步驟2:配置 Cisco IOS

Jamf Connect 說明文件
Solution
Application
Jamf Connect
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW
配置 IPSec 通道的 Jamf 端後,您可以配置 Cisco IOS。
Important:

此配置假設您已按上述方式建立了 IPSec 自訂互連。如果您提交了其他值,請根據需要調整配置。

這些步驟假設您沒有在路由器上配置任何其他 IPSec 站到站 VPN。

如果您有其他 VPN,您可能需要修改這些配置步驟或目前的路由器配置,以適應這個額外的通道。有關詳細資訊,請參閱您的 Cisco IOS 文件。

Requirements
config模式下登入Cisco IOS路由器的能力
Important:

與任何路由器變更一樣,Jamf 強烈建議您謹慎配置這些設定,並且儘可能在預生產環境中進行配置,以避免意外的服務中斷。

  1. 配置 Jamf IKEv2 通訊協定、政策和設定檔:
    1. 建立 IKEv2 通訊協定,指示要用於通道的加密編譯 (IKEv2 和 IPSec 安全性關聯)。
      crypto ikev2 proposal WanderaIKEv2Proposal
 encryption aes-cbc-256
 integrity sha256
 group 14
    2. 配置Jamf IKEv2政策,將{{WAN IP Address}}取代為您為此連線所分配且在Jamf Security Cloud IPSec互連閘道精靈中提供的IP位址。
      crypto ikev2 policy WanderaIKEv2Policy
 match address local {{WAN IP Address}}
 proposal WanderaIkev2Proposal
    3. 配置 Jamf Security Cloud 中產生的預共用密鑰。以您在完成精靈時所複製或提供的共享密鑰來取代{{Your PSK}}
      crypto ikev2 keyring WanderaKeys
 peer WanderaGW
  identity fqdn wpa.wandera.com
  pre-shared-key local {{Your PSK}}
  pre-shared-key remote {{Your PSK}}
    4. 建立 IKEv2 設定檔,它將預共用密鑰與來自 Jamf 的傳入 IPSec 連線相關聯。

      請務必將{{Your IKE Domain ID}}取代為在Jamf Security Cloud中設定連線時為客戶IKE網域ID所使用的值。

      crypto ikev2 profile WanderaIKEv2Profile
 match identity remote fqdn wpa.wandera.com
 identity local fqdn {{Your IKE Domain ID}}
 authentication remote pre-share
 authentication local pre-share
 keyring local WanderaKeys
 lifetime 28800
  2. 配置 Jamf IPSec 設定檔和轉換集:
    Note:

    您必須具有一個轉換集,用來支援 Jamf Security Cloud IPSec 通道使用的加密。如果您已經用指定的必要密碼集定義了一個加密集,則可以重複使用現有的加密集,或透過以下步驟建立一個新的加密集。

    1. 建立加密集。
      crypto ipsec transform-set WanderaTS esp-aes esp-sha256-hmac
 mode tunnel
    2. 建立要在成功完成 IKEv2 安全性關聯 (階段 1) 後使用的 IPSec 設定檔。
       crypto ipsec profile WanderaIPsecProfile
  set transform-set WanderaTS
  set pfs group14
  set ikev2-profile WanderaIKEv2Profile
  3. 建立 Jamf IKEv2 動態加密對應,以允許來自任何 Jamf Security Cloud 閘道 IP 位址的傳入連線。
    1. 為加密網域定義存取控制清單 (ACL),該清單指定允許透過通道路由的流量來源和目的地 IP 位址。

      這必須符合Jamf Security Cloud中定義的Jamf Security Cloud subnet(Jamf Security Cloud子網路)Customer Subnet(s)(客戶子網路)

      在預設的Jamf Security Cloud設定中,會將客戶子網路設為0.0.0.0/0,以允許Jamf Security Cloud透過IPSec通道連線所有網路。

    2. 如果將客戶子網路設為0.0.0.0/0,則保持其原狀以允許完全存取網路,或取代為通道應有存取權的特定子網路。
      Note:

      Jamf 建議您將初始 ACL 保持開啟狀態,並在成功建立連線能力後將其鎖定。否則,您必須為 Jamf Security Cloud 中定義的每個客戶子網路定義一個存取清單列。

      在所有情況下,ACL規則的後半部分必須符合您在Jamf Security Cloud中指定的Jamf Security Cloud子網路

      ACL需要使用下列命令來實現建議的配置,即為客戶子網路使用0.0.0.0/0,為Jamf Security Cloud子網路使用192.168.233.0/24

       ip access-list extended WanderaPANets
  10 permit ip any 192.168.233.0 0.0.0.255
    3. 建立動態加密對應,以將其綁定在一起:
      crypto dynamic-map WanderaDynamicIKEMap 10
 set transform-set WanderaTS
 set pfs group14
 set ikev2-profile WanderaIKEv2Profile
 match address WanderaPANets
 reverse-route
    4. 使用路由器註冊動態crypto map定義,以與此新建的dynamic-map搭配使用。
      crypto map WanderaDynamicCryptoMap 5 ipsec-isakmp dynamic WanderaDynamicIKEMap
  4. Jamf IKEv2/IPSec 配置與指派給指定使用此通道的 WAN IP 位址的外部網路介面相關聯。

    此範例假設GbE0/0/1是使用IPSec通道IP位址指派的外部WAN介面。請務必將下列配置修改為適合您環境的介面。

    interface GigabitEthernet0/0/1
 ip address {{WAN IP Address}} {{WAN IP Subnet}}
 crypto map WanderaDynamicCryptoMap