Konfigurieren eines routenbasierten Site-to-Site-VPN-Tunnels auf dem vom FMC verwalteten FTD

Download-Optionen

  • PDF     (1.2 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (928.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:24. September 2024
Dokument-ID:216276

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie ein statischer, routenbasierter Site-to-Site-VPN-Tunnel auf einem Firepower Threat Defense konfiguriert wird, der von einem FMC.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Grundlegendes Verständnis der Funktionsweise eines VPN-Tunnels
    • Sie wissen, wie Sie durch das FirePOWER Management Center (FMC) navigieren.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

    • Cisco FirePOWER Management Center Version 6.7.0
    • Cisco Firepower Threat Defense (FTD) Version 6.7.0

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Routenbasiertes VPN ermöglicht die Bestimmung des relevanten Datenverkehrs, der verschlüsselt oder über einen VPN-Tunnel gesendet werden soll, und die Verwendung von Traffic-Routing anstelle von Richtlinien/Zugriffslisten, wie in richtlinienbasiertem oder Crypto-Map-basiertem VPN. Die Verschlüsselungsdomäne ist so festgelegt, dass jeder Datenverkehr zugelassen wird, der in den IPsec-Tunnel eintritt. IPsec-Auswahlen für lokalen und Remote-Datenverkehr werden auf 0.0.0.0/0.0.0..0 gesetzt. Das bedeutet, dass jeder Datenverkehr, der in den IPsec-Tunnel geleitet wird, unabhängig vom Quell-/Ziel-Subnetz verschlüsselt wird.

    Das vorliegende Dokument behandelt die SVTI-Konfiguration (Static Virtual Tunnel Interface). Informationen zur DVTI-Konfiguration (Dynamic Virtual Tunnel Interface) bei einer sicheren Firewall finden Sie unter Konfigurieren von DVTI mit Multi-SA bei einer sicheren Firewall.

    Einschränkungen und Einschränkungen

    Dies sind bekannte Einschränkungen und Einschränkungen für routenbasierte Tunnel auf FTD:

    • Unterstützt nur IPsec. GRE wird nicht unterstützt.

    • Unterstützt nur IPv4-Schnittstellen sowie IPv4, geschützte Netzwerke oder VPN-Nutzlasten (keine Unterstützung für IPv6).

    • Für VTI-Schnittstellen, die den VPN-Datenverkehr klassifizieren, wird statisches Routing und nur das dynamische BGP-Routing-Protokoll unterstützt (keine Unterstützung für andere Protokolle wie OSPF, RIP usw.).

    • Pro Schnittstelle werden nur 100 VTI unterstützt.

    • VTI wird auf einem FTD-Cluster nicht unterstützt.

    • VTI wird in diesen Richtlinien nicht unterstützt:

      ・ QoS
      NAT
      ・ Plattformeinstellungen

    Diese Algorithmen werden auf FMC/FTD Version 6.7.0 für neue VPN-Tunnel nicht mehr unterstützt (FMC unterstützt alle entfernten Chiffren zur Verwaltung von FTD < 6.7):

    • 3DES-, DES- und NULL-Verschlüsselung werden von der IKE-Richtlinie nicht unterstützt.

    • Die DH-Gruppen 1, 2 und 24 werden von der IKE-Richtlinie und dem IPsec-Vorschlag nicht unterstützt.

    • MD5-Integrität wird in IKE-Richtlinie nicht unterstützt.

    • PRF MD5 wird in der IKE-Richtlinie nicht unterstützt.

    • Die Verschlüsselungsalgorithmen DES, 3DES, AES-GMAC, AES-GMAC-192 und AES-GMAC-256 werden von IPsec Proposal nicht unterstützt.

    Hinweis: Dies gilt sowohl für standortübergreifende als auch für richtlinienbasierte VPN-Tunnel. Um eine ältere FTD von FMC auf 6.7 zu aktualisieren, löst sie eine Überprüfung vor der Validierung aus, die den Benutzer vor Änderungen warnt, die sich auf die entfernten Chiffren beziehen, die die Aktualisierung blockieren.

    FTD 6.7 verwaltet über FMC 6.7 Verfügbare Konfiguration Site-to-Site-VPN-Tunnel
    Neuinstallation
    Schwache Chiffren sind verfügbar, können aber nicht zur Konfiguration des FTD 6.7 verwendet werden.
    		Schwache Chiffren sind verfügbar, können aber nicht zur Konfiguration des FTD 6.7 verwendet werden.
    Upgrade: FTD ist nur mit schwachen Chiffren konfiguriert.
    Upgrade von der FMC 6.7-Benutzeroberfläche. Eine Überprüfung vor der Validierung zeigt einen Fehler an. Das Upgrade wird bis zur Neukonfiguration blockiert.
    Nach dem FTD-Upgrade und unter der Annahme, dass der Peer seine Einstellungen nicht geändert hat, wird der Tunnel beendet.
    Upgrade: FTD wurde nur mit einigen schwachen und einigen starken Chiffren konfiguriert.
    Upgrade von der FMC 6.7-Benutzeroberfläche. Eine Überprüfung vor der Validierung zeigt einen Fehler an. Das Upgrade wird bis zur Neukonfiguration blockiert.
    Nach dem FTD-Upgrade und unter der Annahme, dass der Peer starke Chiffren hat, wird der Tunnel wiederhergestellt.
    Upgrade: Land der Klasse C (keine starke Krypto-Lizenz)
    		DES ist zulässig. DES ist zulässig.

    .

    Hinweis: Es sind keine zusätzlichen Lizenzen erforderlich. Das routenbasierte VPN kann sowohl im Lizenzierungs- als auch im Evaluierungsmodus konfiguriert werden. Ohne Verschlüsselungskompatibilität (Export Controlled Features Enabled) kann nur DES als Verschlüsselungsalgorithmus verwendet werden.

    Konfigurationsschritte auf FMC

    Schritt 1: Navigieren Sie zu Geräte > VPN > Site-to-Site.

    Navigate to Devices, VPN and Site to Site

    Schritt 2: Klicken Sie auf VPN hinzufügen, und wählen Sie Firepower Threat Defense Device aus, wie im Bild dargestellt.

    Add VPN

    Schritt 3: Geben Sie einen Topologienamen an, und wählen Sie den VPN-Typ als routenbasiert (VTI) aus. Wählen Sie die IKE-Version aus.

    Für diese Demonstration gilt Folgendes:

    Topologiename: VTI-ASA

    IKE-Version: IKEv2

    Provide Topology Name and Select Type of VPN

    Schritt 4: Wählen Sie das Gerät aus, auf dem der Tunnel konfiguriert werden soll. Sie können eine neue virtuelle Tunnelschnittstelle hinzufügen (klicken Sie auf das +-Symbol), oder wählen Sie eine aus der Liste aus.

    Choose Device on which Tunnel Needs to be Configured

    Schritt 5: Definieren Sie die Parameter der neuen virtuellen Tunnelschnittstelle. Klicken Sie auf OK.

    Für diese Demonstration gilt Folgendes:

    Name: VTI-ASA

    Beschreibung (optional): VTI-Tunnel mit Extranet-ASA

    Sicherheitszone: VTI-Zone

    Tunnel-ID: 1

    IP-Adresse: 192.168.100.1/30

    Tunnelquelle: GigabitEthernet0/0 (außen)

    Add Virtual Tunnel Interface

    Schritt 6: Klicken Sie im Popup-Fenster auf OK, um anzuzeigen, dass das neue VTI erstellt wurde.

    Verify Virtual Tunnel Interface Added

    Schritt 7. Wählen Sie den neu erstellten VTI oder einen VTI, der unter Virtual Tunnel Interface vorhanden ist. Geben Sie die Informationen für Knoten B (das Peer-Gerät) an.

    Für diese Demonstration gilt Folgendes:

    Gerät: Extranet

    Gerätename: ASA-Peer

    Endpunkt-IP-Adresse: 10.106.67.252

    Create New VPN Topology

    Schritt 8: Navigieren Sie zur Registerkarte IKE. Sie können eine vordefinierte Richtlinie verwenden oder auf die Schaltfläche + neben der Registerkarte Richtlinie klicken und eine neue erstellen.

    Click + to Add New VPN Policy

    Schritt 9: (Optional, wenn Sie eine neue IKEv2-Richtlinie erstellen.) Geben Sie einen Namen für die Richtlinie an, und wählen Sie die Algorithmen aus, die in der Richtlinie verwendet werden sollen. Klicken Sie auf Speichern.

    Für diese Demonstration gilt Folgendes:

    Name: ASA-IKEv2-Policy

    Integritätsalgorithmen: SHA-512

    Verschlüsselungsalgorithmen: AES-256

    PRF-Algorithmen: SHA-512

    Diffie-Hellman-Gruppe: 21

    New IKEv2 Policy

    Schritt 10. Wählen Sie die neu erstellte oder die vorhandene Richtlinie aus. Wählen Sie den Authentifizierungstyp aus. Wenn ein vorinstallierter manueller Schlüssel verwendet wird, geben Sie den Schlüssel in den Feldern Schlüssel und Schlüssel bestätigen ein.

    Für diese Demonstration gilt Folgendes:

    Richtlinie: ASA-IKEv2-Richtlinie

    Authentifizierungstyp: Vorinstallierter manueller Schlüssel

    Schlüssel: cisco123

    Schlüssel bestätigen: cisco123

    IKEv2 Settings

    Hinweis: Wenn beide Endpunkte auf demselben FMC registriert sind, kann auch die Option "Pre-shared Automatic Key" (Vorläufiger gemeinsamer automatischer Schlüssel) verwendet werden.

    Schritt 11. Navigieren Sie zur Registerkarte IPsec. Sie können ein vordefiniertes IKEv2 IPsec-Angebot verwenden oder ein neues erstellen. Klicken Sie auf die Schaltfläche Bearbeiten neben der Registerkarte IKEv2 IPsec-Angebot.

    Navigate IPsec Tab

    Schritt 12: (Optional, wenn Sie einen neuen IKEv2 IPsec-Vorschlag erstellen.) Geben Sie einen Namen für das Angebot an, und wählen Sie die Algorithmen aus, die für das Angebot verwendet werden sollen. Klicken Sie auf Speichern.

    Für diese Demonstration gilt Folgendes:

    Name: ASA-IPSec-Policy

    ESP-Hash: SHA-512

    ESP-Verschlüsselung: AES-256

    Create New IKEv2 IPsec Proposal

    Schritt 13: Wählen Sie den neu erstellten Vorschlag oder Vorschlag aus der Liste der verfügbaren Angebote aus. Klicken Sie auf OK.

    Search for IKEv2 IPsec Proposal

    Schritt 14. (Optional) Wählen Sie die Einstellungen Perfect Forward Secrecy (Perfektes Weiterleitungsgeheimnis) aus. Konfigurieren der IPsec-Lebenszeitdauer und -Größe.

    Für diese Demonstration gilt Folgendes:

    Perfect Forward Secrecy: Modulus Group 21

    Lebensdauer: 28800 (Standard)

    Lebenszeitgröße: 4608000 (Standard)

    Enable Perfect Forward Secrecy

    Schritt 15: Überprüfen Sie die konfigurierten Einstellungen. Klicken Sie auf Speichern, wie in diesem Bild dargestellt.

    Check Configured Settings and Save

    Schritt 16: Konfigurieren der Zugriffskontrollrichtlinie Navigieren Sie zu Richtlinien > Zugriffskontrolle > Zugriffskontrolle. Bearbeiten Sie die auf das FTD angewendete Richtlinie.

    Hinweis: sysopt connection permit-vpn funktioniert nicht mit Routen-basierten VPN-Tunneln. Die Zugriffskontrollregeln müssen sowohl für IN > OUT-Zonen als auch für OUT > IN-Zonen konfiguriert werden.

    Geben Sie die Quellzonen und die Zielzonen auf der Registerkarte Zonen an.

    Geben Sie auf der Registerkarte "Netzwerke" die Namen Quellnetzwerke und Zielnetzwerke ein. Klicken Sie auf Hinzufügen.

    Für diese Demonstration gilt Folgendes:

    Quellzonen: In- und Out-Zone

    Zielzonen: Out-Zone und In-Zone

    Quellnetzwerke: In- und Remote-Netzwerk

    Zielnetzwerke: Remote-Netzwerk und In-Netzwerk

    Source Zones and Destination Zones

    Source Networks and Destination Networks

    Schritt 17: Fügen Sie das Routing über den VTI-Tunnel hinzu. Navigieren Sie zu Geräte > Geräteverwaltung. Bearbeiten Sie das Gerät, auf dem der VTI-Tunnel konfiguriert ist.

    Navigieren Sie auf der Registerkarte Routing zu Static Route. Klicken Sie auf Route hinzufügen.

    Stellen Sie die Schnittstelle bereit, wählen Sie das Netzwerk, und stellen Sie das Gateway bereit. Klicken Sie auf OK.

    Für diese Demonstration gilt Folgendes:

    Schnittstelle: VTI-ASA

    Netzwerk: Remote-Netzwerk

    Gateway: VTI-ASA-Tunnel

    Selected Network, Interface and Gateway

    Schritt 18: Navigieren Sie zu Bereitstellen > Bereitstellung. Wählen Sie die FTD aus, auf der die Konfiguration bereitgestellt werden soll, und klicken Sie auf Deploy (Bereitstellen).

    Konfiguration wird nach erfolgreicher Bereitstellung an die FTD-CLI weitergeleitet:

    crypto ikev2 policy 1
     encryption aes-256
     integrity sha512
     group 21
     prf sha512
     lifetime seconds 86400
    crypto ikev2 enable Outside

    crypto ipsec ikev2 ipsec-proposal CSM_IP_1
     protocol esp encryption aes-256
     protocol esp integrity sha-512
    crypto ipsec profile FMC_IPSEC_PROFILE_1
     set ikev2 ipsec-proposal CSM_IP_1
     set pfs group21

    group-policy .DefaultS2SGroupPolicy internal
    group-policy .DefaultS2SGroupPolicy attributes
     vpn-idle-timeout 30
     vpn-idle-timeout alert-interval 1
     vpn-session-timeout none
     vpn-session-timeout alert-interval 1
     vpn-filter none
     vpn-tunnel-protocol ikev1 ikev2 

    tunnel-group 10.106.67.252 type ipsec-l2l
    tunnel-group 10.106.67.252 general-attributes
     default-group-policy .DefaultS2SGroupPolicy
    tunnel-group 10.106.67.252 ipsec-attributes
     ikev2 remote-authentication pre-shared-key *****
     ikev2 local-authentication pre-shared-key *****

    interface Tunnel1
     description VTI Tunnel with Extranet ASA
     nameif VTI-ASA
     ip address 192.168.100.1 255.255.255.252 
     tunnel source interface Outside
     tunnel destination 10.106.67.252
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile FMC_IPSEC_PROFILE_1

    Überprüfung

    Von der FMC-GUI

    Klicken Sie auf die Option Check Status (Status prüfen), um den Live-Status des VPN-Tunnels über die Benutzeroberfläche selbst zu überwachen.

    Check Status Option

    Dazu gehören die folgenden Befehle aus der FTD-CLI:

    • show crypto ipsec sa peer <Peer-IP-Adresse>
    • show vpn-sessiondb detail l2l filter ipaddress <Peer-IP-Adresse>

    Tunnel Status

    Von FTD CLI

    Diese Befehle können über die FTD-CLI verwendet werden, um die Konfiguration und den Status der VPN-Tunnel anzuzeigen.

    show running-config crypto
    show running-config nat
    show running-config route
    show crypto ikev1 sa detailed
    show crypto ikev2 sa detailed
    show crypto ipsec sa detailed
    show vpn-sessiondb detail l2l

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    6.0
    24-Sep-2024
    Einführung und Formatierung aktualisiert.
    5.0
    27-Jun-2024
    Der Inhalt wurde auf Richtigkeit aktualisiert. Abschnitt "Einschränkungen" aktualisiert und Dokumentation zur DVTI-Konfiguration referenziert.
    3.0
    08-Aug-2023
    Alternativer Text hinzugefügt. Einführung und Formatierung aktualisiert.
    2.0
    19-Jul-2022
    Der Inhalt wurde auf Richtigkeit aktualisiert. Aktualisiert für Formatierung, Grundlagen, Haftungsausschluss, maschinelle Übersetzung usw. zur Einhaltung der Cisco Richtlinien.
    1.0
    23-Nov-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Mario Enrique Solorio
      Project Manager
    • Tazy Khan
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren