Konfiguration einer dualen ISP-Topologie mit zwei Hubs und vier Spokes in derselben Region

Download-Optionen

  • PDF     (2.6 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:31. Dezember 2024
Dokument-ID:222683

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration einer dualen ISP-Topologie mit zwei Hubs und vier Stationen in derselben Region mithilfe des SD-WAN-Assistenten beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Cisco Secure Firewall Threat Defense (FTD)
    • Cisco Secure Firewall Management Center (FMC)
    • Software-defined WAN (SD-WAN)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • FTD Version 7.6.0
    • FMC Version 7.6.0

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Unterstützte Software- und Hardwareplattformen

    Manager

    FTD

    Unterstützte Plattformen

    • FMC >= 7.6.0 und FMC REST API

    • cdFMC >= 7,6.0

    • FDM - Nicht unterstützt

    • Hub FTD >= 7.6.0

    • Sprecher FTD >= 7.3.0

    Alle Plattformen, die FMC >= 7.6.0 verwalten kann

    Konfigurieren

    Netzwerkdiagramm

    Network Topology DiagramNetzwerktopologie-Diagramm

    Device ListListe der Geräte

    Schritt 1: Erstellen einer SD-WAN-Topologie mit WAN-1 als VPN-Schnittstelle

    Navigieren Sie zu Geräte > VPN > Site-to-Site. Wählen Sie Add (Hinzufügen) aus, und geben Sie im Feld Topologiename einen geeigneten Namen für die erste Topologie mit WAN-1 als VPN-Schnittstelle ein. Klicken Sie auf SD-WAN Topology>Create.

    SDWAN Topology with WAN 1 as the VPN InterfaceErstellen einer SD-WAN-Topologie mit WAN-1 als VPN-Schnittstelle

    Schritt 2: Konfigurieren der DVTI auf dem primären Hub

    Klicken Sie auf Add Hub (Hub hinzufügen), und wählen Sie den primären Hub aus der Dropdown-Liste Device (Gerät) aus. Klicken Sie auf das Symbol + neben Dynamic Virtual Tunnel Interface (DVTI). Konfigurieren Sie einen Namen, eine Sicherheitszone und eine Vorlagen-ID, und weisen Sie WAN-1 als Tunnel Source-Schnittstelle für den DVTI zu.

    Configure a Loopback Interface

    Wählen Sie eine physische oder Loopback-Schnittstelle aus der Dropdown-Liste Borrow IP (IP leihen) aus. In der aktuellen Topologie übernimmt der DVTI die IP-Adresse einer Loopback-Schnittstelle. Klicken Sie auf OK.

    Configure DVTI on WAN 1

    Wählen Sie einen Adresspool aus, oder klicken Sie auf das Symbol + neben Spoke Tunnel IP Address Pool, um einen neuen Adresspool zu erstellen. Wenn Sie Spokes hinzufügen, generiert der Assistent automatisch Spoke-Tunnelschnittstellen und weist diesen Spoke-Schnittstellen aus diesem IP-Adresspool IP-Adressen zu.

    Create Spoke IP Address Pool

    Wenn die Konfiguration des primären Hubs abgeschlossen ist, wählen Sie Add (Hinzufügen) aus, um den primären Hub in der Topologie zu speichern.

    Save Primary Hub in Topology

    Schritt 3: Konfigurieren des DVTI auf dem sekundären Hub

    Wählen Sie jetzt erneut Add Hub (Hub hinzufügen) aus, um den sekundären Hub in der Topologie mit WAN-1 als VPN-Schnittstelle zu konfigurieren, indem Sie die Schritte 1 und 2 wiederholen. Klicken Sie auf Next (Weiter).

    Configure the DVTI on the Secondary Hub

    Schritt 4: Konfigurieren der Spokes

    Wählen Sie Add Spoke (Spoke hinzufügen) aus, um ein einzelnes Spoke-Gerät hinzuzufügen, oder klicken Sie auf Add Spokes (Bulk Addition), um der Topologie mehrere Spokes hinzuzufügen. In der aktuellen Topologie wird die zweite Option verwendet, um der Topologie mehrere FTDs für Zweigstellen hinzuzufügen. Wählen Sie im Dialogfeld Bulk-Spokes hinzufügen die erforderlichen FTDs aus, um sie als Speichen hinzuzufügen. Wählen Sie entweder ein gemeinsames Schnittstellennamen-Muster aus, das dem logischen Namen von WAN-1 auf allen Stationen entspricht, oder die Sicherheitszone, die mit WAN-1 verknüpft ist.

    Choose Spokes to Add to the Topology

    Klicken Sie auf Weiter, damit der Assistent überprüft, ob die Stationen Schnittstellen mit dem angegebenen Muster oder der angegebenen Sicherheitszone haben.

    Save the Spokes in the Topology

    Wählen Sie Add (Hinzufügen) aus, und der Assistent wählt automatisch den Hub-DVTI als Tunnel-Quell-IP-Adresse für jede Spoke aus.

    Save the Spokes in the Topology

    Schritt 5: Konfigurieren der Authentifizierungseinstellungen

    Klicken Sie auf Weiter, um die Authentifizierungseinstellungen zu konfigurieren. Für die Geräteauthentifizierung können Sie in der Dropdown-Liste "Authentifizierungstyp" einen manuellen Pre-Shared Key, einen automatisch generierten Pre-Shared Key oder ein Zertifikat auswählen. Wählen Sie einen oder mehrere Algorithmen aus den Dropdown-Listen Transformationssätze und IKEv2-Richtlinien aus.

    Configure the Authentication Settings

    Schritt 6: Konfigurieren der SD-WAN-Einstellungen

    Klicken Sie auf Weiter, um die SD-WAN-Einstellungen zu konfigurieren. Dieser Schritt umfasst die automatische Generierung von Spoke-Tunnelschnittstellen und die Border Gateway Protocol (BGP)-Konfiguration des Overlay-Netzwerks. Wählen Sie in der Dropdown-Liste Spoke Tunnel Interface Security Zone (Sicherheitszone) eine Sicherheitszone aus, oder klicken Sie auf +, um eine Sicherheitszone zu erstellen, der der Assistent automatisch die automatisch generierten statischen virtuellen Tunnelschnittstellen (SVTIs) der Stationen hinzufügt.

    Aktivieren Sie das Kontrollkästchen BGP für die VPN-Overlay-Topologie aktivieren, um die BGP-Konfigurationen zwischen der Overlay-Tunnelschnittstelle zu automatisieren. Geben Sie im Feld "Autonomous System Number" (Autonome Systemnummer) eine AS-Nummer (Autonomes System) ein. Aktivieren Sie das Kontrollkästchen Verbundene Schnittstellen neu verteilen, und wählen Sie eine Schnittstellengruppe aus der Dropdown-Liste aus, oder wählen Sie +, um eine Schnittstellengruppe mit verbundenen LAN-Schnittstellen der Hubs und Stationen für die BGP-Routen-Neuverteilung in der Overlay-Topologie zu erstellen.

    Configure the SDWAN Settings

    Geben Sie im Feld Community Tag for Local Routes (Community-Tag für lokale Routen) das BGP Community-Attribut ein, um verbundene und neu verteilte lokale Routen zu kennzeichnen. Dieses Attribut ermöglicht eine einfache Routenfilterung. Aktivieren Sie das Kontrollkästchen Sekundärer Hub befindet sich im Kontrollkästchen Anderes autonomes System, wenn sich ein sekundärer Hub in einem anderen AS befindet. Aktivieren Sie abschließend das Kontrollkästchen Enable Multiple Paths for BGP, damit das BGP den Lastenausgleich für den Datenverkehr über mehrere Verbindungen durchführen kann.

    Overlay Routing Configuration

    Klicken Sie auf Fertig stellen, um die SD-WAN-Topologie zu speichern und zu validieren.

    Save and Validate the SDWAN Topology

    Sie können die Topologie unter Geräte > Site-to-Site-VPN einsehen. Die Gesamtzahl der Tunnel in der ersten SD-WAN-Topologie beträgt 8.

    View the Topology under Site to Site VPN

    Schritt 7: Erstellen einer SD-WAN-Topologie mit WAN-2 als VPN-Schnittstelle

    Wiederholen Sie die Schritte 1 bis 6, um eine SD-WAN-Topologie mit WAN-2 als VPN-Schnittstelle zu konfigurieren. Die Gesamtzahl der Tunnel in der zweiten SD-WAN-Topologie beträgt 8. Die endgültigen Topologien müssen wie im folgenden Bild dargestellt aussehen:

    Create an SDWAN Topology with WAN 2 as the VPN Interface

    Schritt 8: Konfigurieren von (Equal Cost Multi-Path) ECMP-Zonen

    Navigieren Sie in jeder Außenstelle zu Routing > ECMP, und konfigurieren Sie ECMP-Zonen für die WAN-Schnittstellen und SVTIs, die mit dem primären und sekundären Hub verbunden sind, wie dargestellt. Dies ermöglicht Verbindungsredundanz und Lastenausgleich des VPN-Datenverkehrs.

    Configure ECMP Zones

    Schritt 9: Ändern der lokalen BGP-Voreinstellungen auf dem Hub

    Navigieren Sie zu Routing > General Settings > BGP auf dem sekundären Hub. Klicken Sie auf BGP aktivieren, konfigurieren Sie die AS-Nummer, und setzen Sie den lokalen Standardvoreinstellungswert unter Auswahl des besten Pfads auf einen Wert, der niedriger ist als der, der auf dem primären Hub konfiguriert wurde. Klicken Sie auf Speichern. Dadurch wird sichergestellt, dass Routen zum primären Hub gegenüber Routen zum sekundären Hub bevorzugt werden. Wenn der primäre Hub ausfällt, werden die Routen zum sekundären Hub übernommen.

