导航路径

设备 > VPN > 站点到站点。然后，添加 VPN > Firepower 威胁防御设备，或编辑列出的 VPN 拓扑。打开终端选项卡。

字段

设备

为您的部署选择一个终端节点：

• 由此 管理中心管理的 威胁防御设备

• 由此 管理中心管理的 威胁防御高可用性容器

• 外部网设备，并非由此 管理中心 管理的任意设备（思科或第三方设备）。

设备名称

仅对于外部网设备，为该设备提供一个名称。我们建议其命名可将其识别为非托管设备。

接口

如果选择受管设备作为其终端，请在该受管设备上选择一个接口。

对于“点对点”部署，您还可以配置具有动态接口的终端。具有动态接口的终端只能与外联网设备配对，无法与具有托管设备的终端配对。

您可以在设备 > 设备管理 > 添加/编辑设备 > 接口下配置设备接口。

IP 地址

• 如果选择外联网设备（不由 管理中心管理的设备），请为终端指定一个 IP 地址。

  对于外联网设备，选择静态并指定一个 IP 地址，或选择动态以允许动态外联网设备。

• 如果选择托管设备作为终端，则从下拉列表中选择一个 IPv4 地址或多个 IPv6 地址。这些 IP 地址已分配给托管设备上的此接口。

• 拓扑中的所有终端都必须具有相同的 IP 寻址方案。IPv4 隧道可以传输 IPv6 流量，反之亦然。受保护的网络定义隧道流量将使用的寻址方案。

• 如果受管设备是高可用性容器，请从接口列表中进行选择。

此 IP 为私有 IP

如果终端驻留在带网络地址转换 (NAT) 的防火墙后面，请选中此复选框。

注	仅当对等体由同一个 管理中心 管理时才使用此选项，如果对等体是外联网设备，则不要使用此选项。

公有 IP 地址

如果选中了此 IP 为私有 IP 复选框，请为防火墙指定公共 IP 地址。如果终端为响应方，则必须指定此值。

连接类型

将允许的协商指定为双向、只应答或只发起。受支持的连接类型组合有：

表 1. 受支持的连接类型组合

远程节点	中心节点
只发起	只应答
双向	只应答
双向	双向

证书映射

选择预配置的证书映射对象，或点击 添加（） 以添加证书映射对象。证书地图定义在接收的客户端证书中需要哪些信息才能使其对 VPN 连接有效。有关详细信息，请参阅 证书映射对象。

受保护网络

小心	中心辐射型拓扑 - 为避免动态加密映射的流量丢弃，请确保不要为两个终端选择任何受保护的网络。 如果受保护的网络配置为任何，则不会在两个终端上生成适用于隧道的加密 ACL。

定义受此 VPN 终端保护的网络。通过选择定义这些网络（受此终端保护的网络）的子网/IP 地址列表来选择网络。点击 添加（） 可选择可用的网络对象，或添加新的网络对象。请参阅创建网络对象。访问控制列表会由此处所做的选择生成。

• 子网/IP 地址（网络）(Subnet/IP Address [Network]) - VPN 终端不能有相同的 IP 地址，并且 VPN 终端对中的受保护网络不能重叠。如果一个终端的受保护网络包含 IPv4 或 IPv6 条目，另一个终端的受保护网络必须至少包含一个相同类型的条目（IPv4 或 IPv6）。否则，另一个终端的 IP 地址必须为相同类型，且不会与受保护网络中的条目重叠。（对于 IPv4，使用 /32 CIDR 地址块；对于 IPv6 使用 /128 CIDR 地址块）。如果以上两种检查均失败，则此终端对无效。

  注

  默认情况下，Cisco Secure Firewall Management Center 中会启用启用反向路由注入 (Reverse Route Injection is enabled)。 子网/IP 地址（网络）(Subnet/IP Address [Network]) 将保持默认选中。 如果已为“受保护的网络”(Protected Networks) 选择任意 (Any) 并观察到默认路由流量被丢弃，请禁用反向路由注入。选择 VPN> 站点间 (Site to Site) > 编辑 VPN > IPsec > 启用反向路由注入 (Enable Reverse Route Injection)。部署配置更改，以便从加密映射配置中删除 set reverse-route（反向路由注入），并删除导致反向隧道流量被丢弃的 VPN 通告反向路由。

• 访问列表（扩展）(Access List [Extended]) - 扩展访问列表提供控制此终端可接受的流量类型（例如 GRE 或 OSPF 流量）的功能。流量可通过地址或端口加以限制。点击 添加（） 可添加访问控制列表对象。

  注	访问控制列表仅适用于点对点拓扑。

高级设置

启用动态反向路由注入 (Enable Dynamic Reverse Route Injection) - 反向路由注入 (RRI) 可让路由自动插入到受远程隧道终端保护的网络和主机的路由进程中。仅在成功建立 IPsec 安全关联 (SA) 后才会创建动态 RRI 路由。

注	动态 RRI 仅在 IKEv2 上支持，在 IKEv1 或 IKEv1 + IKEv2 上不支持。 只发起对等体、全网状拓扑和外联网对等体不支持动态 RRI。 在点对点中，只有一个对等体可以启用动态 RRI。 在中心和分支之间，只有一个终端可以启用动态 RRI。 动态 RRI 不能与动态加密映射配合使用。

将本地身份发送到对等体 (Send Local Identity to Peers) - 选择此选项可将本地身份信息发送到对等设备。从列表中选择以下本地身份配置 (Local Identity Configuration) 之一并配置本地身份：

• IP 地址 (IP address) - 对身份使用接口的 IP 地址。

• 自动 (Auto) - 对预共享密钥使用 IP 地址并对基于证书的连接使用证书 DN。

• 电邮 ID (Email ID)- 指定要用于身份的邮件 ID。电邮 ID 最多可以包含 127 个字符。

• 主机名 (Hostname) - 使用完全限定主机名。

• 密钥 ID (Key ID) - 指定用于身份的密钥 ID。密钥 ID 必须少于 65 个字符。

本地身份用于为每个 IKEv2 隧道配置唯一身份，而不是为所有隧道配置一个全局身份。唯一身份允许 威胁防御 在 NAT 后面有多个 IPsec 隧道，以便连接到思科 Umbrella 安全互联网网关 (SIG)。

有关在 Umbrella 上配置唯一隧道 ID 的信息，请参阅 Cisco Umbrella SIG 用户指南。

VPN 过滤器 (VPN Filter) - 从列表中选择扩展访问列表，或点击添加 (Add) 以创建新的扩展访问列表对象，以过滤站点间 VPN 流量。

VPN 过滤器使用扩展访问列表来提供额外的安全性并过滤站点间 VPN 数据。通过为 VPN 过滤器选择的扩展访问列表对象，您可以在进入 VPN 隧道之前过滤预加密流量和离开 VPN 隧道的已解密流量。如果启用了 sysopt permit-vpn 选项，将对来自 VPN 隧道的流量绕过访问控制策略规则。如果启用了 sysopt permit-vpn 选项，VPN 过滤器有助于识别和过滤站点间 VPN 流量。

注	只有点对点和中心辐射型拓扑支持 VPN 过滤器。它在网状拓扑上不支持。

对于中心辐射型拓扑，您可以选择覆盖分支终端上的中心 VPN 过滤器，以免需要在特定隧道上启用不同的 VPN 过滤器。

选择覆盖中心上的 VPN 过滤器 (Override VPN Filter on the Hub) 选项以覆盖辐射点上的集线器 VPN 过滤器。选择远程 VPN 过滤器 (Remote VPN Filter) 扩展访问列表对象或创建要覆盖的访问列表。

注	对于作为分支的外联网设备，只有覆盖中心上的 VPN 过滤器 (Override VPN Filter on the Hub) 选项可用。

有关 sysopt permit-VPN 的详细信息，请参阅威胁防御 高级站点间 VPN 隧道选项。

对于您为此拓扑选择的 IKE 版本，请指定 IKEv1/IKEv2 设置 (IKEv1/IKEv2 Settings)。

注	此对话框中的设置适用于整个拓扑、所有隧道和所有受管设备。

导航路径

设备 > VPN > 站点到站点。然后，添加 VPN > Firepower 威胁防御设备，或编辑列出的 VPN 拓扑。打开 IKE 选项卡。

字段

策略

从预定义列表中选择 IKEv1 或 IKEv2 策略对象，或者创建新的对象以供使用。您可以选择多个 IKEv1 和 IKEv2 策略。

有关详细信息，请参阅 威胁防御 IKE 策略

身份验证类型

站点间 VPN 支持两种身份验证方法：预共享密钥和证书。有关这两种方法的说明，请参阅确定使用哪种身份验证方法。

注	在支持 IKEv1 的 VPN 拓扑中，所选 IKEv1 策略对象中指定的身份验证方法会成为 IKEv1 身份验证类型设置的默认设置。这些值必须匹配，否则，您的配置将出错。

• 预共享自动密钥 (Pre-shared Automatic Key) - 管理中心会自动定义此 VPN 的预共享密钥。指定预共享密钥长度 (Pre-shared Key Length)，即密钥中的字符数（1-27 个）。

  不支持将字符 "（双引号）作为预共享密钥的一部分。如果您在预共享密钥中使用了 "，请确保在升级到 Cisco Secure Firewall Threat Defense 6.30 或更高版本后更改该字符。

• 预共享手动密钥 (Pre-shared Manual Key) - 手动分配此 VPN 的预共享密钥。指定密钥，然后重新输入以确认密钥。

  在为 IKEv2 选择此选项后，将显示仅执行基于十六进制的预共享密钥 (Enforce hex-based pre-shared key only) 复选框，如果需要则将其选中。如果已经执行，则必须使用数字 0-9 或 A-F，为该密钥输入一个有效的十六进制值（它是一个 2-256 个字符的偶数）。

• 证书 (Certificate) - 当您将证书用作 VPN 连接的身份验证方法时，对等体从 PKI 基础设施中的 CA 服务器获取数字证书，并用其相互进行身份验证。

  在证书 (Certificate) 字段中，选择预配置的证书注册对象。此注册对象可在托管设备上生成同名的信任点。证书注册对象应与设备关联并安装在设备上，之后注册过程完成，然后会创建一个信任点。

  信任点表示 CA 或身份对。信任点包括 CA 的身份、CA 特定配置参数，以及与一个注册的身份证书的关联。

  在选择此选项之前，请注意以下事项：

  • 确保你已经在拓扑结构中的所有端点上注册了一个证书注册对象 - 证书登记对象包含创建证书签名请求 (CSR) 以及从指定的证书颁发机构 (CA) 获取身份证书所需的 CA 服务器信息和注册参数。证书注册对象用于将受管设备注册到 PKI 基础设施中，并在支持 VPN 连接的设备上创建信任点（CA 对象）。有关创建证书注册对象的说明，请参阅添加证书注册对象；有关在终端上注册对象的说明，请参阅以下适用内容之一：

    • 使用自签注册安装证书

    • 使用 EST 注册安装证书

    • 使用 SCEP 注册安装证书

    • 使用手动注册安装证书

    • 使用 PKCS12 文件安装证书

    注	对于站点间 VPN 拓扑，请确保在拓扑中的所有终端中注册相同的证书注册对象。有关详细信息，请参阅下表。

  • 请参阅下表，了解不同场景的注册要求。某些场景会要求您覆盖特定设备的证书注册对象。请参阅管理对象覆盖以了解如何覆盖对象。

    证书注册类型	所有终端的设备身份证书均来自同一 CA		所有终端的设备身份证书均来自不同 CA
    	未在证书注册对象中指定设备特定参数	在证书注册对象中指定了设备特定的参数
    手动	无需覆盖	需要覆盖	需要覆盖
    EST	无需覆盖	需要覆盖	需要覆盖
    SCEP	无需覆盖	需要覆盖	需要覆盖
    PKCS	需要覆盖	需要覆盖	需要覆盖
    自签名	不适用	不适用	不适用

  • 了解 Cisco Secure Firewall Threat Defense VPN 证书指南和限制中提到的 VPN 证书限制。

  注	如果使用 Windows 证书颁发机构（CA），则默认应用策略扩展名为 IP 安全 IKE 中间。如果使用此默认设置，则必须在 PKI 证书注册 (PKI Certificate Enrollment) 对话框的密钥 (Key) 选项卡的“高级设置”(Advanced Settings) 部分中为所选对象选择忽略 IPsec 密钥使用 (Ignore IPsec Key Usage) 选项。否则，终端无法完成站点间 VPN 连接。

注	此对话框中的设置适用于整个拓扑、所有隧道和所有受管设备。

加密映射类型

加密映射整合了设置 IPsec 安全关联 (SA) 所需的所有组件。当两个对等体尝试建立 SA 时，每个对等体均必须至少有一个兼容的加密映射项。IPsec 安全协商使用加密映射条目中定义的提议来保护该加密映射的 IPsec 规则所指定的数据流。为此部署的加密映射选择静态或动态模式：

• 静态 - 在点对点或全网状 VPN 拓扑中使用静态加密映射。

• 动态 - 动态加密映射实质上创建了一个不配置所有参数的加密映射项。稍后将动态配置缺少的参数（作为 IPsec 协商的结果）以满足远程对等体的要求。

  动态加密映射策略适用于中心辐射型以及点对点 VPN 拓扑。要应用这些策略，请为拓扑中的一个对等体指定动态 IP 地址，同时确保在此拓扑上启用动态加密映射。在全网格 VPN 拓扑中，只能应用静态加密映射策略。

IKEv2 模式

仅限于 IPsec IKEv2，请指定将 ESP 加密和身份验证应用于隧道的封装模式。此字段确定原始 IP 数据包的哪个部分已应用 ESP。

• 隧道模式 -（默认）封装模式设置为隧道模式。隧道模式将 ESP 加密和身份验证应用至整个原始 IP 数据包（IP 报头和数据），隐藏最终的源主机和目标地址，并成为新 IP 数据包中的负载。

  隧道模式的主要优势是不需要修改终端系统即可获得 IPsec 的优势。此模式允许路由器等网络设备用作 IPsec 代理。也就是说，路由器代表主机执行加密。源路由器加密数据包并将其沿 IPsec 隧道转发。目标路由器解密原始 IP 数据报并将其转发到目标系统。隧道模式还可以防止流量分析；利用隧道模式，攻击者只能确定隧道终端，而无法确定通过隧道传送的数据包的真正源和目标，即使其与隧道终点一样也无法确定。

• 传输首选 (Transport preferred) - 封装模式设置为传输模式，且可选择在对等体不支持时回退到隧道模式。在传输模式下，仅加密 IP 负载，原始 IP 报头保持不变。因此，管理员必须选择与 VPN 接口 IP 地址相匹配的受保护网络。

  此模式的优势是每个数据包只需增加几个字节并且允许公共网络上的设备查看数据包的最终源和目标。在传输模式下，可以根据 IP 报头中的信息在中间网络上启用特殊处理（例如 QoS）。然而，第 4 层报头将被加密，这就限制了对数据包的检查。

• 传输必要 (Transport required) - 封装模式设置为仅传输模式，允许回退到隧道模式。如果因一个端点不支持，端点无法成功协商传输模式，将不进行 VPN 连接。

计划书

点击 编辑（），以便为所选 IKEv1 或 IKEv2 方法指定提议。从可用的 IKEv1 Ipsec 提议 (IKEv1 IPsec Proposals) 或 IKEv2 Ipsec 提议 (IKEv2 IPsec Proposals) 对象中进行选择，或创建一个新的对象并选择该对象。请阅参配置 IKEv1 IPsec 方案对象和配置 IKEv2 IPsec 方案对象了解详情。

启用安全关联 (SA) 强度实施

启用此选项可确保子 IPsec SA 使用的加密算法不比父 IKE SA 更强 (根据密钥中的位数)。

启用反向路由注入

启用反向路由注入 (RRI) 支持静态路由自动插入到受远程隧道终端保护的网络和主机的路由进程中。

启用完全向前保密

是否使用完美前向保密 (PFS) 为每个加密交换生成和使用唯一会话密钥。唯一会话密钥可保护交换免于后续解密，即使整个交换已被记录且攻击者已经获得终端设备使用的预共享或私有密钥。如果选择此选项，也请选择在模数组列表中生成 PFS 会话密钥时使用的 Diffie-Hellman 密钥导出算法。

模块组

用于在两个 IPsec 对等体之间派生共享密钥而不将其相互传输的 Diffie-Hellman 组。模数更大则安全性越高，但需要更多的处理时间。两个对等体必须具有匹配的模数组。 有关选项的完整说明，请参阅决定要使用的 Diffie-Hellman 模数组。

生命周期持续时间

安全关联在过期之前存在的秒数。默认值为 28,800 秒。

寿命大小

使用特定安全关联的 Ipsec 对等体之间在该安全关联到期前可通过的流量（以千字节为单位）。默认值为 4,608,000 千字节。不允许使用无限数据。

ESPv3 设置

验证传入 ICMP 错误消息

选择是否验证通过 IPsec 隧道接收，并发往专用网络上的内部主机的 ICMP 错误消息。

启用“不分段”策略

定义 IPsec 子系统如何处理大型数据包，这些数据包在 IP 报头中设置了不分片 (DF) 位。

策略

• Copy DF bit - 保持 DF 位。

• Clear DF bit - 忽略 DF 位。

• Set DF bit - 设置并使用 DF 位。

启用数据流机密性 (TFC) 数据包

启用虚拟 TFC 数据包，这些数据包会通过隧道，用于屏蔽流量配置文件。可以使用 Burst、Payload Size 和 Timeout 参数生成穿过指定 SA 的随机长度的数据包。

注	您可以按照任意长度和间隔对 IPsec 安全关联 (SA) 启用虚拟流量机密性 (TFC) 数据包。您必须在启用 TFC 之前设置 IKEv2 IPsec 提议。 启用 TFC 数据包可防止 VPN 隧道处于空闲状态。因此，如果启用了 TFC 数据包，则组策略中配置的 VPN 空闲超时不会按预期工作。

以下部分介绍在站点间 VPN 部署中可以指定的高级选项。这些设置适用于整个拓扑、所有隧道和所有受管设备。