Verständnis von VRF (Virtual Router) auf der sicheren Firewall-Bedrohungsabwehr

Download-Optionen

  • PDF     (444.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:25. Oktober 2022
Dokument-ID:218348

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Virtual Routing and Forwarding (VRF) Funktionen von Cisco Secure Firewall Threat Defense (FTD) beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Cisco Secure Firewall Threat Defense (FTD)Secure Firewall Threat Defense (FTD)
    • Virtual Routing and Forwarding (VRF)
    • Dynamic Routing Protocols (OSPF, BGP)

    Lizenzierung

    Keine spezifische Lizenzanforderung, die Basislizenz ist ausreichend

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Secure Firewall Threat Defense (FTD), Secure Firewall Management Center (FMC) Version 7.2

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Die Virtual Routing and Forwarding (VRF) Funktion wurde in der FTD-Softwareversion 6.6 hinzugefügt.

    Diese Funktion bietet die folgenden Vorteile:

    • Trennung von Routing-Tabellen
    • Netzwerksegmente mit Überschneidungen bei IP-Adressräumen
    • VRF-Lite
    • FXOS Multi-Instance-Unterstützung für Anwendungsfälle der Multi-Context-Migration
    • BGP- Route Leak Support-v4v6 und BGPv6VTI Support-Funktionen wurden in der FTD-Softwareversion 7.1 hinzugefügt.

    Funktionsüberblick

    VRF-Unterstützung

    "Slot0:" Maximale Anzahl virtueller Router
    ASA 10-20
    FirePOWER 1000 5-10 x 1010 (7,2+)
    Firepower 2100 10-40
    Firepower 3100 15-100
    Firepower 4100 60-100
    Firepower 9300 60-100
    Virtuelle FTD 30
    ISA 3000  10 (7,0+)

    VRF-Grenzwerte pro Blade mit nativem Modus

    Routingrichtlinien

    Richtlinien Globales VRF Benutzer-VRF
    Statische Route
    OSPFv2
    OSPFv3
    RIP
    BGPv4
    BGPv6 ✓ (7,1+)
    IRB (BVI)
    EIGRP

    Überlappende Netzwerke

    Richtlinien Nicht überlappend Überlappende Netzwerke
    Routing und IRB
    AVC
    SSL-Verschlüsselung
    Intrusion Detection und Malware Detection (IPS und Dateirichtlinie)
    VPN
    Malware-Ereignisanalyse (Hostprofile, IoC, File Trajectory)
    Threat-Intelligence (TID)

    Konfiguration

    FMC

    Schritt 1: Navigieren Sie zu Devices > Device Management dem FTD, und bearbeiten Sie es, um es zu konfigurieren.

    Schritt 2: Navigieren zur Registerkarte Routing

    Schritt 3. Klicken Sie Manage Virtual Routers .

    Schritt 4: Klicken Sie Add Virtual Router .

    Schritt 5: Geben Sie im Feld "Add Virtual Router" (Virtuellen Router hinzufügen) einen Namen und eine Beschreibung für den virtuellen Router ein.

    Schritt 6. Klicken Sie Ok .

    Schritt 7: Um Schnittstellen hinzuzufügen, wählen Sie die Schnittstelle unter demAvailable InterfacesFeld aus, und klicken Sie dann auf Add .

    Schritt 8: Konfigurieren Sie das Routing auf dem virtuellen Router.

    • OSPF
    • RIP
    • BGP
    • Statisches Routing
    • Multicast

    FDM

    Schritt 1. Navigieren Sie zu Device > Routing .

    Schritt 2:

    • Wenn keine virtuellen Router erstellt wurden, klicken Sie auf Add Multiple Virtual Routers und anschließend auf Create First Customer Virtual Router .
    • Klicken Sie auf die Schaltfläche + oben in der Liste der virtuellen Router, um einen neuen zu erstellen.

    Schritt 3. In das Add Virtual Router Feld. Geben Sie den Namen und die Beschreibung des virtuellen Routers ein.

    Schritt 4: Klicken Sie auf +, um jede Schnittstelle auszuwählen, die Teil des virtuellen Routers sein soll.

    Schritt 5. Klicken Sie Ok .

    Schritt 6: Konfigurieren Sie das Routing im Virtual Router.

    • OSPF
    • RIP
    • BGP
    • Statisches Routing
    • Multicast

    REST-API

    FMC

    Das FMC unterstützt den vollständigen CRUD Betrieb auf virtuellen Routern.

