안녕하세요! 커뮤니티 여러분?
오늘은 Secure Firewall기능중 Site-to-Site VPN(Route-Based)에 대해서 알아보겠습니다.
데모 구성도:
데모 장비 및 버전:
SFMCv - 7.3.0(build 69)
SFTDv - 7.3.0(build 69)
License – 90일 데모 라이선스
Site-to-Site VPN 요구사항 :
Site-to-Site VPN 소개 :
- Cisco Secure Firewall에서 VTI (Virtual Tunnel Interface)는 가상 터널 인터페이스를 생성하여 IPSec VPN을 구성하는 데 사용됩니다. VTI를 사용하면 다음과 같은 이점이 있습니다.
- 단순성: VTI를 사용하면 IPSec VPN 구성이 간단해집니다. VTI를 구성하는 것은 물리적 인터페이스를 구성하는 것과 유사합니다. VTI를 사용하면 명령어 몇 개만 사용하여 VPN을 설정할 수 있습니다.
- 확장성: VTI는 다양한 네트워크 장비와 호환됩니다. VTI를 사용하면 서로 다른 공급 업체 간에 VPN을 구성할 수 있습니다.
- 안정성: VTI를 사용하면 물리적 인터페이스 대신 가상 인터페이스를 사용하므로 VPN 연결이 안정적입니다. 또한 VTI를 사용하면 가상 인터페이스를 사용하여 별도의 라우팅 구성이 가능하므로 다른 문제에 대해 더욱 강력한 제어가 가능합니다.
- 보안성: VTI를 사용하면 IPSec VPN 터널이 라우터 인터페이스에 바인딩되므로 인터페이스 노출에 대한 위험성이 줄어듭니다. 이는 공격자가 VPN 터널을 감시하거나 노출시키는 것을 방지할 수 있습니다.
- 요약하자면, VTI를 사용하면 IPSec VPN 구성이 간단하고 확장성이 높으며 안정적이며 보안성이 높아집니다.
Site-to-Site VPN(Policy based) Configuration :
HQ & BR FTD 에 각각 VTI Interface 를 생성합니다.
Devices > Device Management
![KaiShin_1-1677309268302.png KaiShin_1-1677309268302.png](https://community.cisco.com/t5/image/serverpage/image-id/177538iE0FE7F7E687C17E6/image-size/large?v=v2&px=999)
Pencil 클릭
Add Interfaces > Virtual Tunnel Interface 클릭
Name : HQ-VTI-INT
Security Zone : hq-vti(VTI interface를 위한 security zone 신규생성)
Tunnel ID : 11
Tunnel Source : outside interface & IP address
IP Address : VTI Interface IP address
생성된 VTI Interface 확인
Add Interfaces > Virtual Tunnel Interface 클릭
Name : BR-VTI-INT
Security Zone : br-vti(VTI interface를 위한 security zone 신규생성)
Tunnel ID : 12
Tunnel Source : outside interface & IP address
IP Address : VTI Interface IP address
생성된 VTI Interface 확인
VPN 생성을 위해 페이지를 이동합니다.
Devices > VPN > Site to Site
Site to Site VPN 클릭
Topology Name : Site-to-Site-VPN-VTI
Node A : Device : HQ-FTD
Virtual Tunnel Interface : HQ-VTI-INT
Node B : Device : BR-FTD
Virtual Tunnel Interface : BR-VTI-INT
Save 클릭
HQ & BR 각각 NAT 예외처리를 위한 Identity NAT 설정
Devices > NAT
HQ Identity NAT 설정
![KaiShin_15-1677309520789.png KaiShin_15-1677309520789.png](https://community.cisco.com/t5/image/serverpage/image-id/177552i398A9F415598643F/image-size/large?v=v2&px=999)
![KaiShin_16-1677309527294.png KaiShin_16-1677309527294.png](https://community.cisco.com/t5/image/serverpage/image-id/177553iB6C7ECF6CBDE557D/image-size/large?v=v2&px=999)
BR Identity NAT 설정
![KaiShin_19-1677309589301.png KaiShin_19-1677309589301.png](https://community.cisco.com/t5/image/serverpage/image-id/177556i76D536F3C2B63E8C/image-size/large?v=v2&px=999)
HQ<>BR 통신을 허용하기 위한 rule 추가
Policies > Access Control > Access Control
HQ & BR 각각 양방향으로 허용 rule 추가
![KaiShin_23-1677309650940.png KaiShin_23-1677309650940.png](https://community.cisco.com/t5/image/serverpage/image-id/177560i5D860A5CC25A7B7E/image-size/large?v=v2&px=999)
VTI Tunnel 을 통해 VPN 통신이 이루어 질 수 있도록 VTI 를 사용하여 통신하는 라우팅 테이블을 각 FTD에 추가
HQ
Interface : HQ-VTI-INT
Selected Network : br-inside
Gateway : 172.16.1.12(BR FTD VTI IP)
BR
Interface : BR-VTI-INT
Selected Network : hq-inside
Gateway : 172.16.1.11(HQ FTD VTI IP)
모든 설정이 완료된 후 Deploy.
각 FTD에서 RRI와 isakmp/ipsec에 대한 검증
HQ FTD
BR FTD
![KaiShin_31-1677309847562.png KaiShin_31-1677309847562.png](https://community.cisco.com/t5/image/serverpage/image-id/177569i496D74E37176299A/image-size/large?v=v2&px=999)
또한 OS 7.3 버전부터 별도의 Site to Site VPN Dashboard 를 아래와 같이 제공하여 보다 VPN 상태 확인을 편리하게 사용하실 수 있습니다.
![KaiShin_36-1677309879042.png KaiShin_36-1677309879042.png](https://community.cisco.com/t5/image/serverpage/image-id/177574i795D4DF8B68ED33D/image-size/large?v=v2&px=999)
오늘도 긴 글 읽어 주셔서 감사드리며, 다음에는 더욱 좋은 컨텐츠로 찾아 뵙겠습니다.
감사합니다!!!