IBM Cloud Docs
Cisco Firepower Thread Defense ピア (ルーター・ベース) への接続

Cisco Firepower Thread Defense ピア (ルーター・ベース) への接続

IBM Cloud VPN for VPC を使用すると、VPN トンネルを介して VPC をオンプレミス・ネットワークに安全に接続できます。 このトピックでは、 VPN for VPCに接続するように Cisco FTDv を構成する方法について説明します。

オンプレミス・ピアに接続する前に、 VPN ゲートウェイの制限 を確認してください。

以下の手順は、Cisco FTDv、Cisco Firepower Thread Defender、バージョン 7.0.4 に基づいています。

開始前に

VPN for VPC で使用するために Cisco FTDv を構成する最初のステップは、以下の前提条件が満たされていることを確認することです。

  • Cisco FTDv はオンラインであり、適切なライセンスで機能しています。
  • Firepower Device Manager Web UIにアクセスするための資格情報がある。
  • 少なくとも 1 つの構成済みで検証済みの機能内部インターフェースがあります。
  • 少なくとも 1 つの構成済みで検証済みの機能外部インターフェースがあります。

Cisco Firepower Thread Defense ピアへの IBM 経路ベースの VPN の接続

Cisco Firepower Thread Defense ピアに接続するには、以下の手順を実行します。

  1. Firepower Device Manager にログインし、メニュー・バーの 「デバイス」 をクリックして、「デバイスの要約」ページを表示します。 次に、サイト間 VPN グループの 「構成の表示」 をクリックします。

    「デバイスの要約」
    「デバイスの要約」

  2. 最初の IPsec トンネルを作成します。 「サイト間 VPN (Site-to-Site VPN)」ページで、 「+」 ボタンをクリックしてサイト間 VPN 接続を作成するか、まだ接続がない場合は 「サイト間接続の作成 (CREATE SITE-TO-SITE CONNECTION)」 ボタンをクリックします。

  3. 「新規サイト間 VPN」ページで、Point-to-Point VPN 接続のエンドポイントを定義します。 これを行うには、以下の設定を構成します。

    • 接続プロファイル名-この接続の名前を最大 64 文字 (スペースなし) で指定します。 IP アドレスを名前として使用することはできません。
    • タイプ-トンネルに参加するローカルおよびリモート・ネットワークを定義するために、ルーティング・テーブル (主に静的経路) を使用するには、 「経路ベース (VTI)」 を選択します。
    • ローカル VPN アクセス・インターフェース-リモート・ピアが接続できるインターフェースを選択します。 リンク・ローカル・アドレスを指定してください。
    • リモート IP アドレス (Remote IP Address)-1 次 IPsec トンネルのより小さい IBM ゲートウェイ・メンバーのパブリック IP を入力します。

    「エンドポイントの定義」
    「エンドポイントの定義」

    「ローカル VPN アクセス・インターフェース (Local VPN Access Interface)」 メニューの 「新規仮想インターフェースの作成 (Create new Virtual Interface)」 リンクをクリックして、仮想トンネル・インターフェース (VTI) を作成できます。 リンク・ローカル・アドレスを選択し、それが装置上の他のアドレスと重複しないように注意してください。 この例では、1 次トンネルに 169.254.0.0/30 を使用しました。 このサブネットには、30 ビットのネットマスクを持つ 2 つの使用可能な IP アドレス 169.254.0.1169.254.0.1 があります。 最初の IP アドレス 169.254.0.1 が FTDv の VTI として使用されました。 2 番目の IP アドレス 169.254.0.2 は、 IBM VPN ゲートウェイの VTI アドレスとして使用されました。

    仮想トンネル・インターフェースの作成
    仮想トンネル・インターフェースの作成

  4. 次へ をクリックします。 「プライバシー構成」ページで、VPN のプライバシー構成を定義します。

    • 「IKE バージョン 2」 トグル・ボタンを有効にして、Internet Key Exchange (IKE) ポリシーを構成します。

      IKE v2 ポリシーの追加
      IKE v2 ポリシーの追加

    • 「IPSec プロポーザル」 設定を構成します。これは、IPsec トンネル内のトラフィックを保護するセキュリティー・プロトコルとアルゴリズムの組み合わせを定義します。

      IKE v2 IPSec プロポーザルの追加
      IKE v2 IPSec プロポーザルの追加

    • ローカル・デバイスとリモート・デバイスの両方で定義されている 事前共有鍵 を指定します。 キーには、1 文字から 127 文字までの英数字を使用できます。 その後、「次へ」 をクリックします。

