Desactivar el tiempo de espera de inactividad de VPN de sitio a sitio de FTD con las políticas de FlexConfig

Opciones de descarga

  • PDF     (1.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:5 de octubre de 2021
ID del documento:217436

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo modificar el atributo vpn-idle-timeout de una VPN con políticas FlexConfig en Cisco Firepower Management Center (FMC) para evitar el tiempo de inactividad del túnel debido a la inactividad o el tiempo de espera inactivo.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Firepower Threat Defense (FTD)
    • FMC
    • Políticas de FlexConfig
    • Topologías VPN de sitio a sitio

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • FMCv - 6.5.0.4 (compilación 57)
    • FTDv - 6.4.0.10 (compilación 95)

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Tanto las VPN basadas en políticas (mapa criptográfico) basadas en el intercambio de claves de Internet versión 1 (IKEv1) como las de la versión 2 del intercambio de claves de Internet (IKEv2) son túneles a demanda. De forma predeterminada, el FTD finaliza la conexión VPN si no hay actividad de comunicación sobre el túnel en un período determinado llamado vpn-idle-timeout. Este temporizador se establece en 30 minutos de forma predeterminada.

    Configurar

    Configurar la política FlexConfig y el objeto FlexConfig

    Paso 1. En Devices > FlexConfig, cree una nueva política FlexConfig (si aún no existe) y adáptela al FTD donde se configura la VPN de sitio a sitio.

    TZ_vpn_idle_timeout_00

    or

    TZ_vpn_idle_timeout_01

    Paso 2. Dentro de esa política, cree un objeto FlexConfig de la siguiente manera:

    Nombre: S2S_Idle_TimeOut
    Implementación: En cualquier momento
    Tipo: Anexar

    atributos de política de grupo .DefaultS2SGroupPolicy
    vpn-idle-timeout none

    TZ_vpn_idle_timeout_02

    TZ_vpn_idle_timeout_03

    y guárdelo.

    Paso 3. En el panel izquierdo, busque y arrástrelo al panel derecho con el botón >.

    TZ_vpn_idle_timeout_04

    TZ_vpn_idle_timeout_05

      Guarde los cambios y implemente.

    Paso 3.1 (Opcional) Como paso intermedio, después de haber guardado los cambios de configuración, puede elegir Vista previa de configuración para asegurarse de que los comandos FlexConfig estén listos para ser empujados al final de la configuración.

    TZ_vpn_idle_timeout_06

    Verificación

    Una vez que se complete la implementación, puede ejecutar este comando en LINA (> system support diagnostic-cli) para confirmar que la nueva configuración está ahí:

    firepower# show running-config group-policy .DefaultS2SGroupPolicy
    group-policy .DefaultS2SGroupPolicy internal
    group-policy .DefaultS2SGroupPolicy attributes
    vpn-idle-timeout none <<<--------------
    <omitted output>

    Precaución: Tenga en cuenta que este cambio afecta a todas las VPN S2S del FTD. NO es una configuración por túnel sino una global.

    Aunque la configuración está ahí, el túnel activo necesita ser rebotado (clear crypto ipsec sa peer <Remote_Peer_IP_Address>) para que el cambio surta efecto cuando el túnel se restablezca nuevamente. Puede confirmar que el cambio está en vigor con este comando:

    firepower# show vpn-sessiondb detail l2l filter ipaddress 
     
     

    Session Type: LAN-to-LAN Detailed

    Connection : X.X.X.X
    Index : 7 IP Addr : X.X.X.X
    Protocol : IKEv1 IPsec
    Encryption : IKEv1: (1)AES256 IPsec: (1)AES256
    Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1
    Bytes Tx : 400 Bytes Rx : 400
    Login Time : 22:06:56 UTC Tue Jun 15 2021
    Duration : 0h:18m:00s
    Tunnel Zone : 0

    IKEv1 Tunnels: 1
    IPsec Tunnels: 1

    IKEv1:
    Tunnel ID : 7.1
    UDP Src Port : 500 UDP Dst Port : 500
    IKE Neg Mode : Main Auth Mode : preSharedKeys
    Encryption : AES256 Hashing : SHA1
    Rekey Int (T): 86400 Seconds Rekey Left(T): 85319 Seconds
    D/H Group : 5
    Filter Name :

    IPsec:
    Tunnel ID : 7.2
    Local Addr : A.A.A.A/255.255.255.255/0/0
    Remote Addr : B.B.B.B/255.255.255.128/0/0
    Encryption : AES256 Hashing : SHA1
    Encapsulation: Tunnel
    Rekey Int (T): 28800 Seconds Rekey Left(T): 27719 Seconds
    Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4608000 K-Bytes
    Idle Time Out: 0 Minutes Idle TO Left : 0 Minutes <<<<<<<---------------
    Bytes Tx : 400 Bytes Rx : 400
    Pkts Tx : 4 Pkts Rx : 4

    El contador de tiempo de espera inactivo debe establecerse en 0 Minutos en lugar de 30 minutos y la VPN debe permanecer activa independientemente de la actividad/tráfico que se esté ejecutando sobre ella.

    Nota: Al momento de escribir este artículo, existe un Bug de mejora para integrar la capacidad de modificar esta configuración directamente en FMC sin la necesidad de Flexconfig. Consulte Cisco bug ID CSCvr82274 - ENH: haga configurable vpn-idle-timeout

    Troubleshoot

    Actualmente no hay información específica disponible para resolver problemas.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    05-Oct-2021
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • David Rivera Perez
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos