Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Local para situar a configuração de VPN em FTD controlado por FMC

Opções de download

  • PDF     (1.2 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.2 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:4 de Maio de 2020
ID do documento:215470
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este original fornece um exemplo de configuração para que o local situe o VPN na defesa da ameaça de FirePOWER (FTD) controlada por FMC.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Compreensão básica do VPN
    • Experimente com centro de gerenciamento de FirePOWER
    • Experiência com linha de comando ASA

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco FTD 6.5
    • ASA 9.10(1)32
    • IKEv2

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configuração

    Comece com a configuração em FTD com centro de gerenciamento de FirePOWER. 

    Etapa 1. Defina a topologia VPN.

    1. Navegue aos dispositivos > ao VPN > ao local a situar. Sob adicionar o VPN, dispositivo da defesa da ameaça de FirePOWER do clique, segundo as indicações desta imagem.

    2. Crie a caixa nova da topologia VPN aparece. Dê a VPN um nome que seja facilmente identificável.

    Topologia de rede: Ponto a ponto

    Versão IKE: IKEv2

    Neste exemplo quando você seleciona valores-limite, o nó A é o FTD, e o nó B é o ASA. Clique sobre o verde mais o botão para adicionar dispositivos à topologia, segundo as indicações desta imagem.

    3. Adicionar o FTD como o primeiro valor-limite.

    Escolha a relação que um crypto map está colocado sobre. O IP address deve auto-povoar da configuração de dispositivo.

    Clique o sinal de adição do verde sob redes protegidas, segundo as indicações desta imagem, para selecionar que sub-redes devem ser cifradas neste VPN.

    4. Clique sobre o verde mais e um objeto de rede é criado aqui. 

    5. Adicionar todas as sub-redes locais ao FTD que precisa de ser cifrado. O clique adiciona para movê-los para as redes selecionadas. Agora APROVAÇÃO do clique, segundo as indicações desta imagem.

    FTDSubnet = 10.10.113.0/24

    Nó A: O valor-limite (FTD) está completo. Clique o sinal de adição do verde para o nó B, segundo as indicações da imagem.

    O nó B é um ASA. Os dispositivos que não são controlados pelo FMC são considerados extranet.

    6. Adicionar um nome de dispositivo e um IP address. Clique sobre o sinal de adição do verde para adicionar redes protegidas, segundo as indicações da imagem.

    7. Segundo as indicações desta imagem, selecione as sub-redes ASA que precisam de ser cifradas e adicionar-las às redes selecionadas.

    ASASubnet = 10.10.110.0/24

    Etapa 2. Configurar parâmetros IKE.

    Agora ambos os valores-limite são atravessam no lugar a configuração IKE/IPSEC.

    1. Sob a aba IKE, especifique os parâmetros que são usados para a troca da inicial IKEv2. Clique o sinal de adição do verde para criar uma política de IKE nova, segundo as indicações da imagem.

    2. Na política de IKE nova, especifique um número de prioridade assim como a vida da fase 1 da conexão. Este original usa estes parâmetros para a troca inicial: Integridade (SHA256), criptografia (AES-256), PRF (SHA256), e grupo Diffie-Hellman (grupo 14)

    Nota: Todas as políticas de IKE no dispositivo são enviadas ao peer remoto apesar do que está na seção de política selecionada. A primeira política de IKE combinada pelo peer remoto será selecionada para a conexão de VPN. Escolha que política é enviada primeiramente usando o campo de prioridade. A prioridade 1 será enviada primeiramente.

    3. Uma vez que os parâmetros são adicionados, selecione esta política, e escolha o tipo do autenticação.

    4. Escolha o manual da chave pré-compartilhada. Para este original, o cisco123 PSK é usado.

    Etapa 3. Configurar parâmetros IPSec.

    1. Sob IPsec, clique sobre o lápis para editar a transformação ajustada e para criar uma proposta nova de IPsec, segundo as indicações desta imagem.

    2. A fim criar uma proposta nova IKEv2 IPsec, clique o verde mais e entre os parâmetros da fase 2.

    Selecione a criptografia ESP > o AES-GCM-256. Quando o algoritmo GCM é usado para a criptografia, um algoritmo de hash não está precisado. Com GCM a função de mistura é incorporado.

    3. Uma vez que a proposta nova de IPsec foi criada adicionar-la ao selecionado transformam grupos.

    A proposta recentemente selecionada de IPsec é alistada agora sob as propostas IKEv2 IPsec.

    Se necessária, a vida da fase 2 e o PFS podem ser editados aqui. Para este exemplo, a vida será ajustada como o padrão e o PFS desabilitados.

    Opcional você deve terminar um ou outro completo a opção para contornear o controle de acesso ou criar uma política do controle de acesso.

    Etapa 4. Controle de acesso do desvio.

    Opcionalmente, o sysopt licença-VPN pode ser permitido sob o avançado > túnel.

    Isto remove a possibilidade para usar a política do controle de acesso para inspecionar o tráfego que vem dos usuários. Os filtros VPN ou os ACL carregável podem ainda ser usados para filtrar o tráfego de usuário. Este é um comando global e aplicar-se-á a todos os VPN se esta caixa de seleção é permitida.

    Se o sysopt licença-VPN não é permitido então uma política do controle de acesso deve ser criada para permitir o tráfego VPN através do dispositivo FTD. Se o sysopt licença-VPN é faixa clara permitida que cria uma política do controle de acesso.

    Etapa 5. Crie uma política do controle de acesso.

    Sob políticas do controle de acesso, navegue às políticas > ao controle de acesso > ao controle de acesso e selecione a política que visa o dispositivo FTD. A fim adicionar uma regra, o clique adiciona a regra, segundo as indicações da imagem aqui.

    O tráfego deve ser permitido da rede interna para fora à rede externa e da rede externa na rede interna. Crie uma regra para fazer ambos ou criar duas regras para mantê-las separadas. Neste exemplo, uma regra é criada para fazer ambos.

    Etapa 6. Configurar a isenção NAT.

    Configurar uma indicação da isenção NAT para o tráfego VPN. A isenção NAT deve ser no lugar manter o tráfego VPN de bater uma outra declaração NAT e incorretamente de traduzir o tráfego VPN.

    1. Navegue aos dispositivos > ao NAT, selecione a política de NAT que visa o FTD. Crie uma regra nova como você clica o botão da regra adicionar.

    2. Crie uma regra estática nova do manual NAT. Proveja as interfaces internas e externas.

    3. Sob a tradução catalogue e selecione a fonte e as sub-rede de destino. Porque esta é uma regra da isenção NAT, faça a fonte original/destino e a fonte/destino traduzidos o mesmos, segundo as indicações desta imagem:

    4. Ultimamente, movimento ao guia avançada e nenhum-proxy-ARP permitido e rota-consulta.

    5. Salvar esta regra e olhe os resultados finais na lista NAT.

    6. Uma vez que a configuração é terminada, salvar e distribua a configuração ao FTD.

    Etapa 7. Configurar o ASA.

    1. Permita IKEv2 na interface externa do ASA:
    Crypto ikev2 enable outside

      2. Crie a política IKEv2 que define os mesmos parâmetros configurados no FTD:

    Crypto ikev2 policy 1
     Encryption aes-256
     Integrity sha256
     Group 14
     Prf sha256
     Lifetime seconds 86400

      3. Crie uma grupo-política permitindo o protocolo ikev2:

    Group-policy FTD_GP internal
    Group-policy FTD_GP attributes
     Vpn-tunnel-protocol ikev2

      4. Crie um grupo de túneis para o endereço IP público do par FTD. Proveja a grupo-política e especifique a chave pré-compartilhada:

