Antes de Iniciar

A primeira etapa na configuração do Cisco FTDv para uso com o VPN for VPC é assegurar que as condições de pré-requisito a seguir sejam atendidas:

• Cisco FTDv é online e funcional com uma licença apropriada.
• Você tem uma credencial para acessar o Firepower Device Manager Web UI.
• Você tem pelo menos uma interface interna funcional configurada e verificada
• Você tem pelo menos uma interface externa funcional configurada e verificada

Procedimento

Para se conectar a um peer do Cisco Firepower Thread Defense, siga estas etapas:

1. Efetue login no Firepower Device Manager e clique em Dispositivo na barra de menu para visualizar a página Resumo do dispositivo Em seguida, clique em Visualizar configuração no grupo VPN de site para site.

   

2. Crie o primeiro túnel do IPsec Na página VPN de Site para Site, clique no botão + para criar uma conexão VPN de site para site ou, se ainda não houver conexões, será possível clicar no botão CRIAR CONEXÃO DE SITE PARA SITE.

3. Na página Nova VPN de site para site, defina os terminais da conexão de VPN ponto a ponto Para fazer isso, defina as seguintes configurações:

   • Nome do Perfil de Conexão-Forneça um nome para essa conexão, até 64 caracteres sem espaços Não é possível usar um endereço IP como o nome
   • Tipo-Selecione Baseado em Política
   • Interface de acesso à VPN local-Selecione a interface à qual o peer remoto pode se conectar Forneça um endereço de local de link
   • Rede Local-Criar novos objetos de rede para sub-redes locais.
   • Endereço IP Remoto-Selecione Estático
   • Rede Remota-Criar novos objetos de rede para sub-redes VPN

   

4. Clique em Avançar. Na página Configuração de privacidade, defina a configuração de privacidade para a VPN.

   • Ative o botão de alternância IKE VERSION 2 e configure a Política de troca de chave da Internet (IKE).

     

   • Defina as configurações de Proposta IPSec, que definem a combinação de protocolos de segurança e algoritmos que protegem o tráfego em um túnel IPsec

     

   • Especifique a Chave pré-compartilhada definida no dispositivo local e remoto. A chave pode ter de 1 a 127 caracteres alfanuméricos. Em seguida, clique em AVANÇAR.

     

5. Revise o resumo e clique em Concluir.

6. Crie uma política de controle de acesso para permitir o tráfego na VPN. Para fazer isso, siga estas etapas:

   1. Clique em Políticas na barra de menus.
   2. Clique no botão + para incluir uma regra de acesso Selecione seu objeto de rede local para Origem e seu objeto de rede remota como Destino. É possível criar objetos de rede para a Origem ou o Destino.
   3. Selecione Permitir para Ação e clique em OK.

   

7. Repita a etapa 6 para criar outra política de controle de acesso para o tráfego retornado. Desta vez, o objeto de rede remota é a Origem e o objeto de rede local é o Destino.

8. Configure a fixação do TCP MSS para evitar fragmentação desnecessária Acesse Dispositivo > Configuração avançada > FlexConfig > Objetos FlexConfig > + botão e crie um Objeto do FlexConfig com o comando sysopt connection tcpmss 1360

   

9. Acesse Dispositivo > Configuração avançada > FlexConfig > FlexConfig Policy e inclua o objeto FlexConfig que você criou. Clique em Salvar.

   

10. Implemente suas mudanças:

    

11. Para verificar se a IPSec VPN está funcionando, execute o comando show crypto ikev2 sa por meio do console da CLI e certifique-se de que os hosts de ambas as sub-redes possam se alcançar.