취소
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 
cancel
1070
VIEWS
5
Helpful
0
의견
Kai Shin
Cisco Employee
Cisco Employee

안녕하세요! 커뮤니티 여러분?

오늘은 Secure Firewall기능중 Site-to-Site VPN(Policy-Based)에 대해서 알아보겠습니다.

 

데모 구성도:

KaiShin_0-1677300278608.png

 

데모 장비 및 버전:

SFMCv - 7.3.0(build 69)

SFTDv - 7.3.0(build 69)

License – 90일 데모 라이선스

 

Site-to-Site VPN 요구사항 :

  • License : N/A

 

Site-to-Site VPN 소개 :

  • 다양한 디자인 구성 제공
    • Point to Point
    • Hub and Spoke (Dynamic Crypto Map)
    • Full Mesh
  • High availability options 제공
    • Failover
    • Backup peers
    • IP SLA + tracking

 

Site-to-Site VPN(Policy based) Configuration :

Devices > VPN > Site To Site 클릭

KaiShin_1-1677300311398.png

 

Site to Site VPN 클릭

KaiShin_2-1677300319123.png

 

Topology Name : site-to-site-vpn 입력

Policy Based (Crypto Map) 클릭

Network Topology : Point to Point 클릭

IKE Version 은 기본값인 IKEv2 로 설정

각각 Node A B는 아래 그림과 같이 설정

KaiShin_3-1677300326498.png

KaiShin_4-1677300336358.png

KaiShin_5-1677300352859.png

KaiShin_6-1677300359965.png

IKE 설정은 기본값으로 설정

KaiShin_7-1677300376762.png

IPsec RRI(Reverse Route Injection) 체크 확인 기본값은 체크

KaiShin_8-1677300387232.png

Save 클릭후 아래와 같이 확인

KaiShin_9-1677300397786.png

> 화살표 클릭후 아래와 같이 설정확인

KaiShin_10-1677300410323.png

ACP 설정으로 이동

Policies > Access Control > Access Control

KaiShin_11-1677300417665.png

HQ ACP 수정을 위해 pencil 클릭

KaiShin_12-1677300426474.png

Add Rule 클릭

KaiShin_13-1677300433954.png

HQ에서 BR1 으로 통신하기 위한 rule 추가

KaiShin_14-1677300443247.png

반대로 BR1에서 HQ로 통신하기 위한 rule 추가

KaiShin_15-1677300450702.png

다음은 NAT 예외처리를 위해 Identity NAT 설정을 합니다.

KaiShin_16-1677300460204.png

HQ Identity NAT 설정

KaiShin_17-1677300467221.png

KaiShin_18-1677300481921.png

KaiShin_19-1677300486592.png

BR Identity NAT 설정

KaiShin_20-1677300511845.png

KaiShin_21-1677300515876.png

KaiShin_22-1677300534491.png

모든 설정이 완료된 후 Deploy.

각 FTD에서 RRIisakmp/ipsec에 대한 검증

KaiShin_23-1677300549061.png

KaiShin_27-1677300728712.png

KaiShin_24-1677300557313.png

KaiShin_28-1677300736101.png

아래와 같이 Unified Events 에서 HQ <> BR 80/tcp 통신 로그를 확인 하실 수 있습니다.

KaiShin_25-1677300567954.png

KaiShin_26-1677300581807.png

또한 OS 7.3 버전부터 별도의 Site to Site VPN Dashboard 를 아래와 같이 제공하여 보다 VPN 상태 확인을 편리하게 사용하실 수 있습니다.

KaiShin_29-1677300796551.png

오늘도 긴 글 읽어 주셔서 감사드리며, 다음에는 더욱 좋은 컨텐츠로 찾아 뵙겠습니다.

감사합니다!!!

시작하기

상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.

이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.

빠른 링크