Verbindung zu einem Cisco Firepower Thread Defense-Peer herstellen (richtlinienbasiert)
Mit IBM Cloud VPN for VPC können Sie Ihre VPC über einen VPN-Tunnel sicher mit einem lokalen Netz zu verbinden. Dieser Abschnitt enthält Anleitungen zur Konfiguration von Cisco FTDv für die Verbindung zu VPN for VPC.
Lesen Sie Einschränkungen für VPN-Gateways, bevor Sie eine Verbindung zu Ihrem lokalen Peer herstellen.
Diese Anweisungen basieren auf Cisco FTDv, Cisco Firepower Thread Defender Version 7.0.4.
Vorbereitende Schritte
Der erste Schritt beim Konfigurieren von Cisco FTDv für die Verwendung mit VPN for VPC besteht darin, sicherzustellen, dass die folgenden Voraussetzungen erfüllt sind:
- Cisco FTDv ist online und funktioniert mit einer ordnungsgemäßen Lizenz.
- Sie haben einen Berechtigungsnachweis für den Zugriff auf die Web UIvon Firepower Device Manager.
- Sie haben mindestens eine konfigurierte und geprüfte funktionale interne Schnittstelle.
- Sie haben mindestens eine konfigurierte und geprüfte funktionale externe Schnittstelle.
Vorgehensweise
Gehen Sie wie folgt vor, um eine Verbindung zu einem Cisco Firepower Thread Defense-Peer herzustellen:
-
Melden Sie sich beim Firepower Device Manager an und klicken Sie in der Menüleiste auf Gerät, um die Seite "Gerätezusammenfassung" anzuzeigen. Klicken Sie anschließend in der Gruppe "Site-to-Site-VPN" auf Konfiguration anzeigen.
Einheitenzusammenfassung -
Erstellen Sie den ersten IPsec-Tunnel. Klicken Sie auf der Seite "Site-to-Site-VPN" auf die Schaltfläche +, um eine Site-to-Site-VPN-Verbindung zu erstellen. Wenn noch keine Verbindungen vorhanden sind, können Sie auf die Schaltfläche Site-to-Site-Verbindung erstellen klicken.
-
Definieren Sie auf der Seite "Neues Site-to-Site-VPN" die Endpunkte der Punkt-zu-Punkt-VPN-Verbindung. Konfigurieren Sie dazu die folgenden Einstellungen:
- Name des Verbindungsprofils-Geben Sie einen Namen (bis zu 64 Zeichen ohne Leerzeichen) für diese Verbindung an. Sie können keine IP-Adresse als Namen verwenden.
- Typ-Wählen Sie Richtlinienbasiert aus.
- Schnittstelle für lokalen VPN-Zugriff-Wählen Sie die Schnittstelle aus, zu der der ferne Peer eine Verbindung herstellen kann. Geben Sie eine Link-Local-Adresse an.
- Lokales Netz-Erstellen Sie neue Netzobjekte für lokale Teilnetze.
- Ferne IP-Adresse-Wählen Sie Statisch aus.
- Fernes Netz-Erstellen Sie neue Netzobjekte für VPN-Teilnetze.
Endpunkte definieren -
Klicken Sie auf Weiter. Definieren Sie auf der Seite "Datenschutzkonfiguration" die Datenschutzkonfiguration für das VPN.
-
Aktivieren Sie die Umschaltfläche IKE VERSION 2 und konfigurieren Sie die IKE-Richtlinie (Internet Key Exchange).
IKE v2-Richtlinie hinzufügen -
Konfigurieren Sie die Einstellungen für IPSec-Vorschlag, die die Kombination von Sicherheitsprotokollen und Algorithmen definieren, die den Datenverkehr in einem IPsec-Tunnel schützen.
IKE hinzufügen v2 IPSec-Vorschlag -
Geben Sie den vorab verteilten Schlüssel an, der auf der lokalen und fernen Einheit definiert ist. Der Schlüssel kann 1-127 alphanumerische Zeichen lang sein. Klicken Sie anschließend auf Weiter.
Vorab gemeinsam genutzter Schlüssel
-
-
Überprüfen Sie die Zusammenfassung und klicken Sie auf Beenden.
-
Erstellen Sie eine Zugriffssteuerungsrichtlinie, um den Datenverkehr über das VPN zuzulassen. Führen Sie hierzu die folgenden Schritte aus:
- Klicken Sie in der Menüleiste auf Richtlinien.
- Klicken Sie auf die Schaltfläche +, um eine Zugriffsregel hinzuzufügen. Wählen Sie Ihr lokales Netzobjekt für Quelle und Ihr fernes Netzobjekt als Ziel aus. Sie können Netzobjekte für die Quelle und das Ziel erstellen.
- Wählen Sie Aktion zulassen aus und klicken Sie dann auf OK.
Zugriffssteuerungsrichtlinie erstellen -
Wiederholen Sie Schritt 6, um eine weitere Zugriffssteuerungsrichtlinie für den zurückgegebenen Datenverkehr zu erstellen. Dieses Mal ist das ferne Netzobjekt die Quelle und das lokale Netzobjekt das Ziel.
-
Konfigurieren Sie die TCP-MSS-Klemmung, um unnötige Fragmentierung zu vermeiden. Rufen Sie Einheit > Erweiterte Konfiguration > FlexConfig > FlexConfig Objekte > + Schaltfläche auf und erstellen Sie mit dem Befehl
sysopt connection tcpmss 1360
ein FlexConfig-Objekt.FlexConfig Richtlinie -
Rufen Sie Gerät > Erweiterte Konfiguration > FlexConfig > FlexConfig Policy auf und fügen Sie das von Ihnen erstellte FlexConfig-Objekt hinzu. Klicken Sie auf Speichern.
FlexConfig-Objekt bearbeiten -
Implementieren Sie Ihre Änderungen:
Änderungen implementieren -
Um zu überprüfen, ob das IPSec VPN funktioniert, führen Sie den Befehl
show crypto ikev2 sa
über die CLI-Konsole aus und stellen Sie sicher, dass Hosts aus beiden Teilnetzen einander erreichen können.CLI-Befehl CLI-Ausgabe