Configureer de routegebaseerde site-to-site VPN-tunnel op FTD die door FMC wordt beheerd

Downloadopties

  • PDF     (1.3 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (900.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:19 juli 2022
Document-id:216276

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een routegebaseerde site-to-site VPN-tunnel kunt configureren op basis van een Firepower Threat Defence (FTD) die wordt beheerd door een Firepower Management Center (FMC).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basis begrip van hoe een VPN-tunnel werkt.
    • Begrijp hoe je door het VCC moet navigeren.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • Cisco Firepower Management Center (FMC) versie 6.7.0
    • Cisco Firepower Threat Defence (FTD) versie 6.7.0

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Op route gebaseerde VPN maakt het mogelijk om interessant verkeer te versleutelen of te verzenden via een VPN-tunnel en verkeer te routeren in plaats van beleid/toegangslijst zoals in op beleid gebaseerde of op Crypto-kaart gebaseerde VPN. Het coderingsdomein is ingesteld om verkeer dat de IPsec-tunnel binnenkomt, toe te staan. IPsec Local en Remote Traffic Selectors zijn ingesteld op 0.0.0.0/0.0.0..0. Dit betekent dat elk verkeer dat in de IPsec-tunnel wordt gerouteerd, wordt versleuteld ongeacht het bron-/doelsubsysteem.

    Beperkingen en beperkingen

    Dit zijn bekende beperkingen en beperkingen voor routegebaseerde tunnels op FTD:

    • Ondersteunt alleen IPsec. GRE wordt niet ondersteund.

    • Geen ondersteuning voor Dynamic VTI.

    • Ondersteunt alleen IPv4 interfaces, evenals IPv4, beschermde netwerken of VPN-payload (geen ondersteuning voor IPv6).

    • Statische routing en alleen BGP Dynamic Routing Protocol worden ondersteund voor VTI-interfaces die verkeer voor VPN classificeren (geen ondersteuning voor andere protocollen zoals OSPF, RIP, enzovoort).

    • Slechts 100 VTIs worden ondersteund per interface.

    • VTI wordt niet ondersteund op een FTD-cluster.

    • VTI wordt niet ondersteund in dit beleid:

      · QoS
      NAT
      · Platforminstellingen

    Deze algoritmen worden niet langer ondersteund door FMC/FTD versie 6.7.0 voor nieuwe VPN-tunnels (FMC ondersteunt alle verwijderde algoritmen voor het beheer van FTD < 6.7):

    • 3DES, DES en NULL-encryptie worden niet ondersteund in IKE-beleid.

    • DH-groepen 1, 2 en 24 worden niet ondersteund in IKE-beleid en IPsec-voorstel.

    • MD5-integriteit wordt niet ondersteund in IKE-beleid.

    • PRF MD5 wordt niet ondersteund in IKE-beleid.

    • DES, 3DES, AES-GMAC, AES-GMAC-192 en AES-GMAC-256 versleutelingsalgoritmen worden niet ondersteund in IPsec-voorstel.

    Opmerking: dit geldt voor zowel de site-to-site route als voor op beleid gebaseerde VPN-tunnels. Om een oudere FTD van het FMC te upgraden naar 6.7, wordt een pre-validatiecontrole gestart waarin de gebruiker wordt gewaarschuwd voor veranderingen die betrekking hebben op de verwijderde algoritmen die de upgrade blokkeren.

    FTD 6.7 beheerd via FMC 6.7 Beschikbare configuratie Site-to-site VPN-tunnel
    Fresh Install
    Er zijn zwakke algoritmen beschikbaar, maar deze kunnen niet worden gebruikt om het FTD 6.7-apparaat te configureren.
    		Er zijn zwakke algoritmen beschikbaar, maar deze kunnen niet worden gebruikt om het FTD 6.7-apparaat te configureren.
    Upgraden: FTD alleen geconfigureerd met zwakke algoritmen
    Upgrade van FMC 6.7 UI, een pre-validatiecontrole toont een fout. De upgrade wordt geblokkeerd tot de aanpassing.
    Na FTD upgrade, en veronderstel de peer zijn instellingen niet heeft gewijzigd, dan wordt de tunnel beëindigd.
    Upgraden: FTD alleen geconfigureerd met enkele zwakke algoritmen en enkele sterke algoritmen
    Upgrade van FMC 6.7 UI, een pre-validatiecontrole toont een fout. De upgrade wordt geblokkeerd tot de aanpassing.
    Na FTD-upgrade, en veronderstel dat de peer sterke algoritmen heeft, dan wordt de tunnel opnieuw ingesteld.
    Upgraden: Klasse C-land (geen sterke cryptolicentie)
    		Toestaan dat DES wordt toegestaan Toestaan dat DES wordt toegestaan

    .

    Opmerking: er is geen extra licentie nodig, routegebaseerde VPN kan worden geconfigureerd in zowel gelicentieerde als evaluatiemodes. Zonder crypto-compatibiliteit (Export Controlled Properties Enabled) kan alleen DES worden gebruikt als een encryptie-algoritme.

