Site-to-Site VPN over Secure Firewall을 위한 SD-WAN 구성
소개
이 문서에서는 보안 방화벽에서 SD-WAN 기능을 사용하는 BGP 오버레이 라우팅을 사용하는 경로 기반 VPN 구축 시나리오에 대해 설명합니다.
사전 요구 사항
모든 허브와 스포크는 FTD 7.6 이상 소프트웨어를 실행 중이며 동일한 FMC를 통해 관리됩니다. 또한 7.6 이상 소프트웨어를 실행 중입니다.
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- IKEv2
- 경로 기반 VPN
- VTI(Virtual Tunnel Interface)
- IPSec
- BGP
사용되는 구성 요소
이 문서의 정보는 다음을 기반으로 합니다.
- Cisco Secure Firewall Threat Defense 7.7.10
- Cisco Secure Firewall Management Center 7.7.10
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
기능 정보
Management Center는 새로운 SD-WAN 마법사를 사용하여 VPN 터널 컨피그레이션 및 중앙 본부(허브)와 원격 브랜치 사이트(스포크) 간 라우팅을 간소화합니다.
· BGP를 통해 오버레이 라우팅이 활성화된 허브의 DVTI(Dynamic Virtual Tunnel Interface) 및 스포크의 SVTI(Static Virtual Tunnel Interface)를 활용하여 VPN 컨피그레이션을 자동화합니다.
· 스포크에 대한 SVTI IP 주소를 자동으로 할당하고 암호화 매개변수를 비롯한 전체 VTI 컨피그레이션을 푸시합니다.
· 동일한 마법사 내에서 손쉬운 1단계 라우팅 컨피그레이션을 제공하여 오버레이 라우팅을 위한 BGP를 활성화합니다.
· BGP에 대한 경로 리플렉터 특성을 활용하여 확장 가능하고 최적화된 라우팅을 활성화합니다.
· 사용자의 개입을 최소화하면서 여러 스포크를 동시에 추가할 수 있습니다.
지원되는 토폴로지
이 문서에서는 사용자가 다양한 구축 시나리오를 파악할 수 있도록 여러 토폴로지에 대해 설명합니다.
허브 및 스포크(단일 ISP)
네트워크 다이어그램
설정
-
Devices(디바이스) > VPN > Site to Site(사이트 대 사이트) > Add(추가) > SD-WAN Topology(SD-WAN 토폴로지) > > Create(생성)로 이동합니다.
· 허브를 추가하고 허브 끝에 DVTI를 만듭니다. DVTI 컨피그레이션의 일부로 토폴로지에 따라 올바른 터널 소스 인터페이스를 선택해야 합니다.
-
스포크 터널 IP 주소 풀을 생성하고 Save(저장)를 클릭한 다음 Add(추가)를 클릭합니다. IP 주소 풀은 스포크에 VTI 터널 IP 주소를 할당하는 데 사용됩니다.
-
다음을 클릭하여 계속하고 스포크를 추가합니다. 공통 인터페이스/영역 이름이 있거나 개별적으로 스포크를 추가할 경우 대량 추가 옵션을 활용할 수 있습니다.
-
디바이스를 선택하고 WAN/외부 인터페이스의 이름 지정 패턴을 지정합니다. 디바이스가 동일한 인터페이스 이름을 공유하는 경우 이니셜을 사용하면 됩니다. Next(다음)를 클릭하고 검증에 성공하면 Add(추가)를 클릭합니다. 대량 추가에 대해서도 동일한 방법으로 영역 이름을 사용할 수 있습니다.
-
스포크 및 오버레이 인터페이스 세부사항을 확인하여 올바른 인터페이스가 선택되었는지 확인한 후 Next(다음)를 클릭합니다.
-
필요에 따라 IPsec 컨피그레이션의 기본 매개변수를 유지하거나 사용자 지정 암호를 지정할 수 있습니다. Next(다음)를 클릭하여 계속 진행합니다. 이 문서에서는 기본 매개변수를 사용합니다.
