시작하기 전에

VPN for VPC 과 함께 사용하도록 Cisco FTDv를 구성하는 첫 번째 단계는 다음 전제조건이 충족되는지 확인하는 것입니다.

• Cisco FTDv는 온라인 상태이며 적절한 라이센스로 작동합니다.
• Firepower Device Manager Web UI에 액세스하기 위한 신임 정보가 있습니다.
• 하나 이상의 구성되고 확인된 기능 내부 인터페이스가 있습니다.
• 하나 이상의 구성되고 확인된 기능 외부 인터페이스가 있습니다.

Cisco Firepower Thread Defense 피어에 IBM 라우트 기반 VPN 연결

Cisco Firepower Thread Defense 피어에 연결하려면 다음 단계를 수행하십시오.

1. Firepower Device Manager에 로그인하고 메뉴 표시줄에서 디바이스 를 클릭하여 디바이스 요약 페이지를 보십시오. 그런 다음 사이트 간 VPN 그룹에서 구성 보기 를 클릭하십시오.

   

2. 첫 번째 IPsec 터널을 작성하십시오. 사이트 간 VPN 페이지에서 + 단추를 클릭하여 사이트 간 VPN 연결을 작성하거나, 아직 연결이 없는 경우 사이트 간 연결 작성 단추를 클릭할 수 있습니다.

3. 새 사이트 간 VPN 페이지에서 지점간 VPN 연결의 엔드포인트를 정의하십시오. 이를 수행하려면 다음 설정을 구성하십시오.

   • 연결 프로파일 이름-이 연결의 이름을 공백 없이 최대 64자까지 제공하십시오. IP 주소를 이름으로 사용할 수 없습니다.
   • 유형-라우팅 테이블 (주로 정적 라우트) 을 사용하여 터널에 참여해야 하는 로컬 및 원격 네트워크를 정의하려면 라우트 기반 (VTI) 을 선택하십시오.
   • 로컬 VPN 액세스 인터페이스-원격 피어가 연결할 수 있는 인터페이스를 선택하십시오. 링크 로컬 주소를 제공하십시오.
   • 원격 IP 주소-기본 IPsec 터널에 대해 더 작은 IBM 게이트웨이 멤버 공용 IP를 입력하십시오.

   

   로컬 VPN 액세스 인터페이스 메뉴에서 새 가상 인터페이스 작성 링크를 클릭하여 가상 터널 인터페이스 (VTI) 를 작성할 수 있습니다. 링크 로컬 주소를 선택하되 디바이스의 다른 주소와 겹치지 않도록 주의하십시오. 이 예제에서는 1차 터널에 169.254.0.0/30 를 사용했습니다. 이 서브넷에는 두 개의 사용 가능한 IP 주소 169.254.0.1 및 169.254.0.1 이 있으며 30비트네트마스크가 있습니다. 첫 번째 IP 주소 169.254.0.1 이 (가) FTDv에서 VTI로 사용되었습니다. 두 번째 IP 주소 169.254.0.2 가 IBM VPN 게이트웨이 VTI 주소로 사용되었습니다.

   

4. 다음 을 클릭하십시오. 개인정보 보호정책 구성 페이지에서 VPN에 대한 개인정보 보호정책 구성을 정의하십시오.

   • IKE VERSION 2 전환 단추를 사용으로 설정하고 IKE (Internet Key Exchange) 정책을 구성하십시오.

     

   • IPsec 터널에서 트래픽을 보호하는 알고리즘 및 보안 프로토콜의 조합을 정의하는 IPSec 제안 설정을 구성하십시오.

     

   • 로컬 및 원격 장치 모두에 정의된 사전 공유 키 를 지정하십시오. 키는 1-127자의 영숫자일 수 있습니다. 그리고 나서 다음을 클릭하십시오.

     

5. 요약을 검토하고 완료를 클릭하십시오.

6. 2차 IPsec 터널을 작성하려면 다음 단계를 수행하십시오.

   1. 디바이스 요약 페이지에서 + 단추를 클릭하십시오.

   2. 다음 예외를 제외하고 3-5단계를 반복하십시오.

      • 원격 IP 주소의 경우, 2차 IPsec 터널에 대해 더 큰 IBM 게이트웨이 멤버 공용 IP를 사용하십시오.
      • 1차 터널과 동일한 IKE VERSION 2 구성 및 IPSec 제안을 사용하십시오.

7. VPN을 통한 트래픽을 허용하는 액세스 제어 정책을 작성하십시오. 이를 수행하려면 다음 단계를 따르십시오.

   1. 메뉴 표시줄에서 정책 을 클릭하십시오.

   2. + 단추를 클릭하여 액세스 규칙을 추가하십시오. 소스에 대한 로컬 네트워크 오브젝트를 선택하고 원격 네트워크 오브젝트를 대상으로 선택하십시오. 소스 및 대상에 대한 네트워크 오브젝트를 작성할 수 있습니다.

   3. 제목규칙을 지정하십시오. 조치에 대해 허용 을 선택한 후 확인을 클릭하십시오.

      

8. 7단계를 반복하여 리턴하는 트래픽에 대한 다른 액세스 제어 정책을 작성하십시오. 이번에는 원격 네트워크 오브젝트가 소스이고 로컬 네트워크 오브젝트가 대상입니다.

9. 로컬 네트워크가 1차 IPsec VPN 터널을 통과할 수 있도록 정적 라우트를 추가하십시오. 이를 수행하려면 디바이스 > 라우팅 > +단추 로 이동하여 다음 정보를 완료하십시오.

   • 이름-상태 라우트의 이름을 지정하십시오.
   • 인터페이스-이미 작성한 1차 가상 터널 인터페이스를 선택하십시오.
   • 네트워크-원격 서브넷에 대해 작성한 네트워크 오브젝트를 지정하십시오.
   • 게이트웨이-1차 가상 터널과 동일한 서브넷의 IP를 사용하여 네트워크 오브젝트를 작성합니다.
   • 메트릭-1차 터널의 메트릭을 지정하십시오. 이 지표는 2차 터널보다 작아야 합니다.

   

10. 확인을 클릭하십시오.

11. 로컬 네트워크가 2차 IPsec VPN 터널을 통과할 수 있도록 정적 라우트를 추가하십시오. 이를 수행하려면 디바이스 > 라우팅 > +단추 로 이동하여 다음 정보를 완료하십시오.

    • 이름-상태 라우트의 이름을 지정하십시오 (예: local-to-ibm-secondary).
    • 인터페이스-이미 작성한 2차 가상 터널 인터페이스를 선택하십시오.
    • 네트워크-원격 서브넷에 대해 작성한 네트워크 오브젝트를 지정하십시오.
    • 게이트웨이-2차 가상 터널과 동일한 서브넷의 IP를 사용하여 네트워크 오브젝트를 작성합니다.
    • 메트릭-2차 터널의 메트릭을 지정하십시오. 이 지표는 1차 터널보다 커야 합니다.

    

12. 확인을 클릭하십시오.

13. 불필요한 프래그먼트화를 방지하도록 TCP MSS 클램핑을 구성하십시오. 디바이스 > 고급 구성 > FlexConfig > FlexConfig 오브젝트 >+button 으로 이동하고 sysopt connection tcpmss 1360 명령을 사용하여 FlexConfig 오브젝트를 작성하십시오.

    

14. 디바이스 > 고급 구성 > FlexConfig > FlexConfig 정책 으로 이동하여 작성한 FlexConfig 오브젝트를 추가하십시오. 저장을 클릭하십시오.

    

15. 변경사항을 배치하십시오.

    

16. IPsec VPN이 작동 중인지 확인하려면 CLI 콘솔에서 show crypto ikev2 sa 명령을 실행하고 두 서브넷의 호스트가 서로 도달할 수 있는지 확인하십시오.

    {: caption="The show crypto ikev2 sa command" caption-side="bottom"}