<![CDATA[DVT IPSec между Cisco Secure Threat Defense и маршрутизатором Cisco IOS-XE]]>Здравствуйте, команда Cisco Community! Мне нужна помощь в настройке динамического виртуального туннельного интерфейса (DVTI) в топологии «звезда», где: Cisco Secure Firewall Threat Defense (FTD, управляемый FMC) является концентратором (со статическим публичным IP-адресом). Маршрутизатор Cisco IOS XE является спицей, но подключается с использованием динамического/неизвестного публичного IP-адреса. В прошлом я успешно развертывал статические туннели VTI, но в данном сценарии, поскольку спица использует динамический IP-адрес, я не уверен в правильном способе настройки концентратора FTD в FMC. Есть ли какие-либо примеры конфигурации или проверенные руководства по проектированию для этого случая использования концентратора/спицы (концентратор FTD + спицы с динамическим IP-адресом IOS XE)? Сведения о среде: Cisco Secure Firewall Threat Defense (FTD) 7.7, управляемый FMC 7.7 Cisco IOS XE ISR (spoke) под управлением IOS XE 17.16.1a IKEv2/IPsec с DVTI Цель: несколько динамических маршрутизаторов spoke должны подключаться к концентратору FTD. Любые рекомендации по настройке, передовой опыт или примеры шаблонов будут очень полезны.

]]>https://sla247.ru/forum/topic/2358/dvt-ipsec-между-cisco-secure-threat-defense-и-маршрутизатором-cisco-ios-xeRSS for NodeFri, 15 May 2026 11:39:12 GMTMon, 02 Mar 2026 12:41:04 GMT60<![CDATA[Reply to DVT IPSec между Cisco Secure Threat Defense и маршрутизатором Cisco IOS-XE on Mon, 02 Mar 2026 12:41:13 GMT]]>Здравствуйте, Иршад, Спасибо за ваш вклад. Мои DVTI-туннели действительно работают, но проблема заключается в том, что FTD (хаб) не может достичь IP-адреса туннеля spoke. Со стороны spoke я могу успешно пинговать IP-адрес туннеля FTDv, но обратный путь от FTD к spoke не работает. Это заставляет меня думать, что проблема заключается в маршрутизации на FTDv. Я не могу понять, как настроить маршруты в FTDv, которые указывают непосредственно на интерфейс виртуального туннеля в качестве следующего прыжка.

]]>https://sla247.ru/forum/post/16610https://sla247.ru/forum/post/16610Mon, 02 Mar 2026 12:41:13 GMT<![CDATA[Reply to DVT IPSec между Cisco Secure Threat Defense и маршрутизатором Cisco IOS-XE on Mon, 02 Mar 2026 12:41:12 GMT]]>Здравствуйте, Для настройки IPSec-конфигурации «звезда» с динамическим VTI (DVTI) между маршрутизаторами FTD и IOS-XE с динамическими IP-адресами одноранговых узлов необходимо настроить FMC на сопоставление одноранговых узлов по идентификатору, а не по IP-адресу. На FTD (концентраторе): Используйте FlexConfig или мастер VPN с IKEv2.
Разрешите динамические одноранговые узлы (0.0.0.0/any).
Сопоставляйте туннели с помощью IKE ID вместо IP-адреса. На IOS-XE (spoke): Настройте DVTI с помощью виртуального шаблона.
Убедитесь, что идентификатор IKEv2 соответствует конфигурации концентратора.
Включите NAT-траверсирование, если spoke находится за NAT. Общие советы: предложения должны совпадать с обеих сторон, а DPD/keepalive важны для восстановления связи при изменении IP-адреса spoke. Документы для справки:
Cisco DVTI IKEv2 Config:
https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/215695-configure-dynamic-virtual-template-dvti.html
Cisco FlexVPN Hub-Spoke:
https://www.cisco.com/c/en/us/support/docs/security-vpn/flexvpn/118978-configure-flexvpn-00.html После запуска первого спика вы можете повторно использовать тот же шаблон для нескольких спиков. С уважением,
Иршад

]]>https://sla247.ru/forum/post/16609https://sla247.ru/forum/post/16609Mon, 02 Mar 2026 12:41:12 GMT<![CDATA[Reply to DVT IPSec между Cisco Secure Threat Defense и маршрутизатором Cisco IOS-XE on Mon, 02 Mar 2026 12:41:11 GMT]]>Вы нашли решение этой проблемы?

