Firepower Threat Defense サイト間 VPN について
Firepower Threat Defense サイト間 VPN では、次の機能がサポートされています。
-
IPsec IKEv1 および IKEv2 プロトコルの両方をサポート。
-
証明書および自動または手動の事前共有認証キー。
-
IPv4 および IPv6。内部、外部のすべての組み合わせをサポート。
-
IPsec IKEv2 サイト間 VPN トポロジは、セキュリティ認証に準拠するための構成時の設定を提供します。
-
スタティック インターフェイスおよびダイナミック インターフェイス。
-
Firepower Management Center および FTD 両方の HA 環境をサポート。
-
トンネルがダウンした際の VPN アラート。
-
FTD 統合 CLI により利用可能なトンネル統計。
-
ポイントツーポイント エクストラネット VPN の IKEv1 バックアップ ピア設定をサポート。
-
「ハブ アンド スポーク」展開でのハブとしてエクストラネット デバイスをサポート。
-
「ポイントツーポイント」展開でのエクストラネット デバイスを使用した管理対象エンドポイント ペアリングのダイナミック IP アドレスをサポート。
-
エクストラネット デバイスのダイナミック IP アドレスをエンドポイントとしてサポート。
-
「ハブ アンド スポーク」展開でのエクストラネットとしてハブをサポート。
VPN トポロジ
新しいサイト間 VPN トポロジを作成するには、少なくとも、一意の名前を付け、トポロジ タイプを指定し、IPsec IKEv1 または IKEv2 あるいはその両方に使用される IKE バージョンを選択する必要があります。また、認証方法を決定します。設定したら、Firepower Threat Defense デバイスにトポロジを展開します。Firepower Management Center は、FTD デバイスのサイト間 VPN のみ設定します。
次の 3 つのタイプのトポロジから選択することができます。トポロジには、VPN トンネルが 1 つ以上含まれています。
-
ポイントツーポイント(PTP)型の展開は、2 つのエンドポイント間で VPN トンネルを確立します。
-
ハブ アンド スポーク型の展開は、VPN トンネルのグループを確立し、ハブ エンドポイントをスポーク ノードのグループに接続します。
-
フル メッシュ型の展開は、エンドポイントのセット内で VPN トンネルのグループを確立します。
IPsec と IKE
Firepower Management Center では、サイト間 VPN は、VPN トポロジに割り当てられた IKE ポリシーおよび IPsec プロポーザルに基づいて設定されます。ポリシーとプロポーザルはパラメータのセットであり、これらのパラメータによって、IPsec トンネル内のトラフィックでセキュリティを確保するために使用されるセキュリティ プロトコルやアルゴリズムなど、サイト間 VPN の特性が定義されます。VPN トポロジに割り当て可能な完全な設定イメージを定義するために、複数のポリシー タイプが必要となる場合があります。
認証
VPN 接続の認証には、トポロジ内で事前共有キー、または各デバイスでトラストポイントを設定します。事前共有キーにより、IKE 認証フェーズで使用する秘密鍵を 2 つのピア間で共有できます。トラストポイントには、CA の ID、CA 固有のパラメータ、登録されている単一の ID 証明書とのアソシエーションが含まれています。
エクストラネット デバイス
各トポロジ タイプには、Firepower Management Center で管理しないデバイスである、エクストラネット デバイスが含まれる可能性があります。これには次が含まれます。
-
Firepower Management Center ではサポートされているが、ユーザの部門が担当していないシスコ デバイス。たとえば、社内の他の部門が管理するネットワーク内のスポークや、サービス プロバイダーやパートナー ネットワークへの接続などです。
-
シスコ製以外のデバイス。Firepower Management Center を使用して、シスコ製以外のデバイスに対する設定を作成したり、展開したりすることはできません。
シスコ以外のデバイス、または Firepower Management Center で管理されていないシスコ デバイスを VPN トポロジに「エクストラネット」デバイスとして追加します。また、各リモート デバイスの IP アドレスも指定します。
Firepower Threat Defense サイト間 VPN ガイドラインと制約事項
-
現在のドメイン内ではないエンドポイント用のエクストラネット ピアを使用してのみ、ドメイン間の VPN 接続が可能です。
-
VPN トポロジをドメイン間で移動させることはできません。
-
「範囲」オプションのあるネットワーク オブジェクトは、VPN では対応していません。
-
Firepower Threat Defense VPN のバックアップは、Firepower Management バックアップを使用した場合のみ行われます。
-
Firepower Threat Defense VPN では、現在、PDF のエクスポートおよびポリシーの比較には対応していません。
-
Firepower Threat Defense VPN ではトンネル単位またはデバイス単位の編集オプションはありません。トポロジ全体のみ編集できます。
-
暗号 ACL が選択されている場合、トランスポート モードのデバイス インターフェイス アドレス検証は実行されません。
-
暗号 ACL または保護されたネットワークのいずれかを使用して、トポロジ内のすべてのノードを設定する必要があります。あるノードでは暗号 ACL を使用し、別のノードでは保護されたネットワークを使用して、トポロジを設定することはできません。
-
自動ミラー ACE 生成はサポートされません。ピアのミラー ACE 生成は、どちらの側でも手動プロセスです。
-
暗号 ACL を使用している間はハブ、スポーク、フル メッシュのトポロジはサポートされません。ポイントツーポイント VPN のみがサポートされます。さらに、暗号 ACL では、VPN トポロジのトンネル ヘルス イベントがサポートされません。
-
IKE ポート 500/4500 が使用されている場合、またはアクティブな PAT 変換がある場合は、これらのポートでサービスを開始できないため、サイト間 VPN を同じポートに設定することはできません。
-
Firepower Management Center では、トンネルの状態はリアルタイムではなく、5 分間隔でアップロードされます。
-
文字 "(二重引用符)は事前共有キーの一部としてサポートされていません。事前共有キーで " を使用した場合は、Firepower Threat Defense 6.30 にアップグレードした後に必ず文字を変更してください。