      「事前共有キー」
      「事前共有キー」

  5. サマリーを確認し、**「完了」**をクリックします。

  6. 2 次 IPsec トンネルを作成するには、以下のステップを実行します。

    1. 「デバイスの要約」ページで 「+」 ボタンをクリックします。

    2. 以下の例外を除き、ステップ 3 から 5 を繰り返します。

      • リモート IP アドレスには、より大きな IBM ゲートウェイ・メンバーのパブリック IP を 2 次 IPsec トンネルに使用します。
      • 1 次トンネルと同じ IKE VERSION 2 構成および IPSec プロポーザルを使用します。
  7. VPN を介したトラフィックを許可するためのアクセス制御ポリシーを作成します。 これを行うには、以下の手順を実行します。

    1. メニュー・バーから 「ポリシー」 をクリックします。

    2. 「+」 ボタンをクリックして、アクセス規則を追加します。 「送信元」 にローカル・ネットワーク・オブジェクトを選択し、 「宛先」 にリモート・ネットワーク・オブジェクトを選択します。 送信元と宛先のネットワーク・オブジェクトを作成できます。

    3. ルール 「タイトル」 を指定します。 「アクション」で 「許可」 を選択し、 「OK」 をクリックします。

      「アクセス規則の追加」
      「アクセス規則の追加」

  8. ステップ 7 を繰り返して、リターン・トラフィック用に別のアクセス制御ポリシーを作成します。 今回は、リモート・ネットワーク・オブジェクトが 送信元であり、ローカル・ネットワーク・オブジェクトが 宛先です。

  9. 静的経路を追加して、ローカル・ネットワークが 1 次 IPsec VPN トンネルを通過できるようにします。 これを行うには、 「デバイス」 > 「ルーティング」 > 「+」ボタン に移動し、以下の情報を入力します。

    • 名前-状況経路の名前を指定します。
    • インターフェース-既に作成した 1 次仮想トンネル・インターフェースを選択します。
    • ネットワーク-リモート・サブネット用に作成したネットワーク・オブジェクトを指定します。
    • ゲートウェイ-1 次仮想トンネルと同じサブネットからの IP を使用してネットワーク・オブジェクトを作成します。
    • メトリック-1 次トンネルのメトリックを指定します。 このメトリックは、2 次トンネルより小さくなければなりません。

    アクセス制御ポリシーの作成
    アクセス制御ポリシーの作成

  10. 「OK」 をクリックします。

  11. 静的経路を追加して、ローカル・ネットワークが 2 次 IPsec VPN トンネルを通過できるようにします。 これを行うには、 「デバイス」 > 「ルーティング」 > 「+」ボタン に移動し、以下の情報を入力します。

    • 名前-状況経路の名前 (例えば、 local-to-ibm-secondary) を指定します。
    • インターフェース-既に作成した 2 次仮想トンネル・インターフェースを選択します。
    • ネットワーク-リモート・サブネット用に作成したネットワーク・オブジェクトを指定します。
    • ゲートウェイ-2 次仮想トンネルと同じサブネットからの IP を使用してネットワーク・オブジェクトを作成します。
    • メトリック-2 次トンネルのメトリックを指定します。 このメトリックは、1 次トンネルより大きくなければなりません。

    「静的経路の追加」
    「静的経路の追加」

  12. 「OK」 をクリックします。

  13. TCP MSS クランプを構成して、不要なフラグメント化を回避します。 「デバイス」 > 「拡張構成」 > FlexConfig > FlexConfig オブジェクト >+ button に移動し、 sysopt connection tcpmss 1360 コマンドを使用して FlexConfig オブジェクトを作成します。

    FlexConfig ポリシー
    FlexConfig ポリシー

  14. 「デバイス」 > 「拡張構成」 > FlexConfig > FlexConfig Policy に移動し、作成した FlexConfig オブジェクトを追加します。 **「保存」**をクリックします。

    FlexConfig オブジェクトの編集
    FlexConfig オブジェクトの編集

  15. 変更をデプロイします。

    「保留中の変更」
    「保留中の変更」

  16. IPsec VPN が機能していることを確認するには、CLI コンソールから show crypto ikev2 sa コマンドを実行し、両方のサブネットのホストが互いに到達できることを確認します。

     コマンド{: caption="The show crypto ikev2 sa command "caption-side =" bottom "}

    コマンド出力
    コマンド出力