    Tunnel-group 172.16.100.20 type ipsec-l2l
    Tunnel-group 172.16.100.20 general-attributes
    Default-group-policy FTD_GP
    Tunnel-group 172.16.100.20 ipsec-attributes
     ikev2 local-authentication pre-shared-key cisco123
     ikev2 remote-authentication pre-shared-key cisco123

      5. Crie uma lista de acesso que defina o tráfego a ser cifrado: (FTDSubnet 10.10.113.0/24) (ASASubnet 10.10.110.0/24)

    Object network FTDSubnet
     Subnet 10.10.113.0 255.255.255.0
    Object network ASASubnet
     Subnet 10.10.110.0 255.255.255.0
    Access-list ASAtoFTD extended permit ip object ASASubnet object FTDSubnet

      6. Crie uma ipsec-proposta ikev2 que provê os algoritmos especificados no FTD:

    Crypto ipsec ikev2 ipsec-proposal FTD
     Protocol esp encryption aes-gcm-256

      7. Crie uma entrada do crypto map que amarre junto a configuração:

    Crypto map outside_map 10 set peer 172.16.100.20
    Crypto map outside_map 10 match address ASAtoFTD
    Crypto map outside_map 10 set ikev2 ipsec-proposal FTD
    Crypto map outside_map 10 interface outside

    8. Crie uma indicação da isenção NAT que impeça que o tráfego VPN seja NATTED pelo Firewall:

    Nat (inside,outside) 1 source static ASASubnet ASASubnet destination static FTDSubnet FTDSubnet no-proxy-arp route-lookup

    Verificar

    Nota: Neste tempo não há nenhuma maneira de rever o status de túnel VPN do FMC. Há uma requisição de aprimoramento para esta capacidade CSCvh77603.

    Tentativa de iniciar o tráfego através do túnel VPN. Com acesso à linha de comando do ASA ou do FTD, isto pode ser feito com o comando do projétil luminoso do pacote. Quando usar o comando do pacote-projétil luminoso o trazer acima ao túnel VPN deve ser executada duas vezes para verificar o túnel vem acima. A primeira vez que o comando é emitido o túnel VPN está abaixo de assim que o comando do pacote-projétil luminoso falhará com VPN cifra a GOTA. Não use o IP address interno do Firewall como o endereço IP de origem no pacote-projétil luminoso porque isto falhará sempre.

    firepower# packet-tracer input inside icmp 10.10.113.10 8 0 10.10.110.10

    Phase: 10
    Type: VPN
    Subtype: encrypt
    Result: DROP
    Config:
    Additional Information:


    firepower# packet-tracer input inside icmp 10.10.113.10 8 0 10.10.110.10

    Phase: 1
    Type: ROUTE-LOOKUP
    Subtype: Resolve Egress Interface
    Result: ALLOW
    Config:
    Additional Information:
    found next-hop 172.16.100.1 using egress ifc outside

    Phase: 2
    Type: UN-NAT
    Subtype: static
    Result: ALLOW
    Config:
    nat (Inside,outside) source static FTDSubnet FTDSubnet destination static ASASubnet ASASubnet no-proxy-arp route-lookup
    Additional Information:
    NAT divert to egress interface outside
    Untranslate 10.10.110.10/0 to 10.10.110.10/0

    Phase: 3
    Type: ACCESS-LIST
    Subtype: log
    Result: ALLOW
    Config:
    access-group CSM_FW_ACL_ global
    access-list CSM_FW_ACL_ advanced permit ip ifc Inside object-group FMC_INLINE_src_rule_268436483 ifc outside object-group FMC_INLINE_dst_rule_268436483 rule-id 268436483
    access-list CSM_FW_ACL_ remark rule-id 268436483: ACCESS POLICY: FTD-Access-Control-Policy - Mandatory
    access-list CSM_FW_ACL_ remark rule-id 268436483: L7 RULE: VPN_Traffic
    object-group network FMC_INLINE_src_rule_268436483
    description: Auto Generated by FMC from src of UnifiedNGFWRule# 1 (FTD-Access-Control-Policy/mandatory)
    network-object object ASASubnet
    network-object object FTDSubnet
    object-group network FMC_INLINE_dst_rule_268436483
    description: Auto Generated by FMC from dst of UnifiedNGFWRule# 1 (FTD-Access-Control-Policy/mandatory)
    network-object object ASASubnet
    network-object object FTDSubnet
    Additional Information:
    This packet will be sent to snort for additional processing where a verdict will be reached

