Configureer een VRF-bewuste site-to-site tunnel met IKEv2 op FTD

Inleiding

Dit document beschrijft hoe u een VRF-bewuste IKEv2 site-to-site VPN-tunnel onder Firepower Threat Defence (FTD) kunt configureren die wordt beheerd door een Firepower Management Center (FMC).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Basiskennis van VPN
• Ervaring met het VCC
• Kennis van VRF-implementatie

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende softwareversies:

• Cisco FMC versie 7.x
• Cisco FTD versie 7.x

Virtuele routing en doorsturen

In virtuele routing kunt u meerdere virtuele routers maken om afzonderlijke routertabellen voor groepen interfaces te onderhouden om netwerkscheiding te bereiken. Dit verhoogt functionaliteit door netwerkpaden te segmenteren zonder het gebruik van meerdere apparaten.
Omdat de routeringsinstanties onafhankelijk zijn, kunnen IP-adressen die elkaar overlappen zonder conflicten met elkaar worden gebruikt. Elke VRF heeft zijn eigen routingprotocolsessies en IPv4- en IPv6-routingtabellen.

Beperkingen

• De interface(s) die zich in een VRF-installatie bevinden, kunnen niet worden gebruikt als tunneleindpunt/VPN-interface.
• Een interface die gebruikt wordt om de VPN-tunnel te beëindigen, kan alleen worden gebruikt in Global VRF.

Beperking 1

Als de outside interface aan de virtuele router wordt toegevoegd vrf_outside , dan wordt deze interface niet getoond in dropdown voor de selectie van de endpointinterface wanneer een plaats-aan-plaats VPN topologie wordt gecreëerd.

Beperking 2

Als er een site-to-site VPN-topologie op de outside interface bestaat, is het niet mogelijk de interface aan een VRF-instantie toe te voegen. FMC geeft een fout die aangeeft dat de outside (WAN) interface die fungeert als een VPN-tunnel het eindpunt beëindigt om deel uit te maken van Global VRF en niet van een aangepaste VRF.

Netwerkdiagram

Configureren

Configureer een IKEv2 site-to-site VPN-tunnel tussen FTD 7.x en een ander apparaat (ASA/FTD/Router of een externe leverancier).

Navigeer naar Devices > Device Management. Klik op Edit en selecteer vervolgens Routing.

Stap 1. Klik op Manage Virtual Routerszoals in de afbeelding.

Stap 2. Klik op Add Virtual Router en voeg de gewenste VRF-instantie toe. Voor deze inzet vrf_insidewordt gebruikt.

Stap 3. Nadat de VRF-instantie is gemaakt, wordt een optie voor het toevoegen van de vereiste interface(s) weergegeven. Voor deze implementatie inside wordt de interface toegevoegd aan vrf_insidezoals in het afbeelding wordt getoond.

Stap 4. Voor deze inzet zijn dit de verkeerskiezen voor onze site-to-site VPN-tunnel.

Source: 192.168.70.0/24 [This network is on inside interface which is in "vrf_inside"] 192.168.80.0/24 [This network is on dmz interface which is not in any vrf instance] Destination : 192.168.10.0/24

Route-lekkage

VRF maakt het een router mogelijk om afzonderlijke routertabellen te onderhouden voor verschillende virtuele netwerken. Wanneer er uitzonderingen nodig zijn, laat VRF-route lekken wat verkeer toe om tussen de VRF's te worden gerouteerd. De route die lekt tussen de Global Routing Table (GRT) en de Virtual Routing and Forwarding (VRF) tabel wordt bepaald door het gebruik van statische routes. Één van beide methode verstrekt het volgende-hop IP adres (voor het multi-access segment) of wijst de route uit een interface (punt om interface te richten).

Route die van VRF aan Globaal lekt

1. Selecteer Devices > Device Management dit en klik op Edit voor FTD.
2. Klik op de knop .Routing In de standaardinstelling wordt de pagina Globale routeringseigenschappen weergegeven.
3. Klik op de knop .Static Route
4. Klik op Add Route, configureren:

· Interface — Selecteer de interne interface.

· Network — Selecteer het virtuele routernetwerkobject vrf_inside (192.168.70.0/24).

· Gateway — Laat het leeg. Wanneer het lekken van een route in een andere virtuele router, selecteer niet de gateway.

Het routelek staat eindpunten toe die door het externe (verre) eind van plaats-aan-plaats VPN worden beschermd om tot het 192.168.70.0/24 netwerk in de virtuele router toegang te hebbenvrf_inside.

5. Klik OK zoals in de afbeelding.

Op CLI wordt de route weergegeven als:

route inside 192.168.70.0 255.255.255.0 1 

Merk op dat het netwerk 192.168.70.0/24 direct is verbonden met deinside interface maar dit netwerk is niet zichtbaar in GRT omdat het netwerk zich in de VRF-instantie bevindt. Om deze route in BRT beschikbaar te stellen, is de route uitgelekt van vrf_inside naar Global.

Route voor wereldwijde lekkage naar VRF

1. Kies Devices > Device Management en klik op Edit.
2. Klik Routing en selecteer in de vervolgkeuzelijstvrf_inside.
3. Klik op de knop .Static Route
4. Klik op Add Route , configureren:

· Interface — Selecteer de buiteninterface van de wereldwijde router

· Network — Selecteer het globale virtuele routernetwerkobject (192.168.10.0/24)

· Gateway — Laat het leeg. Wanneer het lekken van een route in een andere virtuele router, selecteer niet de gateway

Deze statische route staat eindpunten op het 192.168.70.0/24 netwerk toe om verbindingen aan 192.168.10.0/24 in werking te stellen die door de plaats-aan-plaats tunnel van VPN oversteken.

5. Klik OKzoals in de afbeelding.

Op CLI wordt de route weergegeven als:

route vrf vrf_inside outside 192.168.10.0 255.255.255.0 1

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt. Alle uitgangen worden verzameld uit FTD die in het netwerkdiagram wordt getoond.

FTD# show vrf Name VRF ID Description Interfaces vrf_inside 1 inside 

FTD# show run route route outside 10.0.0.0 255.0.0.0 10.106.50.1 1 route inside 192.168.70.0 255.255.255.0 1 

FTD# show run route vrf vrf_inside route vrf vrf_inside outside 192.168.10.0 255.255.255.0 1

FTD# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is not set S 10.0.0.0 255.0.0.0 [1/0] via 10.106.50.1, outside C 10.106.50.0 255.255.255.0 is directly connected, outside L 10.106.50.212 255.255.255.255 is directly connected, outside V 192.168.10.0 255.255.255.0 connected by VPN (advertised), outside S 192.168.70.0 255.255.255.0 [1/0] is directly connected, inside C 192.168.80.0 255.255.255.0 is directly connected, dmz L 192.168.80.1 255.255.255.255 is directly connected, dmz 

FTD# show crypto ikev2 sa IKEv2 SAs: Session-id:8, Status:UP-ACTIVE, IKE count:1, CHILD count:1 Tunnel-id Local Remote Status Role 444445753 10.106.50.212/500 10.197.224.175/500 READY RESPONDER Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:19, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/11 sec Child sa: local selector 192.168.70.0/0 - 192.168.70.255/65535 remote selector 192.168.10.0/0 - 192.168.10.255/65535 ESP spi in/out: 0x5e950adb/0x47acd2dc 

FTD# show crypto ipsec sa peer 10.197.224.175 peer address: 10.197.224.175 Crypto map tag: CSM_outside_map, seq num: 2, local addr: 10.106.50.212 access-list vrf-crypto-acl extended permit ip 192.168.70.0 255.255.255.0 192.168.10.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.70.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0) current_peer: 10.197.224.175 #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 10.106.50.212/500, remote crypto endpt.: 10.197.224.175/500 path mtu 1500, ipsec overhead 74(44), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: 47ACD2DC current inbound spi : 5E950ADB inbound esp sas: spi: 0x5E950ADB (1586825947) SA State: active transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, IKEv2, } slot: 0, conn_id: 10, crypto-map: CSM_outside_map sa timing: remaining key lifetime (kB/sec): (4193279/28774) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x0000001F outbound esp sas: spi: 0x47ACD2DC (1202508508) SA State: active transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, IKEv2, } slot: 0, conn_id: 10, crypto-map: CSM_outside_map sa timing: remaining key lifetime (kB/sec): (4147199/28774) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 

Problemen oplossen

Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

FTD# show crypto ipsec sa peer 10.197.224.175 peer address: 10.197.224.175 Crypto map tag: CSM_outside_map, seq num: 2, local addr: 10.106.50.212 access-list vrf-crypto-acl extended permit ip 192.168.70.0 255.255.255.0 192.168.10.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.70.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0) current_peer: 10.197.224.175 #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 >>>> Packets received from remote end gets decapsulated but there are not encaps for the responses #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 10.106.50.212/500, remote crypto endpt.: 10.197.224.175/500 path mtu 1500, ipsec overhead 74(44), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: 490F4CD1 current inbound spi : DB5608EB inbound esp sas: spi: 0xDB5608EB (3679848683) SA State: active transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, IKEv2, } slot: 0, conn_id: 11, crypto-map: CSM_outside_map sa timing: remaining key lifetime (kB/sec): (4008959/28761) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x0000001F outbound esp sas: spi: 0x490F4CD1 (1225739473) SA State: active transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, IKEv2, } slot: 0, conn_id: 11, crypto-map: CSM_outside_map sa timing: remaining key lifetime (kB/sec): (4239360/28761) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 

capture capin type raw-data interface inside [Capturing - 0 bytes] >>>> Captures applied on LAN(inside) interface shows decapsulated packets are not routed into LAN network match ip host 192.168.10.2 host 192.168.70.2 FTD# show cap capin 0 packet captured 0 packet shown 

capture asp type asp-drop all [Capturing - 0 bytes] >>>> ASP Captures shows decapsulated packets are being dropped on FTD FTD# show capture asp | i 192.168.70.2 145: 15:28:47.670894 192.168.10.2 > 192.168.70.2 icmp: echo request 154: 15:28:49.666545 192.168.10.2 > 192.168.70.2 icmp: echo request 171: 15:28:51.672740 192.168.10.2 > 192.168.70.2 icmp: echo request 172: 15:28:53.664928 192.168.10.2 > 192.168.70.2 icmp: echo request 

FTD# packet-tracer input outside icmp 192.168.10.2 8 0 192.168.70.2 detailed >>>> Packet tracer from outside shows "no route" for 192.168.70.0/24 network Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: Forward Flow based lookup yields rule: in id=0x2ba3bce77330, priority=1, domain=permit, deny=false hits=171480, user_data=0x0, cs_id=0x0, l3_type=0x8 src mac=0000.0000.0000, mask=0000.0000.0000 dst mac=0000.0000.0000, mask=0100.0000.0000 input_ifc=outside, output_ifc=any Result: input-interface: outside(vrfid:0) input-status: up input-line-status: up Action: drop Drop-reason: (no-route) No route to host, Drop-location: frame 0x000055d9b7e8c7ce flow (NA)/NA 

FTD# show run route route outside 10.0.0.0 255.0.0.0 10.106.50.1 1  >>>> As the network 192.168.70.0/24 is in "vrf_inside" instance, there is no route leaked from Global to vrf_inside 

FTD# show run route route outside 10.0.0.0 255.0.0.0 10.106.50.1 1 route inside 192.168.70.0 255.255.255.0 1 >>>> After leaking the route from Global to vrf_inside 

FTD# show cap capin >>>> Now capture shows bi-directional traffic on LAN(inside) interface 10 packets captured 1: 15:44:32.972743 192.168.10.2 > 192.168.70.2 icmp: echo request 2: 15:44:32.974543 192.168.70.2 > 192.168.10.2 icmp: echo reply 3: 15:44:33.032209 192.168.10.2 > 192.168.70.2 icmp: echo request 4: 15:44:33.033353 192.168.70.2 > 192.168.10.2 icmp: echo reply 5: 15:44:33.089656 192.168.10.2 > 192.168.70.2 icmp: echo request 6: 15:44:33.092814 192.168.70.2 > 192.168.10.2 icmp: echo reply 7: 15:44:33.149024 192.168.10.2 > 192.168.70.2 icmp: echo request 8: 15:44:33.151878 192.168.70.2 > 192.168.10.2 icmp: echo reply 9: 15:44:33.158774 192.168.10.2 > 192.168.70.2 icmp: echo request 10: 15:44:33.161048 192.168.70.2 > 192.168.10.2 icmp: echo reply 10 packets shown 

FTD# packet-tracer input outside icmp 192.168.10.2 8 0 192.168.70.2 detailed >>>> Verified packet flow using Packet tracer Phase: 1 Type: INPUT-ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: Found next-hop 0.0.0.0 using egress ifc inside(vrfid:1) -------------------Output Omitted------------------------
 Phase: 8 Type: VPN Subtype: ipsec-tunnel-flow Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0x2ba3bdc75cc0, priority=70, domain=ipsec-tunnel-flow, deny=false hits=7, user_data=0xea71cdc, cs_id=0x2ba3bce93e70, reverse, flags=0x0, protocol=0 src ip/id=192.168.10.0, mask=255.255.255.0, port=0, tag=any dst ip/id=192.168.70.0, mask=255.255.255.0, port=0, tag=any, dscp=0x0 input_ifc=outside(vrfid:0), output_ifc=any -------------------Output Omitted------------------------ Phase: 13 Type: VPN Subtype: encrypt Result: ALLOW Config: Additional Information: Reverse Flow based lookup yields rule: out id=0x2ba3bd44ed40, priority=70, domain=encrypt, deny=false hits=7, user_data=0xea6e344, cs_id=0x2ba3bce93e70, reverse, flags=0x0, protocol=0 src ip/id=192.168.70.0, mask=255.255.255.0, port=0, tag=any dst ip/id=192.168.10.0, mask=255.255.255.0, port=0, tag=any, dscp=0x0 input_ifc=any(vrfid:65535), output_ifc=outside Result: input-interface: outside(vrfid:0) input-status: up input-line-status: up output-interface: inside(vrfid:1) output-status: up output-line-status: up Action: drop Drop-reason: (ipsec-spoof) IPSEC Spoof detected, Drop-location: frame 0x000055d9b7e8b4d1 flow (NA)/NA