セキュアファイアウォールを介したサイト間VPNのためのSD-WANの設定
はじめに
このドキュメントでは、Secure FirewallのSD-WAN機能を使用したBGPオーバーレイルーティングによるルートベースのVPN導入シナリオについて説明します。
前提条件
すべてのハブとスポークでFTD 7.6以降のソフトウェアが稼働しており、これらのハブとスポークは、7.6以降のソフトウェアが稼働している同じFMC経由で管理されます。
要件
次の項目に関する知識があることが推奨されます。
- IKEv2
- ルートベースのVPN
- 仮想トンネルインターフェイス(VTI)
- IPSec
- BGP
使用するコンポーネント
このドキュメントの情報は、次のハードウェアに基づくものです。
- Cisco Secure Firewall脅威対策7.7.10
- Cisco Secure Firewall Management Center 7.7.10
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
機能情報
Management Centerは、新しいSD-WANウィザードを使用して、一元化された本社(ハブ)とリモートブランチサイト(スポーク)間のVPNトンネルおよびルーティングの設定を簡素化します。
・ ハブ上でDVTI(Dynamic Virtual Tunnel Interface)を活用し、スポーク上でSVTI(Static Virtual Tunnel Interface)を活用することでVPN設定を自動化します。オーバーレイルーティングはBGPを介して有効にします。
・ スポークにSVTI IPアドレスを自動的に割り当て、暗号化パラメータを含む完全なVTI設定をプッシュします。
・ 同じウィザード内で簡単な1ステップのルーティング設定を行い、BGPでオーバーレイルーティングを有効にします。
・ BGPのルートリフレクタアトリビュートを活用することにより、スケーラブルで最適なルーティングを可能にします。
・ 最小限のユーザ操作で複数のスポークを同時に追加できます。
対象トポロジ
この記事では、ユーザがさまざまな導入シナリオを認識できるように、複数のトポロジについて説明します。
ハブ&スポーク(単一のISP)
ネットワーク図
コンフィギュレーション
-
Devices > VPN > Site to Site > Add > SD-WAN Topology > > Createの順に移動します。
・ ハブを追加し、ハブの終端にDVTIを作成します。DVTI設定の一部として、トポロジに従って正しいトンネル送信元インターフェイスを必ず選択してください。
-
Spoke Tunnel IP address poolを作成し、SaveをクリックしてからAddをクリックします。IPアドレスプールは、スポークにVTIトンネルIPアドレスを割り当てるために使用されます。
-
Nextをクリックして続行し、スポークを追加します。共通のインターフェイス/ゾーン名がある場合、またはスポークを個別に追加する場合は、一括追加オプションを利用できます。
-
デバイスを選択し、WAN/Outsideインターフェイスの命名パターンを指定します。デバイスが同じインターフェイス名を共有する場合は、イニシャルを使用するだけで十分です。Nextをクリックし、検証が正常に終了したらAddをクリックします。一括追加の場合も、同じ方法でゾーン名を使用できます。
-
スポークとオーバーレイインターフェイスの詳細を確認して正しいインターフェイスが選択されていることを確認し、Nextをクリックします。
-
IPSec設定のデフォルトパラメータをそのまま使用することも、必要に応じてカスタム暗号を指定することもできます。Next をクリックして続けます。このドキュメントでは、デフォルトのパラメータを使用しています。
-
最後に、AS番号、内部インターフェイスアドバタイズメント、プレフィクスフィルタリングのコミュニティタグなどの適切なBGPパラメータを指定することで、このトポロジに対して同じウィザード内でオーバーレイルーティングを設定できます。セキュリティゾーンは、アクセスコントロールポリシーによるトラフィックフィルタリングに役立ちます。また、インターフェイスのオブジェクトを作成し、名前がトポロジ内のデバイス間で内部と異なる場合、または名前がトポロジ内のデバイス間で対称でない場合は、接続されたインターフェイスの再配布でそれらを使用することもできます。
-
Next、Finish、最後にDeployの順にクリックして、プロセスを完了します。
検証
-
Devices > VPN > Site to Siteの順に選択して、トンネルのステータスを確認できます。
-
その他の詳細については、Overview > Dashboards > Site to Site VPNの順に移動して確認できます。
-
さらに詳しい情報については、トンネルを選択して、View Full Informationをクリックしてください。
-
出力はFTD CLIから直接表示され、更新されたカウンタやセキュリティパラメータインデックス(SPI)の詳細などの重要な情報を表示するために更新できます。
-
FTD CLIを使用して、ルーティング情報とBGPピアリングステータスを確認することもできます。
ハブ側
HUB1# show bgp summary BGP router identifier 198.51.100.3, local AS number 65500 BGP table version is 7, main routing table version 7 2 network entries using 400 bytes of memory 2 path entries using 160 bytes of memory 1/1 BGP path/bestpath attribute entries using 208 bytes of memory 1 BGP community entries using 24 bytes of memory 1 BGP route-map cache entries using 64 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 856 total bytes of memory BGP activity 2/0 prefixes, 4/2 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 198.51.100.10 4 65500 4 6 7 0 0 00:00:45 0 <<<<< spoke 1 bgp peering 198.51.100.11 4 65500 5 5 7 0 0 00:00:44 1 <<<<< spoke 2 bgp peering 198.51.100.12 4 65500 5 5 7 0 0 00:00:52 1 <<<<< spoke 3 bgp peering
HUB1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
B 192.0.2.0 255.255.255.248 [200/1] via 198.51.100.10, 00:00:18 <<<<<<<< spoke 1 inside network
B 192.0.2.8 255.255.255.248 [200/1] via 198.51.100.11, 00:08:08 <<<<<<<< spoke 2 inside network
B 192.0.2.16 255.255.255.248 [200/1] via 198.51.100.12, 00:08:16 <<<<<<<< spoke 3 inside networkHUB1#show bgp ipv4 unicast neighbors 198.51.100.10 routes <<<<< to check only prefix receieved from specific peer
BGP table version is 14, local router ID is 198.51.100.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*>i192.0.2.0/29 198.51.100.10 1 100 0 ? <<<<<<<<<< routes received from spoke 1
Total number of prefixes 1HUB1#show bgp ipv4 unicast neighbors 198.51.100.11 routes <<<<< to check only prefix receieved from specific peer
BGP table version is 14, local router ID is 198.51.100.3 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *>i192.0.2.8/29 198.51.100.11 1 100 0 ? <<<<<<<<<< routes received from spoke 2 Total number of prefixes 1
HUB1#show bgp ipv4 unicast neighbors 198.51.100.12 routes <<<<< to check only prefix receieved from specific peer
BGP table version is 14, local router ID is 198.51.100.3 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *>i192.0.2.16/29 198.51.100.12 1 100 0 ? <<<<<<<<<< routes received from spoke 3 Total number of prefixes 1
スポーク側
同じ検証をスポークデバイスでも実行できます。スポークの1つの例を次に示します。
Spoke1# show bgp summary BGP router identifier 198.51.100.4, local AS number 65500 BGP table version is 12, main routing table version 12 3 network entries using 600 bytes of memory 3 path entries using 240 bytes of memory 2/2 BGP path/bestpath attribute entries using 416 bytes of memory 2 BGP rrinfo entries using 80 bytes of memory 1 BGP community entries using 24 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 1360 total bytes of memory BGP activity 5/2 prefixes, 7/4 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 198.51.100.1 4 65500 12 11 12 0 0 00:07:11 2 <<<<<<<<< BGP peering with HUB
Spoke1# show bgp ipv4 unicast neighbors 198.51.100.1 routes
BGP table version is 12, local router ID is 198.51.100.4
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*>i192.0.2.8/29 198.51.100.1 1 100 0 ? <<<<<<< route received from HUB for spoke 2
*>i192.0.2.16/29 198.51.100.1 1 100 0 ? <<<<<<< route received from HUB for spoke 3
Total number of prefixes 2 Spoke1# show bgp ipv4 unicast neighbors 198.51.100.1 advertised-routes
BGP table version is 12, local router ID is 198.51.100.4
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 192.0.2.0/29 0.0.0.0 0 32768 ? <<<<<<<< route advertised by this spoke into BGP
Total number of prefixes 1 Spoke1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
B 192.0.2.8 255.255.255.248 [200/1] via 198.51.100.1, 00:13:42 <<<<<< spoke 2 inside network
B 192.0.2.16 255.255.255.248 [200/1] via 198.51.100.1, 00:13:42 <<<<<< spoke 3 inside networkデュアルハブアンドスポーク(セカンダリハブとスポーク間のEBGPを介した冗長ハブ用のシングルISP)
ネットワーク図
コンフィギュレーション
同じウィザードが必要ですが、HUBの追加ウィンドウで若干の変更が行われています。必要な変更のみに焦点を当てることで、プロセスを迅速に進めることができます。
・ 1つ目のハブを追加したら、前述のHUB1と同じ手順で2つ目のHUBの追加に進みます。
-
ダイナミック仮想トンネルインターフェイス(DVTI)の作成に進みます。
-
スポーク側のハブ2 VTIトンネルには、新しいIPアドレスプールが必要です。新しいプールを作成して設定し、変更を保存します。
-
2番目のハブとスポークの間のeBGPピアリングを設定するには、最後の手順でSD-WAN設定を変更します。オプションSecondary HUB is in a different Autonomous Systemを有効にして、セカンダリHUBの自律システム(AS)番号を指定します。IBGPは、Secondary HUB is in a different Autonomous Systemオプションをオフにしておくことで、環境で異なるAS番号を使用することに制限がない場合にも使用できます。これにより、セカンダリHUBでも同じコミュニティタグとAS番号がプッシュされます。この記事では、現在の設定のeBGPに焦点を当てています。
この設定で、自律システム(AS)番号とコミュニティタグの両方が固有であることを確認してください。
検証
次の図は、オーバーレイトポロジを示しています。
-
FMCで、Devices > VPN > Site to Siteの順に移動します。
-
その他の手順はすべて変更されません。
デュアルハブ&スポーク(冗長ハブ用のデュアルISP、およびセカンダリハブとスポーク間のEBGPを介したISP)
ネットワーク図
コンフィギュレーション
このシナリオの唯一の違いは、2つの異なるSD-WANトポロジが設定され、それぞれがアンダーレイとしてそれぞれのISPインターフェイスを使用する点です。
・ 最初のISPを使用した、このトポロジの展開はスキップされます。これは、前のトポロジで説明されているためです。
-
次に、ISP 2のアンダーレイインターフェイス(VPN-OUT-2)を利用して、HUBごとに2つの追加DVTIインターフェイスを作成し、2番目のトポロジの追加に進みます。
-
追加のVPN IPアドレスプールは、スポーク仮想トンネルインターフェイス(VTI)アドレス専用にプロビジョニングされます。
-
セカンダリハブを追加するには、セカンダリISPインターフェイス(VPN-OUT-2)を使用してDVTI 2を作成するプロセスを繰り返し、スポークとエンド間のVTIアドレス用に追加のIPプールを設定します。
-
スポークを追加するときは、VTIトンネルに正しいアンダーレイ/WANインターフェイスが指定されていることを確認します。このトポロジは、セカンダリISPインターフェイスVPN-OUT-2を使用しています。
-
ルーティングを設定するときは、このトポロジの両方のハブのコミュニティタグとAS番号が、前のISP1トポロジで使用されたものと一致していることを確認します。トポロジは異なるセキュリティゾーンを使用していますが、プライマリハブとセカンダリハブのAS番号やコミュニティタグなどの残りの設定は同じです。これは、UIがトポロジの検証を完了するために必須です。
-
その他の設定はすべて変更されません。ウィザードを完了し、展開を続行します。
検証
-
トポロジは次のように表示されます。
-
トポロジを表示するには、Devices > VPN > Site to Siteの順に選択します。
この設定により、デバイスごとに4つのBGPピアリングが発生し、各スポークには他のスポークに到達するための適切なルートがあります。たとえば、スポークの1つから出力を取得できます。
スポーク1
Spoke1#show bgp summary BGP router identifier 203.0.113.35, local AS number 65500 BGP table version is 4, main routing table version 4 2 network entries using 400 bytes of memory 7 path entries using 560 bytes of memory 1 multipath network entries and 2 multipath paths 3/2 BGP path/bestpath attribute entries using 624 bytes of memory 1 BGP rrinfo entries using 40 bytes of memory 1 BGP AS-PATH entries using 40 bytes of memory 2 BGP community entries using 48 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 1712 total bytes of memory BGP activity 2/0 prefixes, 7/0 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 198.51.100.1 4 65500 229 226 4 0 0 04:07:22 1 <<<<<<<<<< HUB 1 ISP 1 VTI 198.51.100.2 4 65510 226 230 4 0 0 04:06:36 2 <<<<<<<<<< HUB 2 ISP 1 VTI 198.51.100.3 4 65500 182 183 4 0 0 03:16:45 1 <<<<<<<<<< HUB 1 ISP 2 VTI 198.51.100.4 4 65510 183 183 4 0 0 03:16:30 2 <<<<<<<<<< HUB 2 ISP 2 VTI
Spoke1#show bgp ipv4 unicast neighbors 198.51.100.1 routes <<<< check for specific prefixes received via HUB1 ISP1
BGP table version is 4, local router ID is 203.0.113.35
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*>i192.0.2.16/29 198.51.100.1 1 100 0 ? <<<<<<<< spoke 2 network received via HUB 1 ISP 1 tunnel
Total number of prefixes 1 Spoke1#show bgp ipv4 unicast neighbors 198.51.100.3 routes <<<< check for specific prefixes received via HUB1 ISP2
BGP table version is 4, local router ID is 203.0.113.35
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*mi192.0.2.16/29 198.51.100.3 1 100 0 ? <<<<<<<< spoke 2 network received via HUB 1 ISP 2 tunnel
Total number of prefixes 1 Spoke1# show bgp ipv4 unicast neighbors 198.51.100.2 routes <<<< check for specific prefixes received via HUB2 ISP1
BGP table version is 4, local router ID is 203.0.113.35 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * 192.0.2.8/29 198.51.100.2 100 0 65510 65510 ? <<<<<<< inside network receieved cause we advertised it to HUB 1 from ISP 2 topology * 192.0.2.16/29 198.51.100.2 100 0 65510 65510 ? <<<<<<<< spoke 2 network received via HUB 2 ISP 1 tunnel but not preferred Total number of prefixes 2
Spoke1# show bgp ipv4 unicast neighbors 198.51.100.4 routes <<<< check for specific prefixes received via HUB2 ISP1
BGP table version is 4, local router ID is 203.0.113.35 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * 192.0.2.8/29 198.51.100.4 100 0 65510 65510 ? <<<<<<< inside network receieved cause we advertised it to HUB 2 from ISP 1 topology * 192.0.2.16/29 198.51.100.4 100 0 65510 65510 ? <<<<<<<< spoke 2 network received via HUB 2 ISP 2 tunnel but not preferred Total number of prefixes 2
ルーティングテーブルは次のように表示され、スポーク側の両方のリンク間でトラフィックがロードバランシングされていることが確認できます。
Spoke1#show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
B 192.0.2.16 255.255.255.248 [200/1] via 198.51.100.3, 03:23:53 <<<<< multipath for spoke 2 inside network
[200/1] via 198.51.100.1, 03:23:53 <<<<< multipath for spoke 2 inside networkSpoke1#show bgp 192.0.2.16
BGP routing table entry for 192.0.2.16/29, version 4
Paths: (4 available, best #4, table default)
Multipath: eBGP iBGP
Advertised to update-groups:
2 4
65510 65510
198.51.100.4 from 198.51.100.4 (198.51.100.4) <<<< HUB2 ISP2 next-hop
Origin incomplete, metric 100, localpref 100, valid, external
Community: 10101
Local
198.51.100.3 from 198.51.100.3 (198.51.100.3) <<<< HUB1 ISP2 next-hop
Origin incomplete, metric 1, localpref 100, valid, internal, multipath
Community: 10101
Originator: 203.0.113.36, Cluster list: 198.51.100.3
65510 65510
198.51.100.2 from 198.51.100.2 (198.51.100.4) <<<< HUB2 ISP1 next-hop
Origin incomplete, metric 100, localpref 100, valid, external
Community: 10101
Local
198.51.100.1 from 198.51.100.1 (198.51.100.3) <<<< HUB1 ISP1 next-hop
Origin incomplete, metric 1, localpref 100, valid, internal, multipath, best
Community: 10101
Originator: 203.0.113.36, Cluster list: 198.51.100.3結論
この記事の目的は、単一のセットアップウィザードを使用して簡単に実装できるさまざまな導入シナリオについて説明することです。
関連情報
- 詳細については、TACにお問い合わせください。有効なサポート契約が必要です。シスコワールドワイドサポートの連絡先を参照してください。
- Cisco VPN コミュニティには、ここからアクセスすることもできます。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
01-Oct-2025
|
初版 |
フィードバック