Einleitung
In diesem Dokument wird die schrittweise Konfiguration eines Site-to-Site Secure Internet Gateway (SIG) VPN-Tunnels auf der Grundlage von Secure Firewall Threat Defense beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Standortübergreifende VPNs
- Umbrella-Administratorportal
- Secure Firewall Management Center (FMC)
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen.
- Umbrella-Administratorportal
- Secure Firewall Version 7.2
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Netzwerkdiagramm
![Network Diagram](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-00.png)
Umbrella Network Tunnel-Konfiguration
Netzwerk-Tunnel
Anmeldung bei Umbrella Dashboard:
![Network Tunnels Tab](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-01.png)
Navigieren Sie zu Deployments > Network Tunnels > Add
.
Fügen Sie einen neuen Tunnel hinzu, wählen Sie den Gerätetyp als FTD aus, und geben Sie ihm den entsprechenden Namen.
![Add a New Tunnel](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-02.png)
Geben Sie die öffentliche IP-Adresse des FTD zusammen mit einem sicheren vorinstallierten Schlüssel ein.
Schließen Sie den Tunnel an den entsprechenden Standort an, um Firewall- und Datenverkehrskontrollrichtlinien festzulegen.
![Configure Tunnel Parameters](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-03.png)
Die Konfiguration von Umbrella Portal ist jetzt abgeschlossen.
Navigieren Sie zum Umbrella Portal, wenn der Tunnel verbunden ist, um den VPN-Status zu bestätigen.
Sichere Firewall Management Center-Konfiguration
Site-to-Site-Konfiguration
Navigieren Sie zu Devices > Site-to-Site
:
![Configure Site-to-Site](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-04.png)
Neuen Site-to-Site-Tunnel hinzufügen
Benennen Sie die Topologie, und wählen Sie Route-Based VTI:
![Create a New VPN Topology](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-05.png)
Neue virtuelle Tunnelschnittstelle hinzufügen
- Benennen der Tunnelschnittstelle
- Anwenden einer neuen Sicherheitszone auf die Schnittstelle
- Zuweisen einer Tunnel-ID zwischen 0 und 10413
- Tunnel-Quelle auswählen (Schnittstelle mit öffentlicher IP im Umbrella Portal definiert)
- Erstellen Sie ein nicht routbares/30-Subnetz für die Verwendung mit dem VPN. Beispiel: 169.254.72.0/30
![Add a New Virtual Tunnel Interface](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-06.png)
Topologieknoten konfigurieren
FTD Knoten A und Umbrella Extranet Knoten B zuweisen:
![Assign Devices to Topology](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-07.png)
Endpunkt-IP-Adressen für Umbrella Data Center finden Sie hier.
Wählen Sie das Rechenzentrum aus, das dem physischen Standort des Geräts am nächsten ist.
IKEv2 Phase 1-Parameter definieren:
Akzeptable Parameter für die Tunnelaushandlung finden Sie hier.
Navigieren Sie zur Registerkarte IKE, und erstellen Sie eine neue IKEv2-Richtlinie:
- Weisen Sie die entsprechende Priorität zu, um Konflikte mit den vorhandenen Richtlinien zu vermeiden.
- Die Lebensdauer von Phase 1 beträgt 14400 Sekunden.
![Create a New IKEv2 Policy](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-08.png)
![Configure IKEv2 Phase 1 Parameters](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-09.png)
Definieren der IPsec-Phase-2-Parameter:
- Akzeptable Parameter für die Tunnelaushandlung finden Sie hier.
- Navigieren Sie zum
IPsec
und ein neues IPsec-Angebot erstellen.
![Create IKEv2 IPsec Proposal](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-10.png)
Stellen Sie sicher, dass die Parameter von Phase 2 mit diesen übereinstimmen:
![Review IPsec Configuration](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-11.png)
Speichern Sie die Topologie, und stellen Sie sie auf der Firewall bereit.
Konfigurieren von richtlinienbasiertem Routing
Navigieren Sie zu Devices > Device Management > Select the FTD/HA Pair > Routing > Policy Based Routing
.
Neue Policy hinzufügen.
![Add a New Policy-Based Routing Configuration](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-12.png)
Konfigurieren Sie die Weiterleitungsaktionen:
![Configure Forwarding Options](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-13.png)
Erstellen Sie die Match ACL für den Datenverkehr, der durch den SIG-Tunnel navigieren muss:
![Create a New Extended ACL](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-14.png)
Fügen Sie Zugriffskontrolleinträge hinzu, die den Umbrella-SIG-Datenverkehr definieren:
![Add ACE for SIG Traffic](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-15.png)
-
- Quellnetzwerke definieren den internen Datenverkehr.
- Zielnetzwerke sind die Remote-Netzwerke, die von Umbrella überprüft werden müssen.
Abgeschlossene erweiterte Zugriffskontrollliste:
![Review the New Extended ACL](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-16.png)
Konfigurieren Send To
:
![Configure Send To Destination](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-17.png)
Definieren Sie Send To
IPv4-Adresse als zweite verfügbare IP im /30-Subnetz.
Hinweis: Diese IP-Adresse ist in Umbrella nicht definiert. Sie wird nur für die Weiterleitung von Datenverkehr benötigt.
Abgeschlossener PBR:
![Completed PBR Configuration](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-18.png)
Notieren Sie sich die Eingangsschnittstelle. Diese wird später für die Konfiguration der Zugriffskontrollrichtlinie (ACP) und der Network Address Translation (NAT) benötigt.
Speichern Sie die Konfiguration, und stellen Sie sie auf der Firewall bereit.
Konfigurieren von NAT und ACP
Navigieren Sie zu Devices > NAT
.
Erstellen Sie eine neue manuelle NAT-Regel wie diese:
![Create a New NAT Rule](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-19.png)
-
- Quellschnittstelle - interne geschützte Quelle.
- Zielschnittstelle - Any (Beliebig) - Diese Schnittstelle ermöglicht die Umleitung des Datenverkehrs an den VTI.
Übersetzung:
![Configure Translation](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-20.png)
-
- Original und übersetzte Quelle - internes geschütztes Netzwerkobjekt
- Original und übersetztes Ziel - any4 - 0.0.0.0/0
Navigieren Sie zu Policy > Access Control
.
Erstellen Sie eine neue AKP-Regel wie diese:
![Create a New ACP Rule](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-21.png)
-
- Quellzone - Interne geschützte Quelle.
- Destination Zone - VTI Zone - Ermöglicht die Umleitung des Datenverkehrs zum VTI.
Netzwerke:
![Define Permitted Traffic](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-22.png)
-
- Quellnetzwerke - interne geschützte Netzwerkobjekte
- Zielnetzwerke - any4 - 0.0.0.0/0
Speichern Sie die Konfiguration, und stellen Sie sie auf der Firewall bereit.
Überprüfung
Site-to-Site-Überwachung
Überprüfen Sie den Tunnelstatus mit dem FMC (Secure Firewall Management Center)-Tool für die standortübergreifende Überwachung.
Navigieren Sie zu Devices > Site to Site Monitoring
.
![Navigate to Site-to-Site Monitoring](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-23.png)
Stellen Sie sicher, dass der Tunnelstatus jetzt verbunden ist:
![Verify Tunnel Status in FMC](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-24.png)
Wenn Sie den Mauszeiger über die Topologie bewegen, werden detailliertere Optionen angezeigt. Dies kann verwendet werden, um Pakete zu überprüfen, die in den Tunnel ein- und aus diesem heraus laufen, zusammen mit der Tunnelbetriebszeit und verschiedenen anderen Tunnelstatistiken.
Umbrella Dashboard
Navigieren Sie im Dashboard zu Active Network Tunnels
. Es muss ein blauer Ring angezeigt werden, der anzeigt, dass der Tunnel verbunden ist.
![Verify Tunnel Status in Umbrella Dashboard](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-25.png)
Erweitern Sie den entsprechenden Tunnel, um weitere Details zum Datenverkehr zu erhalten, der durch den Tunnel fließt:
![show details of VPN in Umbrella Dashboard](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-26.png)
Der Tunnel wird als aktiv angezeigt, und die Daten durchlaufen den Tunnel.
Interner Host
Führen Sie von einem internen Host, dessen Datenverkehr den Tunnel durchläuft, eine öffentliche IP-Suche in einem Webbrowser durch. Wenn die dargestellte öffentliche IP-Adresse in diese beiden Bereiche fällt, wird das Gerät jetzt durch SIG geschützt.
![Internal Host Verification Test](/c/dam/en/us/support/docs/security/secure-firewall-threat-defense/220661-secure-firewall-configure-umbrella-sec-27.png)
Firewall Threat Defense-CLI
Befehle anzeigen:
show crypto ikev2 sa
show crypto ipsec sa
show vpn-sessiondb l2l filter ipaddress Umbrella-DC-IP
Fehlerbehebung
Firewall Threat Defense-CLI
IKEv2-Debugs:
Debug crypto ikev2 protocol 255
Debug crypto ikev2 platform 255
Debug crypto ipsec 255
ISAKMP erfasst:
Mithilfe der ISAKMP-Erfassung kann ermittelt werden, was Probleme mit der Tunnelverbindung verursacht, ohne dass Debugging-Vorgänge erforderlich sind. Die empfohlene Erfassungssyntax lautet: capture name type isakmp interface FTD-Tunnel-Source match ip host FTD-Public-IP host Umbrella-DC-IP
.