DVT IPSec между Cisco Secure Threat Defense и маршрутизатором Cisco IOS-XE
-
Здравствуйте, команда Cisco Community! Мне нужна помощь в настройке динамического виртуального туннельного интерфейса (DVTI) в топологии «звезда», где: Cisco Secure Firewall Threat Defense (FTD, управляемый FMC) является концентратором (со статическим публичным IP-адресом). Маршрутизатор Cisco IOS XE является спицей, но подключается с использованием динамического/неизвестного публичного IP-адреса. В прошлом я успешно развертывал статические туннели VTI, но в данном сценарии, поскольку спица использует динамический IP-адрес, я не уверен в правильном способе настройки концентратора FTD в FMC. Есть ли какие-либо примеры конфигурации или проверенные руководства по проектированию для этого случая использования концентратора/спицы (концентратор FTD + спицы с динамическим IP-адресом IOS XE)? Сведения о среде: Cisco Secure Firewall Threat Defense (FTD) 7.7, управляемый FMC 7.7 Cisco IOS XE ISR (spoke) под управлением IOS XE 17.16.1a IKEv2/IPsec с DVTI Цель: несколько динамических маршрутизаторов spoke должны подключаться к концентратору FTD. Любые рекомендации по настройке, передовой опыт или примеры шаблонов будут очень полезны.
-
@sahmadhashmi
, этот сценарий поддерживается, см. презентацию Cisco Live BRKSEC 3058, в которой рассматривается этот сценарий. Рекомендую посмотреть видео целиком, так как слайды не содержат всей информации.
https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2023/pdf/BRKSEC-3058.pdf Если у вас есть какие-либо конкретные вопросы, сообщите нам. -
@sahmadhashmi
Вы можете настроить спицу с помощью политики авторизации, указать
интерфейс набора
команд
маршрута
, который будет отправлять IP-адрес туннеля в концентратор, чтобы концентратор имел этот маршрут в своей таблице маршрутизации. Пример —
https://integrate.uk.com/ios-xe-ikev2-routing/ -
Здравствуйте,
@rob
, Спасибо за предоставленную информацию. Я успешно настроил динамический VPN, но столкнулся с проблемой: Я не могу пропинговать IP-адрес туннеля маршрутизатора Cisco ISR 1000 с FTD. Однако, когда я пингую IP-адрес туннеля FTD с ISR 1000, все работает нормально. Из-за этого не устанавливается соседство ни EIGRP, ни BGP. Не могли бы вы помочь мне устранить эту проблему? -
@sahmadhashmi
Имеет ли концентратор маршрут к IP-адресу туннельного интерфейса удаленного узла через интерфейс виртуального туннельного доступа? -
Привет, Роб, Хорошо, есть статический маршрут для доступа к публичному IP-адресу маршрутизаторов-спиц и наоборот. Однако я не нахожу никакой возможности создать статический маршрут для интересующего меня трафика, находящегося за spoke. Обратите внимание, что IP-адрес туннеля spoke (172.16.32.10) не доступен для пинга с Hub (172.16.32.1), однако это не относится к случаю, когда пингуется IP-адрес туннеля hub со spoke.
-
Здравствуйте
[, @Rob Ingram] Спасибо за предоставленную информацию. Это именно то, что я искал — извините, если я прозвучу немного жадным, но мне интересно: это единственный способ, которым FTD узнает IP-адрес туннельного партнера? Есть ли альтернативные методы (например, конфигурация FTD или какой-либо динамический механизм/протокол), которые позволили бы FTD автоматически обнаруживать IP-адрес туннельного партнера? Я спрашиваю, потому что когда я создаю ту же топологию «звезда» на устройствах Cisco IOS-XE, мне не нужно объявлять политику криптографической авторизации для отправки IP-адреса туннеля-аналога в центр. -
Вы нашли решение этой проблемы?
-
Здравствуйте, Для настройки IPSec-конфигурации «звезда» с динамическим VTI (DVTI) между маршрутизаторами FTD и IOS-XE с динамическими IP-адресами одноранговых узлов необходимо настроить FMC на сопоставление одноранговых узлов по идентификатору, а не по IP-адресу. На FTD (концентраторе): Используйте FlexConfig или мастер VPN с IKEv2.
Разрешите динамические одноранговые узлы (0.0.0.0/any).
Сопоставляйте туннели с помощью IKE ID вместо IP-адреса. На IOS-XE (spoke): Настройте DVTI с помощью виртуального шаблона.
Убедитесь, что идентификатор IKEv2 соответствует конфигурации концентратора.
Включите NAT-траверсирование, если spoke находится за NAT. Общие советы: предложения должны совпадать с обеих сторон, а DPD/keepalive важны для восстановления связи при изменении IP-адреса spoke. Документы для справки:
Cisco DVTI IKEv2 Config:
https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/215695-configure-dynamic-virtual-template-dvti.html
Cisco FlexVPN Hub-Spoke:
https://www.cisco.com/c/en/us/support/docs/security-vpn/flexvpn/118978-configure-flexvpn-00.html После запуска первого спика вы можете повторно использовать тот же шаблон для нескольких спиков. С уважением,
Иршад -
Здравствуйте, Иршад, Спасибо за ваш вклад. Мои DVTI-туннели действительно работают, но проблема заключается в том, что FTD (хаб) не может достичь IP-адреса туннеля spoke. Со стороны spoke я могу успешно пинговать IP-адрес туннеля FTDv, но обратный путь от FTD к spoke не работает. Это заставляет меня думать, что проблема заключается в маршрутизации на FTDv. Я не могу понять, как настроить маршруты в FTDv, которые указывают непосредственно на интерфейс виртуального туннеля в качестве следующего прыжка.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти