تكوين طبولوجيا ISP المزدوجة باستخدام محورين وأربعة موجهات في نفس المنطقة

خيارات التنزيل

  • PDF     (2.6 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٣١ ديسمبر ٢٠٢٤
معرّف المستند:222683

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تكوين مخطط ISP مزدوج باستخدام محورين وأربعة فروع في المنطقة نفسها باستخدام معالج SD-WAN.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
    • مركز إدارة جدار الحماية الآمن (FMC) من Cisco
    • شبكة WAN المعرفة عن طريق البرامج (SD-WAN)

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • FTD، الإصدار 7.6.0
    • FMC، الإصدار 7.6.0

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    الأنظمة الأساسية للبرامج والأجهزة المدعومة

    المدير

    نظام Firepower Threat Defense ‪(FTD)‬

    الأنظمة الأساسية المدعومة

    • FMC >= 7.6.0 و FMC REST API

    • cdFMC >= 7.6.0

    • FDM - غير مدعوم

    • Hub FTD >= 7.6.0

    • تحدث في FTD >= 7.3.0

    يمكن لجميع الأنظمة الأساسية التي تقوم FMC >= 7.6.0 بإدارتها

    التكوين

    الرسم التخطيطي للشبكة

    Network Topology Diagramالرسم التخطيطي للشبكة

    Device Listقائمة الأجهزة

    الخطوة 1. إنشاء مخطط SD-WAN باستخدام WAN-1 كواجهة VPN

    انتقل إلى الأجهزة > VPN > موقع إلى موقع. أخترت إضافة، وأدخل اسم مناسب في الطبولوجيا إسم مجال لأول طوبولوجيا مع WAN-1 كال VPN قارن. انقر فوق مخطط SD-WAN>إنشاء.

    SDWAN Topology with WAN 1 as the VPN Interfaceإنشاء مخطط SD-WAN باستخدام WAN-1 كواجهة VPN

    الخطوة 2. تكوين واجهة النفق الظاهرية الديناميكية (DVTI) على الموزع الرئيسي

    طقطقة يضيف صرة واخترت الصرة أساسي من الأداة قائمة ميلان إلى جانب. انقر فوق أيقونة + الموجودة بجوار واجهة النفق الظاهرية الديناميكية (DVTI). قم بتكوين اسم ومنطقة أمان ومعرف قالب وعينت WAN-1 كواجهة مصدر النفق ل DVTI.

    Configure a Loopback Interface

    أختر واجهة مادية أو الاسترجاع من القائمة المنسدلة Borrow IP. في المخطط الحالي، يرث DVTI عنوان IP لواجهة الاسترجاع. وانقر فوق OK.

    Configure DVTI on WAN 1

    أخترت عنوان بركة أو طقطقت ال +أيقون مجاور إلى يتكلم نفق عنوان بركة in order to خلقت جديد عنوان بركة. عند إضافة الفروع، يقوم المعالج بإنشاء واجهات النفق المتكلم تلقائيا، ويعين عناوين IP إلى واجهات IP التي يتم التحدث بها هذه من تجمع عناوين IP هذا.

    Create Spoke IP Address Pool

    أخترت ما إن ال أساسي صرة تشكيل يكون أتمت، يضيف in order to أنقذت الصرة أساسي في الطوبولوجيا.

    Save Primary Hub in Topology

    الخطوة 3. قم بتكوين DVTI على الموزع الثانوي

    أخترت الآن يضيف صرة ثانية in order to شكلت الصرة ثانوي في الطبولوجيا مع WAN-1 بما أن ال VPN قارن ب يكرر steps 1 و 2. طقطقت بعد ذلك.

    Configure the DVTI on the Secondary Hub

    الخطوة 4. تكوين الفروع

    أخترت إضافة يتحدث in order to أضفت وحيد يتحدث أداة، أو طقطقة يضيف فرع (جمع مجمع) in order to أضفت يتعدد فرع إلى طبقتك. يستخدم المخطط الحالي الخيار الأخير لإضافة العديد من ملفات FTD الفرعية إلى المخطط. في شاشة إضافة حزم مجمعة، أختر FTDs المطلوبة لإضافتهم كفروع. أختر إما نمط اسم واجهة شائع يطابق الاسم المنطقي ل WAN-1 على كل الفروع أو منطقة الأمان المقترنة ب WAN-1.

    Choose Spokes to Add to the Topology

    انقر فوق التالي حتى يتحقق المعالج مما إذا كانت هناك واجهات بين الخوادم مع النمط المحدد أو منطقة الأمان المحددة.

    Save the Spokes in the Topology

    أختر إضافة ويقوم المعالج تلقائيا باختيار DVTI للمحور كعنوان IP لمصدر النفق لكل كلمة.

    Save the Spokes in the Topology

    الخطوة 5. تكوين إعدادات المصادقة

    طقطقت بعد ذلك in order to شكلت المصادقة عملية إعداد. لمصادقة الجهاز، يمكنك إختيار مفتاح مشترك مسبقا يدويا أو مفتاح مشترك مسبقا تم إنشاؤه تلقائيا أو شهادة في القائمة المنسدلة نوع المصادقة. أختر خوارزمية أو أكثر من القوائم المنسدلة مجموعات التحويل ونهج IKEv2.

    Configure the Authentication Settings

    الخطوة 6. تكوين إعدادات SD-WAN

    طقطقت بعد ذلك in order to شكلت ال SD-WAN عملية إعداد. تتضمن هذه الخطوة الإنشاء التلقائي لواجهات النفق المتكلم، وتكوين بروتوكول العبارة الحدودية (BGP) للشبكة المتفرعة. من القائمة المنسدلة منطقة أمان واجهة النفق المتصل، أختر منطقة أمان أو انقر فوق + لإنشاء منطقة أمان يقوم المعالج بإضافة واجهات النفق الظاهرية الثابتة التي تم إنشاؤها تلقائيا للمعلمات إليها تلقائيا.

    حدد خانة الاختيار enable BGP على مخطط تغشية VPN لأتمتة تكوينات BGP بين واجهة النفق المتداخل. في حقل رقم النظام الذاتي، أدخل رقم النظام الذاتي (AS). حدد خانة الاختيار إعادة توزيع الواجهات المتصلة واختر مجموعة واجهة من القائمة المنسدلة أو أختر + لإنشاء مجموعة واجهة مع واجهات LAN المتصلة من المحاور والأقسام الفرعية لإعادة توزيع مسار BGP في مخطط التغشية.

    Configure the SDWAN Settings

    في حقل علامة المجتمع للمسارات المحلية، أدخل سمة مجتمع BGP لوضع علامة على المسارات المحلية المتصلة والتي أعيد توزيعها. تمكن هذه السمة تصفية المسار بسهولة. حدد الصرة الثانوية في خانة الاختيار نظام مستقل مختلف إن يتلقى أنت صرة ثانوي في AS مختلف. أخيرا، حدد خانة الاختيار تمكين مسارات متعددة ل BGP لتمكين BGP من موازنة حمل حركة المرور عبر إرتباطات متعددة.

    Overlay Routing Configuration

    انقر فوق إنهاء لحفظ مخطط SD-WAN والتحقق من صحته.

    Save and Validate the SDWAN Topology

    يمكنك عرض المخطط ضمن الأجهزة > شبكة VPN من موقع إلى موقع. إجمالي عدد الأنفاق في مخطط شبكة SD-WAN الأولى هو 8.

    View the Topology under Site to Site VPN

    الخطوة 7. قم بإنشاء مخطط SD-WAN باستخدام WAN-2 كواجهة شبكة VPN

    كرر الخطوات من 1 إلى 6 لتكوين مخطط SD-WAN باستخدام WAN-2 كواجهة شبكة VPN. إجمالي عدد الأنفاق في مخطط شبكة WAN SD الثاني هو 8. يجب أن تبدو الطوبولوجيا النهائية كالصورة الموضحة:

    Create an SDWAN Topology with WAN 2 as the VPN Interface

    الخطوة 8. تكوين مناطق ECMP (متعددة المسارات متساوية التكلفة)

    على كل فرع، انتقل إلى التوجيه > ECMP وقم بتكوين مناطق ECMP لواجهات WAN و SVTIs المتصلة بكل من الموزع الرئيسي والثانوي، كما هو موضح. وهذا يمكن أن يوفر تكرار الارتباط وتمكين موازنة حمل حركة مرور VPN.

    Configure ECMP Zones

    الخطوة 9. تعديل التفضيل المحلي ل BGP على الصرة

    انتقل إلى التوجيه > الإعدادات العامة > BGP على الموزع الثانوي. طقطقة يمكن BGP، شكلت ال AS رقم، وعينت التقصير تفضيل محلي قيمة تحت أفضل مسار تحديد إلى قيمة أقل من الواحد يشكل على الصرة الأساسي. انقر فوق حفظ. وهذا يضمن تفضيل المسارات إلى المركز الرئيسي على المسارات إلى المركز الثانوي. عندما ينهار المحور الرئيسي، فإن المسارات إلى المحور الثانوي تأخذ زمام الأمور.

    Modify the BGP Local Preference on the Hub

    نشر التكوينات على جميع الأجهزة.

    التحقق من الصحة

    التحقق من حالات النفق

    للتحقق من ما إذا كانت أنفاق الشبكة الخاصة الظاهرية (VPN) الخاصة بمخططات SD-WAN قيد التشغيل، انتقل إلى الجهاز > VPN > موقع إلى موقع.

    Verify Tunnel Statuses in Site to Site VPN Topology

    أخترت in order to شاهدت التفاصيل من ال SD-WAN VPN نفق، نظرة عامة > لوحات المعلومات > VPN من موقع إلى موقع.

    Verify Tunnel Statuses in Site to Site VPN Dashboard

    لعرض مزيد من التفاصيل حول كل نفق من نفق VPN:

    1. تحوم فوق نفق.
    2. انقر فوق عرض المعلومات الكاملة (View Full Information Icon) أيقونة. يظهر لوح به تفاصيل نفق والمزيد من الإجراءات.
    3. انقر فوق علامة التبويب تفاصيل واجهة سطر الأوامر (CLI) في الجزء الجانبي لعرض أوامر العرض وتفاصيل اقترانات أمان IPsec.

    CLI Details

    التحقق من واجهات النفق الظاهرية (VTIs)

    in order to شاهدت ال VTIs حركي من مركز و VTIs ساكن إستاتيكي من القباب:

    1. انتقل إلى الأجهزة > إدارة الأجهزة.
    2. أختر أيقونة التحرير لموزع أو جهاز متكلم.
    3. انقر فوق علامة التبويب الواجهة.
    4. انقر فوق الأنفاق الافتراضية علامة تبويب.


    لكل VTI، يمكنك عرض تفاصيل مثل الاسم، عنوان IP، وضع IPsec، تفاصيل واجهة مصدر النفق، المخطط، و IP النظير البعيد.

    أقراص DVTIs على الموزع الرئيسي:

    DVTIs on the Primary Hub

    أقراص DVTIs على لوحة الوصل الثانوية:

    DVTIs on the Secondary Hub

    SVTIs على الكلمة:

    SVTIs on the Spoke

    للتحقق من موازنة الأحمال، وتكرار ISP المزدوج، وتكرار مستوى الموزع، يتم إستخدام حركة مرور البيانات فقط من الفرع 1 إلى الموزع. تظهر تفاصيل الإعداد هنا:

    10.1.0.0.100 - عميل في الشبكة المتصلة الفرعية 1

    10.10.0.0.100 - العميل في الشبكة المتصلة بالموجه

    WAN-1_STATIC_VTI_1 - SVTI إلى Hub 1 عبر ISP 1
    WAN-2_STATIC_VTI_3 - SVTI إلى Hub 1 عبر ISP 2
    WAN-1_STATIC_VTI_2 - SVTI إلى Hub 2 عبر ISP 1
    WAN-2_STATIC_VTI_4 - SVTI إلى Hub 2 عبر ISP 2

    التحقق من موازنة حمل حركة مرور بيانات VPN

    يمكن ملاحظة حالة النفق في الموقع إلى لوحة معلومات VPN للموقع. من الناحية المثالية، يجب أن تكون جميع الأنفاق نشطة:

    VPN Load Balancing Dashboard

    يفضل توجيه المسار إلى المركز الرئيسي. يشير الأمر show route على الفرع 1 إلى أن حركة مرور شبكة VPN تكون متوازنة الأحمال بين كل من SVTIs على ISP 1 و ISP 2 إلى الموزع الرئيسي:

    VPN Load Balancing Route

    المخرج قارن أخذت ل ال VPN حقيقي حركة مرور يستطيع كنت رأيت في أحداث موحدة:

    VPN Load Balancing Events

    التحقق من تكرار ISP المزدوج

    عندما يكون ISP-2 معطلا، تشير حالة النفق إلى أن الأنفاق عبر ISP-1 نشطة:

    Link Redundancy Dashboard

    يفضل توجيه المسار إلى المركز الرئيسي. يشير الأمر show route على الفرع 1 إلى أنه يتم توجيه حركة مرور بيانات VPN عبر SVTIs على ISP-1 إلى الموزع الرئيسي:

    Link Redundancy Routes

    المخرج قارن أخذت ل ال VPN حقيقي حركة مرور يستطيع كنت رأيت في أحداث موحدة:

    Link Redundancy Events

    التحقق من تكرار مستوى الموزع

    عندما يكون الموزع الرئيسي معطلا، تشير حالة النفق إلى أن الأنفاق إلى الموزع الثانوي نشطة:

    Hub Redundancy Dashboard

    وبما أن المحور الرئيسي معطل، يفضل أن تكون المسارات إلى المركز الثانوي. يشير الأمر show route على الفرع 1 إلى أن حركة مرور شبكة VPN تكون متوازنة الأحمال بين كل من SVTIs على ISP 1 و ISP 2 إلى الصرة الثانوية:

    Hub Redundancy Route

    المخرج قارن أخذت ل ال VPN حقيقي حركة مرور يستطيع كنت رأيت في أحداث موحدة:

    Hub Redundancy Events

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    02-Jan-2025
    الإصدار الأولي

    تمت المساهمة من قبل

    • Ashlin Leroy Dsilva
      Cisco Software Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات