配置在FDM管理的FTD的站点到站点VPN
简介
本文描述如何配置在Firepower Firepower设备管理器(FTD)的站点到站点VPN管理的威胁防御(FDM)。
贡献用喀麦隆雪佛, Cisco TAC工程师。
先决条件
要求
Cisco 建议您了解以下主题:
- VPN基本的了解
- 与FDN的体验
- 与可适应安全工具(ASA) line命令的体验
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Cisco FTD 6.5
- ASA 9.10(1)32
- IKEv2
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
从在FTD的配置开始与FDM。
定义受保护的网络
导航对对象>网络>Add新建的网络。
配置LAN网络的对象从FDM GUI。如镜像所显示,创建本地网络的一个对象在FDM设备背后。
如镜像所显示,创建远程网络的一个对象在ASA设备背后。
配置站点到站点VPN
导航对站点到站点VPN >创建站点到站点连接。
如镜像所显示,通过FDM的站点到站点向导。
给予站点到站点连接容易辨认的连接配置文件名称。
选择FTD的正确外部接口然后选择将需要在Site to Site VPN间加密的本地网络。
设置远端对等体的公共接口。然后请选择如镜像所显示,在站点到站点VPN间将加密的远端对等体的网络。
如镜像所显示,在Next页,请选择编辑按钮设置Internet Key Exchange (IKE)参数。
如镜像所显示,选择创建新建的IKE策略按钮。
此指南使用这些参数IKEv2初始交换:
加密AES-256
完整性SHA256
DH组14
PRF SHA256
一旦在主页的上一步,选择IPSec建议的编辑按钮。如镜像所显示,创建一个新的IPSec建议。
此指南将使用这些参数IPSec :
加密AES-256
完整性SHA256
设置验证为预先共享密钥并且输入在两端将使用的预先共享密钥(PSK)。如镜像所显示,在此指南中, Cisco PSK使用。
设置内部NAT豁免接口。如果多个将使用一个手工的NAT豁免规则的内部接口将需要创建在策略> NAT下。
在最终页,站点到站点连接的摘要显示。保证正确IP地址选择,并且将使用适当的加密参数和按下完成按钮。 部署新的站点到站点VPN。
ASA配置将完成与使用CLI。
ASA 配置
- 启用在ASA的外部接口的IKEv2 :
Crypto ikev2 enable outside
2.创建定义了在FTD配置的同样参数的IKEv2策略:
Crypto ikev2 policy 1
Encryption aes-256
Integrity sha256
Group 14
Prf sha256
Lifetime seconds 86400
3. 创建允许IKEv2协议的组策略:
Group-policy FDM_GP internal
Group-policy FDM_GP attributes
Vpn-tunnel-protocol ikev2
4. 创建对等体FTD公网IP地址的一个隧道组。参考组政策并且指定预共享密钥:
Tunnel-group 172.16.100.10 type ipsec-l2l
Tunnel-group 172.16.100.10 general-attributes
Default-group-policy FDM_GP
Tunnel-group 172.16.100.10 ipsec-attributes
ikev2 local-authentication pre-shared-key cisco
ikev2 remote-authentication pre-shared-key cisco
5. 创建定义了将加密的流量的access-list :(FTDSubnet 10.10.116.0/24) (ASASubnet 10.10.110.0/24) :
Object network FDMSubnet
Subnet 10.10.116.0 255.255.255.0
Object network ASASubnet
Subnet 10.10.110.0 255.255.255.0
Access-list ASAtoFTD extended permit ip object ASASubnet object FTDSubnet
6. 创建参考在FTD指定的算法的IKEv2 IPsec建议:
Crypto ipsec ikev2 ipsec-proposal FDM
Protocol esp encryption aes-256
Protocol esp integrity sha-256
7. 创建配合配置的加密映射项:
Crypto map outside_map 20 set peer 172.16.100.10
Crypto map outside_map 20 match address ASAtoFTD
Crypto map outside_map 20 set ikev2 ipsec-proposal FTD
Crypto map outside_map 20 interface outside
8. 创建将防止VPN流量是NATTED由防火墙的NAT免税语句:
Nat (inside,outside) 1 source static ASASubnet ASASubnet destination static FDMSubnet FDMSubnet
no-proxy-arp route-lookup
验证
使用本部分可确认配置能否正常运行。
尝试通过VPN通道初始化流量。使用对ASA或FTD的line命令的访问,这可以实行同数据包跟踪程序命令。当您使用数据包追踪器命令启动VPN通道时必须两次运行为了验证通道是否出来。第一次命令发出, VPN通道下降,因此数据包追踪器命令失效与VPN加密丢弃。因为这永远将发生故障,请勿使用防火墙的内部的IP地址作为源IP地址在数据包追踪器。
firepower# packet-tracer input inside icmp 10.10.116.10 8 0 10.10.110.10
Phase: 9
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
firepower# packet-tracer input inside icmp 10.10.116.10 8 0 10.10.110.10
Phase: 1
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 172.16.100.1 using egress ifc outside
