تعطيل مهلة خاملة VPN من موقع إلى موقع FTD باستخدام نهج FlexConfig
المحتويات
المقدمة
يصف هذا المستند كيفية تعديل سمة VPN-idle-timeout الخاصة بشبكة VPN باستخدام سياسات FlexConfig في مركز إدارة FirePOWER (FMC) من أجل منع وقت توقف النفق عن العمل بسبب عدم النشاط أو انتهاء مهلة الخمول.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- Firepower Threat Defense (FTD)
- FMC
- سياسات FlexConfig
- مخططات الشبكات الخاصة الظاهرية (VPN) من موقع إلى موقع
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:
- FMCv - 6.5.0.4 (بنية 57)
- FTDv - 6.4.0.10 (البنية 95)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يتم إنشاء شبكات VPN الموجودة في موقع إلى موقع بناء على الطلب لكل من الإصدار 1 من مفتاح الإنترنت (IKEv1) والإصدار 2 من مفتاح الإنترنت التبادلي (IKEv2) القائم على السياسة (خريطة التشفير). بشكل افتراضي، ينهي FTD اتصال VPN إذا لم يكن هناك أي نشاط إتصالات عبر النفق في فترة معينة من الوقت تسمى VPN-idle-timeout. يتم تعيين المؤقت إلى 30 دقيقة بشكل افتراضي.
التكوين
تكوين سياسة FlexConfig وكائن FlexConfig
الخطوة 1. تحت الأجهزة > FlexConfig قم بإنشاء سياسة FlexConfig جديدة (إذا لم يكن أحدها موجودا بالفعل) وإرفاقها ب FTD حيث يتم تكوين شبكة VPN من موقع إلى موقع.
أو
الخطوة 2. داخل هذا النهج قم بإنشاء كائن FlexConfig كما يلي:
الاسم: S2S_Idle_TimeOut
النشر: في كل مرة
الكتابة: إلحاق
سمات Group-Policy .DefaultS2SGgroupPolicy
VPN-idle-timeout none
و حفظه.
الخطوة 3. في الجزء الأيسر ابحث عنه واسحبه إلى الجزء الأيمن بالزر >.
حفظ التغييرات والنشر.
الخطوة 3.1 (إختياري) كخطوة وسيطة، بعد حفظ تغييرات التكوين، يمكنك إختيار معاينة التكوين لضمان أن أوامر FlexConfig جاهزة للدفع في نهاية التكوين.
التحقق من الصحة
بمجرد اكتمال النشر، يمكنك تشغيل هذا الأمر في LINA (> System Support Diagnostic-CLI) لتأكيد وجود التكوين الجديد:
firepower# show running-config group-policy .DefaultS2SGroupPolicy
group-policy .DefaultS2SGroupPolicy internal
group-policy .DefaultS2SGroupPolicy attributes
vpn-idle-timeout none <<<--------------
<omitted output>
على الرغم من أن التكوين موجود، إلا أن النفق النشط يحتاج إلى الارتداد (مسح تشفير IPsec نظير <remote_peer_ip_address>) وبالتالي يصبح التغيير ساري المفعول عند إنشاء النفق مرة أخرى. يمكنك تأكيد أن التغيير ساري المفعول باستخدام هذا الأمر:
firepower# show vpn-sessiondb detail l2l filter ipaddress
Session Type: LAN-to-LAN Detailed
Connection : X.X.X.X
Index : 7 IP Addr : X.X.X.X
Protocol : IKEv1 IPsec
Encryption : IKEv1: (1)AES256 IPsec: (1)AES256
Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1
Bytes Tx : 400 Bytes Rx : 400
Login Time : 22:06:56 UTC Tue Jun 15 2021
Duration : 0h:18m:00s
Tunnel Zone : 0
IKEv1 Tunnels: 1
IPsec Tunnels: 1
IKEv1:
Tunnel ID : 7.1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : AES256 Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 85319 Seconds
D/H Group : 5
Filter Name :
IPsec:
Tunnel ID : 7.2
Local Addr : A.A.A.A/255.255.255.255/0/0
Remote Addr : B.B.B.B/255.255.255.128/0/0
Encryption : AES256 Hashing : SHA1
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 27719 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4608000 K-Bytes
Idle Time Out: 0 Minutes Idle TO Left : 0 Minutes <<<<<<<---------------
Bytes Tx : 400 Bytes Rx : 400
Pkts Tx : 4 Pkts Rx : 4
يجب تعيين عداد انتهاء المهلة في وضع الخمول على 0 دقائق بدلا من 30 دقيقة ويجب أن تظل شبكة VPN نشطة بغض النظر عن النشاط/حركة مرور البيانات التي تعمل فوقه.
استكشاف الأخطاء وإصلاحها
لا توجد حاليا معلومات محددة لاستكشاف الأخطاء وإصلاحها.
معلومات ذات صلة
- دليل تكوين مركز إدارة Firepower، الإصدار 7.0 - الفصل: سياسات FlexConfig للدفاع عن تهديد FirePOWER
- دليل تكوين مركز إدارة Firepower، الإصدار 7.0 - الفصل: شبكات VPN من موقع إلى موقع للدفاع عن تهديد Firepower
- الدعم التقني والمستندات - Cisco Systems
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
05-Oct-2021 |
الإصدار الأولي |
التعليقات