تكوين SD-WAN ل VPN من موقع إلى موقع عبر جدار حماية آمن
المحتويات
المقدمة
يصف هذا المستند سيناريوهات نشر شبكات VPN المستندة إلى المسار مع توجيه تغشية BGP باستخدام ميزة SD-WAN على جدار الحماية الآمن.
المتطلبات الأساسية
تقوم كل المحاور والأخاديد بتشغيل برنامج FTD 7.6 أو ما بعده، وتتم إدارتها من خلال نفس وحدة التحكم في الإدارة المالية، والتي تقوم أيضا بتشغيل 7.6 أو برمجية متأخر.
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- IKEv2
- شبكة VPN تستند إلى المسار
- واجهات الأنفاق الظاهرية (VTI)
- IPsec
- BGP
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى:
- Cisco Secure Firewall Threat Defense 7.7.10
- Cisco Secure Firewall Management Center 7.7.10
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات الميزة
يعمل مركز الإدارة على تبسيط تكوين أنفاق الشبكة الخاصة الظاهرية (VPN) والتوجيه بين المقار المركزية (لوحات التوزيع) ومواقع الفروع البعيدة (الفروع) باستخدام معالج SD-WAN الجديد.
· أتمتة تكوين الشبكة الخاصة الظاهرية (VPN) من خلال الاستفادة من DVTI (واجهة النفق الظاهرية الديناميكية) على المحاور و SVTI (واجهة النفق الظاهرية الثابتة) على المحولات، مع تمكين توجيه التراكب من خلال BGP.
· يقوم تلقائيا بتعيين عناوين IP الخاصة ب SVTI للوحات ويدفع تكوين VTI الكامل، بما في ذلك معلمات التشفير.
· يوفر تكوين توجيه سهل خطوة واحدة داخل نفس المعالج لتمكين BGP للتوجيه المغلف.
· تمكين التوجيه الأمثل والقابل للتطوير من خلال زيادة سمة عاكس المسار لبروتوكول BGP.
· يسمح بإضافة العديد من المحولات في آن واحد مع الحد الأدنى من تدخل المستخدم.
الطوبولوجيا المغطاة
في هذه المقالة، تمت تغطية العديد من المخططات لضمان أن المستخدمين على دراية بمختلف سيناريوهات النشر.
الموزع والمتكلم (مزود خدمة الإنترنت (ISP) واحد)
الرسم التخطيطي للشبكة
التكوينات
-
انتقل إلى الأجهزة > VPN > موقع إلى موقع > إضافة > مخطط SD-WAN > > إنشاء.
· إضافة محور وإنشاء DVTI في نهاية لوحة الوصل. كجزء من تكوين DVTI، الرجاء التأكد من تحديد واجهة مصدر النفق الصحيحة وفقا للمخطط.
-
قم بإنشاء تجمع عناوين IP عبر النفق وانقر فوق حفظ ثم إضافة. يتم إستخدام تجمع عناوين IP لتعيين عناوين IP الخاصة بنفق VTI إلى الفروع.
-
طقطقت بعد ذلك أن يباشر وأضفت المسلسلات. يمكنك الاستفادة من خيار إضافة كميات كبيرة إذا كان لديك أسماء واجهة / مناطق مشتركة أو قمت بإضافة سلاسل بشكل فردي.
-
حدد الأجهزة وحدد نمط تسمية لواجهة WAN/الواجهة الخارجية. إذا كانت الأجهزة تشترك في نفس اسم الواجهة، فإن إستخدام الأحرف الأولى يكون كافيا. طقطقت بعد ذلك، وإذا كان التدقيق ناجح، طقطقت يضيف. بالنسبة للإضافات المجمعة، يمكنك أيضا إستخدام اسم المنطقة بنفس الطريقة.
-
دققت القارن ويغلف قارن تفصيل أن يضمن أن القارن صحيح انتقيت، بعد ذلك طقطقت بعد ذلك.
-
يمكنك إما الاحتفاظ بالمعلمات الافتراضية لتكوين IPsec أو تحديد شفرات مخصصة كما هو مطلوب. طقطقت بعد ذلك أن يباشر. في هذا المستند، تستخدم المعلمات الافتراضية.
-
وأخيرا، يمكنك تكوين توجيه التغشية ضمن نفس المعالج لهذه الطبولوجيا من خلال تحديد معلمات BGP المناسبة، مثل رقم AS وإعلانات الواجهة الداخلية وعلامات المجتمع لتصفية البادئات. يمكن أن تساعد منطقة الأمان في تصفية حركة المرور عبر سياسات التحكم في الوصول بينما يمكنك أيضا إنشاء كائن للواجهات واستخدامها في إعادة توزيع الواجهات المتصلة إذا كان الاسم مختلفا عن الاسم الداخلي أو غير متماثل عبر الأجهزة في المخطط.
-
انقر فوق التالي، ثم إنهاء، وأخيرا نشر لإكمال العملية.
التحقق
-
يمكنك التحقق من حالة النفق بالانتقال إلى الأجهزة > VPN > موقع إلى موقع.
-
يمكن التحقق من التفاصيل الإضافية من خلال الانتقال إلى نظرة عامة > لوحات المعلومات > موقع إلى موقع VPN.
-
للحصول على مزيد من الرؤى، حدد النفق وانقر فوق عرض المعلومات الكاملة.
-
يتم عرض الإخراج مباشرة من واجهة سطر الأوامر (CLI) الخاصة ب FTD ويمكن تحديثها لعرض العدادات المحدثة والمعلومات المهمة، مثل تفاصيل فهرس معلمات الأمان (SPI).
-
كما يمكن إستخدام واجهة سطر الأوامر (CLI) ل FTD للتحقق من معلومات التوجيه وحالة تجزيء BGP.
على جانب الموزع
HUB1# show bgp summary BGP router identifier 198.51.100.3, local AS number 65500 BGP table version is 7, main routing table version 7 2 network entries using 400 bytes of memory 2 path entries using 160 bytes of memory 1/1 BGP path/bestpath attribute entries using 208 bytes of memory 1 BGP community entries using 24 bytes of memory 1 BGP route-map cache entries using 64 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 856 total bytes of memory BGP activity 2/0 prefixes, 4/2 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 198.51.100.10 4 65500 4 6 7 0 0 00:00:45 0 <<<<< spoke 1 bgp peering 198.51.100.11 4 65500 5 5 7 0 0 00:00:44 1 <<<<< spoke 2 bgp peering 198.51.100.12 4 65500 5 5 7 0 0 00:00:52 1 <<<<< spoke 3 bgp peering
HUB1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
B 192.0.2.0 255.255.255.248 [200/1] via 198.51.100.10, 00:00:18 <<<<<<<< spoke 1 inside network
B 192.0.2.8 255.255.255.248 [200/1] via 198.51.100.11, 00:08:08 <<<<<<<< spoke 2 inside network
B 192.0.2.16 255.255.255.248 [200/1] via 198.51.100.12, 00:08:16 <<<<<<<< spoke 3 inside networkHUB1#show bgp ipv4 unicast neighbors 198.51.100.10 routes <<<<< to check only prefix receieved from specific peer
BGP table version is 14, local router ID is 198.51.100.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*>i192.0.2.0/29 198.51.100.10 1 100 0 ? <<<<<<<<<< routes received from spoke 1
Total number of prefixes 1HUB1#show bgp ipv4 unicast neighbors 198.51.100.11 routes <<<<< to check only prefix receieved from specific peer
BGP table version is 14, local router ID is 198.51.100.3 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *>i192.0.2.8/29 198.51.100.11 1 100 0 ? <<<<<<<<<< routes received from spoke 2 Total number of prefixes 1
HUB1#show bgp ipv4 unicast neighbors 198.51.100.12 routes <<<<< to check only prefix receieved from specific peer
BGP table version is 14, local router ID is 198.51.100.3 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *>i192.0.2.16/29 198.51.100.12 1 100 0 ? <<<<<<<<<< routes received from spoke 3 Total number of prefixes 1
على جانب مكبر
ويمكن أيضا إجراء نفس التحقق على الأجهزة التي يتم التحدث بها. هنا مثال من احد القببين.
Spoke1# show bgp summary BGP router identifier 198.51.100.4, local AS number 65500 BGP table version is 12, main routing table version 12 3 network entries using 600 bytes of memory 3 path entries using 240 bytes of memory 2/2 BGP path/bestpath attribute entries using 416 bytes of memory 2 BGP rrinfo entries using 80 bytes of memory 1 BGP community entries using 24 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 1360 total bytes of memory BGP activity 5/2 prefixes, 7/4 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 198.51.100.1 4 65500 12 11 12 0 0 00:07:11 2 <<<<<<<<< BGP peering with HUB
Spoke1# show bgp ipv4 unicast neighbors 198.51.100.1 routes
BGP table version is 12, local router ID is 198.51.100.4
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*>i192.0.2.8/29 198.51.100.1 1 100 0 ? <<<<<<< route received from HUB for spoke 2
*>i192.0.2.16/29 198.51.100.1 1 100 0 ? <<<<<<< route received from HUB for spoke 3
Total number of prefixes 2 Spoke1# show bgp ipv4 unicast neighbors 198.51.100.1 advertised-routes
BGP table version is 12, local router ID is 198.51.100.4
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 192.0.2.0/29 0.0.0.0 0 32768 ? <<<<<<<< route advertised by this spoke into BGP
Total number of prefixes 1 Spoke1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
B 192.0.2.8 255.255.255.248 [200/1] via 198.51.100.1, 00:13:42 <<<<<< spoke 2 inside network
B 192.0.2.16 255.255.255.248 [200/1] via 198.51.100.1, 00:13:42 <<<<<< spoke 3 inside networkلوحة وصل ومحادثة مزدوجة (أدخل بروتوكول ISP إلى لوحة وصل إحتياطية عبر بروتوكول eBGP بين لوحة الوصل الثانوية والأقسام الفرعية)
الرسم التخطيطي للشبكة
التكوينات
مطلوب نفس المعالج، مع تعديلات طفيفة في نافذة إضافة لوحة الوصل. يمكنك إعادة توجيه العملية بسرعة من خلال التركيز فقط على التغييرات الضرورية.
· بعد إضافة الموزع الأول، انتقل إلى إضافة الموزع الثاني باستخدام نفس الخطوات المستخدمة سابقا ل HUB1.
-
قم بالمتابعة لإنشاء واجهة النفق الظاهرية الديناميكية (DVTI).
-
يلزم وجود تجمع عنوان IP جديد لأنفاق VTI الخاصة بالموجه 2 على الجانب المتصل. قم بإنشاء التجمع الجديد وتكوينه، ثم احفظ التغييرات.
-
لتكوين نظير eBGP بين المحور الثاني والأخاديد، قم بتعديل إعدادات SD-WAN في الخطوة النهائية. مكنت الخيار ثانوي صرة في نظام مستقل مختلف وعينت النظام الذاتي (AS) رقم ل الثانوي صرة. يمكن إستخدام iBGP أيضا إذا لم يكن هناك حد لاستخدام رقم AS مختلف على بيئتك عن طريق ترك الخيار HUB الثانوي في نظام مستقل مختلف غير محدد. يدفع هذا نفس رقم المجتمع ورقم AS لمحور ثانوي أيضا. تركز المقالة على eBGP للإعداد الحالي.
تأكد من أن كل من رقم النظام الذاتي (AS) وعلامة المجتمع فريدتان في هذا التكوين.
التحقق
يوضح هذا الرسم التخطيطي التضمين.
-
في FMC، انتقل إلى الأجهزة > VPN > موقع إلى موقع.
-
وتظل جميع الخطوات الأخرى دون تغيير.
لوحة وصل ومحادثة مزدوجة (مزود خدمة الإنترنت (ISP) مزدوج للموزع المتكرر وموصل ISP عبر بروتوكول eBGP بين الموزع الثانوي والأقسام الفرعية)
الرسم التخطيطي للشبكة
التكوين
يكمن الاختلاف الوحيد في هذا السيناريو في تكوين طوبيتين منفصلتين لشبكة SD-WAN، يستخدم كل منهما واجهة مزود خدمة الإنترنت (ISP) الخاصة به كأساس.
· تم تخطي عملية النشر لهذه الطبولوجيا باستخدام ISP الأول. نظرا لأن هذه الميزة تغطيها الطبولوجيا السابقة.
-
بعد ذلك، انتقل إلى إضافة المخطط الثاني من خلال إنشاء واجهات DVTI إضافية لكل محور، باستخدام كل واجهات الواجهة الأساسية ل ISP 2 (VPN-OUT-2).
-
يتم توفير تجمع عنوان IP إضافي لشبكة VPN خصيصا لعناوين واجهة النفق الظاهرية (VTI) التي يتم التحدث بها.
-
لإضافة موزع ثانوي، كرر العملية بإنشاء DVTI 2 باستخدام واجهة ISP الثانوية (VPN-OUT-2)، وتكوين تجمع IP إضافي لعناوين VTI الطرفية المحكية.
-
عند إضافة كلمة، تأكد من تحديد الواجهة الأساسية / شبكة WAN الصحيحة لأنفاق VTI. يستخدم هذا المخطط واجهة ISP الثانوية VPN-out-2.
-
عند تكوين التوجيه، تأكد من أن علامات المجتمع وأرقام AS لكل من الموزع في هذه الطوبولوجيا متوافقة مع تلك المستخدمة في طبولوجيا ISP1 السابقة. تستخدم الطبولوجيا مناطق أمان مختلفة ولكن التكوينات المتبقية مثل أرقام المراكز الأساسية والثانوية مع علامات المجتمع هي نفسها. هذا إلزامي لواجهة المستخدم لإكمال التحقق من صحة المخطط.
-
تبقى كافة الإعدادات الأخرى بدون تغيير. أكمل المعالج وتابع عملية النشر.
التحقق
-
يظهر المخطط كما هو موضح.
-
انتقل إلى الأجهزة > VPN > موقع إلى موقع لعرض المخطط.
وينتج عن هذا التكوين أربع علامات BGP لكل جهاز، ولكل واحد من المتكلمين المسارات المناسبة للوصول إلى الفروع الأخرى. على سبيل المثال، يمكنك إسترجاع المخرجات من أحد الفروع.
لمن تحدث 1
Spoke1#show bgp summary BGP router identifier 203.0.113.35, local AS number 65500 BGP table version is 4, main routing table version 4 2 network entries using 400 bytes of memory 7 path entries using 560 bytes of memory 1 multipath network entries and 2 multipath paths 3/2 BGP path/bestpath attribute entries using 624 bytes of memory 1 BGP rrinfo entries using 40 bytes of memory 1 BGP AS-PATH entries using 40 bytes of memory 2 BGP community entries using 48 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 1712 total bytes of memory BGP activity 2/0 prefixes, 7/0 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 198.51.100.1 4 65500 229 226 4 0 0 04:07:22 1 <<<<<<<<<< HUB 1 ISP 1 VTI 198.51.100.2 4 65510 226 230 4 0 0 04:06:36 2 <<<<<<<<<< HUB 2 ISP 1 VTI 198.51.100.3 4 65500 182 183 4 0 0 03:16:45 1 <<<<<<<<<< HUB 1 ISP 2 VTI 198.51.100.4 4 65510 183 183 4 0 0 03:16:30 2 <<<<<<<<<< HUB 2 ISP 2 VTI
Spoke1#show bgp ipv4 unicast neighbors 198.51.100.1 routes <<<< check for specific prefixes received via HUB1 ISP1
BGP table version is 4, local router ID is 203.0.113.35
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*>i192.0.2.16/29 198.51.100.1 1 100 0 ? <<<<<<<< spoke 2 network received via HUB 1 ISP 1 tunnel
Total number of prefixes 1 Spoke1#show bgp ipv4 unicast neighbors 198.51.100.3 routes <<<< check for specific prefixes received via HUB1 ISP2
BGP table version is 4, local router ID is 203.0.113.35
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*mi192.0.2.16/29 198.51.100.3 1 100 0 ? <<<<<<<< spoke 2 network received via HUB 1 ISP 2 tunnel
Total number of prefixes 1 Spoke1# show bgp ipv4 unicast neighbors 198.51.100.2 routes <<<< check for specific prefixes received via HUB2 ISP1
BGP table version is 4, local router ID is 203.0.113.35 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * 192.0.2.8/29 198.51.100.2 100 0 65510 65510 ? <<<<<<< inside network receieved cause we advertised it to HUB 1 from ISP 2 topology * 192.0.2.16/29 198.51.100.2 100 0 65510 65510 ? <<<<<<<< spoke 2 network received via HUB 2 ISP 1 tunnel but not preferred Total number of prefixes 2
Spoke1# show bgp ipv4 unicast neighbors 198.51.100.4 routes <<<< check for specific prefixes received via HUB2 ISP1
BGP table version is 4, local router ID is 203.0.113.35 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * 192.0.2.8/29 198.51.100.4 100 0 65510 65510 ? <<<<<<< inside network receieved cause we advertised it to HUB 2 from ISP 1 topology * 192.0.2.16/29 198.51.100.4 100 0 65510 65510 ? <<<<<<<< spoke 2 network received via HUB 2 ISP 2 tunnel but not preferred Total number of prefixes 2
يظهر جدول التوجيه كما هو موضح مما يؤكد أن حركة المرور تتم موازنة الحمل بين كلا الربطين في جانب الصوت.
Spoke1#show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
B 192.0.2.16 255.255.255.248 [200/1] via 198.51.100.3, 03:23:53 <<<<< multipath for spoke 2 inside network
[200/1] via 198.51.100.1, 03:23:53 <<<<< multipath for spoke 2 inside networkSpoke1#show bgp 192.0.2.16
BGP routing table entry for 192.0.2.16/29, version 4
Paths: (4 available, best #4, table default)
Multipath: eBGP iBGP
Advertised to update-groups:
2 4
65510 65510
198.51.100.4 from 198.51.100.4 (198.51.100.4) <<<< HUB2 ISP2 next-hop
Origin incomplete, metric 100, localpref 100, valid, external
Community: 10101
Local
198.51.100.3 from 198.51.100.3 (198.51.100.3) <<<< HUB1 ISP2 next-hop
Origin incomplete, metric 1, localpref 100, valid, internal, multipath
Community: 10101
Originator: 203.0.113.36, Cluster list: 198.51.100.3
65510 65510
198.51.100.2 from 198.51.100.2 (198.51.100.4) <<<< HUB2 ISP1 next-hop
Origin incomplete, metric 100, localpref 100, valid, external
Community: 10101
Local
198.51.100.1 from 198.51.100.1 (198.51.100.3) <<<< HUB1 ISP1 next-hop
Origin incomplete, metric 1, localpref 100, valid, internal, multipath, best
Community: 10101
Originator: 203.0.113.36, Cluster list: 198.51.100.3القرار
الغرض من هذه المقالة هو شرح سيناريوهات نشر مختلفة يمكن تنفيذها بسهولة باستخدام معالج إعداد واحد.
معلومات ذات صلة
- للحصول على مساعدة إضافية، يرجى الاتصال ب TAC. يلزم عقد دعم صالح: جهات اتصال الدعم العالمية من Cisco.
- يمكنك أيضا زيارة مجتمع Cisco VPN هنا.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
01-Oct-2025
|
الإصدار الأولي |
التعليقات