[PDF] Configurer le basculement pour les tunnels de site à site IPSec avec

View - Download Configurer le basculement pour les tunnels de site à site IPSec avec

Previous PDF

Next PDF

Introduction

Conditions préalables

Exigences

Composants utilisés

Informations générales

Configurer

Diagramme du réseau

Configuration du FTD

Étape 1. Définition des interfaces ISP principale et secondaire Étape 2. Définition de la topologie VPN pour l’interface principale du FAI Étape 3. Définition de la topologie VPN pour l’interface ISP secondaire

Étape 4. Configurer le SLA Monitor

Étape 5. Configurez les routes statiques avec le Moniteur SLA

Étape 6. Configuration de l'exemption NAT

Étape 7. Configurer la politique de contrôle d'accès pour le trafic intéressant

Configuration de l'ASA

Vérifier

FTD Route

Suivre

NAT

Effectuer le basculement

Route

Suivre

NAT

Dépannage

Ce document décrit comment configurer le basculement basé sur la crypto-carte pour la liaison ISP avec la

fonctionnalité IP SLA track sur le FTD géré par FMC. Contribution d'Amanda Nava, Ingénieur du centre d'assistance technique Cisco. Cisco vous recommande de prendre connaissance des rubriques suivantes : Compréhension de base d'un réseau privé virtuel (VPN)•

Composants utilisés

Informations générales

Configurer

Diagramme du réseau

Configuration du FTD

1. Accédez à comme indiqué dans l'image.

1. Accédez à Sous cliquez sur

, créez le VPN et sélectionnez l'interface externe. ce document ne décrit pas comment configurer un VPN S2S à partir de zéro. Pour plus de références sur la configuration VPN S2S sur FTD, consultez la page

1. Accédez à Sous cliquez sur

, créez le VPN et sélectionnez l'interface Outside2. la configuration VPN qui utilise l'interface Outside2 doit être exactement identique à la topologie Outside VPN, à l'exception de l'interface VPN.

Étape 4. Configurer le SLA Monitor

Objects > SLA Monitor > Add SLA Monitor. Add VPN,Firepower

Threat Defense Device

SLA Monitor ID*

1. Accédez à et configurez la route

par défaut pour l'interface externe (principale) avec les informations de surveillance SLA (Créé à l'étape 4)

dans le champ . suivi de route

1. Accédez à et sélectionnez la politique qui cible le périphérique FTD

et configurez une exemption NAT par interface ISP (Outside et Outside2). Les règles NAT doivent être identiques, sauf pour l'interface de destination. pour ce scénario, les deux règles NAT nécessitent l'activation de route.

Sinon, le trafic atteindrait la première règle et ne se cantonnerait pas aux routes de basculement. Si la

recherche de route n'est pas activée, le trafic est toujours envoyé à l'aide de l'interface externe

(première règle NAT). Lorsque la est activée, le trafic reste toujours dans la table de routage qui est contrôlée par le biais du SLA Monitor.

1. Accédez à Afin d'ajouter

une règle, cliquez sur , comme montré dans l'image ici.

Configurez une règle des zones Interne vers Externe (Outside1 et Outside2) qui autorise le trafic intéressé de

10.10.10.0/24 à 192.168.100/24.

Configurez une autre règle de Outside zones (Outside1 et Outside 2) à Inside qui autorise le trafic intéressant

de 192.168.100/24 à 10.10.10.0/24. pour ce scénario spécifique, un homologue de sauvegarde est configuré sur la crypto-

carte IKEv2. Cette fonctionnalité nécessite que l'ASA soit sur la version 9.14.1 ou ultérieure. Si votre

ASA exécute une version antérieure, utilisez IKEv1 comme solution de contournement. Pour plus de

référence, allez à l'ID de bogue Cisco CSCud22276.

Activez IKEv2 sur l'interface externe de l'ASA :

1. &U\SWRLNHYHQDEOH2XWVLGH

2. Créez la stratégie IKEv2 qui définit les mêmes paramètres configurés sur le FTD :

FU\SWRLNHYSROLF\

HQFU\SWLRQDHV

LQWHJULW\VKD

JURXS

SUIVKD

OLIHWLPHVHFRQGV

3. Créez une stratégie de groupe pour autoriser le protocole ikev2 :

JURXSSROLF\,.(9LQWHUQDO

JURXSSROLF\,.(9DWWULEXWHV

4. Créez un groupe de tunnels pour chaque adresse IP FTD externe (Outside1 et Outside2). Faites référence

à la stratégie de groupe et spécifiez la clé pré-partagée :

5. Créez une liste d’accès qui définit le trafic à chiffrer : (FTD-Subnet 10.10.10.0/24) (ASA-Subnet

192.168.100.0/24) :

6. Créez une proposition ipsec ikev2 pour référencer les algorithmes spécifiés sur le FTD :

7. Créez une entrée de crypto-carte qui lie la configuration et ajoutez les adresses IP FTD Outside1 et

Outside2 :

Vérifier

FTD show crypto ikev2 sa

Remarque :

ILUHSRZHUVKFU\SWRLNHYVD

,.(Y6$V

7XQQHOLG/RFDO5HPRWH6WDWXV5ROH

5($'<5(6321'(5

/LIH$FWLYH7LPHVHF &KLOGVDORFDOVHOHFWRU

UHPRWHVHOHFWRU

(63VSLLQRXW[HGG[FFF Route

ILUHSRZHUVKURXWH

(263)H[WHUQDOW\SH(263)H[WHUQDOW\SH9931

L,6,6VX,6,6VXPPDU\/,6,6OHYHO/,6,6OHYHO

LD,6,6LQWHUDUHD

FDQGLGDWHGHIDXOW8SHUXVHUVWDWLFURXWH

6,6WDWLF,QWHU95)

*DWHZD\RIODVWUHVRUWLVWRQHWZRUN

Suivre

Comme on le voit dans la sortie de show track 1, "Reachability is Up". NAT

Il est nécessaire de confirmer que le trafic intéressant atteint la règle d'exemption NAT avec l'interface

Outside1.

Utilisez la commande " packet-tracer input Inside icmp 10.10.10.1 8 0 192.168.100.10 detail » pour vérifier

la règle NAT appliquée au trafic intéressant.

Effectuer le basculement

Dans cet exemple, le basculement est effectué par un arrêt sur le tronçon suivant Outside1 utilisé dans la

configuration du moniteur IP SLA. Route

ILUHSRZHUVKURXWH

(263)H[WHUQDOW\SH(263)H[WHUQDOW\SH9931

L,6,6VX,6,6VXPPDU\/,6,6OHYHO/,6,6OHYHO

LD,6,6LQWHUDUHD

FDQGLGDWHGHIDXOW8SHUXVHUVWDWLFURXWH

6,6WDWLF,QWHU95)

*DWHZD\RIODVWUHVRUWLVWRQHWZRUN 6 >@YLD2XWVLGH &LVGLUHFWO\FRQQHFWHG,QVLGH /LVGLUHFWO\FRQQHFWHG,QVLGH &LVGLUHFWO\FRQQHFWHG2XWVLGH /LVGLUHFWO\FRQQHFWHG2XWVLGH &LVGLUHFWO\FRQQHFWHG2XWVLGH /LVGLUHFWO\FRQQHFWHG2XWVLGH

Suivre

show track 1

ILUHSRZHUVKWUDFN

7UDFN

5HVSRQVH7LPH5HSRUWHUUHDFKDELOLW\

5HDFKDELOLW\LV'RZQ

FKDQJHVODVWFKDQJH

/DWHVWRSHUDWLRQUHWXUQFRGH7LPHRXW

7UDFNHGE\

67$7,&,35287,1*

NAT

ILUHSRZHUSDFNHWWUDFHULQSXWLQVLGHLFPSGHW

20,77('287387

3KDVH

7\SH1$7

6XEW\SH

5HVXOW$//2:

&RQILJ $GGLWLRQDO,QIRUPDWLRQ

6WDWLFWUDQVODWHWR

)RUZDUG)ORZEDVHGORRNXS\LHOGVUXOHquotesdbs_dbs23.pdfusesText_29

[PDF] VPN site to site Ipsec - Idum

[PDF] 2317-Guide pratique MT BOXindd - Maroc Telecom

[PDF] Démarrage rapide - Netgear

[PDF] NETGEAR N300 Wireless ADSL2+ Modem Router DGN2200v3

[PDF] Créer et partager des fichiers - Micro Application

[PDF] fp - utiliser sa messagerie en mobilité - Dane Versailles

[PDF] IMM 1000 - Citoyenneté et Immigration Canada

[PDF] IMM 1000 - Citoyenneté et Immigration Canada

[PDF] Expositions et séances de confirmation 2018 - Société Centrale

[PDF] calendrier des seances de confirmations janvier - Société Centrale

[PDF] Le niobium devanceD©3 science-fiction - Collections

[PDF] Avis n° 415/12 CM du 20 décembre 2012 r

[PDF] guide interprétatif sur la notion de participation directe aux hostilités

[PDF] Le conflit de valeur, l 'éthique professionnelle! - FO-santé

[PDF] Prise en charge de la lombosciatique par conflit disco- radiculaire