المقدمة
يوضح هذا المستند كيفية تكوين مخطط ISP مزدوج باستخدام محورين وأربعة فروع في المنطقة نفسها باستخدام معالج SD-WAN.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
- مركز إدارة جدار الحماية الآمن (FMC) من Cisco
- شبكة WAN المعرفة عن طريق البرامج (SD-WAN)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- FTD، الإصدار 7.6.0
- FMC، الإصدار 7.6.0
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
الأنظمة الأساسية للبرامج والأجهزة المدعومة
المدير
|
نظام Firepower Threat Defense (FTD)
|
الأنظمة الأساسية المدعومة
|
|
-
Hub FTD >= 7.6.0
-
تحدث في FTD >= 7.3.0
|
يمكن لجميع الأنظمة الأساسية التي تقوم FMC >= 7.6.0 بإدارتها
|
التكوين
الرسم التخطيطي للشبكة
الرسم التخطيطي للشبكة
قائمة الأجهزة
الخطوة 1. إنشاء مخطط SD-WAN باستخدام WAN-1 كواجهة VPN
انتقل إلى الأجهزة > VPN > موقع إلى موقع. أخترت إضافة، وأدخل اسم مناسب في الطبولوجيا إسم مجال لأول طوبولوجيا مع WAN-1 كال VPN قارن. انقر فوق مخطط SD-WAN>إنشاء.
إنشاء مخطط SD-WAN باستخدام WAN-1 كواجهة VPN
الخطوة 2. تكوين واجهة النفق الظاهرية الديناميكية (DVTI) على الموزع الرئيسي
طقطقة يضيف صرة واخترت الصرة أساسي من الأداة قائمة ميلان إلى جانب. انقر فوق أيقونة + الموجودة بجوار واجهة النفق الظاهرية الديناميكية (DVTI). قم بتكوين اسم ومنطقة أمان ومعرف قالب وعينت WAN-1 كواجهة مصدر النفق ل DVTI.

أختر واجهة مادية أو الاسترجاع من القائمة المنسدلة Borrow IP. في المخطط الحالي، يرث DVTI عنوان IP لواجهة الاسترجاع. وانقر فوق OK.

أخترت عنوان بركة أو طقطقت ال +أيقون مجاور إلى يتكلم نفق عنوان بركة in order to خلقت جديد عنوان بركة. عند إضافة الفروع، يقوم المعالج بإنشاء واجهات النفق المتكلم تلقائيا، ويعين عناوين IP إلى واجهات IP التي يتم التحدث بها هذه من تجمع عناوين IP هذا.

أخترت ما إن ال أساسي صرة تشكيل يكون أتمت، يضيف in order to أنقذت الصرة أساسي في الطوبولوجيا.

الخطوة 3. قم بتكوين DVTI على الموزع الثانوي
أخترت الآن يضيف صرة ثانية in order to شكلت الصرة ثانوي في الطبولوجيا مع WAN-1 بما أن ال VPN قارن ب يكرر steps 1 و 2. طقطقت بعد ذلك.

الخطوة 4. تكوين الفروع
أخترت إضافة يتحدث in order to أضفت وحيد يتحدث أداة، أو طقطقة يضيف فرع (جمع مجمع) in order to أضفت يتعدد فرع إلى طبقتك. يستخدم المخطط الحالي الخيار الأخير لإضافة العديد من ملفات FTD الفرعية إلى المخطط. في شاشة إضافة حزم مجمعة، أختر FTDs المطلوبة لإضافتهم كفروع. أختر إما نمط اسم واجهة شائع يطابق الاسم المنطقي ل WAN-1 على كل الفروع أو منطقة الأمان المقترنة ب WAN-1.

انقر فوق التالي حتى يتحقق المعالج مما إذا كانت هناك واجهات بين الخوادم مع النمط المحدد أو منطقة الأمان المحددة.

أختر إضافة ويقوم المعالج تلقائيا باختيار DVTI للمحور كعنوان IP لمصدر النفق لكل كلمة.

الخطوة 5. تكوين إعدادات المصادقة
طقطقت بعد ذلك in order to شكلت المصادقة عملية إعداد. لمصادقة الجهاز، يمكنك إختيار مفتاح مشترك مسبقا يدويا أو مفتاح مشترك مسبقا تم إنشاؤه تلقائيا أو شهادة في القائمة المنسدلة نوع المصادقة. أختر خوارزمية أو أكثر من القوائم المنسدلة مجموعات التحويل ونهج IKEv2.

الخطوة 6. تكوين إعدادات SD-WAN
طقطقت بعد ذلك in order to شكلت ال SD-WAN عملية إعداد. تتضمن هذه الخطوة الإنشاء التلقائي لواجهات النفق المتكلم، وتكوين بروتوكول العبارة الحدودية (BGP) للشبكة المتفرعة. من القائمة المنسدلة منطقة أمان واجهة النفق المتصل، أختر منطقة أمان أو انقر فوق + لإنشاء منطقة أمان يقوم المعالج بإضافة واجهات النفق الظاهرية الثابتة التي تم إنشاؤها تلقائيا للمعلمات إليها تلقائيا.
حدد خانة الاختيار enable BGP على مخطط تغشية VPN لأتمتة تكوينات BGP بين واجهة النفق المتداخل. في حقل رقم النظام الذاتي، أدخل رقم النظام الذاتي (AS). حدد خانة الاختيار إعادة توزيع الواجهات المتصلة واختر مجموعة واجهة من القائمة المنسدلة أو أختر + لإنشاء مجموعة واجهة مع واجهات LAN المتصلة من المحاور والأقسام الفرعية لإعادة توزيع مسار BGP في مخطط التغشية.

في حقل علامة المجتمع للمسارات المحلية، أدخل سمة مجتمع BGP لوضع علامة على المسارات المحلية المتصلة والتي أعيد توزيعها. تمكن هذه السمة تصفية المسار بسهولة. حدد الصرة الثانوية في خانة الاختيار نظام مستقل مختلف إن يتلقى أنت صرة ثانوي في AS مختلف. أخيرا، حدد خانة الاختيار تمكين مسارات متعددة ل BGP لتمكين BGP من موازنة حمل حركة المرور عبر إرتباطات متعددة.

انقر فوق إنهاء لحفظ مخطط SD-WAN والتحقق من صحته.

يمكنك عرض المخطط ضمن الأجهزة > شبكة VPN من موقع إلى موقع. إجمالي عدد الأنفاق في مخطط شبكة SD-WAN الأولى هو 8.

الخطوة 7. قم بإنشاء مخطط SD-WAN باستخدام WAN-2 كواجهة شبكة VPN
كرر الخطوات من 1 إلى 6 لتكوين مخطط SD-WAN باستخدام WAN-2 كواجهة شبكة VPN. إجمالي عدد الأنفاق في مخطط شبكة WAN SD الثاني هو 8. يجب أن تبدو الطوبولوجيا النهائية كالصورة الموضحة:

الخطوة 8. تكوين مناطق ECMP (متعددة المسارات متساوية التكلفة)
على كل فرع، انتقل إلى التوجيه > ECMP وقم بتكوين مناطق ECMP لواجهات WAN و SVTIs المتصلة بكل من الموزع الرئيسي والثانوي، كما هو موضح. وهذا يمكن أن يوفر تكرار الارتباط وتمكين موازنة حمل حركة مرور VPN.

الخطوة 9. تعديل التفضيل المحلي ل BGP على الصرة
انتقل إلى التوجيه > الإعدادات العامة > BGP على الموزع الثانوي. طقطقة يمكن BGP، شكلت ال AS رقم، وعينت التقصير تفضيل محلي قيمة تحت أفضل مسار تحديد إلى قيمة أقل من الواحد يشكل على الصرة الأساسي. انقر فوق حفظ. وهذا يضمن تفضيل المسارات إلى المركز الرئيسي على المسارات إلى المركز الثانوي. عندما ينهار المحور الرئيسي، فإن المسارات إلى المحور الثانوي تأخذ زمام الأمور.

نشر التكوينات على جميع الأجهزة.
التحقق من الصحة
التحقق من حالات النفق
للتحقق من ما إذا كانت أنفاق الشبكة الخاصة الظاهرية (VPN) الخاصة بمخططات SD-WAN قيد التشغيل، انتقل إلى الجهاز > VPN > موقع إلى موقع.

أخترت in order to شاهدت التفاصيل من ال SD-WAN VPN نفق، نظرة عامة > لوحات المعلومات > VPN من موقع إلى موقع.

لعرض مزيد من التفاصيل حول كل نفق من نفق VPN:
- تحوم فوق نفق.
- انقر فوق عرض المعلومات الكاملة (
) أيقونة. يظهر لوح به تفاصيل نفق والمزيد من الإجراءات.
- انقر فوق علامة التبويب تفاصيل واجهة سطر الأوامر (CLI) في الجزء الجانبي لعرض أوامر العرض وتفاصيل اقترانات أمان IPsec.

التحقق من واجهات النفق الظاهرية (VTIs)
in order to شاهدت ال VTIs حركي من مركز و VTIs ساكن إستاتيكي من القباب:
- انتقل إلى الأجهزة > إدارة الأجهزة.
- أختر أيقونة التحرير لموزع أو جهاز متكلم.
- انقر فوق علامة التبويب الواجهة.
- انقر فوق الأنفاق الافتراضية علامة تبويب.
لكل VTI، يمكنك عرض تفاصيل مثل الاسم، عنوان IP، وضع IPsec، تفاصيل واجهة مصدر النفق، المخطط، و IP النظير البعيد.
أقراص DVTIs على الموزع الرئيسي:

أقراص DVTIs على لوحة الوصل الثانوية:

SVTIs على الكلمة:

للتحقق من موازنة الأحمال، وتكرار ISP المزدوج، وتكرار مستوى الموزع، يتم إستخدام حركة مرور البيانات فقط من الفرع 1 إلى الموزع. تظهر تفاصيل الإعداد هنا:
10.1.0.0.100 - عميل في الشبكة المتصلة الفرعية 1
10.10.0.0.100 - العميل في الشبكة المتصلة بالموجه
WAN-1_STATIC_VTI_1 - SVTI إلى Hub 1 عبر ISP 1
WAN-2_STATIC_VTI_3 - SVTI إلى Hub 1 عبر ISP 2
WAN-1_STATIC_VTI_2 - SVTI إلى Hub 2 عبر ISP 1
WAN-2_STATIC_VTI_4 - SVTI إلى Hub 2 عبر ISP 2
التحقق من موازنة حمل حركة مرور بيانات VPN
يمكن ملاحظة حالة النفق في الموقع إلى لوحة معلومات VPN للموقع. من الناحية المثالية، يجب أن تكون جميع الأنفاق نشطة:

يفضل توجيه المسار إلى المركز الرئيسي. يشير الأمر show route على الفرع 1 إلى أن حركة مرور شبكة VPN تكون متوازنة الأحمال بين كل من SVTIs على ISP 1 و ISP 2 إلى الموزع الرئيسي:

المخرج قارن أخذت ل ال VPN حقيقي حركة مرور يستطيع كنت رأيت في أحداث موحدة:

التحقق من تكرار ISP المزدوج
عندما يكون ISP-2 معطلا، تشير حالة النفق إلى أن الأنفاق عبر ISP-1 نشطة:

يفضل توجيه المسار إلى المركز الرئيسي. يشير الأمر show route على الفرع 1 إلى أنه يتم توجيه حركة مرور بيانات VPN عبر SVTIs على ISP-1 إلى الموزع الرئيسي:

المخرج قارن أخذت ل ال VPN حقيقي حركة مرور يستطيع كنت رأيت في أحداث موحدة:

التحقق من تكرار مستوى الموزع
عندما يكون الموزع الرئيسي معطلا، تشير حالة النفق إلى أن الأنفاق إلى الموزع الثانوي نشطة:

وبما أن المحور الرئيسي معطل، يفضل أن تكون المسارات إلى المركز الثانوي. يشير الأمر show route على الفرع 1 إلى أن حركة مرور شبكة VPN تكون متوازنة الأحمال بين كل من SVTIs على ISP 1 و ISP 2 إلى الصرة الثانوية:

المخرج قارن أخذت ل ال VPN حقيقي حركة مرور يستطيع كنت رأيت في أحداث موحدة:
