Étape 2 : Configuration de Cisco IOS

Documentation Jamf Connect

Solution

Application

Jamf Connect

Content Type

Documentation technique

Utilities & Services

ft:locale

fr-FR

Après avoir configuré le côté Jamf du tunnel IPSec, vous pouvez configurer Cisco IOS.

Important:

Cette configuration suppose que vous avez créé l’interconnexion personnalisée IPSec, comme décrit ci-dessus. Si vous avez renseigné d’autres valeurs, ajustez la configuration si nécessaire.

Ces étapes supposent qu’aucun autre VPN site à site IPSec n’est configuré sur votre routeur.

Si vous avez d’autres VPN, vous devrez peut-être modifier ces étapes de configuration ou la configuration actuelle de votre routeur pour prendre en charge ce tunnel supplémentaire. Consultez votre documentation Cisco IOS pour plus de détails.

Requirements

La possibilité de se connecter au routeur Cisco IOS en mode config.

Important:

Comme pour toute modification du routeur, Jamf recommande vivement de configurer ces réglages avec précaution et éventuellement dans un environnement de pré-production afin d’éviter toute interruption de service involontaire.

Configurez une proposition, une règle et un profil IKEv2 Jamf :
1. Créez une proposition IKEv2 qui indique le chiffrement à utiliser pour le tunnel (associations de sécurité IKEv2 et IPSec).
```
crypto ikev2 proposal WanderaIKEv2Proposal
 encryption aes-cbc-256
 integrity sha256
 group 14
```
2. Configurez la règle IKEv2 Jamf, en remplaçant {{WAN IP Address}} par l’adresse IP attribuée à cette connexion et fournie dans l’assistant de passerelle d’interconnexion IPSec Jamf Security Cloud.
```
crypto ikev2 policy WanderaIKEv2Policy
 match address local {{WAN IP Address}}
 proposal WanderaIkev2Proposal
```
3. Configurez la clé pré-partagée qui a été générée dans Jamf Security Cloud. Remplacez {{Your PSK}} par le secret partagé que vous avez copié ou fourni au cours des étapes de l’assistant.
```
crypto ikev2 keyring WanderaKeys
 peer WanderaGW
  identity fqdn wpa.wandera.com
  pre-shared-key local {{Your PSK}}
  pre-shared-key remote {{Your PSK}}
```
4. Créez le profil IKEv2, qui associe la clé pré-partagée à la connexion IPSec entrante en provenance de Jamf.
  Assurez-vous de remplacer {{Your IKE Domain ID}} par la valeur utilisée pour l’identifiant de domaine IKE client lors de la configuration de la connexion dans Jamf Security Cloud.
```
crypto ikev2 profile WanderaIKEv2Profile
 match identity remote fqdn wpa.wandera.com
 identity local fqdn {{Your IKE Domain ID}}
 authentication remote pre-share
 authentication local pre-share
 keyring local WanderaKeys
 lifetime 28800
```
Configurez un profil IPSec Jamf et un ensemble de transformation :
Note:
Vous devez disposer d’un ensemble de transformation qui prend en charge le chiffrement utilisé par le tunnel IPSec Jamf Security Cloud. Vous pouvez réutiliser un ensemble de chiffrement existant si vous en avez déjà défini un avec les ensembles de chiffrement nécessaires, ou en créer un nouveau en suivant les étapes ci-dessous.
1. Créez un ensemble de chiffrement.
```
crypto ipsec transform-set WanderaTS esp-aes esp-sha256-hmac
 mode tunnel
```
2. Créez un profil IPSec à utiliser une fois l’association de sécurité IKEv2 (phase 1) terminée.
```
 crypto ipsec profile WanderaIPsecProfile
  set transform-set WanderaTS
  set pfs group14
  set ikev2-profile WanderaIKEv2Profile
```
Créez une carte de chiffrement dynamique IKEv2 Jamf pour autoriser les connexions entrantes en provenance de n’importe quelle adresse IP de la passerelle Jamf Security Cloud.
1. Définissez une liste de contrôle d’accès (ACL) pour le domaine de chiffrement, qui spécifie les adresses IP source et destination du trafic autorisées à passer par le tunnel.
  Cette liste doit correspondre aux valeurs Jamf Security Cloud Subnet (Sous-réseau Jamf Security Cloud) et Customer Subnet(s) (Sous-réseau(x) client) définies dans Jamf Security Cloud.
  Dans les réglages Jamf Security Cloud par défaut, la valeur Customer Subnet (Sous-réseau client) est définie sur 0.0.0.0/0, ce qui permet à Jamf Security Cloud d’atteindre tous les réseaux via le tunnel IPSec.
2. Si vous définissez la valeur Customer Subnet (Sous-réseau client) sur 0.0.0.0/0, laissez-la telle quelle pour permettre un accès complet au réseau, ou remplacez-la par le ou les sous-réseaux spécifiques auxquels le tunnel doit avoir accès.
  Note:
  Jamf recommande de laisser la liste ACL initiale ouverte et de la verrouiller une fois la connectivité établie. Autrement, vous devez définir une ligne de liste d’accès pour chaque sous-réseau client défini dans Jamf Security Cloud.
  Dans tous les cas, la seconde moitié de la règle ACL doit correspondre à la valeur Jamf Security Cloud Subnet (Sous-réseau Jamf Security Cloud) spécifiée dans Jamf Security Cloud.
  La règle ACL requise pour la configuration recommandée avec 0.0.0.0/0 pour la valeur Customer Subnet (Sous-réseau client) et 192.168.233.0/24 pour la valeur Jamf Security Cloud Subnet (Sous-réseau Jamf Security Cloud) est réalisée en exécutant la commande suivante :
```
 ip access-list extended WanderaPANets
  10 permit ip any 192.168.233.0 0.0.0.255
```
3. Créez une carte de chiffrement dynamique pour regrouper le tout :
```
crypto dynamic-map WanderaDynamicIKEMap 10
 set transform-set WanderaTS
 set pfs group14
 set ikev2-profile WanderaIKEv2Profile
 match address WanderaPANets
 reverse-route
```
4. Enregistrez une définition de carte de chiffrement crypto map dynamique auprès du routeur pour l’utiliser avec cette carte dynamique dynamic-map nouvellement créée.
```
crypto map WanderaDynamicCryptoMap 5 ipsec-isakmp dynamic WanderaDynamicIKEMap
```
Associez la configuration IKEv2/IPSec Jamf à l’interface réseau extérieure affectée à l’adresse IP WAN désignée pour utiliser ce tunnel.
Cet exemple suppose que GbE0/0/1 soit l’interface WAN extérieure affectée à l’adresse IP du tunnel IPSec. Veillez à modifier la configuration ci-dessous en fonction de l’interface adaptée à votre environnement.
```
interface GigabitEthernet0/0/1
 ip address {{WAN IP Address}} {{WAN IP Subnet}}
 crypto map WanderaDynamicCryptoMap
```