    Configuratiestappen op FMC

    Stap 1. Ga naar Apparaten >VPN >Site to Site.

    Figure 1

    Stap 2. Klik op Add VPN en kies Firepower Threat Defence Device, zoals in de afbeelding.

    Figure 2

    Stap 3. Geef een topologienaam op en selecteer het type VPN als routegebaseerd (VTI). Kies de IKE-versie.

    Ten behoeve van deze demonstratie:

    Naam topologie: VTI-ASA

    IKE versie: IKEv2

    Figure 2_2

    Stap 4. Kies het apparaat waarop de tunnel moet worden geconfigureerd, U kunt kiezen om een nieuwe virtuele sjabloon interface toe te voegen (klik op het + pictogram) of selecteer een van de lijst die bestaat.

    Figure 2_1

    Stap 5. Definieer de parameters van de Nieuwe virtuele tunnelinterface. Klik op OK.

    Ten behoeve van deze demonstratie:

    Name: VTI-ASA

    Beschrijving (optioneel): VTI-tunnel met extranet ASA

    Security zone: VTI-zone

    Tunnel-ID: 1

    IP-adres: 192.168.100.1/30

    Tunnelbron: Gigabit Ethernet0/0 (buiten)

    Figure 3

    Stap 6. Klik op OK in de pop-up waarin wordt aangegeven dat het nieuwe VTI is gemaakt.

    Figure 4

    Stap 7. Kies het nieuwe VTI of een VTI die onder Virtual Tunnel Interface bestaat. Verstrek de informatie voor Knooppunt B (dat het peer apparaat is).

    Ten behoeve van deze demonstratie:

    Apparaat: Extranet

    Apparaatnaam: ASA-peer

    IP-adres eindpunt: 10.106.67.252

    Figure 5

    Stap 8. Navigeer naar het tabblad IKE. U kunt ervoor kiezen een vooraf gedefinieerd beleid te gebruiken of op de +-knop naast het tabblad Beleid te klikken en een nieuw tabblad te maken.

    Figure 6

    Stap 9. (Optioneel Als u een nieuw IKEv2-beleid maakt) Geef een naam voor het beleid en selecteer de algoritmen die in het beleid moeten worden gebruikt. Klik op Save (Opslaan).

    Ten behoeve van deze demonstratie:

    Name: ASA 5500-IKEv2-beleid

    Integriteitsalgoritmen: SHA-512-software

    Encryptiealgoritmen: AES-256 router

    PRF-algoritmen: SHA-512-software

    Diffie-Hellman groep: 21

    Figure 7

    Stap 10. Kies het nieuwe ontwerp of het beleid dat bestaat. Selecteer het verificatietype. Als een Vooraf gedeelde handmatige sleutel wordt gebruikt, geef dan de sleutel op in de sleutelvakjes en bevestig de sleutelvakjes.

    Ten behoeve van deze demonstratie:

    Beleid: ASA-IKEv2-Policy

    Verificatietype: Vooraf gedeelde handmatige sleutel

    Sleutel: Cisco IP123

    Bevestig sleutel: Cisco IP123

    Figure 8

    Opmerking: als beide eindpunten op hetzelfde VCC zijn geregistreerd, kan ook de optie Pre-Shared Automatic Key (Vooraf gedeelde automatische sleutel) worden gebruikt.

    Stap 1. Navigeer naar het tabblad IPsec. U kunt een vooraf gedefinieerd IKEv2 IPsec-voorstel gebruiken of een nieuw voorstel maken. Klik op de knop Bewerken naast het tabblad Voorstel voor IKEv2 IPsec.

    Figure 9

    Stap 12. (optioneel Als u een nieuw IKEv2 IPsec-voorstel maakt) Geef een naam voor het voorstel en selecteer de algoritmen die in het voorstel moeten worden gebruikt. Klik op Save (Opslaan).

    Ten behoeve van deze demonstratie:

    Name: ASA 5500-IPS beleid

    ESP-hash: SHA-512-software

    ESP-encryptie: AES-256 router

    Figure 10

    Stap 13. Kies het nieuwe voorstel of voorstel uit de lijst met voorstellen die beschikbaar zijn. Klik op OK.

    Figure 11

    Stap 14. (Optioneel) Kies de perfecte voorwaartse instellingen voor geheimhouding. Configureer de duur en de grootte van de levensduur van IPsec.

    Ten behoeve van deze demonstratie:

    Perfect voorwaartse geheimhouding: Modulus-groep 21

    Levensduur: 28800 (standaard)

    Levensduur: 4608000 (standaard)

    Figure 12

    Stap 15. Controleer de ingestelde instellingen. Klik op Opslaan, zoals in deze afbeelding.

    Figure 13

    Stap 16. (Optioneel) Configureer het NAT-beleid. Ga naar Apparaten > NAT. Kies het NAT-beleid dat aan dit FTD is toegewezen. 

    Geef de broninterfaceobjecten en de doelinterfaceobjecten op het tabblad Interfaceobjecten op.

    Vermeld de oorspronkelijke bron, de oorspronkelijke bestemming, de vertaalde bron, de vertaalde bestemming in het tabblad Vertaling. Klik op OK.