    Phase: 5
    Type: NAT
    Subtype:
    Result: ALLOW
    Config:
    nat (Inside,outside) source static FTDSubnet FTDSubnet destination static ASASubnet ASASubnet no-proxy-arp route-lookup
    Additional Information:
    Static translate 10.10.113.10/0 to 10.10.113.10/0

    Phase: 10
    Type: VPN
    Subtype: encrypt
    Result: ALLOW
    Config:
    Additional Information:

    Result:
    input-interface: Inside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: allow

    A fim monitorar o status de túnel navegue ao CLI do FTD ou do ASA.

    Do FTD O CLI verifica phase-1 e phase-2 com este comando:

    Mostre ikev2 criptos sa

    > show crypto ikev2 sa

    IKEv2 SAs:

    Session-id:4, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id Local                                               Remote                                                  Status         Role
      9528731 172.16.100.20/500                                    192.168.200.10/500                                         READY    INITIATOR
          Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:14, Auth sign: PSK, Auth verify: PSK
          Life/Active Time: 86400/118 sec
    Child sa: local selector  10.10.113.0/0 - 10.10.113.255/65535
              remote selector 10.10.110.0/0 - 10.10.110.255/65535
              ESP spi in/out: 0x66be357d/0xb74c8753

    Pesquise defeitos e debugar

    Edições da conectividade inicial

    Ao construir um VPN lá seja dois lados que negociam o túnel. Consequentemente, é o melhor obter ambos os lados da conversação quando você pesquisa defeitos qualquer tipo de falha do túnel. Um guia detalhado em como debugar os túneis IKEv2 pode ser encontrado aqui: Como debugar IKEv2 VPN

    A maioria de causa comum de falhas do túnel é um problema de conectividade. A melhor maneira de determinar isto é tomar capturas de pacote de informação no dispositivo. Use este comando tomar capturas de pacote de informação no dispositivo:

    Capture capout interface outside match ip host 172.16.100.20 host 192.168.200.10

    Uma vez a captação é no lugar, tenta enviar o tráfego sobre o VPN e verificá-lo para ver se há o tráfego bidirecional na captura de pacote de informação.

    Reveja a captura de pacote de informação com este comando:

    mostre o capout do tampão

    firepower# show cap capout

    4 packets captured

       1: 11:51:12.059628       172.16.100.20.500 > 192.168.200.10.500:  udp 690
       2: 11:51:12.065243       192.168.200.10.500 > 172.16.100.20.500:  udp 619
       3: 11:51:12.066692       172.16.100.20.500 > 192.168.200.10.500:  udp 288
       4: 11:51:12.069835       192.168.200.10.500 > 172.16.100.20.500:  udp 240

    Edições Tráfego-específicas

    As edições comuns do tráfego que você experimenta são:

    • Questões de roteamento atrás do FTD -- rede interna incapaz aos pacotes de rota de volta aos endereços IP atribuídos e aos clientes VPN.
    • Listas de controle de acesso que obstruem o tráfego.
    • Tradução de endereço de rede que não está sendo contorneada para o tráfego VPN.

    Para mais informações sobre aos VPN no FTD controlado por FMC, você pode encontrar o guia de configuração direta aqui: FTD controlado pelo manual de configuração FMC

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Cameron Schaeffer
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Discussões relacionadas com comunidade da Cisco

    Este documento se refere a estes produtos

    Sobre a Cisco
    Fale Conosco
    Trabalhe Conosco