]]>https://sla247.ru/forum/post/16608https://sla247.ru/forum/post/16608Mon, 02 Mar 2026 12:41:11 GMT<![CDATA[Reply to DVT IPSec между Cisco Secure Threat Defense и маршрутизатором Cisco IOS-XE on Mon, 02 Mar 2026 12:41:10 GMT]]>Здравствуйте
[, @Rob Ingram] Спасибо за предоставленную информацию. Это именно то, что я искал — извините, если я прозвучу немного жадным, но мне интересно: это единственный способ, которым FTD узнает IP-адрес туннельного партнера? Есть ли альтернативные методы (например, конфигурация FTD или какой-либо динамический механизм/протокол), которые позволили бы FTD автоматически обнаруживать IP-адрес туннельного партнера? Я спрашиваю, потому что когда я создаю ту же топологию «звезда» на устройствах Cisco IOS-XE, мне не нужно объявлять политику криптографической авторизации для отправки IP-адреса туннеля-аналога в центр.

]]>https://sla247.ru/forum/post/16607https://sla247.ru/forum/post/16607Mon, 02 Mar 2026 12:41:10 GMT<![CDATA[Reply to DVT IPSec между Cisco Secure Threat Defense и маршрутизатором Cisco IOS-XE on Mon, 02 Mar 2026 12:41:09 GMT]]>Привет, Роб, Хорошо, есть статический маршрут для доступа к публичному IP-адресу маршрутизаторов-спиц и наоборот. Однако я не нахожу никакой возможности создать статический маршрут для интересующего меня трафика, находящегося за spoke. Обратите внимание, что IP-адрес туннеля spoke (172.16.32.10) не доступен для пинга с Hub (172.16.32.1), однако это не относится к случаю, когда пингуется IP-адрес туннеля hub со spoke.

]]>https://sla247.ru/forum/post/16606https://sla247.ru/forum/post/16606Mon, 02 Mar 2026 12:41:09 GMT<![CDATA[Reply to DVT IPSec между Cisco Secure Threat Defense и маршрутизатором Cisco IOS-XE on Mon, 02 Mar 2026 12:41:08 GMT]]>@sahmadhashmi
Имеет ли концентратор маршрут к IP-адресу туннельного интерфейса удаленного узла через интерфейс виртуального туннельного доступа?

]]>https://sla247.ru/forum/post/16605https://sla247.ru/forum/post/16605Mon, 02 Mar 2026 12:41:08 GMT<![CDATA[Reply to DVT IPSec между Cisco Secure Threat Defense и маршрутизатором Cisco IOS-XE on Mon, 02 Mar 2026 12:41:07 GMT]]>Здравствуйте,
@rob
, Спасибо за предоставленную информацию. Я успешно настроил динамический VPN, но столкнулся с проблемой: Я не могу пропинговать IP-адрес туннеля маршрутизатора Cisco ISR 1000 с FTD. Однако, когда я пингую IP-адрес туннеля FTD с ISR 1000, все работает нормально. Из-за этого не устанавливается соседство ни EIGRP, ни BGP. Не могли бы вы помочь мне устранить эту проблему?

]]>https://sla247.ru/forum/post/16604https://sla247.ru/forum/post/16604Mon, 02 Mar 2026 12:41:07 GMT<![CDATA[Reply to DVT IPSec между Cisco Secure Threat Defense и маршрутизатором Cisco IOS-XE on Mon, 02 Mar 2026 12:41:06 GMT]]>@sahmadhashmi
Вы можете настроить спицу с помощью политики авторизации, указать
интерфейс набора
команд
маршрута
, который будет отправлять IP-адрес туннеля в концентратор, чтобы концентратор имел этот маршрут в своей таблице маршрутизации. Пример —
https://integrate.uk.com/ios-xe-ikev2-routing/

]]>https://sla247.ru/forum/post/16603https://sla247.ru/forum/post/16603Mon, 02 Mar 2026 12:41:06 GMT<![CDATA[Reply to DVT IPSec между Cisco Secure Threat Defense и маршрутизатором Cisco IOS-XE on Mon, 02 Mar 2026 12:41:05 GMT]]>@sahmadhashmi
, этот сценарий поддерживается, см. презентацию Cisco Live BRKSEC 3058, в которой рассматривается этот сценарий. Рекомендую посмотреть видео целиком, так как слайды не содержат всей информации.
https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2023/pdf/BRKSEC-3058.pdf Если у вас есть какие-либо конкретные вопросы, сообщите нам.

]]>https://sla247.ru/forum/post/16602https://sla247.ru/forum/post/16602Mon, 02 Mar 2026 12:41:05 GMT