Vorbereitende Schritte

Der erste Schritt beim Konfigurieren von Cisco FTDv für die Verwendung mit VPN for VPC besteht darin, sicherzustellen, dass die folgenden Voraussetzungen erfüllt sind:

• Cisco FTDv ist online und funktioniert mit einer ordnungsgemäßen Lizenz.
• Sie haben einen Berechtigungsnachweis für den Zugriff auf die Web UIvon Firepower Device Manager.
• Sie haben mindestens eine konfigurierte und geprüfte funktionale interne Schnittstelle.
• Sie haben mindestens eine konfigurierte und geprüfte funktionale externe Schnittstelle.

Vorgehensweise

Gehen Sie wie folgt vor, um eine Verbindung zu einem Cisco Firepower Thread Defense-Peer herzustellen:

1. Melden Sie sich beim Firepower Device Manager an und klicken Sie in der Menüleiste auf Gerät, um die Seite "Gerätezusammenfassung" anzuzeigen. Klicken Sie anschließend in der Gruppe "Site-to-Site-VPN" auf Konfiguration anzeigen.

   

2. Erstellen Sie den ersten IPsec-Tunnel. Klicken Sie auf der Seite "Site-to-Site-VPN" auf die Schaltfläche +, um eine Site-to-Site-VPN-Verbindung zu erstellen. Wenn noch keine Verbindungen vorhanden sind, können Sie auf die Schaltfläche Site-to-Site-Verbindung erstellen klicken.

3. Definieren Sie auf der Seite "Neues Site-to-Site-VPN" die Endpunkte der Punkt-zu-Punkt-VPN-Verbindung. Konfigurieren Sie dazu die folgenden Einstellungen:

   • Name des Verbindungsprofils-Geben Sie einen Namen (bis zu 64 Zeichen ohne Leerzeichen) für diese Verbindung an. Sie können keine IP-Adresse als Namen verwenden.
   • Typ-Wählen Sie Richtlinienbasiert aus.
   • Schnittstelle für lokalen VPN-Zugriff-Wählen Sie die Schnittstelle aus, zu der der ferne Peer eine Verbindung herstellen kann. Geben Sie eine Link-Local-Adresse an.
   • Lokales Netz-Erstellen Sie neue Netzobjekte für lokale Teilnetze.
   • Ferne IP-Adresse-Wählen Sie Statisch aus.
   • Fernes Netz-Erstellen Sie neue Netzobjekte für VPN-Teilnetze.

   

4. Klicken Sie auf Weiter. Definieren Sie auf der Seite "Datenschutzkonfiguration" die Datenschutzkonfiguration für das VPN.

   • Aktivieren Sie die Umschaltfläche IKE VERSION 2 und konfigurieren Sie die IKE-Richtlinie (Internet Key Exchange).

     

   • Konfigurieren Sie die Einstellungen für IPSec-Vorschlag, die die Kombination von Sicherheitsprotokollen und Algorithmen definieren, die den Datenverkehr in einem IPsec-Tunnel schützen.

     

   • Geben Sie den vorab verteilten Schlüssel an, der auf der lokalen und fernen Einheit definiert ist. Der Schlüssel kann 1-127 alphanumerische Zeichen lang sein. Klicken Sie anschließend auf Weiter.

     

5. Überprüfen Sie die Zusammenfassung und klicken Sie auf Beenden.

6. Erstellen Sie eine Zugriffssteuerungsrichtlinie, um den Datenverkehr über das VPN zuzulassen. Führen Sie hierzu die folgenden Schritte aus:

   1. Klicken Sie in der Menüleiste auf Richtlinien.
   2. Klicken Sie auf die Schaltfläche +, um eine Zugriffsregel hinzuzufügen. Wählen Sie Ihr lokales Netzobjekt für Quelle und Ihr fernes Netzobjekt als Ziel aus. Sie können Netzobjekte für die Quelle und das Ziel erstellen.
   3. Wählen Sie Aktion zulassen aus und klicken Sie dann auf OK.

   

7. Wiederholen Sie Schritt 6, um eine weitere Zugriffssteuerungsrichtlinie für den zurückgegebenen Datenverkehr zu erstellen. Dieses Mal ist das ferne Netzobjekt die Quelle und das lokale Netzobjekt das Ziel.

8. Konfigurieren Sie die TCP-MSS-Klemmung, um unnötige Fragmentierung zu vermeiden. Rufen Sie Einheit > Erweiterte Konfiguration > FlexConfig > FlexConfig Objekte > + Schaltfläche auf und erstellen Sie mit dem Befehl sysopt connection tcpmss 1360 ein FlexConfig-Objekt.

   

9. Rufen Sie Gerät > Erweiterte Konfiguration > FlexConfig > FlexConfig Policy auf und fügen Sie das von Ihnen erstellte FlexConfig-Objekt hinzu. Klicken Sie auf Speichern.

   

10. Implementieren Sie Ihre Änderungen:

    

11. Um zu überprüfen, ob das IPSec VPN funktioniert, führen Sie den Befehl show crypto ikev2 sa über die CLI-Konsole aus und stellen Sie sicher, dass Hosts aus beiden Teilnetzen einander erreichen können.