簡介
本文檔介紹如何在由Firepower管理中心管理的Firepower威脅防禦上配置基於靜態路由的站點到站點VPN隧道。
必要條件
需求
思科建議您瞭解以下主題:
- 對VPN隧道工作方式有基礎認識。
- 瞭解如何在FMC中導航。
採用元件
本檔案中的資訊是根據以下軟體版本:
- 思科Firepower管理中心(FMC)版本6.7.0
- Cisco Firepower威脅防禦(FTD)版本6.7.0
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
基於路由的VPN允許確定要加密或通過VPN隧道傳送的相關流量,並且使用流量路由而不是策略/訪問清單(如基於策略或基於加密對映的VPN中所示)。 加密域設定為允許任何進入IPsec隧道的流量。IPsec本地和遠端流量選擇器設定為0.0.0.0/0.0.0..0。這表示路由到IPsec通道的任何流量都會被加密,無論其來源/目的地子網為何。
本檔案將重點介紹靜態虛擬通道介面(SVTI)組態。有關安全防火牆上的動態虛擬通道介面(DVTI)組態,請參閱本檔案。
限制和限制
以下是FTD上基於路由的通道的已知限制和限制:
- 僅支援IPsec。不支援GRE。
- 僅支援IPv4介面,以及IPv4、受保護的網路或VPN負載(不支援IPv6)。
- 對VPN流量進行分類的VTI介面支援靜態路由和僅BGP動態路由協定(不支援其他協定,如OSPF、RIP等)。
-
每個介面僅支援100個VTI。
-
FTD叢集上不支援VTI。
- 這些策略不支援VTI:
· QoS
· NAT
·平台設定
新VPN通道的FMC/FTD 6.7.0版不再支援這些演演算法(FMC支援所有移除的密碼以管理FTD < 6.7):
- IKE策略不支援3DES、DES和NULL加密。
- DH組1、2和24在IKE策略和IPsec建議中不受支援。
- IKE策略不支援MD5完整性。
- IKE策略不支援PRF MD5。
- IPsec提議中不支援DES、3DES、AES-GMAC、AES-GMAC-192和AES-GMAC-256加密演算法。
注意:對於基於站點到站點路由和基於策略的VPN隧道,此情況適用。為了將舊版FTD從FMC升級到6.7,它會觸發預驗證檢查,警告使用者有與封鎖升級的已移除密碼相關的變更。
通過FMC 6.7管理的FTD 6.7 |
配置可用 |
站點到站點VPN隧道 |
全新安裝 |
弱密碼可用,但無法用於配置FTD 6.7裝置。
|
弱密碼可用,但無法用於配置FTD 6.7裝置。 |
升級:FTD僅配置弱密碼
|
從FMC 6.7 UI升級,預驗證檢查會顯示錯誤。在重新配置之前,升級被阻止。
|
進行FTD升級後,並假設對等點的設定未變更,則通道會終止。
|
升級:FTD僅設定一些弱密碼和強密碼
|
從FMC 6.7 UI升級,預驗證檢查會顯示錯誤。在重新配置之前,升級被阻止。
|
FTD升級後,假設對等點具有強密碼,然後通道重新建立。
|
升級:C類國家/地區(沒有強大的加密許可證)
|
允許DES |
允許DES |
.
注意:無需其他許可,可在許可模式和評估模式下配置基於路由的VPN。 如果沒有加密合規(啟用匯出控制功能),只有DES可用作加密演算法。
FMC的配置步驟
步驟 1.導航至Devices >VPN >Site To Site。
步驟 2.按一下「Add VPN」,然後選擇「Firepower Threat Defense Device」,如下圖所示。
步驟 3.提供拓撲名稱並選擇VPN型別作為基於路由(VTI)。選擇IKE版本。
在本演示中:
拓撲名稱:VTI-ASA
IKE版本:IKEv2
步驟 4.選擇需要在其上配置隧道的Device,您可以選擇新增新的Virtual Template Interface(按一下+圖示),或者從現有清單中選擇一個介面。
步驟 5.定義新虛擬通道介面的引數。按一下「OK」(確定)。
在本演示中:
名稱:VTI-ASA
說明(可選):使用外網ASA的VTI隧道
安全區域:VTI-Zone
通道ID:1
IP地址:192.168.100.1/30
隧道源:GigabitEthernet0/0(外部)
步驟 6.點選彈出視窗中的OK,提示已建立新VTI。
步驟 7.選擇新建立的VTI或虛擬隧道介面下存在的VTI。提供節點B(對等裝置)的資訊。
在本演示中:
裝置:Extranet
裝置名稱:ASA-Peer
終端IP地址:10.106.67.252
步驟 8.導航到IKE頁籤。您可以選擇使用預定義的Policy,或按一下Policy頁籤旁邊的+按鈕並建立一個新策略。
步驟9.(可選,如果建立新的IKEv2策略。) 為策略提供名稱,並選擇要在策略中使用的演算法。按一下「Save」。
在本演示中:
名稱:ASA-IKEv2-Policy
完整性演算法:SHA-512
加密演算法:AES-256
PRF演算法:SHA-512
Diffie-Hellman組:21
步驟 10.選擇新建立的策略或現有的Policy。選擇Authentication Type。如果使用預共用手動金鑰,請在金鑰和確認金鑰框中提供金鑰。
在本演示中:
策略:ASA-IKEv2-Policy
身份驗證型別:預共用手動金鑰
主要:cisco123
確認金鑰:cisco123
注意:如果兩個終端在同一個FMC上註冊,則還可以使用預共用自動金鑰選項。
步驟 11.導航到IPsec選項卡。 您可以選擇使用預定義的IKEv2 IPsec建議或建立一個新的IKEv2 IPsec建議。點選IKEv2 IPsec Proposal選項卡旁的Edit按鈕。
步驟12.(可選,如果建立新的IKEv2 IPsec提議。) 提供建議書的名稱,並選擇建議書中要使用的演算法。按一下「Save」。
在本演示中:
名稱:ASA-IPSec-Policy
ESP雜湊:SHA-512
ESP加密:AES-256
步驟 13. 從可用提案清單中選擇新建立的提案或提案。按一下「OK」(確定)。
步驟14。(可選)選擇Perfect Forward Secrecy設定。配置IPsec生存期和生存期大小。
在本演示中:
完全前向保密:模群21
生存時間:28800(預設)
生存期大小: 4608000(預設值)
步驟 15.檢查配置的設定。按一下「Save」,如下圖所示。
步驟 16.配置訪問控制策略。導覽至Policies > Access Control > Access Control。編輯應用於FTD的策略。
注意:sysopt connection permit-vpn不適用於基於路由的VPN隧道。需要為IN-> OUT區域和OUT -> IN區域配置訪問控制規則。
在Zones頁籤中提供Source Zones和Destination Zones。
在Networks 選項卡中提供Source Networks和Destination Networks。按一下「Add」。
在本演示中:
源區域:內區域和外區域
目標區域:區外和區內
源網路:內聯網和遠端網路
目標網路:遠端網路和內聯網
步驟 17.透過VTI通道新增路由。導覽至Devices > Device Management。編輯VTI隧道配置所在的裝置。
導覽至Routing 索引標籤下的Static Route。按一下Add Route。
提供Interface,選擇Network,提供Gateway。按一下「OK」(確定)。
在本演示中:
介面:VTI-ASA
網路:遠端網路
網關:VTI-ASA — 隧道
步驟 18.導航到部署>部署。選擇需要將組態部署到的FTD,然後按一下Deploy。
成功部署後配置推送到FTD CLI:
crypto ikev2 policy 1
encryption aes-256
integrity sha512
group 21
prf sha512
lifetime seconds 86400
crypto ikev2 enable Outside
crypto ipsec ikev2 ipsec-proposal CSM_IP_1
protocol esp encryption aes-256
protocol esp integrity sha-512
crypto ipsec profile FMC_IPSEC_PROFILE_1
set ikev2 ipsec-proposal CSM_IP_1
set pfs group21
group-policy .DefaultS2SGroupPolicy internal
group-policy .DefaultS2SGroupPolicy attributes
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
vpn-tunnel-protocol ikev1 ikev2
tunnel-group 10.106.67.252 type ipsec-l2l
tunnel-group 10.106.67.252 general-attributes
default-group-policy .DefaultS2SGroupPolicy
tunnel-group 10.106.67.252 ipsec-attributes
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****
interface Tunnel1
description VTI Tunnel with Extranet ASA
nameif VTI-ASA
ip address 192.168.100.1 255.255.255.252
tunnel source interface Outside
tunnel destination 10.106.67.252
tunnel mode ipsec ipv4
tunnel protection ipsec profile FMC_IPSEC_PROFILE_1
驗證
在FMC GUI上
按一下Check Status選項以從GUI本身監控VPN隧道的即時狀態
其中包括從FTD CLI獲取的以下命令:
- show crypto ipsec sa peer <Peer IP Address>
- show vpn-sessiondb detail l2l filter ipaddress <Peer IP Address>
在FTD CLI上
可從FTD CLI使用這些命令來檢視VPN通道的組態和狀態。
show running-config crypto
show running-config nat
show running-config route
show crypto ikev1 sa detailed
show crypto ikev2 sa detailed
show crypto ipsec sa detailed
show vpn-sessiondb detail l2l