Configurazione della topologia a doppio ISP con due hub e quattro spoke nella stessa area

Opzioni per il download

  • PDF     (2.6 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.5 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.0 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:31 dicembre 2024
ID documento:222683

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come configurare una topologia con due ISP con due hub e quattro spoke nella stessa area usando la procedura guidata SD-WAN.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Cisco Secure Firewall Threat Defense (FTD)
    • Cisco Secure Firewall Management Center (FMC)
    • Software-defined WAN (SD-WAN)

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • FTD versione 7.6.0
    • FMC versione 7.6.0

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Piattaforme software e hardware supportate

    Responsabile

    FTD

    Piattaforme supportate

    • FMC >= 7.6.0 e API REST FMC

    • cdFMC >= 7.6.0

    • FDM - Non supportato

    • FTD hub >= 7.6.0

    • FTD raggio >= 7.3.0

    Tutte le piattaforme che FMC >= 7.6.0 può gestire

    Configurazione

    Esempio di rete

    Network Topology DiagramDiagramma della topologia di rete

    Device ListElenco di dispositivi

    Passaggio 1. Creare una topologia SD-WAN con WAN-1 come interfaccia VPN

    Selezionare Dispositivi > VPN > Sito - Sito. Scegliere Add, quindi immettere un nome appropriato nel campo Topology Name (Nome topologia) per la prima topologia con WAN-1 come interfaccia VPN. Fare clic su SD-WAN Topology>Create (Crea).

    SDWAN Topology with WAN 1 as the VPN InterfaceCreazione di una topologia SD-WAN con WAN-1 come interfaccia VPN

    Passaggio 2. Configurare l'interfaccia DVTI (Dynamic Virtual Tunnel Interface) sull'hub primario

    Fare clic su Add Hub e scegliere l'hub principale dall'elenco a discesa Device (Dispositivo). Fare clic sull'icona + accanto a DVTI (Dynamic Virtual Tunnel Interface). Configurare un nome, un'area di sicurezza e un ID modello e assegnare WAN-1 come interfaccia origine tunnel per DVTI.

    Configure a Loopback Interface

    Scegliere un'interfaccia fisica o di loopback dall'elenco a discesa Indirizzo IP prestito. Nella topologia corrente, la tecnologia DVTI eredita un indirizzo IP dell'interfaccia di loopback. Fare clic su OK.

    Configure DVTI on WAN 1

    Per creare un nuovo pool di indirizzi, scegliere un pool di indirizzi o fare clic sull'icona + accanto a Pool di indirizzi IP del tunnel spoke. Quando si aggiungono spoke, la procedura guidata genera automaticamente interfacce tunnel spoke e assegna indirizzi IP a tali interfacce spoke da questo pool di indirizzi IP.

    Create Spoke IP Address Pool

    Una volta completata la configurazione dell'hub primario, scegliere Aggiungi per salvare l'hub primario nella topologia.

    Save Primary Hub in Topology

    Passaggio 3. Configurare la tecnologia DVTI sull'hub secondario

    Scegliere nuovamente Add Hub per configurare l'hub secondario nella topologia con WAN-1 come interfaccia VPN ripetendo i passaggi 1 e 2. Fare clic su Avanti.

    Configure the DVTI on the Secondary Hub

    Passaggio 4. Configurazione dei raggi

    Scegliere Aggiungi spoke per aggiungere un dispositivo a spoke singolo oppure fare clic su Aggiungi spoke (aggiunta di massa) per aggiungere più spoke alla topologia. La topologia corrente utilizza quest'ultima opzione per aggiungere più FTD di diramazione alla topologia. Nella finestra di dialogo Aggiungi raggi ausiliari, scegliete gli FTD necessari per aggiungerli come raggi. Scegliere un modello di nome interfaccia comune che corrisponda al nome logico della WAN-1 su tutti i spoke o all'area di sicurezza associata alla WAN-1.

    Choose Spokes to Add to the Topology

    Fare clic su Avanti per verificare se gli spoke dispongono di interfacce con il pattern o l'area di sicurezza specificati.

    Save the Spokes in the Topology

    Scegliere Add (Aggiungi). La procedura guidata sceglie automaticamente l'hub DVTI come indirizzo IP di origine del tunnel per ogni spoke.

