開始前に

VPN for VPC で使用するために Cisco FTDv を構成する最初のステップは、以下の前提条件が満たされていることを確認することです。

• Cisco FTDv はオンラインであり、適切なライセンスで機能しています。
• Firepower Device Manager Web UIにアクセスするための資格情報がある。
• 少なくとも 1 つの構成済みで検証済みの機能内部インターフェースがあります。
• 少なくとも 1 つの構成済みで検証済みの機能外部インターフェースがあります。

Cisco Firepower Thread Defense ピアへの IBM 経路ベースの VPN の接続

Cisco Firepower Thread Defense ピアに接続するには、以下の手順を実行します。

1. Firepower Device Manager にログインし、メニュー・バーの 「デバイス」 をクリックして、「デバイスの要約」ページを表示します。 次に、サイト間 VPN グループの 「構成の表示」 をクリックします。

   

2. 最初の IPsec トンネルを作成します。 「サイト間 VPN (Site-to-Site VPN)」ページで、 「+」 ボタンをクリックしてサイト間 VPN 接続を作成するか、まだ接続がない場合は 「サイト間接続の作成 (CREATE SITE-TO-SITE CONNECTION)」 ボタンをクリックします。

3. 「新規サイト間 VPN」ページで、Point-to-Point VPN 接続のエンドポイントを定義します。 これを行うには、以下の設定を構成します。

   • 接続プロファイル名-この接続の名前を最大 64 文字 (スペースなし) で指定します。 IP アドレスを名前として使用することはできません。
   • タイプ-トンネルに参加するローカルおよびリモート・ネットワークを定義するために、ルーティング・テーブル (主に静的経路) を使用するには、 「経路ベース (VTI)」 を選択します。
   • ローカル VPN アクセス・インターフェース-リモート・ピアが接続できるインターフェースを選択します。 リンク・ローカル・アドレスを指定してください。
   • リモート IP アドレス (Remote IP Address)-1 次 IPsec トンネルのより小さい IBM ゲートウェイ・メンバーのパブリック IP を入力します。

   

   「ローカル VPN アクセス・インターフェース (Local VPN Access Interface)」 メニューの 「新規仮想インターフェースの作成 (Create new Virtual Interface)」 リンクをクリックして、仮想トンネル・インターフェース (VTI) を作成できます。 リンク・ローカル・アドレスを選択し、それが装置上の他のアドレスと重複しないように注意してください。 この例では、1 次トンネルに 169.254.0.0/30 を使用しました。 このサブネットには、30 ビットのネットマスクを持つ 2 つの使用可能な IP アドレス 169.254.0.1 と 169.254.0.1 があります。 最初の IP アドレス 169.254.0.1 が FTDv の VTI として使用されました。 2 番目の IP アドレス 169.254.0.2 は、 IBM VPN ゲートウェイの VTI アドレスとして使用されました。

   

4. 次へ をクリックします。 「プライバシー構成」ページで、VPN のプライバシー構成を定義します。

   • 「IKE バージョン 2」 トグル・ボタンを有効にして、Internet Key Exchange (IKE) ポリシーを構成します。

     

   • 「IPSec プロポーザル」 設定を構成します。これは、IPsec トンネル内のトラフィックを保護するセキュリティー・プロトコルとアルゴリズムの組み合わせを定義します。

     

   • ローカル・デバイスとリモート・デバイスの両方で定義されている 事前共有鍵 を指定します。 キーには、1 文字から 127 文字までの英数字を使用できます。 その後、「次へ」 をクリックします。

     

5. サマリーを確認し、**「完了」**をクリックします。

6. 2 次 IPsec トンネルを作成するには、以下のステップを実行します。

   1. 「デバイスの要約」ページで 「+」 ボタンをクリックします。

   2. 以下の例外を除き、ステップ 3 から 5 を繰り返します。

      • リモート IP アドレスには、より大きな IBM ゲートウェイ・メンバーのパブリック IP を 2 次 IPsec トンネルに使用します。
      • 1 次トンネルと同じ IKE VERSION 2 構成および IPSec プロポーザルを使用します。

7. VPN を介したトラフィックを許可するためのアクセス制御ポリシーを作成します。 これを行うには、以下の手順を実行します。

   1. メニュー・バーから 「ポリシー」 をクリックします。

   2. 「+」 ボタンをクリックして、アクセス規則を追加します。 「送信元」 にローカル・ネットワーク・オブジェクトを選択し、 「宛先」 にリモート・ネットワーク・オブジェクトを選択します。 送信元と宛先のネットワーク・オブジェクトを作成できます。

   3. ルール 「タイトル」 を指定します。 「アクション」で 「許可」 を選択し、 「OK」 をクリックします。

      

8. ステップ 7 を繰り返して、リターン・トラフィック用に別のアクセス制御ポリシーを作成します。 今回は、リモート・ネットワーク・オブジェクトが 送信元であり、ローカル・ネットワーク・オブジェクトが 宛先です。

9. 静的経路を追加して、ローカル・ネットワークが 1 次 IPsec VPN トンネルを通過できるようにします。 これを行うには、 「デバイス」 > 「ルーティング」 > 「+」ボタン に移動し、以下の情報を入力します。

   • 名前-状況経路の名前を指定します。
   • インターフェース-既に作成した 1 次仮想トンネル・インターフェースを選択します。
   • ネットワーク-リモート・サブネット用に作成したネットワーク・オブジェクトを指定します。
   • ゲートウェイ-1 次仮想トンネルと同じサブネットからの IP を使用してネットワーク・オブジェクトを作成します。
   • メトリック-1 次トンネルのメトリックを指定します。 このメトリックは、2 次トンネルより小さくなければなりません。

   

10. 「OK」 をクリックします。

11. 静的経路を追加して、ローカル・ネットワークが 2 次 IPsec VPN トンネルを通過できるようにします。 これを行うには、 「デバイス」 > 「ルーティング」 > 「+」ボタン に移動し、以下の情報を入力します。

    • 名前-状況経路の名前 (例えば、 local-to-ibm-secondary) を指定します。
    • インターフェース-既に作成した 2 次仮想トンネル・インターフェースを選択します。
    • ネットワーク-リモート・サブネット用に作成したネットワーク・オブジェクトを指定します。
    • ゲートウェイ-2 次仮想トンネルと同じサブネットからの IP を使用してネットワーク・オブジェクトを作成します。
    • メトリック-2 次トンネルのメトリックを指定します。 このメトリックは、1 次トンネルより大きくなければなりません。

    

12. 「OK」 をクリックします。

13. TCP MSS クランプを構成して、不要なフラグメント化を回避します。 「デバイス」 > 「拡張構成」 > FlexConfig > FlexConfig オブジェクト >+ button に移動し、 sysopt connection tcpmss 1360 コマンドを使用して FlexConfig オブジェクトを作成します。

    

14. 「デバイス」 > 「拡張構成」 > FlexConfig > FlexConfig Policy に移動し、作成した FlexConfig オブジェクトを追加します。 **「保存」**をクリックします。

    

15. 変更をデプロイします。

    

16. IPsec VPN が機能していることを確認するには、CLI コンソールから show crypto ikev2 sa コマンドを実行し、両方のサブネットのホストが互いに到達できることを確認します。

    {: caption="The show crypto ikev2 sa command "caption-side =" bottom "}