-
마지막으로, AS 번호, 내부 인터페이스 광고, 접두사 필터링을 위한 커뮤니티 태그와 같은 적절한 BGP 매개변수를 지정하여 이 토폴로지에 대해 동일한 마법사 내에서 오버레이 라우팅을 구성할 수 있습니다. 보안 영역은 액세스 제어 정책을 통해 트래픽 필터링을 지원할 수 있으며, 이름이 내부와 다르거나 토폴로지의 디바이스 간에 대칭적이지 않은 경우 인터페이스에 대한 객체를 생성하여 연결된 인터페이스 재배포에 사용할 수도 있습니다.
-
Next(다음), Finish(마침), 마지막으로 Deploy(구축)를 차례로 클릭하여 프로세스를 완료합니다.
확인
-
Devices(디바이스) > VPN(VPN) > Site to Site(사이트 대 사이트)로 이동하여 터널 상태를 확인할 수 있습니다.
-
추가 세부 정보는 Overview(개요) > Dashboards(대시보드) > Site to Site VPN(사이트 대 사이트 VPN)으로 이동하여 확인할 수 있습니다.
-
자세히 알아보려면 터널을 선택하고 전체 정보 보기를 클릭합니다.
-
출력은 FTD CLI에서 직접 표시되며 업데이트된 카운터 및 중요 정보(예: SPI(Security Parameter Index) 세부사항)를 표시하도록 새로 고칠 수 있습니다.
-
FTD CLI를 사용하여 라우팅 정보 및 BGP 피어링 상태를 확인할 수도 있습니다.
HUB 측
HUB1# show bgp summary BGP router identifier 198.51.100.3, local AS number 65500 BGP table version is 7, main routing table version 7 2 network entries using 400 bytes of memory 2 path entries using 160 bytes of memory 1/1 BGP path/bestpath attribute entries using 208 bytes of memory 1 BGP community entries using 24 bytes of memory 1 BGP route-map cache entries using 64 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 856 total bytes of memory BGP activity 2/0 prefixes, 4/2 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 198.51.100.10 4 65500 4 6 7 0 0 00:00:45 0 <<<<< spoke 1 bgp peering 198.51.100.11 4 65500 5 5 7 0 0 00:00:44 1 <<<<< spoke 2 bgp peering 198.51.100.12 4 65500 5 5 7 0 0 00:00:52 1 <<<<< spoke 3 bgp peering
HUB1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
B 192.0.2.0 255.255.255.248 [200/1] via 198.51.100.10, 00:00:18 <<<<<<<< spoke 1 inside network
B 192.0.2.8 255.255.255.248 [200/1] via 198.51.100.11, 00:08:08 <<<<<<<< spoke 2 inside network
B 192.0.2.16 255.255.255.248 [200/1] via 198.51.100.12, 00:08:16 <<<<<<<< spoke 3 inside networkHUB1#show bgp ipv4 unicast neighbors 198.51.100.10 routes <<<<< to check only prefix receieved from specific peer
BGP table version is 14, local router ID is 198.51.100.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*>i192.0.2.0/29 198.51.100.10 1 100 0 ? <<<<<<<<<< routes received from spoke 1
Total number of prefixes 1HUB1#show bgp ipv4 unicast neighbors 198.51.100.11 routes <<<<< to check only prefix receieved from specific peer
BGP table version is 14, local router ID is 198.51.100.3 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *>i192.0.2.8/29 198.51.100.11 1 100 0 ? <<<<<<<<<< routes received from spoke 2 Total number of prefixes 1
HUB1#show bgp ipv4 unicast neighbors 198.51.100.12 routes <<<<< to check only prefix receieved from specific peer
BGP table version is 14, local router ID is 198.51.100.3 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *>i192.0.2.16/29 198.51.100.12 1 100 0 ? <<<<<<<<<< routes received from spoke 3 Total number of prefixes 1
스포크 사이드
스포크 디바이스에서도 동일한 확인을 수행할 수 있습니다. 여기 이 바퀴살 중 하나의 예가 있습니다.
Spoke1# show bgp summary BGP router identifier 198.51.100.4, local AS number 65500 BGP table version is 12, main routing table version 12 3 network entries using 600 bytes of memory 3 path entries using 240 bytes of memory 2/2 BGP path/bestpath attribute entries using 416 bytes of memory 2 BGP rrinfo entries using 80 bytes of memory 1 BGP community entries using 24 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 1360 total bytes of memory BGP activity 5/2 prefixes, 7/4 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 198.51.100.1 4 65500 12 11 12 0 0 00:07:11 2 <<<<<<<<< BGP peering with HUB
Spoke1# show bgp ipv4 unicast neighbors 198.51.100.1 routes
BGP table version is 12, local router ID is 198.51.100.4
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*>i192.0.2.8/29 198.51.100.1 1 100 0 ? <<<<<<< route received from HUB for spoke 2
*>i192.0.2.16/29 198.51.100.1 1 100 0 ? <<<<<<< route received from HUB for spoke 3
Total number of prefixes 2 Spoke1# show bgp ipv4 unicast neighbors 198.51.100.1 advertised-routes
BGP table version is 12, local router ID is 198.51.100.4
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 192.0.2.0/29 0.0.0.0 0 32768 ? <<<<<<<< route advertised by this spoke into BGP
Total number of prefixes 1 Spoke1# show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
B 192.0.2.8 255.255.255.248 [200/1] via 198.51.100.1, 00:13:42 <<<<<< spoke 2 inside network
B 192.0.2.16 255.255.255.248 [200/1] via 198.51.100.1, 00:13:42 <<<<<< spoke 3 inside network듀얼 허브 & 스포크(보조 허브와 스포크 사이의 EBGP를 통한 이중화 허브용 단일 ISP)
네트워크 다이어그램
설정
HUB Addition(허브 추가) 창에서 약간 수정하면서 동일한 마법사가 필요합니다. 필요한 변경 사항에만 집중하여 프로세스를 빠르게 진행할 수 있습니다.
· 첫 번째 HUB를 추가한 후 이전에 HUB1에 사용했던 것과 동일한 단계를 사용하여 두 번째 HUB를 추가합니다.
-
DVTI(Dynamic Virtual Tunnel Interface)를 생성합니다.
-
스포크 측의 HUB 2 VTI 터널에 새 IP 주소 풀이 필요합니다. 새 풀을 생성 및 구성한 다음 변경 사항을 저장합니다.
-
두 번째 HUB와 스포크 간의 eBGP 피어링을 구성하려면 마지막 단계에서 SD-WAN 설정을 수정합니다. Secondary HUB is in a different Autonomous System(보조 허브가 다른 자동 시스템에 있음) 옵션을 활성화하고 보조 허브의 AS(자동 시스템) 번호를 지정합니다. IBGP는 Secondary HUB is in different Autonomous System(보조 허브가 다른 자동 시스템에 있음) 옵션을 선택하지 않은 상태로 두어 사용자 환경에서 다른 AS 번호를 사용하는 데 제한이 없는 경우에도 사용할 수 있습니다. 이렇게 하면 보조 HUB에 대해서도 동일한 커뮤니티 태그 및 AS 번호가 푸시됩니다. 이 문서에서는 현재 설정을 위한 eBGP에 대해 중점적으로 다룹니다.
이 컨피그레이션에서는 AS(Autonomous System) 번호 및 커뮤니티 태그가 모두 고유해야 합니다.
확인
이 다이어그램은 오버레이 토폴로지를 보여줍니다.
-
FMC에서 Devices(디바이스) > VPN(VPN) > Site to Site(사이트에서 사이트)로 이동합니다.
-
다른 모든 단계는 변경되지 않습니다.
듀얼 허브 및 스포크(보조 허브와 스포크 사이의 EBGP를 통한 이중화 허브 및 ISP용 듀얼 ISP)
네트워크 다이어그램
설정
이 시나리오의 유일한 차이점은 두 개의 개별 SD-WAN 토폴로지가 구성된다는 점입니다. 각 토폴로지는 각각의 ISP 인터페이스를 언더레이로 사용합니다.
· 첫 번째 ISP를 사용하여 이 토폴로지의 배포를 건너뜁니다. 이전 토폴로지에서 이 배포를 다룹니다.
-
그런 다음 ISP 2용 언더레이 인터페이스(VPN-OUT-2)를 사용하여 HUB당 2개의 추가 DVTI 인터페이스를 생성하여 두 번째 토폴로지를 추가합니다.
-
추가 VPN IP 주소 풀은 특별히 스포크 VTI(Virtual Tunnel Interface) 주소에 대해 프로비저닝됩니다.
-
보조 허브를 추가하려면 보조 ISP 인터페이스(VPN-OUT-2)를 사용하여 DVTI 2를 생성하는 프로세스를 반복하고 스포크 엔드 VTI 주소에 대한 추가 IP 풀을 구성합니다.
-
스포크를 추가할 때 VTI 터널에 대해 올바른 언더레이/WAN 인터페이스가 지정되었는지 확인합니다. 이 토폴로지는 보조 ISP 인터페이스 VPN-OUT-2를 사용하고 있습니다.
-
라우팅을 구성할 때 이 토폴로지의 두 HUB에 대한 커뮤니티 태그 및 AS 번호가 이전 ISP1 토폴로지에서 사용된 것과 일치하는지 확인합니다. 토폴로지는 서로 다른 보안 영역을 사용하지만 기본 및 보조 HUB의 AS 번호와 같은 나머지 컨피그레이션과 커뮤니티 태그가 동일합니다. 이는 UI에서 토폴로지 검증을 완료하는 데 필수입니다.
-
다른 모든 설정은 변경되지 않습니다. 마법사를 완료하고 구축을 진행합니다.
확인
-
토폴로지가 표시된 대로 나타납니다.
-
Devices(디바이스) > VPN > Site to Site(사이트 대 사이트)로 이동하여 토폴로지를 확인합니다.
이러한 컨피그레이션으로 디바이스당 4개의 BGP 피어링이 생성되며 각 스포크에는 다른 스포크에 연결하기 위한 적절한 경로가 있습니다. 예를 들어 스포크 중 하나에서 출력을 읽어들일 수 있습니다.
스포크 1
Spoke1#show bgp summary BGP router identifier 203.0.113.35, local AS number 65500 BGP table version is 4, main routing table version 4 2 network entries using 400 bytes of memory 7 path entries using 560 bytes of memory 1 multipath network entries and 2 multipath paths 3/2 BGP path/bestpath attribute entries using 624 bytes of memory 1 BGP rrinfo entries using 40 bytes of memory 1 BGP AS-PATH entries using 40 bytes of memory 2 BGP community entries using 48 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory BGP using 1712 total bytes of memory BGP activity 2/0 prefixes, 7/0 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 198.51.100.1 4 65500 229 226 4 0 0 04:07:22 1 <<<<<<<<<< HUB 1 ISP 1 VTI 198.51.100.2 4 65510 226 230 4 0 0 04:06:36 2 <<<<<<<<<< HUB 2 ISP 1 VTI 198.51.100.3 4 65500 182 183 4 0 0 03:16:45 1 <<<<<<<<<< HUB 1 ISP 2 VTI 198.51.100.4 4 65510 183 183 4 0 0 03:16:30 2 <<<<<<<<<< HUB 2 ISP 2 VTI
Spoke1#show bgp ipv4 unicast neighbors 198.51.100.1 routes <<<< check for specific prefixes received via HUB1 ISP1
BGP table version is 4, local router ID is 203.0.113.35
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*>i192.0.2.16/29 198.51.100.1 1 100 0 ? <<<<<<<< spoke 2 network received via HUB 1 ISP 1 tunnel
Total number of prefixes 1 Spoke1#show bgp ipv4 unicast neighbors 198.51.100.3 routes <<<< check for specific prefixes received via HUB1 ISP2
BGP table version is 4, local router ID is 203.0.113.35
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*mi192.0.2.16/29 198.51.100.3 1 100 0 ? <<<<<<<< spoke 2 network received via HUB 1 ISP 2 tunnel