    Ten behoeve van deze demonstratie:

    Broninterfaceobjecten: In zone

    Doelinterfaceobjecten: out-zone

    Oorspronkelijke bron: In het netwerk

    Oorspronkelijke bestemming: Remote-Network

    Vertaalde bron: In het netwerk

    Vertaalde bestemming: Remote-Network

    Figure 13_1             

    Figure 13_2

    Opmerking: Zorg ervoor dat de statische NAT-vrijstelling voor de site-to-site tunnel wordt toegevoegd bovenop de dynamische NAT/PAT-regels.

    Stap 17. Configureer het toegangscontrolebeleid. Ga naar Beleid > Toegangsbeheer > Toegangsbeheer. Bewerk het op het FTD toegepaste beleid.

    Opmerking: sysopt connection license-vpn werkt niet met routegebaseerde VPN-tunnels. De toegangscontroleregels moeten worden geconfigureerd voor zowel IN-> OUT-zones als OUT-> IN-zones.

    Geef de bronzones en de doelzones op in het tabblad Zones.

    Verstrek de Bronnetwerken, Bestemmingsnetwerken in het tabblad Netwerken. Klik op Add (Toevoegen).

    Ten behoeve van deze demonstratie:

    Source Zones: In-Zone en Out-Zone

    Bestemmingszones: out-zone en in-zone

    Bronnetwerken: In-Network en Remote-Network

    Bestemmingsnetwerken: Remote-Network en In-Network

    Figure 13_3

    Figure 13_4

    Stap 18. Voeg de routing toe via de VTI-tunnel. Ga naar Apparaten > Apparaatbeheer. Bewerk het apparaat waarop de VTI-tunnel is ingesteld.

    Navigeer naar statische route onder het tabblad Routing. Klik op Route toevoegen.

    Verstrek de interface, kies het netwerk, verstrek de gateway. Klik op OK.

    Ten behoeve van deze demonstratie:

    Interface: VTI-ASA

    Netwerk: Remote-Network

    Gateway: VTI-ASA-Tunnel

    Figure 13_5

    Stap 19. Navigeer om > Plaatsing te implementeren. Kies de FTD waarop de configuratie moet worden ingezet en klik op Implementeren.

    Configuratie naar de FTD CLI geduwd na succesvolle implementatie:

    crypto ikev2 policy 1
     encryption aes-256
     integrity sha512
     group 21
     prf sha512
     lifetime seconds 86400
    crypto ikev2 enable Outside

    crypto ipsec ikev2 ipsec-proposal CSM_IP_1
     protocol esp encryption aes-256
     protocol esp integrity sha-512
    crypto ipsec profile FMC_IPSEC_PROFILE_1
     set ikev2 ipsec-proposal CSM_IP_1
     set pfs group21

    group-policy .DefaultS2SGroupPolicy internal
    group-policy .DefaultS2SGroupPolicy attributes
     vpn-idle-timeout 30
     vpn-idle-timeout alert-interval 1
     vpn-session-timeout none
     vpn-session-timeout alert-interval 1
     vpn-filter none
     vpn-tunnel-protocol ikev1 ikev2 

    tunnel-group 10.106.67.252 type ipsec-l2l
    tunnel-group 10.106.67.252 general-attributes
     default-group-policy .DefaultS2SGroupPolicy
    tunnel-group 10.106.67.252 ipsec-attributes
     ikev2 remote-authentication pre-shared-key *****
     ikev2 local-authentication pre-shared-key *****

    interface Tunnel1
     description VTI Tunnel with Extranet ASA
     nameif VTI-ASA
     ip address 192.168.100.1 255.255.255.252 
     tunnel source interface Outside
     tunnel destination 10.106.67.252
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile FMC_IPSEC_PROFILE_1

    Verifiëren

    Van FMC GUI

    Klik op de optie Status controleren om de live status van de VPN-tunnel vanuit de GUI zelf te bewaken

    Figure 14

    Dit omvat de volgende opdrachten die zijn overgenomen van de FTD CLI:

    • crypto ipsec tonen als peer <peer IP-adres>
    • toon vpn-sessiondb detail l2l filter ipaddress <Peer IP Address>

    Figure 15

    Van FTD CLI

    Deze opdrachten kunnen vanuit de FTD CLI worden gebruikt om de configuratie en de status van de VPN-tunnels te bekijken.

    show running-config crypto
    show running-config nat
    show running-config route
    show crypto ikev1 sa detailed
    show crypto ikev2 sa detailed
    show crypto ipsec sa detailed
    show vpn-sessiondb detail l2l

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    19-Jul-2022
    Content bijgewerkt op juistheid. Bijgewerkt voor opmaak, graden, wettelijke disclaimer, machinevertaling, enz. om te voldoen aan Cisco-richtlijnen.
    1.0
    23-Nov-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Mario Enrique Solorio
      Projectmanager
    • Tazy Khan
      Cisco TAC Engineer
    • Freda Schmitt
      ICD technisch schrijver

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco