De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe u Secure Access configureert met Secure Firewall with High Availability.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Cisco heeft Secure Access ontworpen om privétoepassingen te beschermen en toegang te bieden, zowel on-premise als in de cloud. Het beschermt ook de verbinding van het netwerk naar het internet. Dit wordt bereikt door de implementatie van meerdere beveiligingsmethoden en -lagen, allemaal gericht op het behoud van de informatie terwijl ze er toegang toe hebben via de cloud.
Navigeer naar het beheerderspaneel van Secure Access.
Connect > Network Connections
Network Tunnel Groups
klik op + Add
Tunnel Group Name
, Region
enDevice Type
Next
Tunnel ID Format
en Passphrase
Next
Save
Nadat u hebt geklikt op Save
de informatie over de tunnel die wordt weergegeven, kunt u die informatie opslaan voor de volgende stap, Configure the tunnel on Secure Firewall.
Voor dit scenario gebruikt u Virtual Tunnel Interface (VTI) -configuratie op Secure Firewall om dit doel te bereiken; onthoud dat u in dit geval een dubbele ISP hebt en we willen HA hebben als een van uw ISP's faalt.
INTERFACES |
ROL |
Primair WAN |
Belangrijkste Internet WAN |
Secundair WAN |
Secundair Internet WAN |
Primaire VTI |
Gekoppeld om het verkeer via de |
Secundaire VTI |
Gekoppeld om het verkeer via de |
Noot: 1. U moet een statische route toevoegen of toewijzen aan het Primary or Secondary Datacenter IP
netwerk om beide tunnels te kunnen gebruiken.
Noot: 2. Als u ECMP hebt geconfigureerd tussen de interfaces, hoeft u geen statische route naar de Primary or Secondary Datacenter IP
tunnel te maken om beide tunnels te kunnen gebruiken.
Op basis van het scenario hebben we PrimaryWAN
en SecondaryWAN
moeten we die gebruiken om de VTI-interfaces te maken.
Navigeer naar uwFirepower Management Center > Devices
website.
Interfaces
Add Interfaces > Virtual Tunnel Interface
Name
: Configureer een naam die verwijst naar de PrimaryWAN interface
Security Zone
: U kunt een andere Security Zone
gebruiken, maar het maken van een nieuwe voor Secure Access-verkeer is beterTunnel ID
: Voeg een nummer toe voor de tunnel-IDTunnel Source
: Kies uw PrimaryWAN interface
browser en kies de private of publieke IP van uw interfaceIPsec Tunnel Mode
: Kies IPv4
en configureer een niet-routeerbaar IP-adres in uw netwerk met masker 30Opmerking: voor de VTI-interface moet u een niet-routeerbaar IP-adres gebruiken. Als u bijvoorbeeld twee VTI-interfaces hebt, kunt u 169.254.2.1/30 gebruiken voor de PrimaryVTI
en 169.254.3.1/30 voor de SecondaryVTI
VTI.
Daarna moet je hetzelfde doen voor de SecondaryWAN interface
VTI, en heb je alles ingesteld voor de VTI High Availability, en als gevolg daarvan heb je het volgende resultaat:
Voor dit scenario worden de volgende IP's gebruikt:
logische naam |
IP |
Bereik |
Primaire VTI |
169.254.2.1/30 |
169.254.2.1-169.254.2.2 |
Secundaire VTI |
169.254.3.1/30 |
169.254.3.1-169.254.3.2 |
Om het verkeer van de SecondaryWAN interface
computer naar de locatieSecondary Datacenter IP Address
toe te laten, moet u een statische route naar het IP-adres van het datacenter configureren. U kunt het configureren met een metriek van één (1) om het bovenop de routeringstabel te maken; specificeer ook het IP als host.
Let op: Dit is alleen nodig als u geen ECMP-installatie hebt tussen de WAN-kanalen; als u ECMP hebt geconfigureerd, kunt u naar de volgende stap gaan.
Navigeer naar Device > Device Management
Routing
Static Route > + Add Route
Interface
: Kies de secundaire WAN-interfaceGateway
: Kies de secundaire WAN-gatewaySelected Network
: Voeg de IP van het secundaire datacenter toe als host; u kunt de informatie vinden over de informatie die wordt gegeven wanneer u de tunnel configureert in de stap Veilige toegang, Gegevens voor tunnelinstallatieMetric
Gebruik één (1)
OK
Klik en klik Save
om de informatie op te slaan en vervolgens te implementeren.Om de VPN te configureren, navigeert u naar uw firewall:
Devices > Site to Site
+ Site to Site VPN
Als u de stap Eindpunten wilt configureren, moet u de informatie gebruiken die wordt verstrekt in de stap Gegevens voor tunnelinstallatie.
Routed Based (VTI)
Point to Point
IKE Version
Kies: IKEv2Opmerking: IKEv1 wordt niet ondersteund voor integratie met Secure Access.
Onder de Node A
knop moet u de volgende parameters configureren:
Device
: Kies uw FTD-apparaatVirtual Tunnel Interface
: Kies de VTI met betrekking tot de PrimaryWAN Interface
behandeling.Send Local Identity to Peers
Local Identity Configuration
: Kies E-mail-ID en vul de informatie in op basis van de informatie die is Primary Tunnel ID
verstrekt in uw configuratie in de stap Gegevens voor tunnelinstallatieNadat u de informatie op de PrimaryVTI
klik op hebt geconfigureerd, + Add Backup VTI
klikt u op:
Virtual Tunnel Interface
: Kies de VTI met betrekking tot de PrimaryWAN Interface
behandeling.Send Local Identity to Peers
Local Identity Configuration
: Kies E-mail-ID en vul de informatie in op basis van de informatie die is Secondary Tunnel ID
verstrekt in uw configuratie in de stap Gegevens voor tunnelinstallatieOnder de Node B
knop moet u de volgende parameters configureren:
Device
: ExtranetDevice Name
: Kies een naam om Secure Access als bestemming te herkennen.Endpoint IP Address
: De configuratie voor primair en secundair moet Primair zijn, Datacenter IP,Secondary Datacenter IP
u kunt die informatie vinden in de stap, Gegevens voor tunnelinstallatieDaarna is uw configuratie voor Endpoints
voltooid en kunt u nu naar de stap gaan, IKE Configuration.
Om de IKE-parameters te configureren, klikt u op IKE
Instellen.
Onder moet IKE,
u de volgende parameters configureren:
Policies
: U kunt de standaardconfiguratie van de paraplu gebruiken Umbrella-AES-GCM-256
of u kunt verschillende parameters configureren op basis van de Supported IKEv2 and IPSEC Parameters
Authentication Type
: Vooraf gedeelde handmatige sleutelKey
en Confirm Key
: U kunt de informatie vinden Passphrase
in de stap, Gegevens voor tunnelinstallatieDaarna is uw configuratie voor IKE
voltooid en kunt u nu naar de stap gaan, IPSEC Configuration.
Om de IPSEC-parameters te configureren, klikt u op IPSEC.
Onder moet IPSEC,
u de volgende parameters configureren:
Policies
: U kunt de standaardconfiguratie van de paraplu gebruiken Umbrella-AES-GCM-256
of u kunt verschillende parameters configureren op basis van de Supported IKEv2 and IPSEC Parameters
Opmerking: er is niets anders vereist op IPSEC.
Daarna is uw configuratie voor IPSEC
voltooid en kunt u nu naar de stap Geavanceerde configuratie gaan.
Om de geavanceerde parameters te configureren, klikt u op Geavanceerd.
Onder moet Advanced,
u de volgende parameters configureren:
IKE Keepalive
:InschakelenThreshold
:10Retry Interval
:2Identity Sent to Peers
: autoOrDNPeer Identity Validation
: Niet controlerenDaarna kunt u klikken opSave
en Deploy
klikken.
Opmerking: na een paar minuten ziet u de VPN die voor beide knooppunten is ingesteld.
Daarna is uw configuratie voor de VPN to Secure Access in VTI Mode
computer voltooid en kunt u nu naar de Configure Policy Base Routing
volgende stap gaan.
Waarschuwing: het verkeer naar Secure Access wordt alleen doorgestuurd naar de primaire tunnel wanneer beide tunnels zijn ingesteld; als de primaire uitvalt, kan Secure Access het verkeer doorsturen via de secundaire tunnel.
Opmerking: de failover op de site voor beveiligde toegang is gebaseerd op de DPD-waarden die zijn gedocumenteerd in de gebruikershandleiding voor ondersteunde IPsec-waarden.
De regels voor het toegangsbeleid zijn gebaseerd op:
Interface |
zone |
Primaire VTI |
SIG |
Secundaire VTI |
SIG |
LAN |
LAN |
Om toegang tot internet te bieden tot alle bronnen die u configureert op de Policy Base Routing, moet u enkele toegangsregels en ook enkele beleidsregels voor beveiligde toegang configureren, dus laat me uitleggen hoe u dat in dit scenario kunt bereiken:
Deze regel biedt toegang tot het LAN
internet, en in dit geval is het internet SIG
gratis.
Om toegang te bieden van de RA-VPN-gebruikers, moet u deze configureren op basis van het bereik dat u hebt toegewezen aan de RA-VPN-pool.
Opmerking: om uw RA-VPNaaS-beleid te configureren, kunt u Virtual Private Networks beheren
Hoe verifieer je de IP-pool van je VPNaaS?
Navigeer naar uw Secure Access Dashboard
Connect > End User Connectivity
Virtual Private Network
Manage IP Pools
onder op Manage
Endpoint IP Pools
Configuratie toegangsregel
Als u alleen Secure Access configureert om deze te gebruiken met de mogelijkheden om toegang te krijgen tot de bronnen voor privétoepassingen, kan uw toegangsregel er als volgt uitzien:
Die regel staat verkeer toe van de RA-VPN Pool 192.168.50.0/24 naar uw LAN; u kunt meer opgeven als dat nodig is.
ACL-configuratie
Om het routeringsverkeer van SIG naar uw LAN toe te staan, moet u het toevoegen onder de ACL om het onder de PBR te laten werken.
U moet uw netwerk configureren op basis van het CGNAT-bereik 100.64.0.0/10 om toegang tot uw netwerk te bieden vanaf de ZTA-gebruikers van de Client Base of de ZTA-gebruikers van de Browser Base.
Configuratie toegangsregel
Als u alleen Secure Access configureert om deze te gebruiken met de mogelijkheden om toegang te krijgen tot de bronnen voor privétoepassingen, kan uw toegangsregel er als volgt uitzien:
Die regel staat verkeer toe van het ZTNA CGNAT-bereik 100.64.0.0/10 naar uw LAN.
ACL-configuratie
Om het routeringsverkeer van SIG met CGNAT naar uw LAN toe te staan, moet u het toevoegen onder de ACL om het onder de PBR te laten werken.
Om toegang tot interne bronnen en het internet te bieden via beveiligde toegang, moet u routes maken via Policy Base Routing (PBR) die het routeren van het verkeer van de bron naar de bestemming vergemakkelijken.
Devices > Device Management
Routing
Policy Base Routing
Klik op de knop Add
In dit scenario selecteert u alle interfaces die u gebruikt als bron om verkeer naar Secure Access te leiden of om gebruikersverificatie naar Secure Access te bieden met behulp van RA-VPN of client- of browsergebaseerde ZTA-toegang tot de interne bronnen van het netwerk:
Add
hebt geklikt:Match ACL
: Voor deze ACL configureert u alles dat u naar Secure Access routeert:Send To
Kies: IP-adresIPv4 Addresses
: U moet de volgende IP gebruiken onder het masker 30 dat is geconfigureerd op beide VTI; u kunt dat controleren onder de stap, VTI Interface Config
Interface |
IP |
GW |
Primaire VTI |
169.254.2.1/30 |
169.254.2.2 |
Secundaire VTI |
169.254.3.1/30 |
169.254.3.2 |
Nadat u het op deze manier hebt geconfigureerd, hebt u het volgende resultaat en kunt u doorgaan met klikken op Save
:
Daarna moet u het opnieuw Save
configureren en op de volgende manier configureren:
Daarna kunt u Implementeren en ziet u het verkeer van de machines die zijn geconfigureerd op de ACL die het verkeer naar Secure Access routeert:
Van de Conexion Events
leden in het FMC:
Vanaf het Activity Search
scherm in Veilige toegang:
Opmerking: het standaardbeleid voor beveiligde toegang staat standaard verkeer naar internet toe. Om toegang te bieden tot privétoepassingen, moet u privébronnen maken en deze toevoegen aan het toegangsbeleid voor toegang tot privébronnen.
Als u de toegang voor internettoegang wilt configureren, moet u het beleid op uw Dashboard voor beveiligde toegang maken:
Secure > Access Policy
Add Rule > Internet Access
Daar kunt u de bron opgeven als de tunnel en naar de bestemming kunt u elke bron kiezen, afhankelijk van wat u wilt configureren in het beleid. Raadpleeg de gebruikershandleiding voor beveiligde toegang.
Om de toegang voor privébronnen te configureren, moet u eerst de bronnen maken onder het Dashboard voor beveiligde toegang:
Klik op Resources > Private Resources
ADD
Onder de configuratie vindt u de volgende secties om te configureren: General, Communication with Secure Access Cloud and Endpoint Connection Methods
.
Algemeen
Private Resource Name
: Maak een naam aan voor de bron die u via Secure Access toegang geeft tot uw netwerkMethoden voor eindpuntverbinding
Zero Trust Connections
: Vink het selectievakje aan.Client-based connection
: Als u deze optie inschakelt, kunt u de Secure Client - Zero Trust Module gebruiken om toegang via de clientbasismodus in te schakelen.Remote Reachable Address (FQDN, Wildcard FQDN, IP Address)
: Configureer de bronnen IP of FQDN; als u FQDN configureert, moet u de DNS toevoegen om de naam op te lossen.Browser-based connection
: Als u het inschakelt, kunt u toegang krijgen tot uw bronnen via de browser (Voeg alleen bronnen toe met HTTP- of HTTPS-communicatie)Public URL for this resource
: Configureer de openbare URL die u gebruikt via de browser; Secure Access beschermt deze bron.Protocol
: Selecteer het protocol (HTTP of HTTPS)VPN Connection
: Vink het selectievakje aan om toegang via RA-VPNaaS in te schakelen.
Klik daarna op Save
en u kunt die bron toevoegen aan de Access Policy
lijst.
Het toegangsbeleid configureren
Wanneer u de bron maakt, moet u deze toewijzen aan een van de veilige toegangsbeleidsregels:
Secure > Access Policy
Add > Private Resource
Voor deze regel voor privétoegang configureert u de standaardwaarden om toegang tot de bron te bieden. Raadpleeg de gebruikershandleiding voor meer informatie over beleidsconfiguraties.
Action
Kies: Geef toegang tot de bron.From
: Geef de gebruiker op die kan worden gebruikt om in te loggen op de bron.To
: Kies de bron die u wilt openen via Secure Access.Zero-Trust Client-based Posture Profile
: Kies het standaardprofiel voor toegang tot het clientbestandZero-Trust Browser-based Posture Profile
: Kies de standaard browserbasistoegang voor het profielOpmerking: raadpleeg de gebruikershandleiding voor veilige toegang voor meer informatie over het postuur.
Klik daarna op Next
enSave
en uw configuratie en u kunt proberen toegang te krijgen tot uw bronnen via RA-VPN en Client Base ZTNA of Browser Base ZTNA.
Om problemen op te lossen op basis van de communicatie tussen Secure Firewall en Secure Access, kunt u controleren of fase 1 (IKEv2) en fase 2 (IPSEC) zonder problemen tussen de apparaten zijn ingesteld.
Om fase 1 te verifiëren, moet u de volgende opdracht uitvoeren op de CLI van uw FTD:
show crypto isakmp sa
In dit geval is de gewenste uitvoer twee IKEv2 SAs
die zijn vastgesteld voor de IP's van het datacenter van Secure Access en de gewenste status als READY
:
There are no IKEv1 SAs
IKEv2 SAs:
Session-id:3, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status Role
52346451 192.168.0.202/4500 3.120.45.23/4500 Global/Global READY RESPONDER
Encr: AES-GCM, keysize: 256, Hash: N/A, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/4009 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 0.0.0.0/0 - 255.255.255.255/65535
ESP spi in/out: 0xfb34754c/0xc27fd2ba
IKEv2 SAs:
Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status Role
52442403 192.168.30.5/4500 18.156.145.74/4500 Global/Global READY RESPONDER
Encr: AES-GCM, keysize: 256, Hash: N/A, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/3891 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 0.0.0.0/0 - 255.255.255.255/65535
ESP spi in/out: 0x4af761fd/0xfbca3343
Om fase 2 te verifiëren, moet u de volgende opdracht uitvoeren op de CLI van uw FTD:
interface: PrimaryVTI
Crypto map tag: __vti-crypto-map-Tunnel1-0-1, seq num: 65280, local addr: 192.168.30.5
Protected vrf (ivrf): Global
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer: 18.156.145.74
#pkts encaps: 71965, #pkts encrypt: 71965, #pkts digest: 71965
#pkts decaps: 91325, #pkts decrypt: 91325, #pkts verify: 91325
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 71965, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 192.168.30.5/4500, remote crypto endpt.: 18.156.145.74/4500
path mtu 1500, ipsec overhead 63(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: FBCA3343
current inbound spi : 4AF761FD
inbound esp sas:
spi: 0x4AF761FD (1257726461)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={L2L, Tunnel, NAT-T-Encaps, IKEv2, VTI, }
slot: 0, conn_id: 2, crypto-map: __vti-crypto-map-Tunnel1-0-1
sa timing: remaining key lifetime (kB/sec): (3916242/27571)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0xFFFFFFFF 0xFFFFFFFF
outbound esp sas:
spi: 0xFBCA3343 (4224332611)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={L2L, Tunnel, NAT-T-Encaps, IKEv2, VTI, }
slot: 0, conn_id: 2, crypto-map: __vti-crypto-map-Tunnel1-0-1
sa timing: remaining key lifetime (kB/sec): (4239174/27571)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
interface: SecondaryVTI
Crypto map tag: __vti-crypto-map-Tunnel2-0-2, seq num: 65280, local addr: 192.168.0.202
Protected vrf (ivrf): Global
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer: 3.120.45.23
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 192.168.0.202/4500, remote crypto endpt.: 3.120.45.23/4500
path mtu 1500, ipsec overhead 63(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: C27FD2BA
current inbound spi : FB34754C
inbound esp sas:
spi: 0xFB34754C (4214519116)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={L2L, Tunnel, NAT-T-Encaps, IKEv2, VTI, }
slot: 0, conn_id: 20, crypto-map: __vti-crypto-map-Tunnel2-0-2
sa timing: remaining key lifetime (kB/sec): (4101120/27412)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0xC27FD2BA (3263156922)
SA State: active
transform: esp-aes-gcm-256 esp-null-hmac no compression
in use settings ={L2L, Tunnel, NAT-T-Encaps, IKEv2, VTI, }
slot: 0, conn_id: 20, crypto-map: __vti-crypto-map-Tunnel2-0-2
sa timing: remaining key lifetime (kB/sec): (4239360/27412)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
In de laatste uitvoer kunt u beide tunnels zien die zijn ingesteld; wat niet gewenst is, is de volgende uitvoer onder het pakketencaps
endecaps
.
Als u dit scenario hebt, opent u een zaak met TAC.
De functie van de tunnels met beveiligde toegang die communiceren met het datacenter in de cloud is actief / passief, wat betekent dat alleen de deur voor DC 1 open staat om verkeer te ontvangen; de DC 2-deur wordt gesloten totdat tunnel nummer 1 wordt uitgeschakeld.
In dit voorbeeld gebruiken we de bron als de machine op het firewallnetwerk:
Voorbeeld:
Opdracht:
packet-tracer input LAN tcp 192.168.10.40 3422 146.112.255.40 80
Uitgang:
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Elapsed time: 14010 ns
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 2
Type: PBR-LOOKUP
Subtype: policy-route
Result: ALLOW
Elapsed time: 21482 ns
Config:
route-map FMC_GENERATED_PBR_1707686032813 permit 5
match ip address ACL
set ip next-hop 169.254.2.2 169.254.3.2
Additional Information:
Matched route-map FMC_GENERATED_PBR_1707686032813, sequence 5, permit
Found next-hop 169.254.2.2 using egress ifc PrimaryVTI
Phase: 3
Type: OBJECT_GROUP_SEARCH
Subtype:
Result: ALLOW
Elapsed time: 0 ns
Config:
Additional Information:
Source Object Group Match Count: 0
Destination Object Group Match Count: 0
Object Group Search: 0
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Elapsed time: 233 ns
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip any ifc PrimaryVTI any rule-id 268434435
access-list CSM_FW_ACL_ remark rule-id 268434435: ACCESS POLICY: HOUSE - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268434435: L7 RULE: New-Rule-#3-ALLOW
Additional Information:
This packet will be sent to snort for additional processing where a verdict will be reached
Phase: 5
Type: CONN-SETTINGS
Subtype:
Result: ALLOW
Elapsed time: 233 ns
Config:
class-map class_map_Any
match access-list Any
policy-map policy_map_LAN
class class_map_Any
set connection decrement-ttl
service-policy policy_map_LAN interface LAN
Additional Information:
Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Elapsed time: 233 ns
Config:
Additional Information:
Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Elapsed time: 233 ns
Config:
Additional Information:
Phase: 8
Type: VPN
Subtype: encrypt
Result: ALLOW
Elapsed time: 18680 ns
Config:
Additional Information:
Phase: 9
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Elapsed time: 25218 ns
Config:
Additional Information:
Phase: 10
Type: NAT
Subtype: per-session
Result: ALLOW
Elapsed time: 14944 ns
Config:
Additional Information:
Phase: 11
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Elapsed time: 0 ns
Config:
Additional Information:
Phase: 12
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Elapsed time: 19614 ns
Config:
Additional Information:
New flow created with id 23811, packet dispatched to next module
Phase: 13
Type: EXTERNAL-INSPECT
Subtype:
Result: ALLOW
Elapsed time: 27086 ns
Config:
Additional Information:
Application: 'SNORT Inspect'
Phase: 14
Type: SNORT
Subtype: appid
Result: ALLOW
Elapsed time: 28820 ns
Config:
Additional Information:
service: (0), client: (0), payload: (0), misc: (0)
Phase: 15
Type: SNORT
Subtype: firewall
Result: ALLOW
Elapsed time: 450193 ns
Config:
Network 0, Inspection 0, Detection 0, Rule ID 268434435
Additional Information:
Starting rule matching, zone 1 -> 3, geo 0 -> 0, vlan 0, src sgt: 0, src sgt type: unknown, dst sgt: 0, dst sgt type: unknown, user 9999997, no url or host, no xff
Matched rule ids 268434435 - Allow
Result:
input-interface: LAN(vrfid:0)
input-status: up
input-line-status: up
output-interface: PrimaryVTI(vrfid:0)
output-status: up
output-line-status: up
Action: allow
Time Taken: 620979 ns
Hier kunnen veel dingen ons context geven over de communicatie en weten of alles correct is onder de PBR-configuratie om het verkeer correct naar Secure Access te routeren:
Fase 2 geeft aan dat het verkeer wordt doorgestuurd naar de PrimaryVTI
interface, wat juist is omdat, op basis van de configuraties in dit scenario, het internetverkeer moet worden doorgestuurd naar Secure Access via de VTI.
Fase 8 komt overeen met de coderingsfase in een VPN-verbinding, waarbij verkeer wordt geëvalueerd en geautoriseerd voor codering, zodat gegevens veilig kunnen worden verzonden. Fase 9 daarentegen richt zich op het specifieke beheer van de verkeersstroom binnen de VPN IPSec-tunnel, wat bevestigt dat gecodeerd verkeer correct wordt gerouteerd en door de gevestigde tunnel wordt toegestaan.
Om te finaliseren, aan het einde van de stroom resultaat, kunt u het verkeer van de LAN
naar het PrimaryVTI
doorsturen van het verkeer naar Secure Access te zien. De actie allow
bevestigt dat het verkeer zonder problemen wordt geleid.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
28-Nov-2024
|
Eerste vrijgave |