Total number of prefixes 1 Spoke1# show bgp ipv4 unicast neighbors 198.51.100.2 routes <<<< check for specific prefixes received via HUB2 ISP1
BGP table version is 4, local router ID is 203.0.113.35 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * 192.0.2.8/29 198.51.100.2 100 0 65510 65510 ? <<<<<<< inside network receieved cause we advertised it to HUB 1 from ISP 2 topology * 192.0.2.16/29 198.51.100.2 100 0 65510 65510 ? <<<<<<<< spoke 2 network received via HUB 2 ISP 1 tunnel but not preferred Total number of prefixes 2
Spoke1# show bgp ipv4 unicast neighbors 198.51.100.4 routes <<<< check for specific prefixes received via HUB2 ISP1
BGP table version is 4, local router ID is 203.0.113.35 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale, m multipath Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path * 192.0.2.8/29 198.51.100.4 100 0 65510 65510 ? <<<<<<< inside network receieved cause we advertised it to HUB 2 from ISP 1 topology * 192.0.2.16/29 198.51.100.4 100 0 65510 65510 ? <<<<<<<< spoke 2 network received via HUB 2 ISP 2 tunnel but not preferred Total number of prefixes 2
표시된 대로 라우팅 테이블이 나타나며, 이는 스포크 측의 두 링크 간에 트래픽이 로드 밸런싱됨을 확인합니다.
Spoke1#show route bgp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
B 192.0.2.16 255.255.255.248 [200/1] via 198.51.100.3, 03:23:53 <<<<< multipath for spoke 2 inside network
[200/1] via 198.51.100.1, 03:23:53 <<<<< multipath for spoke 2 inside networkSpoke1#show bgp 192.0.2.16
BGP routing table entry for 192.0.2.16/29, version 4
Paths: (4 available, best #4, table default)
Multipath: eBGP iBGP
Advertised to update-groups:
2 4
65510 65510
198.51.100.4 from 198.51.100.4 (198.51.100.4) <<<< HUB2 ISP2 next-hop
Origin incomplete, metric 100, localpref 100, valid, external
Community: 10101
Local
198.51.100.3 from 198.51.100.3 (198.51.100.3) <<<< HUB1 ISP2 next-hop
Origin incomplete, metric 1, localpref 100, valid, internal, multipath
Community: 10101
Originator: 203.0.113.36, Cluster list: 198.51.100.3
65510 65510
198.51.100.2 from 198.51.100.2 (198.51.100.4) <<<< HUB2 ISP1 next-hop
Origin incomplete, metric 100, localpref 100, valid, external
Community: 10101
Local
198.51.100.1 from 198.51.100.1 (198.51.100.3) <<<< HUB1 ISP1 next-hop
Origin incomplete, metric 1, localpref 100, valid, internal, multipath, best
Community: 10101
Originator: 203.0.113.36, Cluster list: 198.51.100.3결론
이 문서에서는 단일 설정 마법사를 사용하여 쉽게 구현할 수 있는 다양한 구축 시나리오를 설명합니다.
관련 정보
- 추가 지원이 필요한 경우 TAC에 문의하십시오. 유효한 지원 계약이 필요합니다. Cisco Worldwide Support 연락처.
- 여기서 Cisco VPN Community를 방문할 수도 있습니다.
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
01-Oct-2025
|
최초 릴리스 |
피드백