Configuration de la topologie à deux FAI avec deux concentrateurs et quatre rayons dans la même région

Options de téléchargement

  • PDF     (2.6 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (2.5 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (2.0 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:31 décembre 2024
ID du document:222683

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer une topologie à deux FAI avec deux concentrateurs et quatre rayons dans la même région à l'aide de l'assistant SD-WAN.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Cisco Secure Firewall Threat Defense (FTD)
    • Cisco Secure Firewall Management Center (FMC)
    • WAN défini par logiciel (SD-WAN)

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • FTD version 7.6.0
    • FMC version 7.6.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Plates-formes logicielles et matérielles prises en charge

    Responsable

    FTD

    Plates-formes prises en charge

    • FMC >= 7.6.0 et API REST FMC

    • cdFMC >= 7.6.0

    • FDM - Non pris en charge

    • FTD du concentrateur >= 7.6.0

    • DTC satellite >= 7,3,0

    Toutes les plates-formes que FMC >= 7.6.0 peut gérer

    Configurer

    Diagramme du réseau

    Network Topology DiagramSchéma de topologie du réseau

    Device ListListe des périphériques

    Étape 1 : création d’une topologie SD-WAN avec WAN-1 comme interface VPN

    Accédez à Devices > VPN > Site To Site. Choisissez Add, et entrez un nom approprié dans le champ Topology Name pour la première topologie avec WAN-1 comme interface VPN. Cliquez sur SD-WAN Topology>Create.

    SDWAN Topology with WAN 1 as the VPN InterfaceCréer une topologie SD-WAN avec WAN-1 comme interface VPN

    Étape 2 : configuration de l’interface DVTI (Dynamic Virtual Tunnel Interface) sur le concentrateur principal

    Cliquez sur Add Hub et choisissez le concentrateur principal dans la liste déroulante Device. Cliquez sur l'icône + en regard de Dynamic Virtual Tunnel Interface (DVTI). Configurez un nom, une zone de sécurité et un ID de modèle et attribuez WAN-1 comme interface source de tunnel pour le DVTI.

    Configure a Loopback Interface

    Choisissez une interface physique ou de bouclage dans la liste déroulante Emprunter IP. Dans la topologie actuelle, le DVTI hérite d’une adresse IP d’interface de bouclage. Click OK.

    Configure DVTI on WAN 1

    Choisissez un pool d'adresses ou cliquez sur l'icône + en regard de Spoke Tunnel IP Address Pool afin de créer un nouveau pool d'adresses. Lorsque vous ajoutez des rayons, l'Assistant génère automatiquement des interfaces de tunnel en rayon et attribue des adresses IP à ces interfaces en rayon à partir de ce pool d'adresses IP.

    Create Spoke IP Address Pool

    Une fois la configuration du concentrateur principal terminée, choisissez Add afin d'enregistrer le concentrateur principal dans la topologie.

    Save Primary Hub in Topology

    Étape 3. Configuration de la DVTI sur le concentrateur secondaire

    Choisissez à nouveau Add Hub afin de configurer le concentrateur secondaire dans la topologie avec WAN-1 comme interface VPN en répétant les étapes 1 et 2. Cliquez sur Next.

    Configure the DVTI on the Secondary Hub

    Étape 4. Configuration des rayons

    Choisissez Add Spoke afin d'ajouter un périphérique à rayon unique, ou cliquez sur Add Spokes (Bulk Addition) afin d'ajouter plusieurs rayons à votre topologie. La topologie actuelle utilise cette dernière option afin d'ajouter plusieurs FTD de branche à la topologie. Dans la boîte de dialogue Add Bulk Spokes, choisissez les FTD requis afin de les ajouter en tant que rayons. Choisissez un modèle de nom d'interface commun qui correspond au nom logique de WAN-1 sur tous les rayons ou la zone de sécurité qui est associée à WAN-1.

    Choose Spokes to Add to the Topology

    Cliquez sur Next afin que l'assistant vérifie si les rayons ont des interfaces avec le modèle ou la zone de sécurité spécifié.

    Save the Spokes in the Topology

    Choisissez Add et l'assistant choisit automatiquement le concentrateur DVTI comme adresse IP source du tunnel pour chaque rayon.

    Save the Spokes in the Topology

    Étape 5. Configuration des paramètres d’authentification

    Cliquez sur Next afin de configurer les paramètres d'authentification. Pour l'authentification de périphérique, vous pouvez choisir une clé pré-partagée manuelle, une clé pré-partagée générée automatiquement ou un certificat dans la liste déroulante Authentication Type. Choisissez un ou plusieurs algorithmes dans les listes déroulantes Transform Sets et IKEv2 Policies.

    Configure the Authentication Settings

    Étape 6. Configuration des paramètres SD-WAN

    Cliquez sur Next afin de configurer les paramètres SD-WAN. Cette étape implique la génération automatique des interfaces de tunnel en étoile et la configuration du protocole BGP (Border Gateway Protocol) du réseau de superposition. Dans la liste déroulante Spoke Tunnel Interface Security Zone, choisissez une zone de sécurité ou cliquez sur + afin de créer une zone de sécurité à laquelle l'assistant ajoute automatiquement les interfaces SVTI (Static Virtual Tunnel Interfaces) générées automatiquement par les rayons.

    Cochez la case Enable BGP on the VPN Overlay Topology afin d'automatiser les configurations BGP entre l'interface de tunnel de superposition. Dans le champ Autonomous System Number, entrez un numéro de système autonome (AS). Cochez la case Redistribute Connected Interfaces et choisissez un groupe d'interfaces dans la liste déroulante ou choisissez + afin de créer un groupe d'interfaces avec des interfaces LAN connectées des concentrateurs et des rayons pour la redistribution de route BGP dans la topologie de superposition.

    Configure the SDWAN Settings

    Dans le champ Community Tag for Local Routes, entrez l'attribut de communauté BGP afin de marquer les routes locales connectées et redistribuées. Cet attribut permet un filtrage facile des routes. Cochez la case Secondary Hub is in the Different Autonomous System si vous avez un concentrateur secondaire dans un autre système autonome. Enfin, cochez la case Enable Multiple Paths for BGP afin de permettre à BGP d'équilibrer la charge du trafic sur plusieurs liaisons.

    Overlay Routing Configuration

    Cliquez sur Finish afin d'enregistrer et de valider la topologie SD-WAN.

    Save and Validate the SDWAN Topology

    Vous pouvez afficher la topologie sous Périphériques > VPN de site à site. Le nombre total de tunnels dans la première topologie SD-WAN est de 8.

    View the Topology under Site to Site VPN

    Étape 7. Création d’une topologie SD-WAN avec WAN-2 comme interface VPN

    Répétez les étapes 1 à 6 afin de configurer une topologie SD-WAN avec WAN-2 comme interface VPN. Le nombre total de tunnels dans la seconde topologie SD-WAN est de 8. Les topologies finales doivent ressembler à l’image ci-dessous :

    Create an SDWAN Topology with WAN 2 as the VPN Interface

    Étape 8. Configuration des zones ECMP (Equal-Cost Multi-Path)

    Sur chaque branche, accédez à Routing > ECMP et configurez les zones ECMP pour les interfaces WAN et les SVTI se connectant au concentrateur principal et secondaire, comme indiqué. Cela peut fournir une redondance de liaison et activer l'équilibrage de charge du trafic VPN.

    Configure ECMP Zones

    Étape 9. Modification de la préférence locale BGP sur le concentrateur

    Accédez à Routing > General Settings > BGP sur le concentrateur secondaire. Cliquez sur Enable BGP, configurez le numéro AS, et définissez la valeur de préférence locale par défaut sous Best Path Selection à une valeur inférieure à celle configurée sur le concentrateur principal. Cliquez sur Save. Cela garantit que les routes vers le concentrateur principal sont préférées aux routes vers le concentrateur secondaire. Lorsque le concentrateur principal tombe en panne, les routes vers le concentrateur secondaire prennent le relais.

    Modify the BGP Local Preference on the Hub

    Déployez les configurations sur tous les périphériques.

    Vérifier

    Vérification des états du tunnel

    Afin de vérifier si les tunnels VPN des topologies SD-WAN sont actifs, naviguez vers Device > VPN > Site-to-Site.

    Verify Tunnel Statuses in Site to Site VPN Topology

    Afin d'afficher les détails des tunnels VPN SD-WAN, choisissez Overview > Dashboards > Site-to-site VPN.

    Verify Tunnel Statuses in Site to Site VPN Dashboard

    Afin d'afficher plus de détails de chaque tunnel VPN :

    1. Survolez un tunnel.
    2. Cliquez sur Afficher toutes les informations (View Full Information Icon). Un volet contenant les détails du tunnel et d'autres actions s'affiche.
    3. Cliquez sur l'onglet CLI Details dans le volet latéral afin d'afficher les commandes show et les détails des associations de sécurité IPsec.

    CLI Details

    Vérification des interfaces de tunnel virtuel (VTI)

    Afin de visualiser les VTI dynamiques des concentrateurs et les VTI statiques des rayons :

    1. Accédez à Périphériques > Gestion des périphériques.
    2. Sélectionnez l'icône d'édition pour un concentrateur ou un périphérique en étoile.
    3. Cliquez sur l'onglet Interface.
    4. Cliquez sur le bouton Tunnels virtuels onglet.


    Pour chaque interface VTI, vous pouvez afficher des détails tels que le nom, l'adresse IP, le mode IPsec, les détails de l'interface source du tunnel, la topologie et l'adresse IP de l'homologue distant.

    DVTI sur le concentrateur principal :

    DVTIs on the Primary Hub

    DVTI sur le concentrateur secondaire :

    DVTIs on the Secondary Hub

    SVTI sur le rayon :

    SVTIs on the Spoke

    Afin de vérifier l'équilibrage de charge, la redondance double ISP et la redondance au niveau du concentrateur, seul le trafic de Branch1 vers le concentrateur est utilisé. Les détails de la configuration sont affichés ici :

    10.1.0.0.100 - Client dans le réseau connecté de la succursale 1

    10.10.0.0.100 - Client dans le réseau connecté au concentrateur

    WAN-1_static_vti_1 - SVTI vers concentrateur 1 via FAI 1
    WAN-2_static_vti_3 - SVTI vers concentrateur 1 via FAI 2
    WAN-1_static_vti_2 - SVTI vers concentrateur 2 via FAI 1
    WAN-2_static_vti_4 - SVTI vers le concentrateur 2 via le FAI 2

    Vérification de l'équilibrage de charge du trafic VPN

    L'état du tunnel est visible dans le tableau de bord VPN site à site. Idéalement, tous les tunnels doivent être actifs :

    VPN Load Balancing Dashboard

    Les routes vers le concentrateur principal sont privilégiées. La commande show route sur Branch1 indique que le trafic VPN est équilibré en charge entre les deux SVTI sur ISP1 et ISP2 vers le concentrateur principal :

    VPN Load Balancing Route

    L'interface de sortie prise pour le trafic VPN réel peut être vue dans Unified Events :

    VPN Load Balancing Events

    Vérification de la redondance ISP double

    Lorsque ISP-2 est désactivé, l'état du tunnel indique que les tunnels via ISP-1 sont actifs :

    Link Redundancy Dashboard

    Les routes vers le concentrateur principal sont privilégiées. La commande show route sur Branch1 indique que le trafic VPN est routé via les SVTI sur ISP-1 vers le concentrateur principal :

    Link Redundancy Routes

    L'interface de sortie prise pour le trafic VPN réel peut être vue dans Unified Events :

    Link Redundancy Events

    Vérification de la redondance au niveau du concentrateur

    Lorsque le concentrateur principal est en panne, l'état du tunnel indique que les tunnels vers le concentrateur secondaire sont actifs :

    Hub Redundancy Dashboard

    Comme le concentrateur principal est en panne, les routes vers le concentrateur secondaire sont privilégiées. La commande show route sur Branch1 indique que le trafic VPN est équilibré en charge entre les deux SVTI sur ISP1 et ISP2 vers le concentrateur secondaire :

    Hub Redundancy Route

    L'interface de sortie prise pour le trafic VPN réel peut être vue dans Unified Events :

    Hub Redundancy Events

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    02-Jan-2025
    Première publication

    Contribution de

    • Ashlin Leroy Dsilva
      Ingénieur logiciel Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits