在FMC管理的FTD上設定雙ISP VTI
簡介
本檔案將說明如何使用FMC管理的FTD裝置上的虛擬通道介面部署雙ISP設定。
必要條件
基本要求
- 對站點到站點VPN的基本瞭解將非常有益。此背景有助於掌握VTI設定過程,包括涉及的關鍵概念和配置。
- 瞭解在Cisco Firepower平台上配置和管理VTI的基本知識至關重要。這包括瞭解VTI在FTD中的運作方式以及如何透過FMC介面對其進行控制。
採用元件
- 適用於VMware的Cisco Firepower威脅防禦(FTD):版本7.0.0
- Firepower管理中心(FMC):版本7.2.4(內部版本169)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
FMC上的配置
拓撲配置
- 導航到裝置>VPN >站點到站點。
2.按一下Add以增加VPN拓撲。
3. 為拓撲命名,選擇VTI和點對點,然後選擇IKE版本(在此例中為IKEv2)。
終端配置
1. 選擇需要配置隧道的裝置。
增加遠端對等體詳細資訊。
您可以按一下「+」圖示來新增虛擬範本介面,或從現有清單中選取一個虛擬範本介面。
如果要建立新的VTI介面,請增加正確的引數,將其啟用,然後按一下「確定」。
註:這成為主VTI。
3. 按一下「+ 」。增加備用VIT」以增加輔助VIT。
4. 按一下「+」增加輔助VTI的引數(如果尚未配置)。
5. 如果要建立新的VTI介面,請增加正確的引數,將其啟用,然後按一下「確定」。
註:這成為輔助VTI。
IKE配置
1. 導航至IKE頁籤。您可以選擇使用預定義的策略,也可以按一下「策略」頁籤旁邊的鉛筆按鈕建立新策略或根據您的要求選擇另一個可用策略。
2. 選取「驗證型態」。如果使用預共用的手動金鑰,請在「金鑰」和「確認金鑰」框中提供金鑰。
IPsec配置
導航到IPSec頁籤。您可以按一下「提案」標籤旁的鉛筆按鈕,選擇使用預先定義的提案,來建立新的提案,或根據您的需求選取其他可用的提案。
路由配置
1. 轉到Device > Device Management,然後按一下鉛筆圖示以編輯裝置(FTD)。
2. 轉至Routing > Static Route,然後按一下「+」按鈕,將路由增加到主要和輔助VTI。
注意:您可以配置適當的路由方法,讓流量透過隧道介面。在本例中,使用了靜態路由。
3. 為受保護的網路增加兩條路由,並為輔助路由設定更高的AD值(在本例中為2)。
第一條 路由使用VTI-1介面,第二條路由使用VTI-2介面。
驗證
1. 轉至Devices > VPN > Site to Site Monitoring 。
2. 按一下眼睛檢視有關隧道狀態的更多詳細資訊。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
31-Jul-2024 |
初始版本 |
意見