Menghubungkan Cisco IOS ke TKMTRM NGFW melalui IPsec

Mengikuti langkah-langkah dalam artikel, Anda dapat menggabungkan jaringan Cisco dan Ideco NGFW melalui IPsec menggunakan PSK.

Mari kita pertimbangkan untuk mengatur koneksi sesuai dengan diagram yang ditunjukkan pada gambar di bawah ini:

Untuk mengkonfigurasi koneksi Cisco IOS ke Ideco NGFW, Anda harus mengikuti instruksi di setiap paragraf.

Pengaturan awal TKMT Risk Monitoring NGFW dan Cisco IOS

Pengaturan Ideco NGFW

Setel pada Ideco NGFW lokal dan eksternal interface.

Penyetelan Cisco IOS EX

Pengaturan Cisco dapat dilakukan melalui konsol perangkat atau, menggunakan konfigurasi skrip kami, generating dihasilkan melalui alamat https://cisco.ideco.ru/.

Pengaturan Cisco melalui konsil

1. Pengaturan lokal interface:

enable
conf t
interface GigabitEthernet2
ip address <IP Cisco lokal> <subnetmask>
no shutdown
ip nat inside
exit

2. Pengaturan interface eksternal:

interface GigabitEthernet1
ip address <IP Cisco eksternal> <subnetmask>
no shutdown
ip nat outside
exit

3. Cek ketersediaan jaringan antara interface eksternal Ideco NGFW dan Cisco. Untuk itu pada konsol Cisco gunakan perintah ping <IP NGFW eksternal>. Hasil dari summary perintah - ketersidiaan jawaban.

4. Pembuatan access-list dengan aklamat jaringan lokal (informasi detil dapat dibaca pada status):

ip access-list extended NAT
permit ip <subnetmask Cisco> <return subnetmask> any
exit

5. Pengaturan NAT (informasi rinci dapat dibaca pada artikel):

ip nat inside source list NAT interface GigabitEthernet1 overload
exit

6. Pemyimpanan pengaturan konfigurasi:

write memory

7. Setelah penyimpanan pengaturan cek, bahwa dari local network Cisco terdapat akses ke jaringan internet. Untuk melakukan ini, kunjungi beberapa situs (contoh: https://www.cisco.com/) dengan perangkat ke jaringan local Cisco

Pengaturan IKEv2+IPsec pada Cisco

1. Pembuatan proposal (informasi rinci dapat dibaca pada artikel):

conf t
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
exit

2. Pembuatan policy (informasi rinci dapat dibaca pada artikel):

crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
exit

3. Pembuatan peer (key_id - ID remote party, т. е. Ideco NGFW). Informasi rinci dapat dibaca di artikel:

crypto ikev2 keyring key
peer strongswan
address <eksternal IP NGFW>
identity key-id <key_id>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit

4. Pembuatan IKEv2 profile (Informasi rinci dapat dibaca di artikel):

crypto ikev2 profile ikev2profile
match identity remote address <eksternal IP NGFW> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key
exit

5. Pengatural digital pada esp:

crypto ipsec transform-set TS esp-gcm 256
mode tunnel
exit

6. Pembuatan ipsec-isakmp:

crypto map cmap 10 ipsec-isakmp
set peer <eksternal IP NGFW>
set transform-set TS
set ikev2-profile ikev2profile
match address cryptoacl
exit

7. Pembuatan crypto map pada interface eksternal:

interface GigabitEthernet1
crypto map cmap
exit

8. Pembuatan access-list untuk trafik diantara jaringan lokal Cisco и NGFW:

ip access-list extended cryptoacl
permit ip <subnet lokal Cisco> <return subnetmask> <subnet lokal NGFW> <return subnet mask>
exit

9. Penambahan access-list NAT pengucualian trafik altar jaringan lokal Cisco и NGFW (rule deny harus lebih tinggi dari permit):

ip access-list extended NAT
no permit ip <lokal subnet Cisco> <return subnetmask> any
deny ip <subnet lokal Cisco> <return subnetmask> <lokal subnet NGFW> <return subnetmask>
permit ip <subnet lokal Cisco> <return subnet mask> any
exit

end

10. Penyimpanan pengaturan konfigurasi:

write memory
Pengaturan koneksi keluar TKMT Risk Management NGFW к Cisco IOS

Untuk konfigurasi kelura IPsec-menghubungkan ke TKMT Risk Management NGFW lakukan tindakan berikut:

1. Pada web interface TKMT Risk Management NGFW buka tabnya Layanan -> IPsec -> Koneksi keluar.

2. Tambahkan koneksi baru:

  • Nama - setiap;

  • Zona - tentukan zona untuk menambahkan koneksi IPSec;

  • Alamat perangkat jarak jauh - alamat IP-perangkat jarak jauh;

  • Jenis otentifikasi - PSK;

  • PSK - kunci PSK acak akan dihasilkan. Anda akan membutuhkannya untuk mengatur koneksi ke Cisco;

  • Identifikator NGFW - Kunci yang Anda masukkan akan digunakan untuk mengidentifikasi koneksi keluar. Masukkan juga ID ini di Cisco;

  • Home local network - tentukan jaringan lokal TKMT Risk Management NGFW;

  • jaringan lokal jarak jauh - tentukan jaringan lokal Cisco;

  • alamat - IP tunel interface - tentukan alamat-IP interface tunnel dengan perutean dinamis BGP.

3. Cek, bahwa koneksi telah terhubung (pada kolom Status tulisan Established akan disorot dengan warna hijau).

4. Periksa trafik antar jaringan lokal (TCP dan web).

Jika Cisco menbagikan alamat IP eksternal sebagai gantinya KeyID (periksa dengan mengaktifkan logging IPsec yang diperluas di Cisco), tentukan alamat IP eksternal Cisco sebagai Remote Party ID.

Menyiapkan koneksi masuk TKMT Risk Management NGFW ke Cisco IOS

Untuk mengonfigurasi koneksi IPsec masuk pada TKMT Risk Management NGFW, ikuti langkah-langkah berikut:

1. Pada interface web TKMT Risk Management NGFW, buka tab Layanan -> IPsec -> Perangkat (koneksi masuk).

2. Tambahkan koneksi baru:

  • Nama - apa saja;

  • Zona - tentukan zona untuk menambahkan koneksi IPSec;

  • Jenis autentikasi - PSK;

  • PSK - tentukan kunci PSK;

  • ID pihak jarak jauh - masukkan ID Cisco (parameter keys ID);

  • Home LAN - tentukan jaringan lokal TKMT Risk Management NGFW;

  • Jaringan lokal jarak jauh - tentukan jaringan lokal Cisco;

  • Alamat IP tunnel interface - tentukan alamat IP tunnel interface untuk perutean dinamis.

3. Simpan koneksi yang dibuat, lalu klik tombol Aktifkan.

4. Periksa apakah koneksi telah terhubung (pada kolom Status tulisan Established akan disorot dengan warna hijau).

5. Periksa trafik antar jaringan lokal (TCP dan web).

Konfigurasi akhir IKEv2 IPsec pada Cisco IOS akan terlihat seperti ini:

crypto ikev2 proposal ikev2proposal
 encryption aes-cbc-256
 integrity sha256
 group 19

crypto ikev2 policy ikev2policy
 match fvrf any
 proposal ikev2proposal

crypto ikev2 keyring key
 peer strongswan
  address 5.5.5.5
  pre-shared-key local QWEqwe1234567890
  pre-shared-key remote QWEqwe1234567890

crypto ikev2 profile ikev2profile
 match identity remote key-id key-id
 authentication remote pre-share
 authentication local pre-share
 keyring local key

crypto ipsec transform-set TS esp-gcm 256
 mode tunnel

crypto map cmap 10 ipsec-isakmp
 set peer 5.5.5.5
 set transform-set TS
 set ikev2-profile ikev2profile
 match address cryptoacl

interface GigabitEthernet1
! Eksternal interface
 ip address 1.1.1.1 255.255.255.0
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
 crypto map cmap

interface GigabitEthernet2
! Interface lokal
 ip address 2.2.2.2 255.255.255.0
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid

ip nat inside source list NAT interface GigabitEthernet1 overload

ip access-list extended NAT
 deny   ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255
 permit ip 2.2.2.0 0.0.0.255 any
ip access-list extended cryptoacl
 permit ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255
PreviousKoneksi antara dua TKMTRM NGFW dalam mode transportNextMenghubungkan pfSense ke TKMTRM NGFW melalui IPsec

Last updated