在FDM管理的FTD上使用靜態路由配置基於路由的VPN

簡介

本檔案介紹如何在FDM管理的FTD上設定靜態路由型站對站VPN通道。

必要條件

需求

思科建議您瞭解以下主題：

• 對VPN隧道工作方式有基礎認識。
• 預先瞭解通過Firepower裝置管理器(FDM)的導航。

採用元件

本檔案中的資訊是根據以下軟體版本：

• 由Firepower裝置管理器(FDM)管理的Cisco Firepower威脅防禦(FTD)版本7.0。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

基於路由的VPN允許確定要加密或通過VPN隧道傳送的相關流量，並且使用流量路由而不是策略/訪問清單（如基於策略或基於加密對映的VPN中所示）。加密域設定為允許任何進入IPsec隧道的流量。IPsec本地和遠端流量選擇器設定為0.0.0.0/0.0.0.0。這意味著路由到IPsec隧道的所有流量都會被加密，無論源/目標子網如何。

本檔案將重點介紹靜態虛擬通道介面(SVTI)組態。

附註：不需要其他許可，可以在許可模式和評估模式下配置基於路由的VPN。如果沒有加密合規（已啟用匯出控制功能），只有DES可用作加密演算法。

FDM的配置步驟

步驟1。導覽至Device > Site To Site。

FDM儀表板

步驟2.按一下+圖示將新站點新增到站點連線。

新增S2S連線

步驟3.提供拓撲名稱並選擇VPN的型別作為基於路由(VTI)。

按一下Local VPN Access Interface，然後按一下Create new Virtual Tunnel Interface或從現有清單中選擇一個。

新增隧道介面

步驟4.定義新虛擬通道介面的引數。按一下「OK」（確定）。

VTI配置

步驟5.選擇新建立的VTI或虛擬通道介面下存在的VTI。提供遠端IP地址。

新增對等IP

步驟6.選擇IKE版本，然後選擇Edit按鈕以設定IKE和IPsec引數，如下圖所示。

配置IKE版本

步驟7a.選擇IKE Policy按鈕（如圖所示），然後按一下ok按鈕或Create New IKE Policy（如果要建立新策略）。

選擇IKE策略

IKE策略的配置

第7b步：選擇IPSec Policy按鈕（如圖所示），然後按一下ok按鈕或Create New IPsec Proposal（如果要建立新提議）。

選擇IPsec方案

IPsec提議配置

步驟8a.選擇Authentication Type。如果使用預共用手動金鑰，請提供本地和遠端預共用金鑰。

步驟8b.（可選）選擇完全向前保密設定。配置IPsec Lifetime Duration and Lifetime Size，然後按一下next。

PSK和生存期配置

步驟9.檢查配置並按一下Finish。

配置摘要

步驟10a。導航到Objects > Security Zones，然後按一下+圖示。

新增安全區域

步驟10b。建立一個區域，然後選擇VTI介面，如下所示。

安全區域配置

步驟11a.導航到Objects > Networks，按一下+圖示。

新增網路對象

步驟11b。新增host對象，並使用對等端的隧道ip建立網關。

配置VPN網關

步驟11c.新增遠端子網和本地子網。

遠端IP配置

本地IP配置

步驟12.導航到Device > Policies，然後配置Access Control Policy。

新增訪問控制策略

步驟13a.透過VTI通道新增路由。導覽至Device > Routing。

選擇工藝路線

步驟13b。導覽至Routing 索引標籤下的Static Route。按一下+圖示。

新增路由

步驟13c.提供Interface，選擇Network，提供Gateway。按一下「OK」（確定）。

配置靜態路由

步驟14.導覽至Deploy。檢視更改，然後按一下Deploy Now。

部署配置

驗證

部署完成後，可以使用以下命令在CLI上驗證隧道狀態：

1. show crypto ikev2 sa
2. show crypto ipsec sa <peer-ip>

顯示命令

相關資訊

有關由FDM管理的FTD上的站點到站點VPN的詳細資訊，可在此處找到完整的配置指南：

FDM管理的FTD配置指南