Antes de empezar

El primer paso en la configuración de Cisco FTDv para su uso con VPN for VPC es asegurarse de que se cumplen las siguientes condiciones de requisito previo:

• Cisco FTDv es en línea y funcional con una licencia adecuada.
• Tiene una credencial para acceder a la Web UIde Firepower Device Manager.
• Tiene al menos una interfaz interna funcional configurada y verificada.
• Tiene al menos una interfaz externa funcional configurada y verificada.

Conexión de una VPN basada en ruta de IBM a un igual de Cisco Firepower Thread Defense

Para conectarse a un igual de Cisco Firepower Thread Defense, siga estos pasos:

1. Inicie sesión en Firepower Device Manager y pulse Dispositivo en la barra de menús para ver la página Resumen de dispositivo. A continuación, pulse Ver configuración en el grupo VPN de sitio a sitio.

   

2. Cree el primer túnel IPsec. En la página VPN de sitio a sitio, pulse el botón + para crear una conexión VPN de sitio a sitio o, si todavía no hay conexiones, puede pulsar el botón CREAR CONEXIÓN DE SITIO A SITIO.

3. En la página Nueva VPN de sitio a sitio, defina los puntos finales de la conexión VPN punto a punto. Para ello, configure los valores siguientes:

   • Nombre de perfil de conexión-Proporcione un nombre para esta conexión, con un máximo de 64 caracteres sin espacios. No puede utilizar una dirección IP como nombre.
   • Tipo-Seleccione Basado en ruta (VTI) para utilizar la tabla de direccionamiento, principalmente rutas estáticas, para definir las redes locales y remotas que deben participar en el túnel.
   • Interfaz de acceso VPN local: seleccione la interfaz a la que se puede conectar el igual remoto. Proporcione una dirección local de enlace.
   • Dirección IP remota-Especifique la IP pública de los miembros de pasarela de IBM más pequeños para el túnel IPsec primario.

   

   Puede crear una interfaz de túnel virtual (VTI) pulsando el enlace Crear nueva interfaz virtual en el menú Interfaz de acceso VPN local. Procure elegir la dirección de enlace local y asegúrese de que no se solape con otras direcciones del dispositivo. En este ejemplo, hemos utilizado 169.254.0.0/30 para nuestro túnel primario. Hay dos direcciones IP disponibles 169.254.0.1 y 169.254.0.1 en esta subred con una máscara de red de 30 bits. La primera dirección IP 169.254.0.1 se ha utilizado como VTI en FTDv. La segunda dirección IP 169.254.0.2 se ha utilizado como dirección VTI de pasarela IBM VPN.

   

4. Pulse Siguiente. En la página Configuración de privacidad, defina la configuración de privacidad para la VPN.

   • Habilite el botón de conmutador IKE VERSION 2 y configure la política de intercambio de claves de Internet (IKE).

     

   • Configure los valores de Propuesta IPSec, que definen la combinación de protocolos de seguridad y algoritmos que protegen el tráfico en un túnel IPsec.

     

   • Especifique la Clave precompartida que se define en el dispositivo local y remoto. La clave puede tener de 1 a 127 caracteres alfanuméricos. A continuación, pulse Siguiente.

     

5. Revise el resumen y pulse Finalizar.

6. Para crear el túnel IPsec secundario, siga estos pasos:

   1. Pulse el botón + en la página Resumen del dispositivo.

   2. Repita los pasos del 3 al 5 con las excepciones siguientes:

      • Para la dirección IP remota, utilice la mayor IP pública de miembros de IBM Gateway para el túnel IPsec secundario.
      • Utilice la misma configuración de IKE VERSION 2 y Propuestas IPSec como túnel primario.

7. Cree una política de control de acceso para permitir el tráfico a través de la VPN. Para hacerlo, siga estos pasos:

   1. Pulse Políticas en la barra de menús.

   2. Pulse el botón + para añadir una regla de acceso. Seleccione el objeto de red local para Origen y el objeto de red remota como Destino. Puede crear objetos de red para el origen y el destino.

   3. Especifique la regla Título. Seleccione Permitir para Acción y, a continuación, pulse Aceptar.

      

8. Repita el paso 7 para crear otra política de control de acceso para el tráfico de devolución. Esta vez, el objeto de red remota es el Origen, y el objeto de red local es el Destino.

9. Añada una ruta estática para permitir que las redes locales pasen a través del túnel VPN IPsec primario. Para ello, vaya a Dispositivo > Direccionamiento > + botón y complete la información siguiente:

   • Nombre: Especifique un nombre para la ruta de estado.
   • Interfaz-Seleccione la interfaz de túnel virtual primaria que ya ha creado.
   • Redes: especifique el objeto de red que ha creado para la subred remota.
   • Pasarela-Cree un objeto de red con una IP desde la misma subred que el túnel virtual primario.
   • Métrica: especifique la métrica para el túnel primario. Esta métrica debe ser menor que el túnel secundario.

   

10. Pulse Aceptar.

11. Añada una ruta estática para permitir que las redes locales pasen a través del túnel VPN IPsec secundario. Para ello, vaya a Dispositivo > Direccionamiento > + botón y complete la información siguiente:

    • Nombre: especifique un nombre para la ruta de estado (por ejemplo, local-to-ibm-secondary).
    • Interfaz-Seleccione la interfaz de túnel virtual secundaria que ya ha creado.
    • Redes: especifique el objeto de red que ha creado para la subred remota.
    • Pasarela-Cree un objeto de red con una IP desde la misma subred que el túnel virtual secundario.
    • Métrica: especifique la métrica para el túnel secundario. Esta métrica debe ser mayor que el túnel primario.

    

12. Pulse Aceptar.

13. Configure la sujeción TCP MSS para evitar una fragmentación innecesaria. Vaya al botón Dispositivo > Configuración avanzada > FlexConfig > FlexConfig Objetos >+ y cree un objeto FlexConfig con el mandato sysopt connection tcpmss 1360.

    

14. Vaya a Dispositivo > Configuración avanzada > FlexConfig > FlexConfig Policy y añada el objeto FlexConfig que ha creado. Pulse Guardar.

    

15. Despliegue los cambios:

    

16. Para verificar que la VPN de IPsec funciona, ejecute el mandato show crypto ikev2 sa desde la consola de CLI y asegúrese de que los hosts de ambas subredes se pueden alcanzar entre sí.

    {: caption="El mandato show crypto ikev2 sa "caption-side =" bottom "}