    Der Pfad für die Anrufe des virtuellen Routers befindet sich unter Devices > Routing > virtualrouters

    FDM

    Der FDM unterstützt den vollständigen CRUD-Betrieb auf virtuellen Routern.

    Der Pfad für die Anrufe des virtuellen Routers befindet sich unter Devices > Routing > virtualrouters

    Anwendungsfälle

    Service Provider

    In separaten Routing-Tabellen sind zwei Netzwerke nicht miteinander verknüpft, und es findet keine Kommunikation zwischen ihnen statt.

    Customer A and B initial configuration

    Überlegungen:

    • In diesem Szenario gibt es keine besonderen Überlegungen.

    Freigegebene Ressourcen

    Verbinden Sie zwei virtuelle Router, um Ressourcen von jedem dieser Router gemeinsam zu nutzen und Verbindungen zwischen Customer A und Customer B umgekehrt zu ermöglichen.

    Customer A and B route through virtual routers

    Überlegungen:

    • Konfigurieren Sie auf jedem virtuellen Router eine statische Route, die mit der Schnittstelle des anderen virtuellen Routers auf das Zielnetzwerk verweist.

    Beispiel:

    Fügen Sie im virtuellen Router für Customer Aeine Route mit der Customer B Schnittstelle als Ziel ohne IP-Adresse als Gateway hinzu (sie ist nicht erforderlich, wird als route leaking bezeichnet).

    Wiederholen Sie den gleichen Vorgang für Customer B.

    Überlappendes Netzwerk mit Hosts kommunizieren miteinander

    Es gibt zwei virtuelle Router mit denselben Netzwerkadressen und einem Datenaustausch zwischen diesen.

    Customer A and B connection

    Überlegungen:

    Um eine Kommunikation zwischen den beiden Netzwerken zu ermöglichen, konfigurieren Sie eine zweimal vorhandene NAT, um die Quell-IP-Adresse außer Kraft zu setzen, und legen Sie eine gefälschte IP-Adresse fest.

    BGP-Route Leaking

    Es gibt einen benutzerdefinierten virtuellen Router, dessen Routen an den globalen virtuellen Router geleitet werden müssen. 

    Die externe Schnittstelle leitet von der globalen Schnittstelle, die an den benutzerdefinierten virtuellen Router weitergeleitet werden soll, weiter.

    Customer BGP routes

    Überlegungen:

    • Vergewissern Sie sich, dass die FTD-Version 7.1+ ist.
    • Verwenden Sie im BGP > IPv4 Menü die Optionen Importieren/Exportieren.
    • Verwenden Sie route-map zur Verteilung.

    Verifizierung

    Mit den folgenden Befehlen können Sie überprüfen, ob der virtuelle Router erstellt wurde:

    firepower# show vrf

Name                             VRF ID     Description     Interfaces
VRF_A                            1          VRF A               DMZ
    
firepower# show vrf detail

VRF Name: VRF_A; VRF id = 1 (0x1)
VRF VRF_A (VRF Id = 1);
  Description: This is VRF for customer A
  Interfaces:
    Gi0/2
Address family ipv4 (Table ID = 1 (0x1)):
  ...
Address family ipv6 (Table ID = 503316481 (0x1e000001)):
  ...

VRF Name: single_vf; VRF id = 0 (0x0)
VRF single_vf (VRF Id = 0);
  No interfaces
Address family ipv4 (Table ID = 65535 (0xffff)):
  ...
Address family ipv6 (Table ID = 65535 (0xffff)):
  ...

    Fehlerbehebung

    Die Befehle zum Erfassen und Diagnostizieren von VRF-Informationen sind wie folgt:

    Alle VRFs

    • show route all
    • show asp table routing all
    • packet tracer

    Globales VRF

    • show route
    • show [bgp|ospf] [subcommands]

    Benutzerdefiniertes VRF

    • show route [bgp|ospf] vrf {name}

    Verwandte Links

    Cisco Secure Firewall Management Center - Gerätekonfigurationsanleitung, 7.2 - Virtuelle Router Cisco Secure Firewall Management Center - Cisco

    Cisco Secure Firewall Device Manager Configuration Guide, Version 7.2 - Virtual Router Cisco Secure Firewall Threat Defense - Cisco

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    26-Oct-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Cesar Barrientos

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.