    Modify the BGP Local Preference on the Hub

    Bereitstellung der Konfigurationen auf allen Geräten

    Überprüfung

    Tunnelstatus überprüfen

    Um zu überprüfen, ob die VPN-Tunnel der SD-WAN-Topologien aktiv sind, navigieren Sie zu Device > VPN > Site-to-Site.

    Verify Tunnel Statuses in Site to Site VPN Topology

    Um Details zu den SD-WAN-VPN-Tunneln anzuzeigen, wählen Sie Overview > Dashboards > Site-to-Site VPN (Übersicht > Dashboards > Site-to-Site-VPN).

    Verify Tunnel Statuses in Site to Site VPN Dashboard

    So zeigen Sie weitere Details zu jedem VPN-Tunnel an:

    1. Bewegen Sie den Mauszeiger über einen Tunnel.
    2. Klicken Sie auf Vollständige Informationen anzeigen (View Full Information Icon). Ein Bereich mit Tunneldetails und weiteren Aktionen wird angezeigt.
    3. Klicken Sie im Seitenbereich auf die Registerkarte CLI Details (CLI-Details), um die Befehle und Details der IPsec-Sicherheitszuordnungen anzuzeigen.

    CLI Details

    Überprüfen von Virtual Tunnel Interfaces (VTIs)

    So zeigen Sie die dynamischen VTIs von Hubs und statischen VTIs von Speichen an:

    1. Navigieren Sie zu Geräte > Geräteverwaltung.
    2. Wählen Sie das Bearbeitungssymbol für einen Hub oder ein Spoke-Gerät aus.
    3. Klicken Sie auf die Registerkarte Interface.
    4. Klicken Sie auf Virtuelle Tunnel aus.


    Für jede VTI können Sie Details wie Name, IP-Adresse, IPsec-Modus, Tunnelquellen-Schnittstellendetails, Topologie und Remote-Peer-IP einsehen.

    DVTIs auf dem primären Hub:

    DVTIs on the Primary Hub

    DVTIs auf dem sekundären Hub:

    DVTIs on the Secondary Hub

    SVTI auf der Speiche:

    SVTIs on the Spoke

    Zur Verifizierung von Lastenausgleich, dualer ISP-Redundanz und Hub-Level-Redundanz wird nur Datenverkehr von Zweigstelle 1 zum Hub verwendet. Die Details der Konfiguration sind hier dargestellt:

    10.1.0.0.100 - Client in Zweigstelle 1 mit Verbindung zum Netzwerk

    10.10.0.0.100 - Client im Netzwerk mit Hub

    WAN-1_static_vti_1 - SVTI an Hub 1 über ISP 1
    WAN-2_static_vti_3 - SVTI an Hub 1 über ISP 2
    WAN-1_static_vti_2 - SVTI an Hub 2 über ISP 1
    WAN-2_static_vti_4 - SVTI an Hub 2 über ISP 2

    Überprüfen des Lastenausgleichs des VPN-Datenverkehrs

    Der Tunnelstatus wird im Site-to-Site-VPN-Dashboard angezeigt. Im Idealfall müssen alle Tunnel aktiv sein:

    VPN Load Balancing Dashboard

    Routen zum primären Hub werden bevorzugt. Der Befehl show route in Branch 1 gibt an, dass für den VPN-Datenverkehr ein Lastenausgleich zwischen den beiden SVTIs auf ISP 1 und ISP 2 zum primären Hub erfolgt:

    VPN Load Balancing Route

    Die für den VPN-Datenverkehr verwendete Ausgangsschnittstelle wird in Unified Events angezeigt:

    VPN Load Balancing Events

    Überprüfung der dualen ISP-Redundanz

    Wenn ISP-2 ausgefallen ist, zeigt der Tunnelstatus an, dass die Tunnel über ISP-1 aktiv sind:

    Link Redundancy Dashboard

    Routen zum primären Hub werden bevorzugt. Der Befehl show route in Branch 1 gibt an, dass der VPN-Datenverkehr über die SVTIs auf ISP-1 zum primären Hub geroutet wird:

    Link Redundancy Routes

    Die für den VPN-Datenverkehr verwendete Ausgangsschnittstelle wird in Unified Events angezeigt:

    Link Redundancy Events

    Überprüfung der Redundanz auf Hub-Ebene

    Wenn der primäre Hub ausgefallen ist, zeigt der Tunnelstatus an, dass die Tunnel zum sekundären Hub aktiv sind:

    Hub Redundancy Dashboard

    Da der primäre Hub ausgefallen ist, werden die Routen zum sekundären Hub bevorzugt. Der Befehl show route in Branch 1 gibt an, dass für den VPN-Datenverkehr ein Load Balancing zwischen den beiden SVTIs auf ISP 1 und ISP 2 zum sekundären Hub durchgeführt wird:

    Hub Redundancy Route

    Die für den VPN-Datenverkehr verwendete Ausgangsschnittstelle wird in Unified Events angezeigt:

    Hub Redundancy Events

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    02-Jan-2025
    Erstveröffentlichung

    Beigetragen von

    • Ashlin Leroy Dsilva
      Cisco Software Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.