IBM Cloud Docs
Connessione a un peer Cisco Firepower Thread Defense (basato sull'instradamento)

Connessione a un peer Cisco Firepower Thread Defense (basato sull'instradamento)

È possibile utilizzare IBM Cloud VPN for VPC per connettere in modo sicuro il VPC a una rete on-premises attraverso un tunnel VPN. Questo argomento fornisce indicazioni su come configurare il Cisco FTDv per connettersi a VPN for VPC.

Esaminate i problemi noti dei gateway VPN prima di connettervi al vostro peer on-premises.

queste istruzioni si basano su Cisco FTDv, Cisco Firepower Thread Defender, Versione 7.0.4.

Prima di iniziare

Il primo passo per la configurazione di Cisco FTDv per l'uso di VPN for VPC è assicurarsi che siano soddisfatte le seguenti condizioni preliminari:

  • Cisco FTDv è online e funzionante con una licenza adeguata.
  • Si dispone di una credenziale per accedere alla Web UIdi Firepower Device Manager.
  • Si dispone di almeno un'interfaccia interna configurata e verificata.
  • Si dispone di almeno un'interfaccia esterna configurata e verificata.

Connessione di una VPN basata su instradamento IBM a un peer Cisco Firepower Thread Defense

Per connettersi a un peer Cisco Firepower Thread Defense, attenersi alla seguente procedura:

  1. Accedi a Firepower Device Manager e fai clic su Device nella barra dei menu per visualizzare la pagina di riepilogo del dispositivo. Quindi, fare clic su Visualizza configurazione nel gruppo VPN da sito a sito.

    Riepilogo periferiche
    Riepilogo periferiche

  2. Creare il primo tunnel IPsec. Nella pagina VPN da sito a sito, fare clic sul pulsante + per creare una connessione VPN da sito a sito oppure, se non sono ancora presenti connessioni, fare clic sul pulsante CREA CONNESSIONE DA SITO A SITO.

  3. Nella pagina Nuova VPN da sito a sito, definire gli endpoint della connessione VPN da punto a punto. Per fare ciò, configurare le seguenti impostazioni:

    • Nome profilo di connessione- Fornire un nome per questa connessione, fino a 64 caratteri senza spazi. Non è possibile utilizzare un indirizzo IP come nome.
    • Tipo- Selezionare VTI (Route Based) per utilizzare la tabella di instradamento, principalmente gli instradamenti statici, per definire le reti locali e remote che devono partecipare al tunnel.
    • Interfaccia di accesso VPN locale- Selezionare l'interfaccia a cui il peer remoto può connettersi. Fornire un indirizzo locale di collegamento.
    • Indirizzo IP remoto- Immettere l'IP pubblico dei membri gateway IBM più piccolo per il tunnel IPsec primario.

    Definisci endpoint
    Definisci endpoint

    È possibile creare una VTI (virtual tunnel interface) facendo clic sul collegamento Crea nuova interfaccia virtuale nel menu Interfaccia di accesso VPN locale. Fare attenzione a scegliere l'indirizzo locale del collegamento e assicurarsi che non si sovrappongano con altri indirizzi sul dispositivo. In questo esempio, è stato utilizzato 169.254.0.0/30 per il tunnel primario. Ci sono due indirizzi IP disponibili 169.254.0.1 e 169.254.0.1 in questa sottorete con una maschera di rete a 30 bit. Il primo indirizzo IP 169.254.0.1 è stato utilizzato come VTI su FTDv. Il secondo indirizzo IP 169.254.0.2 è stato utilizzato come indirizzo VTI del gateway IBM VPN.

    Crea interfaccia tunnel virtuale
    Crea interfaccia tunnel virtuale

  4. Fare clic su Avanti. Nella pagina Configurazione della privacy, definire la configurazione della privacy per la VPN.

    • Abilitare il pulsante IKE VERSION 2 e configurare la normativa IKE (Internet Key Exchange).

      Aggiungi politica IKE v2
      Aggiungi politica IKE v2

    • Configurare le impostazioni Proposta IPSec, che definiscono la combinazione di protocolli di sicurezza e algoritmi che proteggono il traffico in un tunnel IPsec.

      Aggiungi proposta IKE v2 IPSec
      Aggiungi IKE v2 IPSec

    • Specificare la Chiave pre - condivisa definita sia sulla periferica locale che su quella remota. La chiave può contenere da 1 a 127 caratteri alfanumerici. Poi, fai clic su Avanti.

      Chiave precondivisa
      Chiave precondivisa

  5. Esaminare il riepilogo e fare clic su FINISH.

  6. Per creare il tunnel IPsec secondario, attenersi alla seguente procedura:

    1. Fare clic sul pulsante + dalla pagina Riepilogo dispositivo.

    2. Ripetere i passi da 3 a 5 con le seguenti eccezioni:

      • Per l'indirizzo IP remoto, utilizzare l'IP pubblico dei membri del gateway IBM maggiore per il tunnel IPsec secondario.
      • Utilizzare la configurazione IKE VERSION 2 e le proposte IPSec come tunnel primario.

  7. Crea un criterio di controllo degli accessi per consentire il traffico attraverso la VPN. A tale scopo, attieniti alla seguente procedura:

    1. Fare clic su Criteri dalla barra dei menu.

    2. Fare clic sul pulsante + per aggiungere una regola di accesso. Selezionare l'oggetto di rete locale per Origine e l'oggetto di rete remoto come Destinazione. È possibile creare oggetti di rete per l'origine e la destinazione.

    3. Specificare la regola Titolo. Selezionare Consenti per Azione e fare clic su OK.

      Aggiungi regola di accesso
      Aggiungi regola di accesso

  8. Ripetere il passo 7 per creare un altro criterio di controllo degli accessi per il traffico di ritorno. Questa volta, l'oggetto di rete remoto è Origine e l'oggetto di rete locale è la Destinazione.

  9. Aggiungere un instradamento statico per consentire alle reti locali di passare attraverso il tunnel VPN IPsec primario. Per farlo, vai a Device > Routing > + button e completa le seguenti informazioni:

    • Nome- Specificare un nome per l'instradamento dello stato.
    • Interfaccia- Selezionare l'interfaccia del tunnel virtuale principale già creata.
    • Reti- Specificare l'oggetto di rete creato per la sottorete remota.
    • Gateway- Crea un oggetto di rete con un IP dalla stessa sottorete del tunnel virtuale primario.
    • Metrica- Specificare la metrica per il tunnel primario. Questa metrica deve essere inferiore al tunnel secondario.

    Crea criterio di controllo accessi
    Crea criterio di controllo accessi

  10. Fai clic su OK.

  11. Aggiungere un instradamento statico per consentire alle reti locali di passare attraverso il tunnel VPN IPsec secondario. Per farlo, vai a Device > Routing > + button e completa le seguenti informazioni:

    • Nome- Specificare un nome per l'instradamento dello stato (ad esempio, local-to-ibm-secondary).
    • Interfaccia- Selezionare l'interfaccia del tunnel virtuale secondario già creata.
    • Reti- Specificare l'oggetto di rete creato per la sottorete remota.
    • Gateway- Crea un oggetto di rete con un IP dalla stessa sottorete del tunnel virtuale secondario.
    • Metrica- Specificare la metrica per il tunnel secondario. Questa metrica deve essere maggiore del tunnel primario.

    Aggiungi instradamento statico
    Aggiungi instradamento statico

  12. Fai clic su OK.

  13. Configurare TCP MSS clamping per evitare inutili frammentazioni. Vai a Device > Advanced Configuration > FlexConfig > FlexConfig Objects >+ button e crea un oggetto FlexConfig con il comando sysopt connection tcpmss 1360.

    caption-side=bottom"
    FlexConfig Criterio Criterio FlexConfig

  14. Vai a Device > Advanced Configuration (Configurazione avanzata) > FlexConfig > FlexConfig Policy e aggiungi l'oggetto FlexConfig che hai creato. Fai clic su SAVE.

    Modifica oggetto FlexConfig
    Modifica oggetto FlexConfig

  15. Distribuire le proprie modifiche:

    Modifiche in sospeso
    Modifiche in sospeso

  16. Per verificare che la VPN IPsec stia funzionando, esegui il comando show crypto ikev2 sa dalla console della CLI e assicurati che gli host da entrambe le sottoreti possano raggiungere l'un l'altro.

    comando{: caption="Il comando show crypto ikev2 sa "caption - side =" bottom "}

    Output comando
    Output comando