Configurar o túnel VPN site a site baseado em rota no FTD gerenciado pelo FMC

Opções de download

  • PDF     (1.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (898.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:19 de Julho de 2022
ID do documento:216276

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar um túnel VPN site a site baseado em rota em um Firepower Threat Defense (FTD) gerenciado por um Firepower Management Center (FMC).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Compreensão básica de como um túnel VPN funciona.
    • Entender como navegar pelo FMC.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • Cisco Firepower Management Center (FMC) versão 6.7.0
    • Cisco Firepower Threat Defense (FTD) versão 6.7.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    A VPN baseada em rota permite a determinação de tráfego interessante a ser criptografado ou enviado pelo túnel VPN e usa o roteamento de tráfego em vez da política/lista de acesso como na VPN baseada em política ou em mapa de criptografia. O domínio de criptografia é definido para permitir qualquer tráfego que entre no túnel IPsec. Os seletores de tráfego local e remoto de IPsec são definidos como 0.0.0.0/0.0.0..0. Isso significa que qualquer tráfego roteado para o túnel IPsec é criptografado, independentemente da sub-rede de origem/destino.

    Limitações e restrições

    Estas são limitações e restrições conhecidas para túneis baseados em rota no FTD:

    • Suporta somente IPsec. Não há suporte para GRE.

    • Sem suporte para VTI dinâmico.

    • Suporta somente interfaces IPv4, bem como IPv4, redes protegidas ou payload de VPN (Sem suporte para IPv6).

    • O roteamento estático e somente o protocolo de roteamento dinâmico BGP são suportados para interfaces VTI que classificam o tráfego para VPN (Sem suporte para outros protocolos como OSPF, RIP e assim por diante).

    • Somente 100 VTIs são suportados por interface.

    • Não há suporte para VTI em um Cluster FTD.

    • O VTI não é suportado nestas políticas:

      •qos
      •NAT
      · Configurações de plataforma

    Esses algoritmos não são mais suportados no FMC/FTD versão 6.7.0 para novos túneis VPN (o FMC suporta todas as cifras removidas para gerenciar o FTD < 6.7):

    • Não há suporte para 3DES, DES e Criptografia NULL na Política IKE.

    • Os grupos DH 1, 2 e 24 não têm suporte na Política IKE e na Proposta IPsec.

    • Não há suporte para a Integridade MD5 na Política IKE.

    • PRF MD5 não é suportado na política IKE.

    • Os algoritmos de criptografia DES, 3DES, AES-GMAC, AES-GMAC-192 e AES-GMAC-256 não são suportados na Proposta IPsec.

    Observação: isso é válido tanto para a rota de site para site quanto para túneis VPN baseados em políticas. A fim de atualizar um FTD antigo para 6.7 do FMC, desencadeia uma verificação de pré-validação que alerta o utilizador sobre as alterações que dizem respeito às cifras removidas que bloqueiam a atualização.

    FTD 6.7 gerenciado via FMC 6.7 Configuração disponível Túnel VPN de Site a Site
    Instalação nova
    Cifras fracas disponíveis, mas não podem ser usadas para configurar o dispositivo FTD 6.7.
    		Cifras fracas disponíveis, mas não podem ser usadas para configurar o dispositivo FTD 6.7.
    Atualização: FTD configurado apenas com cifras fracas
    Atualização da interface do usuário do FMC 6.7, uma verificação de pré-validação exibe um erro. A atualização está bloqueada até a reconfiguração.
    Após a atualização do FTD, e suponha que o peer não tenha alterado suas configurações, o túnel será encerrado.
    Atualização: FTD configurado apenas com algumas cifras fracas e algumas cifras fortes
    Atualização da interface do usuário do FMC 6.7, uma verificação de pré-validação exibe um erro. A atualização está bloqueada até a reconfiguração.
    Após a atualização do FTD, e suponha que o peer tenha cifras fortes, o túnel será restabelecido.
    Atualização: País Classe C (não possui uma licença de criptografia forte)
    		Permitir DES é permitido Permitir DES é permitido

    .

    Observação: Não é necessário licenciamento adicional, a VPN Baseada em Rota pode ser configurada nos Modos Licenciado e de Avaliação. Sem a conformidade com criptografia (Exportação de Recursos Controlados Habilitada), somente DES pode ser usado como um algoritmo de criptografia.

    Etapas de configuração no FMC

    Etapa 1. Navegue até Devices >VPN >Site To Site.

    Figure 1

    Etapa 2. Clique em Add VPN e escolha Firepower Threat Defense Device, como mostrado na imagem.

    Figure 2

    Etapa 3. Forneça um nome de topologia e selecione o tipo de VPN como baseado em rota (VTI). Escolha a Versão IKE.

    Para efeitos desta demonstração:

    Nome da topologia: VTI-ASA

    Versão do IKE: IKEv2

    Figure 2_2

    Etapa 4. Escolha o Dispositivo no qual o túnel precisa ser configurado. Você pode escolher Adicionar uma nova Interface de Modelo Virtual (clique no ícone +) ou selecionar uma na lista existente.

    Figure 2_1

    Etapa 5. Defina os parâmetros da New Virtual Tunnel Interface. Click OK.

    Para efeitos desta demonstração:

    Nome: VTI-ASA

    Descrição (opcional): Túnel VTI com Extranet ASA

    Zona de segurança: Zona VTI

    ID do túnel: 1

    Endereço IP: 192.168.100.1/30

    Origem do túnel: GigabitEthernet0/0 (externo)

    Figure 3

    Etapa 6. Clique em OK no pop-up que menciona que o novo VTI foi criado.

    Figure 4

    Etapa 7. Escolha o VTI recém-criado ou um VTI que exista em Virtual Tunnel Interface. Forneça as informações para o Nó B (que é o dispositivo par).

    Para efeitos desta demonstração:

    Dispositivo: Extranet

    Nome de dispositivo: Par ASA

    Endereço IP do endpoint: 10.106.67.252

    Figure 5

    Etapa 8. Navegue até a guia IKE. Você pode optar por usar uma política predefinida ou clicar no botão + ao lado da guia Política e criar uma nova.

    Figure 6

    Etapa 9. (Opcional Se você criar uma nova Política IKEv2) Forneça um Nome para a Política e selecione os Algoritmos a serem usados na política. Click Save.

    Para efeitos desta demonstração:

    Nome: ASA-IKEv2-Política

    Algoritmos de integridade: SHA-512

    Algoritmos de criptografia: AES-256

    Algoritmos PRF: SHA-512

    Grupo Diffie-Hellman: 21

    Figure 7

    Etapa 10. Escolha a política recém-criada ou a política existente. Selecione o Tipo de autenticação. Se uma chave manual pré-compartilhada for usada, forneça a chave nas caixas Chave e Confirmar chave .

    Para efeitos desta demonstração:

    Política: ASA-IKEv2-Política

    Tipo de autenticação: Chave manual pré-compartilhada

    Chave: cisco123

    Confirmar chave: cisco123

    Figure 8

    Nota: Se ambos os pontos finais estiverem registrados no mesmo FMC, a opção de Chave Automática Pré-compartilhada também pode ser usada.

    Etapa 11. Navegue até a guia IPsec. Você pode optar por usar uma Proposta IKEv2 IPsec predefinida ou criar uma nova. Clique no botão Editar ao lado da guia IKEv2 IPsec Proposal.

    Figure 9

    Etapa 12. (Opcional se você criar uma nova Proposta IKEv2 IPsec) Forneça um Nome para a Proposta e selecione os Algoritmos a serem usados na Proposta. Click Save.

    Para efeitos desta demonstração:

    Nome: ASA-IPSec-Política

    Hash ESP: SHA-512

    Criptografia ESP: AES-256

    Figure 10

    Etapa 13. Escolha a Proposta recém-criada ou Proposta que existe na lista de propostas disponíveis. Click OK.

    Figure 11

    Etapa 14. (Opcional) Escolha as configurações de Perfect Forward Secrecy. Configure a Duração e o Tamanho da Vida Útil do IPsec.

    Para efeitos desta demonstração:

    Segredo de encaminhamento perfeito: Grupo de Módulos 21

    Duração da vida útil: 28800 (Padrão)

    Tamanho da vida útil: 4608000 (Padrão)

    Figure 12

    Etapa 15. Verificar as configurações definidas. Clique em Salvar, conforme mostrado nesta imagem.

    Figure 13

    Etapa 16. (Opcional) Configure a política de NAT. Navegue até Devices > NAT. Escolha a política de NAT atribuída a este FTD. 

    Forneça os Objetos da Interface de Origem e os Objetos da Interface de Destino na guia Objetos da Interface .

    Forneça a Origem Original, Destino Original, Origem Traduzida, Destino Traduzido na guia Tradução . Click OK.

    Para efeitos desta demonstração:

    Objetos da interface de origem: Na zona

    Objetos da interface de destino: Out-Zone

    Fonte original: Na rede

    Destino original: Rede remota

    Fonte traduzida: Na rede

    Destino traduzido: Rede remota

    Figure 13_1             

    Figure 13_2

    Observação: certifique-se de que a Isenção de NAT estático para o túnel Site a Site seja adicionada sobre as regras de NAT/PAT dinâmico.

    Etapa 17. Configurar a Política de Controle de Acesso. Navegue até Policies > Access Control > Access Control. Edite a Política aplicada ao FTD.

    Observação: sysopt connection permit-vpn não funciona com túneis VPN Baseados em Rota. As regras de controle de acesso precisam ser configuradas para zonas IN-> OUT e OUT -> IN.

    Forneça as Zonas de origem e as Zonas de destino na guia Zonas .

    Forneça as redes de origem, redes de destino na guia Redes . Clique em Add.

    Para efeitos desta demonstração:

    Zonas de origem: na zona e fora da zona

    Zonas de destino: Out-Zone e In-Zone

    Redes de origem: na rede e na rede remota

    Redes de destino: Rede remota e em rede

    Figure 13_3

    Figure 13_4

    Etapa 18. Adicionar o roteamento sobre o túnel VTI. Navegue até Devices > Device Management. Edite o dispositivo no qual o túnel VTI está configurado.

    Navegue até Static Route na guia Routing. Clique em Add Route.

    Forneça a interface, escolha a rede, forneça o gateway. Click OK.

    Para efeitos desta demonstração:

    Interface: VTI-ASA

    Rede: Rede remota

    Gateway: Túnel VTI-ASA

    Figure 13_5

    Etapa 19. Navegue até Implantar > Implantação. Escolha o FTD no qual a configuração precisa ser implantada e clique em Implantar.

    Configuração enviada por push para a CLI do FTD após implantação bem-sucedida:

    crypto ikev2 policy 1
     encryption aes-256
     integrity sha512
     group 21
     prf sha512
     lifetime seconds 86400
    crypto ikev2 enable Outside

    crypto ipsec ikev2 ipsec-proposal CSM_IP_1
     protocol esp encryption aes-256
     protocol esp integrity sha-512
    crypto ipsec profile FMC_IPSEC_PROFILE_1
     set ikev2 ipsec-proposal CSM_IP_1
     set pfs group21

    group-policy .DefaultS2SGroupPolicy internal
    group-policy .DefaultS2SGroupPolicy attributes
     vpn-idle-timeout 30
     vpn-idle-timeout alert-interval 1
     vpn-session-timeout none
     vpn-session-timeout alert-interval 1
     vpn-filter none
     vpn-tunnel-protocol ikev1 ikev2 

    tunnel-group 10.106.67.252 type ipsec-l2l
    tunnel-group 10.106.67.252 general-attributes
     default-group-policy .DefaultS2SGroupPolicy
    tunnel-group 10.106.67.252 ipsec-attributes
     ikev2 remote-authentication pre-shared-key *****
     ikev2 local-authentication pre-shared-key *****

    interface Tunnel1
     description VTI Tunnel with Extranet ASA
     nameif VTI-ASA
     ip address 192.168.100.1 255.255.255.252 
     tunnel source interface Outside
     tunnel destination 10.106.67.252
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile FMC_IPSEC_PROFILE_1

    Verificar

    na GUI do FMC

    Clique na opção Check Status para monitorar o status ao vivo do túnel VPN a partir da própria GUI

    Figure 14

    Isso inclui estes comandos extraídos da CLI do FTD:

    • show crypto ipsec sa peer <Peer IP Address>
    • show vpn-sessiondb detail l2l filter ipaddress <Peer IP Address>

    Figure 15

    Da CLI do FTD

    Esses comandos podem ser usados na CLI do FTD para visualizar a configuração e o status dos túneis VPN.

    show running-config crypto
    show running-config nat
    show running-config route
    show crypto ikev1 sa detailed
    show crypto ikev2 sa detailed
    show crypto ipsec sa detailed
    show vpn-sessiondb detail l2l

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    19-Jul-2022
    Conteúdo atualizado quanto à exatidão. Atualizado para formatação, fundamentos, isenção de responsabilidade legal, tradução automática, etc. para estar em conformidade com as diretrizes da Cisco.
    1.0
    23-Nov-2020
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Mario Enrique Solorio
      Gerente de projetos
    • Tazy Khan
      Engenheiro do Cisco TAC
    • Freda Schmitt
      Redator técnico do ICD

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos