تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند الخيارات المتاحة لإعلان الشبكات الفرعية المتعلقة ب VPN باستخدام بروتوكولات التوجيه EIGRP و OSPF و BGP.
لا توجد متطلبات خاصة لهذا المستند.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
ملاحظة: يوضح هذا المستند تكوين إعادة توزيع الشبكات الفرعية للشبكات الخاصة الظاهرية (VPN) للوصول عن بعد من خلال EIGRP و OSPF و BGP باستخدام FMC. للحصول على إرشادات حول إعادة توزيع المسار باستخدام FDM، يرجى الرجوع إلى دليل تكوين FDM.
أول شيء يجب فهمه هو كيفية تصنيف FTD للشبكات الفرعية الخاصة الظاهرية (VPN) في جدول التوجيه الخاص به. وعلى الرغم من أن هذه الشبكات الفرعية تظهر على أنها متصلة بواسطة VPN، فإنها لا تعتبر شبكات فرعية متصلة مباشرة؛ بل إنها تعامل باعتبارها مسارات ثابتة.
تظهر مخرجات العرض ذلك.
إخراج عرض المسار ل FTD:
FTD-1# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
C 10.10.20.0 255.255.255.0 is directly connected, outside
L 10.10.20.1 255.255.255.255 is directly connected, outside
C 192.168.100.0 255.255.255.252 is directly connected, inside
L 192.168.100.2 255.255.255.255 is directly connected, inside
V 10.100.100.10 255.255.255.255 connected by VPN (advertised), outside
إخراج عرض مسار الاتصال ل FTD:
FTD-1# show route connected
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
C 10.10.20.0 255.255.255.0 is directly connected, outside
L 10.10.20.1 255.255.255.255 is directly connected, outside
C 192.168.100.0 255.255.255.252 is directly connected, inside
L 192.168.100.2 255.255.255.255 is directly connected, inside
إخراج ثابت لعرض FTD:
FTD-HQ-1# show route static
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
V 10.100.100.10 255.255.255.255 connected by VPN (advertised), outside
الآن بعد أن أصبح واضحا كيفية معالجة الشبكات الفرعية للشبكات الخاصة الظاهرية (VPN) في جدول توجيه جدار الحماية، فإن الخطوة التالية هي أستكشاف كيفية الإعلان عنها باستخدام بروتوكولات التوجيه المختلفة.
تتم إعادة توزيع المسارات الثابتة التي تقع ضمن نطاق بيان الشبكة تلقائيا إلى EIGRP؛ لا تحتاج إلى تحديد قاعدة إعادة توزيع لهم. ومع ذلك، عند إعادة توزيع المسارات الثابتة التي تشير إلى واجهات VTI في EIGRP، يجب تحديد المقياس. بالنسبة للمسارات الثابتة التي تشير إلى أنواع أخرى من الواجهات، لا يلزم تحديد المقياس.
نظرا لسلوك EIGRP المتمثل في إعادة توزيع المسارات الثابتة تلقائيا والتي تقع ضمن نطاق عبارات الشبكة، هناك خياران للإعلان عن الشبكات الفرعية لشبكة VPN عبر EIGRP على FTD:
في هذا المثال، الهدف هو جعل R1 يتعلم الشبكة الفرعية لشبكة VPN رقم 10.100.100.0/24 من خلال EIGRP.
التكوين الأولي ل FTD:
hostname FTD-1
!
ip local pool VPN-POOL1 10.100.100.10-10.100.100.254 mask 255.255.255.0
!
webvpn
...
group-policy LAB_GROUP1 internal
group-policy LAB_GROUP1 attributes
...
address-pools value VPN-POOL1
!
router eigrp 100
no default-information in
no default-information out
no eigrp log-neighbor-warnings
no eigrp log-neighbor-changes
network 192.168.100.0 255.255.255.252
جدول التوجيه الأولي ل FTD:
FTD-1# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
C 10.10.20.0 255.255.255.0 is directly connected, outside
L 10.10.20.1 255.255.255.255 is directly connected, outside
C 192.168.100.0 255.255.255.252 is directly connected, inside
L 192.168.100.2 255.255.255.255 is directly connected, inside
V 10.100.100.10 255.255.255.255 connected by VPN (advertised), outside
جدول مخطط FTD الأولي EIGRP:
FTD-1# show eigrp topology
EIGRP-IPv4 Topology Table for AS(100)/ID(192.168.100.2)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 192.168.100.0 255.255.255.252, 1 successors, FD is 512 via Connected, inside
جدول التوجيه الأولي ل R1:
R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
C 192.168.100.0/30 is directly connected, GigabitEthernet1
L 192.168.100.1/32 is directly connected, GigabitEthernet1
الخطوة 1. إنشاء كائن شبكة للشبكة الفرعية للشبكة الخاصة الظاهرية (VPN).
الخطوة 2. تضمين كائن الشبكة الفرعية لشبكة VPN في بيان الشبكة.
في واجهة مستخدم إدارة أجهزة FMC، انتقل إلى التوجيه > EIGRP > الإعداد، وقم بتضمين الشبكة الفرعية لشبكة VPN في الشبكات/الأجهزة المضيفة المحددة.
حفظ التكوين ونشره على FTD.
تكوين FTD EIGRP:
FTD-1# show run router
router eigrp 100
no default-information in
no default-information out
no eigrp log-neighbor-warnings
no eigrp log-neighbor-changes
network 10.100.100.0 255.255.255.0
network 192.168.100.0 255.255.255.252
جدول مخطط FTD EIGRP:
FTD-1# show eigrp topology
EIGRP-IPv4 Topology Table for AS(100)/ID(192.168.100.2)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.100.100.10 255.255.255.255, 1 successors, FD is 512
via Rstatic (512/0)
P 192.168.100.0 255.255.255.252, 1 successors, FD is 512
via Connected, inside
جدول توجيه R1:
R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
C 192.168.100.0/30 is directly connected, GigabitEthernet1
L 192.168.100.1/32 is directly connected, GigabitEthernet1
10.0.0.0/32 is subnetted, 1 subnets
D 10.100.100.10
[90/3072] via 192.168.100.2, 00:02:17, GigabitEthernet1
ملاحظة: لاحظ أنه على الرغم من أن بيان الشبكة كان 10.100.100.0/24، فإن FTD يعيد توزيع شبكة فرعية /32 عبر EIGRP. يحدث هذا لأن FTD يخلق مسار ساكن إستاتيكي مع بادئة /32 لكل وصول عن بعد VPN جلسة. لتحسين هذا، يمكنك إستخدام ميزة عنوان تلخيص EIGRP.
في واجهة مستخدم إدارة أجهزة FMC، انتقل إلى توجيه > EIGRP > إعادة توزيع، ثم حدد الزر إضافة.
في حقل البروتوكول، حدد ساكن إستاتيكي، ثم حدد الزر موافق.
تحذير: يؤدي هذا إلى إعادة توزيع جميع المسارات الثابتة إلى بروتوكول EIGRP. إذا كنت بحاجة إلى الإعلان فقط عن الشبكات الفرعية للشبكة الخاصة الظاهرية (VPN)، فيمكنك إما إستخدام نهج بيان الشبكة أو تطبيق خريطة مسار لتصفيتها.
النتيجة:
حفظ التكوين ونشره على FTD.
تكوين FTD EIGRP:
FTD-HQ-1# show run router
router eigrp 100
no default-information in
no default-information out
no eigrp log-neighbor-warnings
no eigrp log-neighbor-changes
network 192.168.100.0 255.255.255.252
redistribute static
جدول مخطط FTD EIGRP:
FTD-1# show eigrp topology
EIGRP-IPv4 Topology Table for AS(100)/ID(192.168.100.2)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.100.100.10 255.255.255.255, 1 successors, FD is 512
via Rstatic (512/0)
P 192.168.100.0 255.255.255.252, 1 successors, FD is 512
via Connected, inside
جدول توجيه R1:
R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
C 192.168.100.0/30 is directly connected, GigabitEthernet1
L 192.168.100.1/32 is directly connected, GigabitEthernet1
D EX 10.100.100.10
[170/3072] via 192.168.100.2, 00:03:52, GigabitEthernet1
تلميح: إختياريا، يمكنك إستخدام ميزة عنوان تلخيص EIGRP على FTD لتحسين حجم جدول التوجيه.
إذا لم يكن قد تم إنشاؤه بعد، فقم بإنشاء كائن شبكة للشبكات الفرعية للشبكات الخاصة الظاهرية (VPN).
في واجهة مستخدم إدارة أجهزة FMC، انتقل إلى توجيه > EIGRP > عنوان ملخص، ثم حدد الزر إضافة .
دخلت في القارن مجال، الواحد يواجه ال EIGRP مجاور، وفي الشبكة مجال، الكائن يخلق ل ال VPN subnet.
النتيجة:
تكوين عنوان تلخيص EIGRP ل FTD:
FTD-1# sh run interface
interface GigabitEthernet0/0
nameif inside
security-level 0
zone-member inside
ip address 192.168.100.2 255.255.255.252
summary-address eigrp 100 10.100.100.0 255.255.255.0
جدول مخطط FTD EIGRP:
FTD-1# show eigrp topology
EIGRP-IPv4 Topology Table for AS(100)/ID(192.168.100.2)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.100.100.10 255.255.255.255, 1 successors, FD is 512
via Rstatic (512/0)
P 10.100.100.0 255.255.255.0, 1 successors, FD is 512
via Summary (512/0), Null0
P 192.168.100.0 255.255.255.0, 1 successors, FD is 512
via Connected, inside
جدول توجيه R1:
R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
C 192.168.100.0/30 is directly connected, GigabitEthernet1
L 192.168.100.1/32 is directly connected, GigabitEthernet1
10.0.0.0/24 is subnetted, 1 subnets
D 10.100.100.0 [90/3072] via 192.168.100.2, 00:01:54, GigabitEthernet1
عمليات التهيئة الأولية
ip local pool VPN-POOL1 10.100.100.10-10.100.100.254 mask 255.255.255.0
!
webvpn
group-policy LAB_GROUP1 internal
...
group-policy LAB_GROUP1 attributes
...
address-pools value VPN-POOL1
!
router ospf 1
network 192.168.100.0 255.255.255.252 area 0
إخراج جار OSPF الخاص ب FTD:
FTD-1# show ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
192.168.100.1 1 FULL/DR 0:00:39 192.168.100.1 inside
إخراج جار R1 show ip ospf:
R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
192.168.100.2 1 FULL/BDR 00:00:37 192.168.100.2 GigabitEthernet1
جدول توجيه R1:
R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
C 192.168.100.0/30 is directly connected, GigabitEthernet1
L 192.168.100.1/32 is directly connected, GigabitEthernet1
في واجهة مستخدم إدارة أجهزة FMC، انتقل إلى توجيه > OSPF > إعادة التوزيع، ثم حدد الزر إضافة.
ملاحظة: يجب تعيين دور OSPF على أنه ASBR أو ABR & ASBR لتمكين إعادة التوزيع.
في حقل نوع المسار، حدد ثابت، ثم حدد المربع إستخدام الشبكات الفرعية.
تحذير: يؤدي هذا إلى إعادة توزيع جميع المسارات الثابتة إلى OSPF. إذا كنت بحاجة إلى الإعلان عن الشبكات الفرعية للشبكات الخاصة الظاهرية (VPN) فقط، فيمكنك تطبيق خريطة مسار لتصفيتها.
النتيجة:
تكوين إعادة توزيع OSPF ل FTD:
FTD-1# sh run router
router ospf 1
network 192.168.100.0 255.255.255.252 area 0
redistribute static subnets
جدول توجيه R1:
R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
C 192.168.100.0/30 is directly connected, GigabitEthernet1
L 192.168.100.1/32 is directly connected, GigabitEthernet1
10.0.0.0/32 is subnetted, 1 subnets
O E2 10.100.100.10 [110/20] via 192.168.100.2, 00:08:01, GigabitEthernet1
تلميح: لاحظ أنه على الرغم من أن تجمع الشبكة الخاصة الظاهرية (VPN) هو 10.100.100.0/24، إلا أن برنامج FTD يعيد توزيع شبكة فرعية /32 عبر OSPF. يحدث هذا لأن FTD يخلق مسار ساكن إستاتيكي مع بادئة /32 لكل وصول عن بعد VPN جلسة. لتحسين هذا، يمكنك إستخدام ميزة عنوان تلخيص OSPF.
إذا لم يكن قد تم إنشاؤه بعد، فقم بإنشاء كائن شبكة للشبكات الفرعية للشبكات الخاصة الظاهرية (VPN).
في واجهة مستخدم إدارة أجهزة FMC، انتقل إلى توجيه > عنوان ملخص OSPF، ثم حدد الزر إضافة.
أضفت ال VPN subnet كائن وحدد الإعلان خانة الاختيار.
النتيجة:
تكوين FTD OSPF:
FTD-1# sh run router
router ospf 1
network 192.168.100.0 255.255.255.252 area 0
redistribute static subnets
summary-address 10.100.100.0 255.255.255.0
جدول توجيه R1:
R1#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
C 192.168.100.0/30 is directly connected, GigabitEthernet1
L 192.168.100.1/32 is directly connected, GigabitEthernet1
10.0.0.0/24 is subnetted, 1 subnets
O E2 10.100.100.0 [110/20] via 192.168.100.2, 00:00:26, GigabitEthernet1
في هذا المثال، الهدف هو جعل R1 يتعلم الشبكة الفرعية لشبكة VPN رقم 10.100.100.0/24 من خلال eBGP.
عمليات التهيئة الأولية
التكوين الأولي ل FTD:
hostname FTD-1
!
ip local pool VPN-POOL1 10.100.100.10-10.100.100.254 mask 255.255.255.0
!
webvpn
...
group-policy LAB_GROUP1 internal
group-policy LAB_GROUP1 attributes
...
address-pools value VPN-POOL1
!
router bgp 65000
bgp log-neighbor-changes
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 192.168.100.1 remote-as 65001
neighbor 192.168.100.1 transport path-mtu-discovery disable
neighbor 192.168.100.1 activate
no auto-summary
no synchronization
exit-address-family
إخراج جدول BGP الخاص ب FTD:
FTD-1# show bgp
BGP table version is 25, local router ID is 192.168.100.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
r> 192.168.100.0/30 192.168.100.1 1 0 65001 ?
إخراج ملخص BGP الخاص ب FTD:
FTD-1# show bgp summary
BGP router identifier 192.168.100.2, local AS number 65000
BGP table version is 25, main routing table version 25
1 network entries using 2000 bytes of memory
17 path entries using 1360 bytes of memory
3/3 BGP path/bestpath attribute entries using 624 bytes of memory
2 BGP AS-PATH entries using 48 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 4032 total bytes of memory
BGP activity 176/166 prefixes, 257/240 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
192.168.100.1 4 65001 4589 3769 25 0 0 2d21h 8
إخراج ملخص بروتوكول بوابة الحدود (BGP) ل R1:
R1#sh ip bgp summary
BGP router identifier 192.168.100.1, local AS number 65001
BGP table version is 258, main routing table version 258
1 network entries using 2480 bytes of memory
1 path entries using 2312 bytes of memory
1/1 BGP path/bestpath attribute entries using 864 bytes of memory
1 BGP AS-PATH entries using 64 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 5720 total bytes of memory
BGP activity 85/75 prefixes, 244/227 paths, scan interval 60 secs
12 networks peaked at 11:10:00 Apr 17 2025 UTC (00:06:27.485 ago)
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
192.168.100.2 4 65000 3770 4590 258 0 0 2d21h 9
إخراج جدول R1 bgp:
R1#show ip bgp
BGP table version is 258, local router ID is 192.168.100.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path, L long-lived-stale,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 192.168.100.0/30 0.0.0.0 1 32768 ?
جدول توجيه R1:
R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
C 192.168.100.0/30 is directly connected, GigabitEthernet1
L 192.168.100.1/32 is directly connected, GigabitEthernet1
في واجهة مستخدم إدارة أجهزة FMC، انتقل إلى توجيه > BGP > IPv4 > إعادة التوزيع، ثم حدد الزر Add.
في حقل البروتوكول المصدر، أختر ساكن إستاتيكي، ثم حدد الزر موافق.
تحذير: يعمل هذا على إعادة توزيع جميع المسارات الثابتة إلى بروتوكول BGP. إذا كنت بحاجة إلى الإعلان عن الشبكات الفرعية للشبكات الخاصة الظاهرية (VPN) فقط، فيمكنك تطبيق خريطة مسار لتصفيتها.
النتيجة:
حفظ التكوين ونشره على FTD.
تكوين BGP ل FTD:
FTD-HQ-1# show run router
router bgp 65000
bgp log-neighbor-changes
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 192.168.100.1 remote-as 65001
neighbor 192.168.100.1 transport path-mtu-discovery disable
neighbor 192.168.100.1 activate
redistribute static
no auto-summary
no synchronization
exit-address-family
إخراج جدول BGP الخاص ب FTD:
FTD-1# show bgp
BGP table version is 26, local router ID is 192.168.100.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 10.100.100.10/32 10.100.100.10 0 32768 ?
r> 192.168.100.0/30 192.168.100.1 1 0 65001 ?
إخراج جدول R1 bgp:
R1#show ip bgp
BGP table version is 259, local router ID is 192.168.100.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path, L long-lived-stale,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.100.100.10/32 192.168.100.2 0 0 65000 ?
*> 192.168.100.0/30 0.0.0.0 1 32768 ?
إخراج جدول توجيه R1:
R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
C 192.168.100.0/30 is directly connected, GigabitEthernet1
L 192.168.100.1/32 is directly connected, GigabitEthernet1
10.0.0.0/32 is subnetted, 1 subnets
B 10.100.100.10 [20/0] via 192.168.100.2, 00:02:00
تلميح: لاحظ أنه على الرغم من أن تجمع الشبكة الخاصة الظاهرية (VPN) هو 10.100.100.0/24، إلا أن برنامج FTD يعيد توزيع شبكة فرعية /32 عبر BGP. يحدث هذا لأن FTD يخلق مسار ساكن إستاتيكي مع بادئة /32 لكل وصول عن بعد VPN جلسة. لتحسين هذا، يمكنك إستخدام ميزة عنوان تجميع BGP.
إذا لم يكن قد تم إنشاؤه بعد، فقم بإنشاء كائن شبكة للشبكات الفرعية للشبكات الخاصة الظاهرية (VPN).
في واجهة مستخدم إدارة أجهزة FMC، انتقل إلى توجيه > BGP> IPv4 > إضافة عنوان تجميع، ثم حدد الزر إضافة .
في حقل الشبكة، أضف الكائن للشبكة الفرعية للشبكة الخاصة الظاهرية (VPN)، ثم حدد خانة الاختيار تصفية جميع المسارات من التحديثات.
ملاحظة: إذا تم إلغاء تحديد خانة الاختيار تصفية جميع المسارات من التحديثات، فإن إعلان FTD يعلن كلا من عنوان الملخص ومسارات /32 VPN المحددة عبر BGP. عندما يتم تمكين خانة الاختيار، تدفع وحدة التحكم في الإدارة الأساسية (FMC) الأمر aggregate-address summary فقط إلى تكوين LINA في FTD، مما يضمن الإعلان عن عنوان الملخص فقط.
النتيجة:
حفظ التكوين ونشره على FTD.
تكوين BGP ل FTD:
FTD-1# sh run router
router bgp 65000
bgp log-neighbor-changes
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 192.168.100.1 remote-as 65001
neighbor 192.168.100.1 transport path-mtu-discovery disable
neighbor 192.168.100.1 activate
redistribute static
aggregate-address 10.100.100.0 255.255.255.0 summary-only
no auto-summary
no synchronization
exit-address-family
إخراج جدول BGP الخاص ب FTD:
FTD-1# sh bgp
BGP table version is 28, local router ID is 192.168.100.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 10.100.100.0/24 0.0.0.0 32768 i
s> 10.100.100.10/32 10.100.100.10 0 32768 ?
r> 192.168.100.0/30 192.168.100.1 1 0 65001 ?
إخراج جدول R1 BGP:
R1#show ip bgp
BGP table version is 261, local router ID is 192.168.100.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path, L long-lived-stale,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.100.100.0/24 192.168.100.2 0 0 65000 i
*> 192.168.100.0/30 0.0.0.0 1 32768 ?
إخراج جدول توجيه R1:
R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
C 192.168.100.0/30 is directly connected, GigabitEthernet1
L 192.168.100.1/32 is directly connected, GigabitEthernet1
10.0.0.0/24 is subnetted, 1 subnets
B 10.100.100.0 [20/0] via 192.168.100.2, 00:02:04
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
05-May-2025
|
الإصدار الأولي |