IBM Cloud Docs
Verbindung zu einem Cisco Firepower Thread Defense-Peer herstellen (richtlinienbasiert)

Verbindung zu einem Cisco Firepower Thread Defense-Peer herstellen (richtlinienbasiert)

Mit IBM Cloud VPN for VPC können Sie Ihre VPC über einen VPN-Tunnel sicher mit einem lokalen Netz zu verbinden. Dieser Abschnitt enthält Anleitungen zur Konfiguration von Cisco FTDv für die Verbindung zu VPN for VPC.

Lesen Sie Einschränkungen für VPN-Gateways, bevor Sie eine Verbindung zu Ihrem lokalen Peer herstellen.

Diese Anweisungen basieren auf Cisco FTDv, Cisco Firepower Thread Defender Version 7.0.4.

Vorbereitende Schritte

Der erste Schritt beim Konfigurieren von Cisco FTDv für die Verwendung mit VPN for VPC besteht darin, sicherzustellen, dass die folgenden Voraussetzungen erfüllt sind:

  • Cisco FTDv ist online und funktioniert mit einer ordnungsgemäßen Lizenz.
  • Sie haben einen Berechtigungsnachweis für den Zugriff auf die Web UIvon Firepower Device Manager.
  • Sie haben mindestens eine konfigurierte und geprüfte funktionale interne Schnittstelle.
  • Sie haben mindestens eine konfigurierte und geprüfte funktionale externe Schnittstelle.

Vorgehensweise

Gehen Sie wie folgt vor, um eine Verbindung zu einem Cisco Firepower Thread Defense-Peer herzustellen:

  1. Melden Sie sich beim Firepower Device Manager an und klicken Sie in der Menüleiste auf Gerät, um die Seite "Gerätezusammenfassung" anzuzeigen. Klicken Sie anschließend in der Gruppe "Site-to-Site-VPN" auf Konfiguration anzeigen.

    Einheitenzusammenfassung
    Einheitenzusammenfassung

  2. Erstellen Sie den ersten IPsec-Tunnel. Klicken Sie auf der Seite "Site-to-Site-VPN" auf die Schaltfläche +, um eine Site-to-Site-VPN-Verbindung zu erstellen. Wenn noch keine Verbindungen vorhanden sind, können Sie auf die Schaltfläche Site-to-Site-Verbindung erstellen klicken.

  3. Definieren Sie auf der Seite "Neues Site-to-Site-VPN" die Endpunkte der Punkt-zu-Punkt-VPN-Verbindung. Konfigurieren Sie dazu die folgenden Einstellungen:

    • Name des Verbindungsprofils-Geben Sie einen Namen (bis zu 64 Zeichen ohne Leerzeichen) für diese Verbindung an. Sie können keine IP-Adresse als Namen verwenden.
    • Typ-Wählen Sie Richtlinienbasiert aus.
    • Schnittstelle für lokalen VPN-Zugriff-Wählen Sie die Schnittstelle aus, zu der der ferne Peer eine Verbindung herstellen kann. Geben Sie eine Link-Local-Adresse an.
    • Lokales Netz-Erstellen Sie neue Netzobjekte für lokale Teilnetze.
    • Ferne IP-Adresse-Wählen Sie Statisch aus.
    • Fernes Netz-Erstellen Sie neue Netzobjekte für VPN-Teilnetze.

    Endpunkte definieren
    Endpunkte definieren

  4. Klicken Sie auf Weiter. Definieren Sie auf der Seite "Datenschutzkonfiguration" die Datenschutzkonfiguration für das VPN.

    • Aktivieren Sie die Umschaltfläche IKE VERSION 2 und konfigurieren Sie die IKE-Richtlinie (Internet Key Exchange).

      IKE v2-Richtlinie hinzufügen
      IKE v2-Richtlinie hinzufügen

    • Konfigurieren Sie die Einstellungen für IPSec-Vorschlag, die die Kombination von Sicherheitsprotokollen und Algorithmen definieren, die den Datenverkehr in einem IPsec-Tunnel schützen.

      IKE hinzufügen v2 IPSec-Vorschlag
      IKE hinzufügen v2 IPSec-Vorschlag

    • Geben Sie den vorab verteilten Schlüssel an, der auf der lokalen und fernen Einheit definiert ist. Der Schlüssel kann 1-127 alphanumerische Zeichen lang sein. Klicken Sie anschließend auf Weiter.

      Vorab gemeinsam genutzter Schlüssel
      Vorab gemeinsam genutzter Schlüssel

  5. Überprüfen Sie die Zusammenfassung und klicken Sie auf Beenden.

  6. Erstellen Sie eine Zugriffssteuerungsrichtlinie, um den Datenverkehr über das VPN zuzulassen. Führen Sie hierzu die folgenden Schritte aus:

    1. Klicken Sie in der Menüleiste auf Richtlinien.
    2. Klicken Sie auf die Schaltfläche +, um eine Zugriffsregel hinzuzufügen. Wählen Sie Ihr lokales Netzobjekt für Quelle und Ihr fernes Netzobjekt als Ziel aus. Sie können Netzobjekte für die Quelle und das Ziel erstellen.
    3. Wählen Sie Aktion zulassen aus und klicken Sie dann auf OK.

    Zugriffssteuerungsrichtlinie erstellen
    Zugriffssteuerungsrichtlinie erstellen

  7. Wiederholen Sie Schritt 6, um eine weitere Zugriffssteuerungsrichtlinie für den zurückgegebenen Datenverkehr zu erstellen. Dieses Mal ist das ferne Netzobjekt die Quelle und das lokale Netzobjekt das Ziel.

  8. Konfigurieren Sie die TCP-MSS-Klemmung, um unnötige Fragmentierung zu vermeiden. Rufen Sie Einheit > Erweiterte Konfiguration > FlexConfig > FlexConfig Objekte > + Schaltfläche auf und erstellen Sie mit dem Befehl sysopt connection tcpmss 1360 ein FlexConfig-Objekt.

    FlexConfig Richtlinie
    FlexConfig Richtlinie

  9. Rufen Sie Gerät > Erweiterte Konfiguration > FlexConfig > FlexConfig Policy auf und fügen Sie das von Ihnen erstellte FlexConfig-Objekt hinzu. Klicken Sie auf Speichern.

    FlexConfig-Objekt bearbeiten
    FlexConfig-Objekt bearbeiten

  10. Implementieren Sie Ihre Änderungen:

    Änderungen implementieren
    Änderungen implementieren

  11. Um zu überprüfen, ob das IPSec VPN funktioniert, führen Sie den Befehl show crypto ikev2 sa über die CLI-Konsole aus und stellen Sie sicher, dass Hosts aus beiden Teilnetzen einander erreichen können.

    CLI-Befehl
    CLI-Befehl

    CLI-Ausgabe
    CLI-Ausgabe