Menghubungkan Cisco IOS ke TKMTRM NGFW melalui IPsec
Mengikuti langkah-langkah dalam artikel, Anda dapat menggabungkan jaringan Cisco dan Ideco NGFW melalui IPsec menggunakan PSK.
Mari kita pertimbangkan untuk mengatur koneksi sesuai dengan diagram yang ditunjukkan pada gambar di bawah ini:
Untuk mengkonfigurasi koneksi Cisco IOS ke Ideco NGFW, Anda harus mengikuti instruksi di setiap paragraf.
Pengaturan awal TKMT Risk Monitoring NGFW dan Cisco IOS
Pengaturan Ideco NGFW
Setel pada Ideco NGFW lokal dan eksternal interface.
Penyetelan Cisco IOS EX
Pengaturan Cisco dapat dilakukan melalui konsol perangkat atau, menggunakan konfigurasi skrip kami, generating dihasilkan melalui alamat https://cisco.ideco.ru/.
Pengaturan Cisco melalui konsil
1. Pengaturan lokal interface:
enable
conf t
interface GigabitEthernet2
ip address <IP Cisco lokal> <subnetmask>
no shutdown
ip nat inside
exit
2. Pengaturan interface eksternal:
interface GigabitEthernet1
ip address <IP Cisco eksternal> <subnetmask>
no shutdown
ip nat outside
exit
3. Cek ketersediaan jaringan antara interface eksternal Ideco NGFW dan Cisco. Untuk itu pada konsol Cisco gunakan perintah ping <IP NGFW eksternal>
. Hasil dari summary perintah - ketersidiaan jawaban.
4. Pembuatan access-list dengan aklamat jaringan lokal (informasi detil dapat dibaca pada status):
ip access-list extended NAT
permit ip <subnetmask Cisco> <return subnetmask> any
exit
5. Pengaturan NAT (informasi rinci dapat dibaca pada artikel):
ip nat inside source list NAT interface GigabitEthernet1 overload
exit
6. Pemyimpanan pengaturan konfigurasi:
write memory
7. Setelah penyimpanan pengaturan cek, bahwa dari local network Cisco terdapat akses ke jaringan internet. Untuk melakukan ini, kunjungi beberapa situs (contoh: https://www.cisco.com/) dengan perangkat ke jaringan local Cisco
Pengaturan IKEv2+IPsec pada Cisco
1. Pembuatan proposal (informasi rinci dapat dibaca pada artikel):
conf t
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
exit
2. Pembuatan policy (informasi rinci dapat dibaca pada artikel):
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
exit
3. Pembuatan peer (key_id - ID remote party, т. е. Ideco NGFW). Informasi rinci dapat dibaca di artikel:
crypto ikev2 keyring key
peer strongswan
address <eksternal IP NGFW>
identity key-id <key_id>
pre-shared-key local <psk>
pre-shared-key remote <psk>
exit
exit
4. Pembuatan IKEv2 profile (Informasi rinci dapat dibaca di artikel):
crypto ikev2 profile ikev2profile
match identity remote address <eksternal IP NGFW> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local key
exit
5. Pengatural digital pada esp:
crypto ipsec transform-set TS esp-gcm 256
mode tunnel
exit
6. Pembuatan ipsec-isakmp:
crypto map cmap 10 ipsec-isakmp
set peer <eksternal IP NGFW>
set transform-set TS
set ikev2-profile ikev2profile
match address cryptoacl
exit
7. Pembuatan crypto map pada interface eksternal:
interface GigabitEthernet1
crypto map cmap
exit
8. Pembuatan access-list untuk trafik diantara jaringan lokal Cisco и NGFW:
ip access-list extended cryptoacl
permit ip <subnet lokal Cisco> <return subnetmask> <subnet lokal NGFW> <return subnet mask>
exit
9. Penambahan access-list NAT pengucualian trafik altar jaringan lokal Cisco и NGFW (rule deny
harus lebih tinggi dari permit
):
ip access-list extended NAT
no permit ip <lokal subnet Cisco> <return subnetmask> any
deny ip <subnet lokal Cisco> <return subnetmask> <lokal subnet NGFW> <return subnetmask>
permit ip <subnet lokal Cisco> <return subnet mask> any
exit
end
10. Penyimpanan pengaturan konfigurasi:
write memory
Pengaturan koneksi keluar TKMT Risk Management NGFW к Cisco IOS
Untuk konfigurasi kelura IPsec-menghubungkan ke TKMT Risk Management NGFW lakukan tindakan berikut:
1. Pada web interface TKMT Risk Management NGFW buka tabnya Layanan -> IPsec -> Koneksi keluar.
2. Tambahkan koneksi baru:
Nama - setiap;
Zona - tentukan zona untuk menambahkan koneksi IPSec;
Alamat perangkat jarak jauh - alamat IP-perangkat jarak jauh;
Jenis otentifikasi - PSK;
PSK - kunci PSK acak akan dihasilkan. Anda akan membutuhkannya untuk mengatur koneksi ke Cisco;
Identifikator NGFW - Kunci yang Anda masukkan akan digunakan untuk mengidentifikasi koneksi keluar. Masukkan juga ID ini di Cisco;
Home local network - tentukan jaringan lokal TKMT Risk Management NGFW;
jaringan lokal jarak jauh - tentukan jaringan lokal Cisco;
alamat - IP tunel interface - tentukan alamat-IP interface tunnel dengan perutean dinamis BGP.
3. Cek, bahwa koneksi telah terhubung (pada kolom Status tulisan Established akan disorot dengan warna hijau).
4. Periksa trafik antar jaringan lokal (TCP dan web).
Jika Cisco menbagikan alamat IP eksternal sebagai gantinya KeyID (periksa dengan mengaktifkan logging IPsec yang diperluas di Cisco), tentukan alamat IP eksternal Cisco sebagai Remote Party ID.
Menyiapkan koneksi masuk TKMT Risk Management NGFW ke Cisco IOS
Untuk mengonfigurasi koneksi IPsec masuk pada TKMT Risk Management NGFW, ikuti langkah-langkah berikut:
1. Pada interface web TKMT Risk Management NGFW, buka tab Layanan -> IPsec -> Perangkat (koneksi masuk).
2. Tambahkan koneksi baru:
Nama - apa saja;
Zona - tentukan zona untuk menambahkan koneksi IPSec;
Jenis autentikasi - PSK;
PSK - tentukan kunci PSK;
ID pihak jarak jauh - masukkan ID Cisco (parameter keys ID);
Home LAN - tentukan jaringan lokal TKMT Risk Management NGFW;
Jaringan lokal jarak jauh - tentukan jaringan lokal Cisco;
Alamat IP tunnel interface - tentukan alamat IP tunnel interface untuk perutean dinamis.
3. Simpan koneksi yang dibuat, lalu klik tombol Aktifkan.
4. Periksa apakah koneksi telah terhubung (pada kolom Status tulisan Established akan disorot dengan warna hijau).
5. Periksa trafik antar jaringan lokal (TCP dan web).
Konfigurasi akhir IKEv2 IPsec pada Cisco IOS akan terlihat seperti ini:
crypto ikev2 proposal ikev2proposal
encryption aes-cbc-256
integrity sha256
group 19
crypto ikev2 policy ikev2policy
match fvrf any
proposal ikev2proposal
crypto ikev2 keyring key
peer strongswan
address 5.5.5.5
pre-shared-key local QWEqwe1234567890
pre-shared-key remote QWEqwe1234567890
crypto ikev2 profile ikev2profile
match identity remote key-id key-id
authentication remote pre-share
authentication local pre-share
keyring local key
crypto ipsec transform-set TS esp-gcm 256
mode tunnel
crypto map cmap 10 ipsec-isakmp
set peer 5.5.5.5
set transform-set TS
set ikev2-profile ikev2profile
match address cryptoacl
interface GigabitEthernet1
! Eksternal interface
ip address 1.1.1.1 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
crypto map cmap
interface GigabitEthernet2
! Interface lokal
ip address 2.2.2.2 255.255.255.0
ip nat inside
negotiation auto
no mop enabled
no mop sysid
ip nat inside source list NAT interface GigabitEthernet1 overload
ip access-list extended NAT
deny ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255
permit ip 2.2.2.0 0.0.0.255 any
ip access-list extended cryptoacl
permit ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255
Last updated