IBM Cloud Docs
Connessione a un peer Cisco Firepower Thread Defense (basato sull'instradamento)

Connessione a un peer Cisco Firepower Thread Defense (basato sull'instradamento)

Puoi utilizzare IBM Cloud VPN for VPC per connettere in modo sicuro il VPC a una rete in loco tramite un tunnel VPN. Questo argomento fornisce una guida su come configurare Cisco FTDv per la connessione a VPN for VPC.

Esamina le limitazioni gateway VPN prima di connetterti al tuo peer in loco.

queste istruzioni si basano su Cisco FTDv, Cisco Firepower Thread Defender, Versione 7.0.4.

Prima di iniziare

Il primo passo nella configurazione di Cisco FTDv per l'utilizzo con VPN for VPC è garantire che siano soddisfatte le seguenti condizioni prerequisite:

  • Cisco FTDv è online e funzionale con una corretta licenza.
  • Si dispone di una credenziale per accedere alla Web UIdi Firepower Device Manager.
  • Si dispone di almeno un'interfaccia interna funzionale configurata e verificata.
  • Si dispone di almeno un'interfaccia esterna funzionale configurata e verificata.

Connessione di una VPN basata su instradamento IBM a un peer Cisco Firepower Thread Defense

Per connettersi a un peer Cisco Firepower Thread Defense, attenersi alla seguente procedura:

  1. Accedi a Firepower Device Manager e fai clic su Device nella barra dei menu per visualizzare la pagina di riepilogo del dispositivo. Quindi, fare clic su Visualizza configurazione nel gruppo VPN da sito a sito.

    Riepilogo periferiche
    Riepilogo periferiche

  2. Creare il primo tunnel IPsec. Nella pagina VPN da sito a sito, fare clic sul pulsante + per creare una connessione VPN da sito a sito oppure, se non sono ancora presenti connessioni, fare clic sul pulsante CREA CONNESSIONE DA SITO A SITO.

  3. Nella pagina Nuova VPN da sito a sito, definire gli endpoint della connessione VPN da punto a punto. Per fare ciò, configurare le seguenti impostazioni:

    • Nome profilo di connessione- Fornire un nome per questa connessione, fino a 64 caratteri senza spazi. Non è possibile utilizzare un indirizzo IP come nome.
    • Tipo- Selezionare VTI (Route Based) per utilizzare la tabella di instradamento, principalmente gli instradamenti statici, per definire le reti locali e remote che devono partecipare al tunnel.
    • Interfaccia di accesso VPN locale- Selezionare l'interfaccia a cui il peer remoto può connettersi. Fornire un indirizzo locale di collegamento.
    • Indirizzo IP remoto- Immettere l'IP pubblico dei membri gateway IBM più piccolo per il tunnel IPsec primario.

    Definisci endpoint
    Definisci endpoint

    È possibile creare una VTI (virtual tunnel interface) facendo clic sul collegamento Crea nuova interfaccia virtuale nel menu Interfaccia di accesso VPN locale. Fare attenzione a scegliere l'indirizzo locale del collegamento e assicurarsi che non si sovrappongano con altri indirizzi sul dispositivo. In questo esempio, è stato utilizzato 169.254.0.0/30 per il tunnel primario. Ci sono due indirizzi IP disponibili 169.254.0.1 e 169.254.0.1 in questa sottorete con una maschera di rete a 30 bit. Il primo indirizzo IP 169.254.0.1 è stato utilizzato come VTI su FTDv. Il secondo indirizzo IP 169.254.0.2 è stato utilizzato come indirizzo VTI del gateway IBM VPN.

    Crea interfaccia tunnel virtuale
    Crea interfaccia tunnel virtuale

  4. Fare clic su Avanti. Nella pagina Configurazione della privacy, definire la configurazione della privacy per la VPN.

    • Abilitare il pulsante IKE VERSION 2 e configurare la normativa IKE (Internet Key Exchange).

      Aggiungi politica IKE v2
      Aggiungi politica IKE v2

    • Configurare le impostazioni Proposta IPSec, che definiscono la combinazione di protocolli di sicurezza e algoritmi che proteggono il traffico in un tunnel IPsec.

      Aggiungi proposta IKE v2 IPSec
      Aggiungi IKE v2 IPSec

    • Specificare la Chiave pre - condivisa definita sia sulla periferica locale che su quella remota. La chiave può contenere da 1 a 127 caratteri alfanumerici. Poi, fai clic su Avanti.

      Chiave precondivisa
      Chiave precondivisa

  5. Esamina il riepilogo e fai clic su FINISH.

  6. Per creare il tunnel IPsec secondario, attenersi alla seguente procedura:

    1. Fare clic sul pulsante + dalla pagina Riepilogo dispositivo.

    2. Ripetere i passi da 3 a 5 con le seguenti eccezioni:

      • Per l'indirizzo IP remoto, utilizzare l'IP pubblico dei membri del gateway IBM maggiore per il tunnel IPsec secondario.
      • Utilizzare la configurazione IKE VERSION 2 e le proposte IPSec come tunnel primario.

  7. Crea un criterio di controllo degli accessi per consentire il traffico attraverso la VPN. A tale scopo, attieniti alla seguente procedura:

    1. Fare clic su Politiche dalla barra dei menu.

    2. Fare clic sul pulsante + per aggiungere una regola di accesso. Selezionare l'oggetto di rete locale per Origine e l'oggetto di rete remoto come Destinazione. È possibile creare oggetti di rete per l'origine e la destinazione.

    3. Specificare la regola Titolo. Selezionare Consenti per Azione e fare clic su OK.

      Aggiungi regola di accesso
      Aggiungi regola di accesso

  8. Ripetere il passo 7 per creare un altro criterio di controllo degli accessi per il traffico di ritorno. Questa volta, l'oggetto di rete remoto è Origine e l'oggetto di rete locale è la Destinazione.

  9. Aggiungere un instradamento statico per consentire alle reti locali di passare attraverso il tunnel VPN IPsec primario. Per farlo, vai a Device > Routing > + button e completa le seguenti informazioni:

    • Nome- Specificare un nome per l'instradamento dello stato.
    • Interfaccia- Selezionare l'interfaccia del tunnel virtuale principale già creata.
    • Reti- Specificare l'oggetto di rete creato per la sottorete remota.
    • Gateway- Crea un oggetto di rete con un IP dalla stessa sottorete del tunnel virtuale primario.
    • Metrica- Specificare la metrica per il tunnel primario. Questa metrica deve essere inferiore al tunnel secondario.

    Crea criterio di controllo accessi
    Crea criterio di controllo accessi

  10. Fai clic su OK.

  11. Aggiungere un instradamento statico per consentire alle reti locali di passare attraverso il tunnel VPN IPsec secondario. Per farlo, vai a Device > Routing > + button e completa le seguenti informazioni:

    • Nome- Specificare un nome per l'instradamento dello stato (ad esempio, local-to-ibm-secondary).
    • Interfaccia- Selezionare l'interfaccia del tunnel virtuale secondario già creata.
    • Reti- Specificare l'oggetto di rete creato per la sottorete remota.
    • Gateway- Crea un oggetto di rete con un IP dalla stessa sottorete del tunnel virtuale secondario.
    • Metrica- Specificare la metrica per il tunnel secondario. Questa metrica deve essere maggiore del tunnel primario.

    Aggiungi instradamento statico
    Aggiungi instradamento statico

  12. Fai clic su OK.

  13. Configurare TCP MSS clamping per evitare inutili frammentazioni. Vai a Device > Advanced Configuration > FlexConfig > FlexConfig Objects >+ button e crea un oggetto FlexConfig con il comando sysopt connection tcpmss 1360.

    FlexConfig Politica
    FlexConfig Politica

  14. Vai a Device > Advanced Configuration (Configurazione avanzata) > FlexConfig > FlexConfig Policy e aggiungi l'oggetto FlexConfig che hai creato. Fai clic su SAVE.

    Modifica oggetto FlexConfig
    Modifica oggetto FlexConfig

  15. Distribuire le proprie modifiche:

    Modifiche in sospeso
    Modifiche in sospeso

  16. Per verificare che la VPN IPsec stia funzionando, esegui il comando show crypto ikev2 sa dalla console della CLI e assicurati che gli host da entrambe le sottoreti possano raggiungere l'un l'altro.

    comando{: caption="Il comando show crypto ikev2 sa "caption - side =" bottom "}

    Output comando
    Output comando