简介
本文档介绍如何在由FirePower设备管理器(FDM)管理的Firepower威胁防御(FTD)上配置站点到站点VPN。
作者:Cisco TAC工程师Cameron Schaeffer。
先决条件
要求
Cisco 建议您了解以下主题:
- 基本了解VPN
- FDN体验
- 使用自适应安全设备(ASA)命令行的体验
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科FTD 6.5
- ASA 9.10(1)32
- IKEv2
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
从使用FDM的FTD上的配置开始。
定义受保护的网络
导航至对象>网络>添加新网络。
从FDM GUI为LAN网络配置对象。如图所示,为FDM设备后的本地网络创建对象。

如图所示,为ASA设备后的远程网络创建对象。

配置站点到站点VPN
导航到Site-to-Site VPN > Create Site-to-Site Connection。
如图所示,在FDM上执行“站点到站点”向导。


为站点到站点连接提供一个易于识别的连接配置文件名称。
为FTD选择正确的外部接口,然后选择需要跨站点到站点VPN加密的本地网络。
设置远程对等体的公共接口。然后选择将通过站点到站点VPN加密的远程对等体网络,如图所示。

在下一页中,选择Edit按钮以设置Internet密钥交换(IKE)参数,如图所示。

选择“创建新IKE策略”按钮,如图所示。

本指南将以下参数用于IKEv2初始交换:
加密AES-256
完整性SHA256
DH组14
PRF SHA256

返回主页后,选择IPSec建议的Edit按钮。如图所示创建新的IPSec建议。

本指南将为IPSec使用以下参数:
加密AES-256
完整性SHA256

将身份验证设置为预共享密钥,然后输入两端将使用的预共享密钥(PSK)。在本指南中,使用Cisco的PSK,如图所示。

设置内部NAT免除接口。如果有多个内部接口将使用手动NAT免除规则,则需要在Policies > NAT下创建该规则。

在最终页面上,将显示站点到站点连接的摘要。确保选择了正确的IP地址,并将使用正确的加密参数并按完成按钮。部署新的站点到站点VPN。
ASA配置将使用CLI完成。
ASA 配置
- 在ASA的外部接口上启用IKEv2:
Crypto ikev2 enable outside
2.创建定义在FTD上配置的相同参数的IKEv2策略:
Crypto ikev2 policy 1
Encryption aes-256
Integrity sha256
Group 14
Prf sha256
Lifetime seconds 86400
3.创建允许IKEv2协议的组策略:
Group-policy FDM_GP internal
Group-policy FDM_GP attributes
Vpn-tunnel-protocol ikev2
4.为对等FTD公有IP地址创建隧道组。引用组策略并指定预共享密钥:
Tunnel-group 172.16.100.10 type ipsec-l2l
Tunnel-group 172.16.100.10 general-attributes
Default-group-policy FDM_GP
Tunnel-group 172.16.100.10 ipsec-attributes
ikev2 local-authentication pre-shared-key cisco
ikev2 remote-authentication pre-shared-key cisco
5.创建定义要加密的流量的访问列表:(FTDSubnet 10.10.116.0/24)(ASASubnet 10.10.110.0/24):
Object network FDMSubnet
Subnet 10.10.116.0 255.255.255.0
Object network ASASubnet
Subnet 10.10.110.0 255.255.255.0
Access-list ASAtoFTD extended permit ip object ASASubnet object FTDSubnet
6.创建引用在FTD上指定的算法的IKEv2 IPsec建议:
Crypto ipsec ikev2 ipsec-proposal FDM
Protocol esp encryption aes-256
Protocol esp integrity sha-256
7.创建将配置关联在一起的加密映射条目:
Crypto map outside_map 20 set peer 172.16.100.10
Crypto map outside_map 20 match address ASAtoFTD
Crypto map outside_map 20 set ikev2 ipsec-proposal FTD
Crypto map outside_map 20 interface outside
8.创建NAT免除语句,以防止防火墙对VPN流量进行NAT:
Nat (inside,outside) 1 source static ASASubnet ASASubnet destination static FDMSubnet FDMSubnet
no-proxy-arp route-lookup
验证
使用本部分可确认配置能否正常运行。
尝试通过VPN隧道发起流量。通过访问ASA或FTD的命令行,可以使用packet tracer命令完成此操作。当您使用packet-tracer命令启动VPN隧道时,必须运行两次,以验证隧道是否启动。首次发出该命令时,VPN隧道关闭,因此使用VPN加密丢弃时,packet-tracer命令会失败。请勿将防火墙的内部IP地址用作Packet Tracer中的源IP地址,因为这将始终失败。
firepower# packet-tracer input inside icmp 10.10.116.10 8 0 10.10.110.10
Phase: 9
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
firepower# packet-tracer input inside icmp 10.10.116.10 8 0 10.10.110.10
Phase: 1
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 172.16.100.1 using egress ifc outside
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static |s2sAclSrcNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 |s2sAclSrcNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 destination static |s2sAclDestNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 |s2sAclDestNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 no-proxy-arp route-lookup
Additional Information:
NAT divert to egress interface outside
Untranslate 10.10.110.10/0 to 10.10.110.10/0
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group NGFW_ONBOX_ACL global
access-list NGFW_ONBOX_ACL advanced trust object-group |acSvcg-268435457 ifc inside any ifc outside any rule-id 268435457 event-log both
access-list NGFW_ONBOX_ACL remark rule-id 268435457: ACCESS POLICY: NGFW_Access_Policy
access-list NGFW_ONBOX_ACL remark rule-id 268435457: L5 RULE: Inside_Outside_Rule
object-group service |acSvcg-268435457
service-object ip
Additional Information:
Phase: 4
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source static |s2sAclSrcNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 |s2sAclSrcNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 destination static |s2sAclDestNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 |s2sAclDestNwgV4|c9911223-779d-11ea-9c1b-5ddd47126971 no-proxy-arp route-lookup
Additional Information:
Static translate 10.10.116.10/0 to 10.10.116.10/0
Phase: 9
Type: VPN
Subtype: encrypt
Result: ALLOW
Config:
Additional Information:
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
要监控隧道状态,请导航至FTD或ASA的CLI。
在FTD CLI中,使用命令show crypto ikev2 sa检验第1阶段和第2阶段。
> show crypto ikev2 sa
IKEv2 SAs:
Session-id:1, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
3821043 172.16.100.10/500 192.168.200.10/500 READY INITIATOR
Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:14, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/1150 sec
Child sa: local selector 10.10.116.0/0 - 10.10.116.255/65535
remote selector 10.10.110.0/0 - 10.10.110.255/65535
ESP spi in/out: 0x7398dcbd/0x2303b0c0
故障排除
本部分提供了可用于对配置进行故障排除的信息。
初始连接问题
当您构建VPN时,隧道的协商有两端。因此,在排除任何类型的隧道故障时,最好在对话的两端进行调试。有关如何调试IKEv2隧道的详细指南,请参阅:如何调试IKEv2 VPN
隧道故障最常见的原因是连接问题。确定这一点的最佳方法是在设备上捕获数据包。
使用此命令在设备上捕获数据包:
Capture capout interface outside match ip host 172.16.100.10 host 192.168.200.10
捕获到位后,尝试通过VPN发送流量并检查数据包捕获中的双向流量。
使用命令show cap cap capout检查数据包捕获。
firepower# show cap capout
4 packets captured
1: 01:21:06.763983 172.16.100.10.500 > 192.168.200.10.500: udp 574
2: 01:21:06.769415 192.168.200.10.500 > 172.16.100.10.500: udp 619
3: 01:21:06.770666 172.16.100.10.500 > 192.168.200.10.500: udp 288
4: 01:21:06.773748 192.168.200.10.500 > 172.16.100.10.500: udp 256
流量特定问题
用户体验到的常见流量问题包括:
- FTD后面的路由问题 — 内部网络无法将数据包路由回分配的IP地址和VPN客户端。
- 访问控制列表阻止流量。
- VPN流量未绕过网络地址转换(NAT)。
有关FDM管理的FTD上的站点到站点VPN的详细信息,请在此处找到完整配置指南:由FDM配置指南管理的FTD。