Verbindung zu einem Cisco Firepower Thread Defense Peer herstellen (routebasiert)
Mit IBM Cloud VPN for VPC können Sie Ihre VPC über einen VPN-Tunnel sicher mit einem lokalen Netz zu verbinden. Dieser Abschnitt enthält Anleitungen zur Konfiguration von Cisco FTDv für die Verbindung zu VPN for VPC.
Lesen Sie Einschränkungen für VPN-Gateways, bevor Sie eine Verbindung zu Ihrem lokalen Peer herstellen.
Diese Anweisungen basieren auf Cisco FTDv, Cisco Firepower Thread Defender Version 7.0.4.
Vorbereitende Schritte
Der erste Schritt beim Konfigurieren von Cisco FTDv für die Verwendung mit VPN for VPC besteht darin, sicherzustellen, dass die folgenden Voraussetzungen erfüllt sind:
- Cisco FTDv ist online und funktioniert mit einer ordnungsgemäßen Lizenz.
- Sie haben einen Berechtigungsnachweis für den Zugriff auf die Web UIvon Firepower Device Manager.
- Sie haben mindestens eine konfigurierte und geprüfte funktionale interne Schnittstelle.
- Sie haben mindestens eine konfigurierte und geprüfte funktionale externe Schnittstelle.
IBM-Routing-basiertes VPN mit einem Cisco Firepower Thread Defense-Peer verbinden
Gehen Sie wie folgt vor, um eine Verbindung zu einem Cisco Firepower Thread Defense-Peer herzustellen:
-
Melden Sie sich beim Firepower Device Manager an und klicken Sie in der Menüleiste auf Gerät, um die Seite "Gerätezusammenfassung" anzuzeigen. Klicken Sie anschließend in der Gruppe "Site-to-Site-VPN" auf Konfiguration anzeigen.
Einheitenzusammenfassung -
Erstellen Sie den ersten IPsec-Tunnel. Klicken Sie auf der Seite "Site-to-Site-VPN" auf die Schaltfläche +, um eine Site-to-Site-VPN-Verbindung zu erstellen. Wenn noch keine Verbindungen vorhanden sind, können Sie auf die Schaltfläche Site-to-Site-Verbindung erstellen klicken.
-
Definieren Sie auf der Seite "Neues Site-to-Site-VPN" die Endpunkte der Punkt-zu-Punkt-VPN-Verbindung. Konfigurieren Sie dazu die folgenden Einstellungen:
- Name des Verbindungsprofils-Geben Sie einen Namen (bis zu 64 Zeichen ohne Leerzeichen) für diese Verbindung an. Sie können keine IP-Adresse als Namen verwenden.
- Typ-Wählen Sie Routing-basiert (VTI) aus, um die Routing-Tabelle (hauptsächlich statische Routen) zu verwenden, um die lokalen und fernen Netze zu definieren, die am Tunnel teilnehmen sollen.
- Schnittstelle für lokalen VPN-Zugriff-Wählen Sie die Schnittstelle aus, zu der der ferne Peer eine Verbindung herstellen kann. Geben Sie eine Link-Local-Adresse an.
- Ferne IP-Adresse-Geben Sie die kleinere öffentliche IP-Adresse der IBM Gateway-Mitglieder für den primären IPsec-Tunnel ein.
Endpunkte definieren Sie können eine virtuelle Tunnelschnittstelle (VTI) erstellen, indem Sie im Menü Schnittstelle für lokalen VPN-Zugriff auf den Link Neue virtuelle Schnittstelle erstellen klicken. Achten Sie darauf, die lokale Verbindungsadresse auszuwählen, und stellen Sie sicher, dass sie sich nicht mit anderen Adressen auf dem Gerät überschneidet. In diesem Beispiel wurde
169.254.0.0/30
für den primären Tunnel verwendet. Es gibt zwei verfügbare IP-Adressen169.254.0.1
und169.254.0.1
in diesem Teilnetz mit einer 30-Bit-Netzmaske. Die erste IP-Adresse169.254.0.1
wurde als VTI in FTDv verwendet. Die zweite IP-Adresse169.254.0.2
wurde als VTI-Adresse des IBM VPN-Gateways verwendet.Virtuelle Tunnelschnittstelle erstellen -
Klicken Sie auf Weiter. Definieren Sie auf der Seite "Datenschutzkonfiguration" die Datenschutzkonfiguration für das VPN.
-
Aktivieren Sie die Umschaltfläche IKE VERSION 2 und konfigurieren Sie die IKE-Richtlinie (Internet Key Exchange).
IKE v2-Richtlinie hinzufügen -
Konfigurieren Sie die Einstellungen für IPSec-Vorschlag, die die Kombination von Sicherheitsprotokollen und Algorithmen definieren, die den Datenverkehr in einem IPsec-Tunnel schützen.
IKE hinzufügen v2 IPSec-Vorschlag -
Geben Sie den vorab verteilten Schlüssel an, der auf der lokalen und fernen Einheit definiert ist. Der Schlüssel kann 1-127 alphanumerische Zeichen lang sein. Klicken Sie anschließend auf Weiter.
Vorab gemeinsam genutzter Schlüssel
-
-
Überprüfen Sie die Zusammenfassung und klicken Sie auf Beenden.
-
Führen Sie die folgenden Schritte aus, um den sekundären IPsec-Tunnel zu erstellen:
-
Klicken Sie auf der Seite "Gerätezusammenfassung" auf die Schaltfläche +.
-
Wiederholen Sie die Schritte 3 bis 5 mit den folgenden Ausnahmen:
- Verwenden Sie für die ferne IP-Adresse die größere öffentliche IP-Adresse der IBM Gateway-Mitglieder für den sekundären IPsec-Tunnel.
- Verwenden Sie dieselbe IKE VERSION 2-Konfiguration und dieselben IPSec-Vorschläge wie den primären Tunnel.
-
-
Erstellen Sie eine Zugriffssteuerungsrichtlinie, um den Datenverkehr über das VPN zuzulassen. Führen Sie hierzu die folgenden Schritte aus:
-
Klicken Sie in der Menüleiste auf Richtlinien.
-
Klicken Sie auf die Schaltfläche +, um eine Zugriffsregel hinzuzufügen. Wählen Sie Ihr lokales Netzobjekt für Quelle und Ihr fernes Netzobjekt als Ziel aus. Sie können Netzobjekte für die Quelle und das Ziel erstellen.
-
Geben Sie den Titel der Regel an. Wählen Sie Aktion zulassen aus und klicken Sie dann auf OK.
Zugriffsregel hinzufügen
-
-
Wiederholen Sie Schritt 7, um eine weitere Zugriffssteuerungsrichtlinie für den zurückgegebenen Datenverkehr zu erstellen. Dieses Mal ist das ferne Netzobjekt die Quelle und das lokale Netzobjekt das Ziel.
-
Fügen Sie eine statische Route hinzu, damit Ihre lokalen Netze den primären IPsec-VPN-Tunnel durchlaufen können. Rufen Sie dazu Einheit > Routing > Schaltfläche + auf und geben Sie die folgenden Informationen ein:
- Name-Geben Sie einen Namen für die Statusroute an.
- Schnittstelle-Wählen Sie die primäre virtuelle Tunnelschnittstelle aus, die Sie bereits erstellt haben.
- Netze-Geben Sie das für das ferne Teilnetz erstellte Netzobjekt an.
- Gateway-Erstellt ein Netzobjekt mit einer IP aus demselben Teilnetz wie der primäre virtuelle Tunnel.
- Metrik-Geben Sie die Metrik für den primären Tunnel an. Diese Metrik muss kleiner als der sekundäre Tunnel sein.
Zugriffssteuerungsrichtlinie erstellen -
Klicken Sie auf OK.
-
Fügen Sie eine statische Route hinzu, damit Ihre lokalen Netze den sekundären IPsec-VPN-Tunnel durchlaufen können. Rufen Sie dazu Einheit > Routing > Schaltfläche + auf und geben Sie die folgenden Informationen ein:
- Name-Geben Sie einen Namen für die Statusroute an (z. B.
local-to-ibm-secondary
). - Schnittstelle: Wählen Sie die sekundäre virtuelle Tunnelschnittstelle aus, die Sie bereits erstellt haben.
- Netze-Geben Sie das für das ferne Teilnetz erstellte Netzobjekt an.
- Gateway-Erstellen Sie ein Netzobjekt mit einer IP aus demselben Teilnetz wie der sekundäre virtuelle Tunnel.
- Metrik-Geben Sie die Metrik für den sekundären Tunnel an. Diese Metrik muss größer als der primäre Tunnel sein.
Statische Route hinzufügen - Name-Geben Sie einen Namen für die Statusroute an (z. B.
-
Klicken Sie auf OK.
-
Konfigurieren Sie die TCP-MSS-Klemmung, um unnötige Fragmentierung zu vermeiden. Rufen Sie Einheit > Erweiterte Konfiguration > FlexConfig > FlexConfig Objekte >+ Schaltfläche auf und erstellen Sie mit dem Befehl
sysopt connection tcpmss 1360
ein FlexConfig-Objekt.FlexConfig Richtlinie -
Rufen Sie Gerät > Erweiterte Konfiguration > FlexConfig > FlexConfig Policy auf und fügen Sie das von Ihnen erstellte FlexConfig-Objekt hinzu. Klicken Sie auf Speichern.
FlexConfig-Objekt bearbeiten -
Implementieren Sie Ihre Änderungen:
Anstehende Änderungen -
Um sicherzustellen, dass das IPsec-VPN funktioniert, führen Sie den Befehl
show crypto ikev2 sa
über die CLI-Konsole aus und stellen Sie sicher, dass die Hosts aus beiden Teilnetzen einander erreichen können.{: caption="Der
show crypto ikev2 sa
-Befehl "caption-side =" bottom "}Befehlsausgabe