안녕하세요! 커뮤니티 여러분?
오늘은 Secure Firewall기능중 Site-to-Site VPN(Policy-Based)에 대해서 알아보겠습니다.
데모 구성도:
데모 장비 및 버전:
SFMCv - 7.3.0(build 69)
SFTDv - 7.3.0(build 69)
License – 90일 데모 라이선스
Site-to-Site VPN 요구사항 :
Site-to-Site VPN 소개 :
- 다양한 디자인 구성 제공
- Point to Point
- Hub and Spoke (Dynamic Crypto Map)
- Full Mesh
- High availability options 제공
- Failover
- Backup peers
- IP SLA + tracking
Site-to-Site VPN(Policy based) Configuration :
Devices > VPN > Site To Site 클릭
Site to Site VPN 클릭
Topology Name : site-to-site-vpn 입력
Policy Based (Crypto Map) 클릭
Network Topology : Point to Point 클릭
IKE Version 은 기본값인 IKEv2 로 설정
각각 Node A 와 B는 아래 그림과 같이 설정
IKE 설정은 기본값으로 설정
IPsec 은 RRI(Reverse Route Injection) 체크 확인 – 기본값은 체크
Save 클릭후 아래와 같이 확인
> 화살표 클릭후 아래와 같이 설정확인
ACP 설정으로 이동
Policies > Access Control > Access Control
HQ ACP 수정을 위해 pencil 클릭
Add Rule 클릭
HQ에서 BR1 으로 통신하기 위한 rule 추가
반대로 BR1에서 HQ로 통신하기 위한 rule 추가
다음은 NAT 예외처리를 위해 Identity NAT 설정을 합니다.
HQ Identity NAT 설정
BR Identity NAT 설정
모든 설정이 완료된 후 Deploy.
각 FTD에서 RRI와 isakmp/ipsec에 대한 검증
아래와 같이 Unified Events 에서 HQ <> BR 간 80/tcp 통신 로그를 확인 하실 수 있습니다.
또한 OS 7.3 버전부터 별도의 Site to Site VPN Dashboard 를 아래와 같이 제공하여 보다 VPN 상태 확인을 편리하게 사용하실 수 있습니다.
오늘도 긴 글 읽어 주셔서 감사드리며, 다음에는 더욱 좋은 컨텐츠로 찾아 뵙겠습니다.
감사합니다!!!