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static |s2sAclSrcNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 |s2sAclSrcNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 destination static |s2sAclDestNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 |s2sAclDestNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 no-proxy-arp route-lookup
Additional Information:
NAT divert to egress interface outside
Untranslate 10.10.110.10/0 to 10.10.110.10/0
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group NGFW_ONBOX_ACL global
access-list NGFW_ONBOX_ACL advanced trust object-group |acSvcg-268435457 ifc inside any ifc outside any rule-id 268435457 event-log both
access-list NGFW_ONBOX_ACL remark rule-id 268435457: ACCESS POLICY: NGFW_Access_Policy
access-list NGFW_ONBOX_ACL remark rule-id 268435457: L5 RULE: Inside_Outside_Rule
object-group service |acSvcg-268435457
service-object ip
Additional Information:
Phase: 4
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source static |s2sAclSrcNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 |s2sAclSrcNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 destination static |s2sAclDestNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 |s2sAclDestNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 no-proxy-arp route-lookup
Additional Information:
Static translate 10.10.116.10/0 to 10.10.116.10/0
Phase: 9
Type: VPN
Subtype: encrypt
Result: ALLOW
Config:
Additional Information:
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
为了监控隧道状态,请导航对FTD或ASA的CLI。
从FTD CLI,请验证phase-1和phase-2与show crypto命令ikev2 sa。
> show crypto ikev2 sa
IKEv2 SAs:
Session-id:1, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
3821043 172.16.100.10/500 192.168.200.10/500 READY INITIATOR
Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:14, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/1150 sec
Child sa: local selector 10.10.116.0/0 - 10.10.116.255/65535
remote selector 10.10.110.0/0 - 10.10.110.255/65535
ESP spi in/out: 0x7398dcbd/0x2303b0c0
故障排除
本部分提供了可用于对配置进行故障排除的信息。
初始连接问题
当您构件VPN时,有协商通道的双方。所以,当您排除故障任一种通道失败时,获得会话的两边是最佳的。 可以找到关于怎样的一个详细的指南调试IKEv2通道此处:如何调试IKEv2 VPN
通道失败的多数常见原因是连通性问题。确定此的最佳方法是采取设备的数据包捕获。
请使用此命令采取设备的数据包捕获:
Capture capout interface outside match ip host 172.16.100.10 host 192.168.200.10
一旦捕获到位,请设法发送在VPN的流量和检查在数据包捕获的双向数据流。
查看有show命令盖帽capout的数据包捕获。
firepower# show cap capout
4 packets captured
1: 01:21:06.763983 172.16.100.10.500 > 192.168.200.10.500: udp 574
2: 01:21:06.769415 192.168.200.10.500 > 172.16.100.10.500: udp 619
3: 01:21:06.770666 172.16.100.10.500 > 192.168.200.10.500: udp 288
4: 01:21:06.773748 192.168.200.10.500 > 172.16.100.10.500: udp 256
流量特定问题
普通的流量问题用户体验是:
- 在FTD后的路由问题-无法的内部网络发送数据包回到已分配IP地址和VPN客户端。
- 访问控制列出阻塞流量。
- 为VPN流量不绕过的网络地址转换(NAT)。
欲知关于在FDM管理的FTD的站点到站点VPN的详情,您能找到完全配置指南此处:FDM配置指南管理的FTD。
反馈