets in de Key and Confirma Key-boxen.

    Voor deze demonstratie:

    Beleid: ASA-IKEv2-beleid

    Verificatietype: Vooraf gedeelde handleiding

    Sleutel: Cisco 123

    Bevestig sleutel: Cisco 123

    Opmerking: Als beide eindpunten op dezelfde FMC zijn geregistreerd, kan de optie Automatisch-sleutel ook worden gebruikt.

    Stap 1. Navigeer naar het tabblad IPsec. U kunt ervoor kiezen een vooraf bepaald IKEv2 IPsec-voorstel te gebruiken of een nieuw voorstel te maken door op de knop Bewerken naast het tabblad IKEv2 IPsec-voorstel te klikken.

    Stap 12. (Optioneel indien u een nieuw IKEv2 IPsec-voorstel maakt) Geef een naam voor het voorstel en selecteer de algoritmen die in het voorstel moeten worden gebruikt. Klik op Opslaan.

    Voor deze demonstratie:

    Name: ASA 5500-X-E1-beleid

    ESP-hash: SHA-512

    ESP-encryptie: AES-256

    Stap 13. Kies het nieuwe of bestaande voorstel uit de lijst met beschikbare voorstellen. Klik op OK.

    Stap 14. (Optioneel) Kies de instellingen Perfect Forward Forward Security. Configureer de levensduur van IPsec en de grootte van de levensduur.

    Voor deze demonstratie:

    Perfect voorwaartse geheimhouding: Modulusgroep 21

    Levensduur: 2800 (standaard)

    Levensduur: 460800 (standaard)

    Stap 15. Controleer de ingestelde instellingen. Klik op Opslaan, zoals in deze afbeelding.

    Stap 16. (Optioneel) Configureer het NAT-beleid. Navigeer naar apparaten > NAT. Kies het NAT-beleid dat aan deze FTD is toegewezen. 

    Typ de broninterfaceobjecten en de doelinterfaceobjecten in het tabblad Interfaceobjecten.

    Verstrek de oorspronkelijke bron, oorspronkelijke bestemming, vertaalde bron, vertaalde bestemming in het tabblad Vertaling. Klik op OK.

    Voor deze demonstratie:

    Bron interfaceobjecten: Inzone

    Doelinterfaceobjecten: buiten bereik

    Oorspronkelijke bron: Inline netwerken

    Oorspronkelijke bestemming: Externe netwerken

    Vertaalde bron: Inline netwerken

    Vertaalde bestemming: Externe netwerken

                 

    Opmerking: Zorg ervoor dat de statische NAT-vrijstelling voor de Site-tunnel boven de dynamische NAT/PAT-regels is toegevoegd.

    Stap 17. Configureer het toegangscontrolebeleid. Navigeren in op beleid > Toegangsbeheer > Toegangsbeheer. Bewerk het op de FTD toegepaste beleid.

    N.B.: systeemverbindingsvergunning-VPN werkt niet met op route gebaseerde VPN-tunnels. De toegangscontroleregels moeten worden ingesteld voor zowel IN-> OUT-zones als OUT -> IN-zones.

    Geef de brongebieden en de doelgebieden op in het tabblad Gebieden.

    Typ de bronnetwerken, doelnetwerken in het tabblad Netwerken. Klik op Toevoegen.

    Voor deze demonstratie:

    Bron: zones in zone en buiten zone

    Bestemmingszones: buiten-zone en in-zone

    Bron-netwerken: Inline-netwerken en afstandsnetwerken

    Bestemmingsnetwerken: Externe netwerken en inline-netwerken

    Stap 18. Voeg de routing toe via de VTI-tunnel. Navigeer naar Apparaten > Apparaatbeheer. Bewerk het apparaat waarin de VTI-tunnel is ingesteld.

    Navigeer naar Statische route onder het tabblad Routing. Klik op Add Route.

    Geef de interface op, kies het netwerk en specificeer de gateway. Klik op OK.

    Voor deze demonstratie:

    Interface: VTI-ASA

    Netwerk: Externe netwerken

    Gateway: VTI-ASA-tunnels

    Stap 19. Navigeer om te implementeren > implementeren. Kies de FTD waaraan de configuratie moet worden uitgevoerd en klik op Importeren.

    Configuratie naar de FTD CLI gedrukt na succesvolle implementatie:

    crypto ikev2 policy 1
     encryption aes-256
     integrity sha512
     group 21
     prf sha512
     lifetime seconds 86400
    crypto ikev2 enable Outside

    crypto ipsec ikev2 ipsec-proposal CSM_IP_1
     protocol esp encryption aes-256
     protocol esp integrity sha-512
    crypto ipsec profile FMC_IPSEC_PROFILE_1
     set ikev2 ipsec-proposal CSM_IP_1
     set pfs group21

    group-policy .DefaultS2SGroupPolicy internal
    group-policy .DefaultS2SGroupPolicy attributes
     vpn-idle-timeout 30
     vpn-idle-timeout alert-interval 1
     vpn-session-timeout none
     vpn-session-timeout alert-interval 1
     vpn-filter none
     vpn-tunnel-protocol ikev1 ikev2 

    tunnel-group 10.106.67.252 type ipsec-l2l
    tunnel-group 10.106.67.252 general-attributes
     default-group-policy .DefaultS2SGroupPolicy
    tunnel-group 10.106.67.252 ipsec-attributes
     ikev2 remote-authentication pre-shared-key *****
     ikev2 local-authentication pre-shared-key *****

    interface Tunnel1
     description VTI Tunnel with Extranet ASA
     nameif VTI-ASA
     ip address 192.168.100.1 255.255.255.252 
     tunnel source interface Outside
     tunnel destination 10.106.67.252
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile FMC_IPSEC_PROFILE_1

    Verifiëren

    Van FMC GUI

    Klik op de optie Status controleren om de actieve status van de VPN-tunnel vanuit de GUI zelf te controleren

    Dit omvat deze opdrachten van de FTD CLI:

    • crypto-IP-sec als peer <peer IP-adres> tonen
    • Geef het filteradres van VPN-sessionedrag l2l weer

    Van FTD CLI

    Deze opdrachten kunnen vanaf de FTD CLI worden gebruikt om de configuratie en de status van de VPN-tunnels te bekijken.

    show running-config crypto
    show running-config nat
    show running-config route
    show crypto ikev1 sa detailed
    show crypto ikev2 sa detailed
    show crypto ipsec sa detailed
    show vpn-sessiondb detail l2l
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Rohan Biswas
      Cisco TAC-ingenieur
    • Tazy Khan
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Over Ons
    Contact
    Samenwerken