تكوين شبكة VPN من موقع إلى موقع على واجهة البيانات المدارة من FDM

المقدمة

يصف هذا المستند تكوين SNMP إلى نهاية بعيدة من خلال شبكة VPN من موقع إلى موقع على واجهة بيانات لواجهة بيانات جهاز FTD.

المتطلبات الأساسية

قبل متابعة التكوين، تأكد من أن لديك المتطلبات الأساسية التالية:

• الفهم الأساسي لهذه المواضيع:
  • الدفاع ضد تهديد FirePOWER (FTD) من Cisco المدارة من قبل مدير أجهزة FirePOWER (FDM).
  • أجهزة الأمان المعدلة (ASA) من Cisco.
  • بروتوكول إدارة الشبكات البسيط (SNMP).
  • الشبكة الخاصة الظاهرية (VPN).
• الوصول الإداري إلى أجهزة FTD و ASA.
• تأكد من أن شبكتك مباشرة وتفهم التأثير المحتمل لأي أمر.

المتطلبات

• Cisco FTD المدار بواسطة FDM، الإصدار 7.2.7
• Cisco ASA، الإصدار 9.16
• تفاصيل خادم SNMP (بما في ذلك عنوان IP وسلسلة المجتمع)
• تفاصيل تكوين الشبكة الخاصة الظاهرية (VPN) من موقع إلى موقع (بما في ذلك بروتوكول IP للنظير ومفتاح مشترك مسبقا)
• يجب أن يكون FTD الإصدار 6.7 على الأقل لاستخدام REST API لتكوين SNMP.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco Firepower Threat Defense (FTD) المدارة بواسطة FirePOWER Device Manager (FDM)، الإصدار 7.2.7.
• أجهزة الأمان المعدلة Cisco Adaptive Security Appliance (ASA)، الإصدار 9.16.
• خادم SNMP (أي برنامج خادم SNMP قياسي)

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

ومع توضيح هذه الخطوات، يمكن لمسؤولي الشبكة ضمان مراقبة جهاز الشبكة الخاص بهم عن بعد.

يتم إستخدام SNMP (بروتوكول إدارة الشبكة البسيط) لإدارة الشبكة ومراقبتها. في هذا الإعداد، يتم إرسال حركة مرور SNMP من FTD إلى خادم SNMP بعيد من خلال شبكة VPN من موقع إلى موقع تم إنشاؤها باستخدام ASA.

يهدف هذا الدليل إلى مساعدة مسؤولي الشبكة على تكوين SNMP إلى طرف بعيد من خلال شبكة VPN من موقع إلى موقع على واجهة بيانات لجهاز FTD. يعد هذا الإعداد مفيدا لمراقبة أجهزة الشبكة وإدارتها عن بعد. في هذا الإعداد، يتم إستخدام بروتوكول SNMP v2 ويتم إرسال حركة مرور بيانات SNMP من واجهة بيانات FTD إلى خادم SNMP بعيد من خلال شبكة VPN من موقع إلى موقع تم إنشاؤها باستخدام ASA.

ويطلق على الواجهة المستخدمة اسم "الداخل"، ولكن يمكن تطبيق هذا التكوين على أنواع أخرى من حركة مرور "إلى المربع" ويمكن أن يستخدم أي واجهة لجدار الحماية ليست الواجهة التي تنتهي عندها الشبكة الخاصة الظاهرية (VPN).

التكوين

التكوينات

1. سجل الدخول إلى FTD الخاص بك.

2. تحت نظرة عامة على الجهاز انتقل إلى مستكشف واجهة برمجة التطبيقات (API).

3. تكوين SNMPv2 على FTD

• احصل على معلومات الواجهة.

4. قم بالتمرير لأسفل وحدد الزر تجربة ذلك! لإجراء إستدعاء واجهة برمجة التطبيقات. تقوم مكالمة ناجحة بإرجاع رمز الاستجابة 200

• قم بإنشاء تكوين كائن شبكة لمضيف SNMP.

• إنشاء كائن مضيف SNMPv2c جديد.

لمزيد من التفاصيل، تحقق من دليل التكوين، قم بتكوين بروتوكول SNMP واستكشاف أخطائه وإصلاحها على FirePOWER FDM

5. بمجرد تكوين بروتوكول SNMP على الجهاز، انتقل إلى الجهاز في قسم التكوين المتقدم وحدد عرض التكوين.

6. في قسم FlexConfig، حدد كائنات FlexConfig وقم بإنشاء كائن جديد، قم بتسميته وإضافة الأمر management-access في قسم القالب، وحدد الواجهة وأضف إلغاء الأمر في جزء رفض القالب.

7. في قسم FlexConfig، حدد سياسة FlexConfig، انقر على أيقونة الإضافة وحدد كائن FlexConfig الذي أنشأناه في الخطوة السابقة وحدد موافق.

8. بعد ذلك، تظهر معاينة للأوامر التي سيتم تطبيقها على الجهاز. حدد حفظ.

9. قم بنشر التكوين، ثم حدد رمز النشر وانقر فوق "نشر" الآن.

التحقق من الصحة

للتحقق من التكوين، قم بإجراء هذه الاختبارات، وسجل الدخول إلى FTD عبر SSH أو وحدة التحكم، ثم قم بتشغيل هذه الأوامر:

• تحقق من أن التكوين الجاري تشغيله للجهاز يحتوي على التغييرات التي أجريناها.

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password: 
firepower# show running-config
<some outouts are ommitted>
object network snmpHost
host 10.56.58.10
<some outputs are ommitted>
snmp-server host inside 10.56.58.10 community ***** version 2c
snmp-server location null
snmp-server contact null
snmp-server community *****
<some outputs are omitted>
management-access inside

• قم بإجراء إختبار من مختبر SNMP وتأكد من إكماله بنجاح.

استكشاف الأخطاء وإصلاحها

إذا واجهت أي مشاكل، فتأمل في الخطوات التالية:

• تأكد من تشغيل نفق VPN وتشغيله، يمكنك تشغيل هذا الأمر للتحقق من نفق VPN.

firepower# show crypto ikev2 sa

IKEv2 SAs:

Session-id:3, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local Remote fvrf/ivrf Status Role
442665449 10.197.225.82/500 10.197.225.81/500 READY RESPONDER
Encr: AES-GCM, keysize: 256, Hash: N/A, DH Grp:14, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/10 sec
Child sa: local selector 10.57.58.0/0 - 10.57.58.255/65535
remote selector 10.56.58.0/0 - 10.56.58.255/65535
ESP spi in/out: 0x3c8ba92b/0xf79c95a9

firepower# show crypto ikev2 stats

Global IKEv2 Statistics
Active Tunnels: 1
Previous Tunnels: 2

يمكن العثور على دليل تفصيلي حول كيفية تصحيح أخطاء أنفاق IKEv2 هنا: كيفية تصحيح أخطاء IKEv2 VPNs

• تحقق من تكوين SNMP وتأكد من صحة إعدادات سلسلة المجتمع والتحكم في الوصول على كلا النهايتين.

يشغل Firepower# sh خادم snmp
مضيف خادم SNMP داخل 10.56.58.10 مجتمع **** إصدار 2c
موقع خادم snmp خال
جهة اتصال خادم snmp خالية
مجتمع خادم snmp *****

• تأكد من السماح بحركة مرور SNMP من خلال FTD.

انتقل إلى السياسات > التحكم في الوصول وتحقق من توفر قاعدة تتيح حركة مرور SNMP.

• أستخدم التقاط الحزمة لمراقبة حركة مرور SNMP والتعرف على أي مشاكل.

تمكين الالتقاط بالتتبع على جدار الحماية:

capture snmp interface inside trace detail match udp any any eq snmp 

firepower# show capture 
capture snmp type raw-data trace detail interface inside include-decrypted [Capturing - 405 bytes] 
match udp host 10.57.58.10 host 10.56.58.1 eq snmp 

firepower# sh capture snmp
4 packets captured

1: 17:50:42.271806 10.56.58.10.49830 > 10.57.58.1.161: udp 43 
2: 17:50:42.276551 10.56.58.10.49831 > 10.57.58.1.161: udp 43 
3: 17:50:42.336118 10.56.58.10.49832 > 10.57.58.1.161: udp 44 
4: 17:50:42.338803 10.56.58.10.49833 > 10.57.58.1.161: udp 43 
4 packets shown

للحصول على تفاصيل إضافية، تحقق من دليل تكوين SNMP، قم بتكوين SNMP واستكشاف أخطائه وإصلاحها على FirePOWER FDM

معلومات ذات صلة

• دليل تكوين Cisco Secure Device Manager
• دليل تكوينات ASA من Cisco
• تكوين SNMP على أجهزة Cisco