准备工作

配置 Cisco FTDv 以用于 VPN for VPC 的第一步是确保满足以下先决条件:

• Cisco FTDv 处于联机状态，并且具有正确的许可证。
• 您具有用于访问 Firepower 设备管理器 Web UI的凭证。
• 您至少有一个经过配置和验证的功能内部接口。
• 您至少有一个经过配置和验证的功能外部接口。

将基于 IBM 路由的 VPN 连接到 Cisco Firepower Thread Defense 同级

要连接到 Cisco Firepower Thread Defense 同级，请执行以下步骤:

1. 登录到 Firepower 设备管理器，然后单击菜单栏中的 设备 以查看“设备摘要”页面。 然后，单击“站点到站点”VPN 组中的 查看配置。

   

2. 创建第一个 IPsec 隧道。 在“站点到站点 VPN”页面上，单击 + 按钮以创建站点到站点 VPN 连接，或者如果还没有连接，那么可以单击 CREATE SITE-TO-SITE CONNECTION 按钮。

3. 在“新建站点到站点 VPN”页面上，定义点到点 VPN 连接的端点。 为此，请配置以下设置:

   • 连接概要文件名称-提供此连接的名称，最多 64 个字符，不含空格。 不能使用 IP 地址作为名称。
   • 类型-选择 基于路由 (VTI) 以使用路由表 (主要是静态路由) 来定义应参与隧道的本地和远程网络。
   • 本地 VPN 访问接口-选择远程同级可以连接到的接口。 提供链接本地地址。
   • 远程 IP 地址-输入主 IPsec 隧道的较小 IBM 网关成员公共 IP。

   

   您可以通过单击 本地 VPN 访问接口 菜单中的 创建新的虚拟接口 链接来创建虚拟隧道接口 (VTI)。 请注意选择链接本地地址，并确保它与设备上的其他地址不重叠。 在此示例中，我们将 169.254.0.0/30 用于主隧道。 此子网中有两个具有 30 位网络掩码的可用 IP 地址 169.254.0.1 和 169.254.0.1。 第一个 IP 地址 169.254.0.1 已用作 FTDv 上的 VTI。 第二个 IP 地址 169.254.0.2 已用作 IBM VPN 网关 VTI 地址。

   

4. 单击下一步。 在“隐私配置”页面上，定义 VPN 的隐私配置。

   • 启用 IKE VERSION 2 切换按钮并配置因特网密钥交换 (IKE) 策略。

     

   • 配置 IPSec 建议 设置，这些设置定义用于保护 IPsec 隧道中的流量的安全协议和算法的组合。

     

   • 指定在本地和远程设备上定义的 预共享密钥。 密钥可以是 1-127 个字母数字字符。 然后，单击下一步。

     

5. 复审摘要，然后单击 完成。

6. 要创建辅助 IPsec 隧道，请执行以下步骤:

   1. 从“设备摘要”页面单击 + 按钮。

   2. 重复步骤 3 到 5，但存在以下异常:

      • 对于远程 IP 地址，请将更大的 IBM Gateway 成员公共 IP 用于辅助 IPsec 隧道。
      • 使用相同的 IKE VERSION 2 配置和 IPSec 建议作为主隧道。

7. 创建访问控制策略以允许跨 VPN 的流量。 为此，请执行以下步骤：

   1. 单击菜单栏中的 策略。

   2. 单击 + 按钮以添加访问规则。 为 源选择本地网络对象，并将远程网络对象作为 目标。 您可以为源和目标创建网络对象。

   3. 指定规则 标题。 选择 允许 以执行操作，然后单击 确定。

      

8. 重复步骤 7，为返回的流量创建另一个访问控制策略。 这次，远程网络对象是 源，本地网络对象是 目标。

9. 添加静态路由以允许本地网络通过主 IPsec VPN 隧道。 要执行此操作，请转至 设备 > 路由 > + 按钮 并完成以下信息:

   • 名称-指定状态路由的名称。
   • 接口-选择已创建的主虚拟隧道接口。
   • 网络-指定您为远程子网创建的网络对象。
   • Gateway-使用与主虚拟隧道相同的子网中的 IP 创建网络对象。
   • 度量-指定主隧道的度量。 此度量值必须小于辅助隧道。

   

10. 单击确定。

11. 添加静态路由以允许本地网络通过辅助 IPsec VPN 隧道。 要执行此操作，请转至 设备 > 路由 > + 按钮 并完成以下信息:

    • 名称-指定状态路由的名称 (例如，local-to-ibm-secondary)。
    • 接口-选择已创建的辅助虚拟隧道接口。
    • 网络-指定您为远程子网创建的网络对象。
    • Gateway-使用与辅助虚拟隧道相同的子网中的 IP 创建网络对象。
    • 度量-指定辅助隧道的度量。 此度量必须大于主隧道。

    

12. 单击确定。

13. 配置 TCP MSS 夹紧以避免不必要的分段。 转至 设备 > 高级配置 > FlexConfig > FlexConfig 对象 >+ 按钮，并使用 sysopt connection tcpmss 1360 命令创建 FlexConfig 对象。

    

14. 转至 Device > Advanced Configuration > FlexConfig > FlexConfig Policy，并添加您创建的 FlexConfig 对象。 单击保存。

    

15. 部署更改:

    

16. 要验证 IPsec VPN 是否正常工作，请从 CLI 控制台运行 show crypto ikev2 sa 命令，并确保来自两个子网的主机可以相互访问。

    {: caption="the show crypto ikev2 sa command "caption-side =" bottom "}