Antes de empezar

El primer paso en la configuración de Cisco FTDv para su uso con VPN for VPC es asegurarse de que se cumplen las siguientes condiciones de requisito previo:

• Cisco FTDv es en línea y funcional con una licencia adecuada.
• Tiene una credencial para acceder a la Web UIde Firepower Device Manager.
• Tiene al menos una interfaz interna funcional configurada y verificada.
• Tiene al menos una interfaz externa funcional configurada y verificada.

Procedimiento

Para conectarse a un igual de Cisco Firepower Thread Defense, siga estos pasos:

1. Inicie sesión en Firepower Device Manager y pulse Dispositivo en la barra de menús para ver la página Resumen de dispositivo. A continuación, pulse Ver configuración en el grupo VPN de sitio a sitio.

   

2. Cree el primer túnel IPsec. En la página VPN de sitio a sitio, pulse el botón + para crear una conexión VPN de sitio a sitio o, si todavía no hay conexiones, puede pulsar el botón CREAR CONEXIÓN DE SITIO A SITIO.

3. En la página Nueva VPN de sitio a sitio, defina los puntos finales de la conexión VPN punto a punto. Para ello, configure los valores siguientes:

   • Nombre de perfil de conexión-Proporcione un nombre para esta conexión, con un máximo de 64 caracteres sin espacios. No puede utilizar una dirección IP como nombre.
   • Tipo: Seleccione Basado en políticas.
   • Interfaz de acceso VPN local: seleccione la interfaz a la que se puede conectar el igual remoto. Proporcione una dirección local de enlace.
   • Red local-Crear nuevos objetos de red para subredes locales.
   • Dirección IP remota-Seleccione Estática.
   • Red remota-Crear nuevos objetos de red para subredes VPN.

   

4. Pulse Siguiente. En la página Configuración de privacidad, defina la configuración de privacidad para la VPN.

   • Habilite el botón de conmutador IKE VERSION 2 y configure la política de intercambio de claves de Internet (IKE).

     

   • Configure los valores de Propuesta IPSec, que definen la combinación de protocolos de seguridad y algoritmos que protegen el tráfico en un túnel IPsec.

     

   • Especifique la Clave precompartida que se define en el dispositivo local y remoto. La clave puede tener de 1 a 127 caracteres alfanuméricos. A continuación, pulse Siguiente.

     

5. Revise el resumen y pulse Finalizar.

6. Cree una política de control de acceso para permitir el tráfico a través de la VPN. Para hacerlo, siga estos pasos:

   1. Pulse Políticas en la barra de menús.
   2. Pulse el botón + para añadir una regla de acceso. Seleccione el objeto de red local para Origen y el objeto de red remota como Destino. Puede crear objetos de red para el origen y el destino.
   3. Seleccione Permitir para Acción y, a continuación, pulse Aceptar.

   

7. Repita el paso 6 para crear otra política de control de acceso para el tráfico de devolución. Esta vez, el objeto de red remota es el Origen, y el objeto de red local es el Destino.

8. Configure la sujeción TCP MSS para evitar una fragmentación innecesaria. Vaya al botón Dispositivo > Configuración avanzada > FlexConfig > FlexConfig Objetos > + y cree un objeto FlexConfig con el mandato sysopt connection tcpmss 1360.

   

9. Vaya a Dispositivo > Configuración avanzada > FlexConfig > FlexConfig Policy y añada el objeto FlexConfig que ha creado. Pulse Guardar.

   

10. Despliegue los cambios:

    

11. Para verificar que la IPSec VPN funciona, ejecute el mandato show crypto ikev2 sa desde la consola de CLI y asegúrese de que los hosts de ambas subredes se puedan alcanzar entre sí.