はじめに
このドキュメントでは、FMCによって管理されるFTDデバイス上で仮想トンネルインターフェイスを使用してデュアルISP設定を展開する方法について説明します。
前提条件
基本的な要件
- サイト間VPNの基本的な知識があると役に立ちます。この背景説明は、関連する主要な概念と設定を含め、VTIのセットアッププロセスを把握するのに役立ちます。
- Cisco FirepowerプラットフォームでのVTIの設定と管理の基礎を理解することが不可欠です。これには、VTIがFTD内でどのように機能し、FMCインターフェイスを介してどのように制御されるかについての知識が含まれます。
使用するコンポーネント
- Cisco Firepower Threat Defense(FTD)for VMware:バージョン7.0.0
- Firepower Management Center(FMC):バージョン7.2.4(ビルド169)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
FMCでの設定
トポロジの設定
- Devices > VPN > Site To Siteの順に移動します。
2. Addをクリックして、VPNトポロジを追加します。
3. トポロジに名前を付け、VTIとポイントツーポイントを選択し、IKEバージョン(この場合はIKEv2)を選択します。
エンドポイントの設定
1. トンネルを設定する必要があるデバイスを選択します。
リモートピアの詳細を追加します。
新しい仮想テンプレートインターフェイスを追加するには、「+」アイコンをクリックするか、既存のリストから選択します。
新しいVTIインターフェイスを作成する場合は、正しいパラメータを追加して有効にし、「OK」をクリックします。
注:これがプライマリVTIになります。
3. [+]をクリックします。Add Backup VIT」を使用して、セカンダリVITを追加します。
4. セカンダリVTIのパラメータを追加するには、「+」をクリックします(まだ設定されていない場合)。
5. 新しいVTIインターフェイスを作成する場合は、正しいパラメータを追加して有効にし、[OK]をクリックします。
注:これはセカンダリVTIになります。
IKE の設定。
1. IKEタブに移動します。定義済みのポリシーを使用するか、または[ポリシー]タブの横にある鉛筆ボタンをクリックして新しいポリシーを作成するか、要件に応じて別の使用可能なポリシーを選択できます。
2. 認証タイプを選択します。事前共有手動キーを使用する場合は、[キー]ボックスと[確認キー]ボックスにキーを入力します。
IPSec の設定
IPsecタブに移動します。事前定義済み提案を使用するには、「提案」タブの横にある鉛筆ボタンをクリックして新しい提案を作成するか、要件に応じて別の使用可能な提案を選択します。
ルーティング設定
1. Device > Device Managementの順に移動し、鉛筆のアイコンをクリックしてデバイス(FTD)を編集します。
2. Routing > Static Routeの順に選択し、「+」ボタンをクリックしてプライマリおよびセカンダリVTIにルートを追加します。
注:トラフィックがトンネルインターフェイスを通過するための適切なルーティング方式を設定できます。この例では、スタティックルートが使用されています。
3. 保護ネットワーク用に2つのルートを追加し、セカンダリルート用により高いAD値(この場合は2)を設定します。
最初のルートはVTI-1インターフェイスを使用し、2番目のルートはVTI-2インターフェイスを使用します。
確認
1. Devices > VPN > Site to Site Monitoringの順に選択します。
2. 目をクリックして、トンネルのステータスの詳細を確認します。