Cấu hình Routed-based VPN (VTI) trên Cisco FMC

Thảo luận trong 'Firewall Cisco' bắt đầu bởi hvminh, 3/1/24.

  1. hvminh

    hvminh Member

    Từ năm 2020 Cisco đã ra mắt Firepower Threat Defence (FTD) và Firepower Management Centre (FMC) phiên bản 6.7. Tính năng được chờ đợi lâu ngày đã hỗ trợ từ phiên bản này là Virtual Tunnel Interface (VTI) dành cho VPN site-to-site (route-based). Trước phiên bản 6.7 này FTD/FMC chỉ hỗ trợ cấu hình Policy-based VPN, nó yêu cầu cấu hình một crypto map cùng với các Static access list. Bài viết này hướng dẫn các bước để caasu hình một Route-based VPN sử dụng một Static VTI giữa thiết bị tường lửa NGFW Cisco FTD (ver. 6.7) được quản lý bởi FMC với một Firewall Cisco ASA (ver. 9.14).
    [​IMG]
    CẤU HÌNH CISCO FIREPOWER THREAT DEFENSE (FTD):
    - Bài viết sẽ tập trung cho cấu hình VPN Site-to-Site cho FTD thông qua FMC.
    • Đăng nhập vào GUI của FMC version.

    IKEv2 Policies/Proposals
    - Chúng ta sẽ sử dụng profile IKEv2 IPSec Proposal mặc định sẵn có, chụp hoặc ghi các thuật toán để cấu hình cho thiết bị ngang hàng.
    • Trên giao diện FMC, vào phần Objects > Object Management > VPN > IKEv2 IPSec Proposal.
    [​IMG]

    [​IMG]
    - Một điểm mới cho IKEv2 Policy từ (ver 6.7) là profile AES-GCM-NULL-SHA-LATEST bỏ đi các thuật toán không dùng nữa. Hãy lưu ý để cấu hình phải giống nhau trên thiết bị ngang hàng.
    • Đi đến Objects > Object Management > VPN > IKEv2 Policy
    [​IMG]
    Virtual Tunnel Interface (VTI)
    - VTI có thể được tạo ở 2 nơi, phần bên dưới interface của thiết bị hoặc khi tạo một VPN Site-to-Site. Mục dưới đây mô tả mẫu phương án:
    • Vào phần Devices > Device Management chọn FTD muốn quản lý
    • Dưới mục Interface click Add Interfaces, chọn Virtual Tunnel Interface
    • Cấu hình một Name phù hợp cho VTI này, như vd: Branch
    • Chọn Enabled
    • Chọn Security Zone là một Outside interface
    • Đặt một Tunnel ID duy nhất
    • Đặt một IP address duy nhất – Cisco khuyên nên sử dụng một mạng '/30' trong range định sẵn '169.254.x.x/16' (ngoại trừ mạng '169.254.1.x/24' ra)
    • Chọn interface Tunnel Source, ví dụ ở đây là GigabitEthernet0/0 (OUTSIDE)
    • Click Save.
    [​IMG]
    Site-to-Site Topology
    - Một mô hình kết nối VPN Site-to-Site được yêu cầu phải xác định loại cấu trúc nào được chọn, các điểm Peer Endpoints và cài đặt thuật toán IKE/IPSec được dùng. Khi đó FTD sẽ thực hiện peer với một thiết bị ASA không được quản lý bởi FMC, là remote peer (Node B) sẽ được định là một Extranet (Mạng ngoại vi).
    • Vào phần Devices > VPN > Site to Site
    • Click Add VPN, sau đó chọn Firepower Threat Defense Device
    • Đặt một cái tên 'Name' phù hợp, như vd này: Branch
    • Chọn Route Based (VTI)
    • Chọn Device trong các danh sách của Node A, trong ví dụ này sẽ là FTD được quản lý bởi FMC
    • Từ danh sách Virtual Tunnel Interface chọn VTI đã được tạo trước đó, ngoài ra bạn cũng có thêm tùy chọn để tạo VTI mới ở đây.
    • Connection Type giữ nguyên là 'Bidirectional'
    • Chọn Device trong Node B, chọn Extranet
    • Nhập Device Name thích hợp vào, vd: Branch
    • Nhập Endpoint IP address, đây là địa chỉ IP của Outside interface trên thiết bị ASA.
    [​IMG]
    • Click IKE
    • Từ danh sách Policy, chọn AES-GCM-NULL-SHA-LATEST policy
    • Chọn tiếp Pre-Shared Manual Key. Đối với Automatic Pre-Shared Keys sẽ chỉ hoạt động nếu cả hai peer được quản lý bởi cùng FMC.
    [​IMG]
    • Click IPSec tab
    • Chọn AES-GCM trong mục IKEv2 IPSec Proposal*
    • Lifetime Duration mặc định là '28800'
    [​IMG]
    • Click Save.

    Access Control Policy
    - Mặc định, Access Control Policy (ACP) sẽ áp dụng cho traffic được gửi qua VPN tunnel, do đó các firewall rule cụ thể nên được xác định. Ảnh bên dưới là một ví dụ cơ bản của một ACP rule cho phép toàn bộ traffic đến/đi từ mạng local của FTD (192.168.8.0_22) và ASA (Branch1-LAN).
    [​IMG]
    Routing
    - Static và Dynamic Routing (BGP) được hỗ trợ với VTI, cho mô hình này chúng ta sẽ cấu hình một static route cơ bản.
    • Vào phần Devices > Device Management chọn FTD muốn để quản lý
    • Click tab Routing, sau đó Static Route > Add Route
    • Từ danh sách Interface, chọn VTI đã tạo trước đó như vd này: Branch
    • Bên dưới phần Available Network chọn thành phần cho mạng ở xa, click nút '+' để tạo một mạng mới
    • Phần Gateway chọn địa chỉ tunnel IP peer, vd: 169.254.5.2.
    [​IMG]
    • Click OK.
    [​IMG]
    • Click Save > Deploy và đợi các thay đổi cấu hình tới FTD
    [​IMG]

    CẤU HÌNH ASA:
    - Dưới đây là cấu hình VTI của Cisco ASA:

    KIỂM TRA KẾT QUẢ:
    - Một kết nối VTI được thiết lập tự động (tùy thuộc vào các cipher giống nhau và xác thực thành công), không giống Policy Based VPN (crypto map) yêu cầu khởi tạo traffic để thiết lập một tunnel.
    • Trên một thiết bị bên trong mạng local, ping tới một thiết bị đang online trong mạng ở xa.
    • Login vào CLI của FTD và chạy câu lệnh show crypto ipsec sa.
    - Trên màn hình hiển thị các IPSec SA cả inbound và outbound có trạng thái active, bộ đếm pkt encaps/decaps đang tăng lên khi có lưu lượng qua tunnel.
    [​IMG]
    - Với câu lệnh show crypto ipsec sa tương tự có thể sử dụng trên ASA để xác nhận lại tunnel đã hoạt động.
    [​IMG]
    • Login vào FMC GUI
    • Vào phần Devices > VPN > Site to Site
    • Dưới Topology có liên quan, click nút Check status (bên dưới góc phải màn hình)
    [​IMG]
    - Từ ảnh screenshot ở trên bạn có thể kiểm tra tunnel. Khi remote peer là một ASA, thống kê cho peer này không có. Nếu FMC đang quản lý cả hai peer, các thống kê cho cả 2 phía của tunnel có thể được hiển thị. Các command trong screenshot ở dưới cũng có thể chạy trong CLI của FTD hoặ ASA.
    [​IMG]

    - Như đã thấy rõ trong các bước cấu hình ở trên, việc thiết lập VPN theo Routed-based (VTI) trên Cisco Firepower Threat Defense rất đơn giản. Các command để troubleshoot được dùng tương tự ASA quen thuộc sẽ hoạt động cả với FTD.
     
    hvminh, 3/1/24
    #1

trang này