    Save the Spokes in the Topology

    Passaggio 5. Configurazione delle impostazioni di autenticazione

    Per configurare le impostazioni di autenticazione, fare clic su Avanti. Per l'autenticazione dei dispositivi, è possibile scegliere una chiave precondivisa manuale, una chiave precondivisa generata automaticamente o un certificato nell'elenco a discesa Tipo di autenticazione. Selezionare uno o più algoritmi dagli elenchi a discesa Set di trasformazioni e Criteri IKEv2.

    Configure the Authentication Settings

    Passaggio 6. Configurare le impostazioni SD-WAN

    Per configurare le impostazioni SD-WAN, fare clic su Next (Avanti). Questo passaggio comporta la generazione automatica di interfacce tunnel spoke e la configurazione del Border Gateway Protocol (BGP) della rete di overlay. Dall'elenco a discesa Area di sicurezza interfaccia tunnel spoke, scegliere un'area di sicurezza o fare clic su + per creare un'area di sicurezza alla quale la procedura guidata aggiunga automaticamente le SVTI (Static Virtual Tunnel Interfaces) generate automaticamente dallo spoke.

    Selezionare la casella di controllo Abilita BGP sulla topologia di overlay VPN per automatizzare le configurazioni BGP tra l'interfaccia del tunnel di overlay. Nel campo Numero sistema autonomo, immettere un numero AS (Autonomous System). Selezionare la casella di controllo Ridistribuisci interfacce connesse e scegliere un gruppo di interfacce dall'elenco a discesa oppure scegliere + per creare un gruppo di interfacce con interfacce LAN connesse degli hub e degli spoke per la ridistribuzione della route BGP nella topologia di overlay.

    Configure the SDWAN Settings

    Nel campo Tag community per percorsi locali, immettere l'attributo community BGP per contrassegnare i percorsi locali connessi e ridistribuiti. Questo attributo consente di applicare facilmente filtri di route. Selezionare la casella di controllo Hub secondario in sistema autonomo diverso se si dispone di un hub secondario in un SA diverso. Infine, selezionare la casella di controllo Enable Multiple Paths for BGP per consentire a BGP di bilanciare il carico del traffico su più collegamenti.

    Overlay Routing Configuration

    Per salvare e convalidare la topologia SD-WAN, fare clic su Finish (Fine).

    Save and Validate the SDWAN Topology

    È possibile visualizzare la topologia in Dispositivi > VPN da sito a sito. Il numero totale di tunnel nella prima topologia SD-WAN è 8.

    View the Topology under Site to Site VPN

    Passaggio 7. Creare una topologia SD-WAN con WAN-2 come interfaccia VPN

    Ripetere i passaggi da 1 a 6 per configurare una topologia SD-WAN con WAN-2 come interfaccia VPN. Il numero totale di tunnel nella seconda topologia SD-WAN è 8. Le topologie finali devono essere simili all'immagine mostrata:

    Create an SDWAN Topology with WAN 2 as the VPN Interface

    Passaggio 8. Configurazione delle zone ECMP (Equal-Cost Multi-Path)

    Su ciascuna diramazione, selezionare Routing > ECMP e configurare le zone ECMP per le interfacce WAN e gli SVTI che si connettono all'hub principale e secondario, come mostrato. In questo modo è possibile fornire ridondanza dei collegamenti e abilitare il bilanciamento del carico del traffico VPN.

    Configure ECMP Zones

    Passaggio 9. Modificare la preferenza locale BGP sull'hub

    Selezionare Routing > General Settings > BGP sull'hub secondario. Fare clic su Abilita BGP, configurare il numero AS e impostare il valore della preferenza locale predefinita in Selezione miglior percorso su un valore inferiore a quello configurato sull'hub primario. Fare clic su Save (Salva). In questo modo le route verso l'hub principale vengono preferite rispetto alle route verso l'hub secondario. Quando l'hub primario diventa inattivo, subentrano i percorsi verso l'hub secondario.

    Modify the BGP Local Preference on the Hub

    Distribuire le configurazioni su tutti i dispositivi.

    Verifica

    Verifica degli stati del tunnel

    Per verificare se i tunnel VPN delle topologie SD-WAN sono attivi, selezionare Dispositivo > VPN > Da sito a sito.

    Verify Tunnel Statuses in Site to Site VPN Topology

    Per visualizzare i dettagli dei tunnel VPN SD-WAN, scegliere Panoramica > Dashboard > VPN da sito a sito.

    Verify Tunnel Statuses in Site to Site VPN Dashboard

    Per visualizzare ulteriori dettagli su ciascun tunnel VPN:

    1. Passare il mouse su un tunnel.
    2. Fare clic su Visualizza informazioni complete (View Full Information Icon). Verrà visualizzato un riquadro con i dettagli del tunnel e altre azioni.
    3. Fare clic sulla scheda CLI Details (Dettagli CLI) nel riquadro laterale per visualizzare i comandi show e i dettagli delle associazioni di sicurezza IPsec.

    CLI Details

    Verifica delle VTI (Virtual Tunnel Interfaces)

    Per visualizzare le VTI dinamiche degli hub e le VTI statiche dei spoke:

    1. Selezionare Dispositivi > Gestione dispositivi.
    2. Scegliere l'icona di modifica per un hub o un dispositivo spoke.
    3. Fare clic sulla scheda Interfaccia.
    4. Fare clic sul pulsante Tunnel virtuali scheda.


    Per ciascuna VTI, è possibile visualizzare dettagli quali nome, indirizzo IP, modalità IPsec, dettagli dell'interfaccia di origine del tunnel, topologia e IP peer remoto.

    DVTI sull'hub principale:

    DVTIs on the Primary Hub

    DVTI sull'hub secondario:

    DVTIs on the Secondary Hub

    SVTI sull'intervento:

    SVTIs on the Spoke

    Per verificare il bilanciamento del carico, la ridondanza ISP doppio e la ridondanza a livello di hub, viene utilizzato solo il traffico dalla diramazione 1 all'hub. Di seguito sono riportati i dettagli dell'installazione:

    10.1.0.0.100 - Client nella rete connessa alla filiale 1

    10.10.0.0.100 - Client nella rete connessa all'hub

    WAN-1_static_vti_1 - Da SVTI a Hub 1 tramite ISP 1
    WAN-2_static_vti_3 - Da SVTI a Hub 1 tramite ISP 2
    WAN-1_static_vti_2 - Da SVTI a Hub 2 tramite ISP 1
    WAN-2_static_vti_4 - Da SVTI a Hub 2 tramite ISP 2

    Verifica del bilanciamento del carico del traffico VPN

    Lo stato del tunnel può essere visualizzato nel dashboard della VPN da sito a sito. Idealmente, tutti i tunnel devono essere attivi:

    VPN Load Balancing Dashboard

    Le route all'hub principale sono preferibili. Il comando show route sulla filiale 1 indica che il traffico VPN è con carico bilanciato tra i due SVTI sull'ISP 1 e sull'ISP 2 e diretti all'hub principale:

    VPN Load Balancing Route

    L'interfaccia in uscita utilizzata per il traffico VPN effettivo può essere rilevata in Eventi unificati:

    VPN Load Balancing Events

    Verifica della ridondanza di due ISP

    Quando l'ISP-2 non è attivo, lo stato del tunnel indica che i tunnel tramite ISP-1 sono attivi:

    Link Redundancy Dashboard

    Le route all'hub principale sono preferibili. Il comando show route sulla filiale 1 indica che il traffico VPN viene instradato tramite SVTI sull'ISP-1 all'hub principale:

    Link Redundancy Routes

    L'interfaccia in uscita utilizzata per il traffico VPN effettivo può essere rilevata in Eventi unificati:

    Link Redundancy Events

    Verifica ridondanza a livello di hub

    Quando l'hub primario è inattivo, lo stato del tunnel indica che i tunnel verso l'hub secondario sono attivi:

    Hub Redundancy Dashboard

    Poiché l'hub primario non è attivo, vengono preferiti i percorsi all'hub secondario. Il comando show route sulla filiale 1 indica che il traffico VPN è con carico bilanciato tra i due SVTI sull'ISP 1 e sull'ISP 2 e diretti all'hub secondario:

    Hub Redundancy Route

    L'interfaccia in uscita utilizzata per il traffico VPN effettivo può essere rilevata in Eventi unificati:

    Hub Redundancy Events

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    02-Jan-2025
    Versione iniziale

    Contributo di

    • Ashlin Leroy Dsilva
      Cisco Software Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti