为通过安全防火墙的站点到站点VPN配置SD-WAN

简介

本文档介绍使用安全防火墙上的SD-WAN功能的BGP重叠路由的基于路由的VPN部署方案。

先决条件

所有集线器和辐条都运行FTD 7.6或更高版本的软件，并通过同样运行7.6或更高版本的软件的FMC进行管理。

要求

Cisco 建议您了解以下主题：

• IKEv2
• 基于路由的VPN
• 虚拟隧道接口(VTI)
• IPsec
• 调试输出中显示“BGP

使用的组件

本文档中的信息基于： 

• 思科安全防火墙威胁防御7.7.10
• 思科安全防火墙管理中心7.7.10

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

功能信息

通过使用新的SD-WAN向导，管理中心可简化集中式总部（集线器）和远程分支站点（分支）之间的VPN隧道配置和路由。

·通过利用集线器上的DVTI（动态虚拟隧道接口）和分支上的SVTI（静态虚拟隧道接口）实现VPN配置自动化，并通过BGP启用重叠路由。

·自动为分支分配SVTI IP地址并推送完整的VTI配置，包括加密参数。

·在同一向导内提供简单的一步路由配置，为重叠路由启用BGP。

·利用BGP的路由反射器属性实现可扩展的最佳路由。

·允许同时添加多个辐射点，而用户干预最少。

涵盖的拓扑

本文涵盖多个拓扑，以确保用户了解各种部署方案。

集中星型（单个ISP）

网络图

配置

• 导航到设备> VPN >站点到站点>添加> SD-WAN拓扑> >创建。

·添加中心并在中心端创建一个DVTI。作为DVTI配置的一部分，请确保根据拓扑选择正确的隧道源接口。

• 创建分支隧道IP地址池，然后单击保存，然后单击添加。ip地址池用于将VTI隧道IP地址分配给分支。

• 单击下一步继续并添加辐条。如果您有通用接口/区域名称，则可以利用批量添加选项，也可以单独添加辐条。

• 选择设备并指定WAN/外部接口的命名模式。如果设备共享相同的接口名称，使用首字母就足够了。单击Next，如果验证成功，则单击Add。对于批量添加，您也可以以相同的方式使用区域名称。

• 验证分支和重叠接口详细信息以确保选择了正确的接口，然后单击Next。

• 您可以保留IPsec配置的默认参数，也可以根据需要指定自定义密码。单击 Next（下一步）继续。在本文档中，您使用的是默认参数。

• 最后，可以通过指定适当的BGP参数（例如，用于前缀过滤的AS编号、内部接口通告和社区标记），在此拓扑的同一向导内配置重叠路由。安全区域可以通过访问控制策略协助流量过滤，同时您也可以为接口创建一个对象，并在连接的接口重分配中使用它们（如果名称与拓扑中的内部名称不同或不跨拓扑中的设备对称）。

• 单击Next，然后单击Finish，最后单击Deploy完成此过程。

确认

• 您可以通过导航到Devices > VPN > Site to Site来验证隧道状态。

• 通过导航到概述>控制面板>站点到站点VPN，可以验证其他详细信息。

• 要获得进一步的见解，请选择隧道，然后单击查看完整信息。

• 输出直接从FTD CLI显示，可以刷新以显示更新的计数器和重要信息，如安全参数索引(SPI)详细信息。

• FTD CLI还可用于检查路由信息和BGP对等状态。

在集线器端

HUB1# show bgp summary 
BGP router identifier 198.51.100.3, local AS number 65500
BGP table version is 7, main routing table version 7
2 network entries using 400 bytes of memory
2 path entries using 160 bytes of memory
1/1 BGP path/bestpath attribute entries using 208 bytes of memory
1 BGP community entries using 24 bytes of memory
1 BGP route-map cache entries using 64 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 856 total bytes of memory
BGP activity 2/0 prefixes, 4/2 paths, scan interval 60 secs

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
198.51.100.10   4        65500 4       6              7    0    0 00:00:45  0 <<<<< spoke 1 bgp peering   
198.51.100.11   4        65500 5       5              7    0    0 00:00:44  1 <<<<< spoke 2 bgp peering     
198.51.100.12   4        65500 5       5              7    0    0 00:00:52  1 <<<<< spoke 3 bgp peering

HUB1# show route bgp 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set

B        192.0.2.0 255.255.255.248 [200/1] via 198.51.100.10, 00:00:18 <<<<<<<< spoke 1 inside network
B        192.0.2.8 255.255.255.248 [200/1] via 198.51.100.11, 00:08:08 <<<<<<<< spoke 2 inside network
B        192.0.2.16 255.255.255.248 [200/1] via 198.51.100.12, 00:08:16 <<<<<<<< spoke 3 inside network

HUB1#show bgp ipv4 unicast neighbors 198.51.100.10 routes <<<<< to check only prefix receieved from specific peer

BGP table version is 14, local router ID is 198.51.100.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*>i192.0.2.0/29     198.51.100.10        1    100      0  ? <<<<<<<<<< routes received from spoke 1

Total number of prefixes 1

HUB1#show bgp ipv4 unicast neighbors 198.51.100.11 routes <<<<< to check only prefix receieved from specific peer

BGP table version is 14, local router ID is 198.51.100.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*>i192.0.2.8/29     198.51.100.11        1    100      0  ? <<<<<<<<<< routes received from spoke 2

Total number of prefixes 1 

HUB1#show bgp ipv4 unicast neighbors 198.51.100.12 routes <<<<< to check only prefix receieved from specific peer

BGP table version is 14, local router ID is 198.51.100.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*>i192.0.2.16/29    198.51.100.12        1    100      0  ? <<<<<<<<<< routes received from spoke 3

Total number of prefixes 1 

在辐射端 

也可以在分支设备上执行相同的验证。以下是一个辐条示例。

Spoke1# show bgp summary 
BGP router identifier 198.51.100.4, local AS number 65500
BGP table version is 12, main routing table version 12
3 network entries using 600 bytes of memory
3 path entries using 240 bytes of memory
2/2 BGP path/bestpath attribute entries using 416 bytes of memory
2 BGP rrinfo entries using 80 bytes of memory
1 BGP community entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 1360 total bytes of memory
BGP activity 5/2 prefixes, 7/4 paths, scan interval 60 secs

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
198.51.100.1    4        65500 12      11            12    0    0 00:07:11  2    <<<<<<<<< BGP peering with HUB 

Spoke1# show bgp ipv4 unicast neighbors 198.51.100.1 routes 

BGP table version is 12, local router ID is 198.51.100.4
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*>i192.0.2.8/29     198.51.100.1         1    100      0  ? <<<<<<< route received from HUB for spoke 2
*>i192.0.2.16/29    198.51.100.1         1    100      0  ? <<<<<<< route received from HUB for spoke 3

Total number of prefixes 2 

Spoke1# show bgp ipv4 unicast neighbors 198.51.100.1 advertised-routes 

BGP table version is 12, local router ID is 198.51.100.4
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*> 192.0.2.0/29     0.0.0.0              0         32768  ? <<<<<<<< route advertised by this spoke into BGP

Total number of prefixes 1 

Spoke1# show route bgp 

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set

B        192.0.2.8 255.255.255.248 [200/1] via 198.51.100.1, 00:13:42 <<<<<< spoke 2 inside network
B        192.0.2.16 255.255.255.248 [200/1] via 198.51.100.1, 00:13:42 <<<<<< spoke 3 inside network

双中心辐射型（通过辅助中心辐射和辐射之间的EBGP为冗余中心提供单一ISP）

网络图

配置

同一向导是必需的，在HUB添加窗口中进行了细微修改。您只需关注必要的更改，即可快速推进流程。

·添加第一个HUB后，使用与HUB1相同的步骤继续添加第二个HUB。

• 继续创建动态虚拟隧道接口(DVTI)。

• 分支端上的集线器2 VTI隧道需要新的IP地址池。创建并配置新池，然后保存更改。

• 要在第二个HUB和辐射点之间配置eBGP对等，请在最后一步中修改SD-WAN设置。启用选项Secondary HUB is in a different Autonomous System，并指定辅助HUB的自治系统(AS)编号。如果通过取消选中Secondary HUB is in a different Autonomous System选项，在环境中使用不同AS编号没有限制，则也可以使用IBGP。这也会推送辅助HUB的相同社区标记和AS编号。本文重点介绍当前设置的eBGP。

确保自治系统(AS)编号和社区标记在此配置中是唯一的。

确认

下图说明了重叠拓扑。

• 在FMC中，导航到设备 > VPN > 站点到站点。

• 所有其他步骤保持不变。

双中心辐射型（双ISP通过辅助中心辐射型和辐射型之间的EBGP提供冗余中心和ISP）

网络图

配置

此场景的唯一区别是配置了两个单独的SD-WAN拓扑，每个拓扑都使用其各自的ISP接口作为基础。

·使用第一个ISP跳过此拓扑的部署。因为上一拓扑中涉及了此拓扑。

• 接下来，继续添加第二个拓扑，为每台集线器创建两个额外的DVTI接口，每个接口使用ISP 2的底层接口(VPN-OUT-2)。

• 专门为分支虚拟隧道接口(VTI)地址调配了额外的VPN IP地址池。

• 要添加辅助集线器，请使用辅助ISP接口(VPN-OUT-2)创建DVTI 2重复此过程，并为辐射端VTI地址配置一个额外的IP池。

• 添加辐条时，请确保为VTI隧道指定正确的底层/WAN接口。此拓扑使用辅助ISP接口VPN-OUT-2。

• 配置路由时，请确保此拓扑中两个HUB的团体标记和AS编号与之前的ISP1拓扑中所使用的标记和AS编号一致。拓扑使用不同的安全区域，但其他配置（如主要和辅助HUB的AS编号以及社区标记）是相同的。UI必须执行此操作才能完成拓扑验证。

• 所有其他设置保持不变。完成向导并继续部署。

确认

• 拓扑如图所示。

• 导航到设备(Devices)> VPN >站点到站点(Site to Site)以查看拓扑。

此配置导致每个设备有四个BGP对等，并且每个分支都有到达其他分支的适当路由。例如，您可以检索其中一个分支的输出。

对于分支1

Spoke1#show bgp summary 
BGP router identifier 203.0.113.35, local AS number 65500
BGP table version is 4, main routing table version 4
2 network entries using 400 bytes of memory
7 path entries using 560 bytes of memory
1 multipath network entries and 2 multipath paths
3/2 BGP path/bestpath attribute entries using 624 bytes of memory
1 BGP rrinfo entries using 40 bytes of memory
1 BGP AS-PATH entries using 40 bytes of memory
2 BGP community entries using 48 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 1712 total bytes of memory
BGP activity 2/0 prefixes, 7/0 paths, scan interval 60 secs

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
198.51.100.1    4        65500 229     226            4    0    0 04:07:22  1 <<<<<<<<<< HUB 1 ISP 1 VTI  
198.51.100.2    4        65510 226     230            4    0    0 04:06:36  2 <<<<<<<<<< HUB 2 ISP 1 VTI      
198.51.100.3    4        65500 182     183            4    0    0 03:16:45  1 <<<<<<<<<< HUB 1 ISP 2 VTI
198.51.100.4    4        65510 183     183            4    0    0 03:16:30  2 <<<<<<<<<< HUB 2 ISP 2 VTI

Spoke1#show bgp ipv4 unicast neighbors 198.51.100.1 routes <<<< check for specific prefixes received via HUB1 ISP1

BGP table version is 4, local router ID is 203.0.113.35
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*>i192.0.2.16/29    198.51.100.1         1    100      0  ? <<<<<<<< spoke 2 network received via HUB 1 ISP 1 tunnel

Total number of prefixes 1 

Spoke1#show bgp ipv4 unicast neighbors 198.51.100.3 routes <<<< check for specific prefixes received via HUB1 ISP2

BGP table version is 4, local router ID is 203.0.113.35
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*mi192.0.2.16/29    198.51.100.3         1    100      0  ? <<<<<<<< spoke 2 network received via HUB 1 ISP 2 tunnel

Total number of prefixes 1 

Spoke1# show bgp ipv4 unicast neighbors 198.51.100.2 routes <<<< check for specific prefixes received via HUB2 ISP1

BGP table version is 4, local router ID is 203.0.113.35
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*  192.0.2.8/29     198.51.100.2       100             0  65510 65510 ? <<<<<<< inside network receieved cause we advertised it to HUB 1 from ISP 2 topology
*  192.0.2.16/29    198.51.100.2       100             0  65510 65510 ? <<<<<<<< spoke 2 network received via HUB 2 ISP 1 tunnel but not preferred

Total number of prefixes 2 

Spoke1# show bgp ipv4 unicast neighbors 198.51.100.4 routes <<<< check for specific prefixes received via HUB2 ISP1
BGP table version is 4, local router ID is 203.0.113.35
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*  192.0.2.8/29     198.51.100.4       100             0  65510 65510 ? <<<<<<< inside network receieved cause we advertised it to HUB 2 from ISP 1 topology
*  192.0.2.16/29    198.51.100.4       100             0  65510 65510 ? <<<<<<<< spoke 2 network received via HUB 2 ISP 2 tunnel but not preferred

Total number of prefixes 2 

路由表如图所示，它确认分支端两个链路之间的流量已实现负载均衡。

Spoke1#show route bgp 

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set

B        192.0.2.16 255.255.255.248 [200/1] via 198.51.100.3, 03:23:53 <<<<< multipath for spoke 2 inside network
                                    [200/1] via 198.51.100.1, 03:23:53 <<<<< multipath for spoke 2 inside network

Spoke1#show bgp 192.0.2.16
BGP routing table entry for 192.0.2.16/29, version 4
Paths: (4 available, best #4, table default)
Multipath: eBGP iBGP
  Advertised to update-groups:
              2          4
  65510 65510 
    198.51.100.4 from 198.51.100.4 (198.51.100.4) <<<< HUB2 ISP2 next-hop
      Origin incomplete, metric 100, localpref 100, valid, external
      Community: 10101
  Local
    198.51.100.3 from 198.51.100.3 (198.51.100.3) <<<< HUB1 ISP2 next-hop
      Origin incomplete, metric 1, localpref 100, valid, internal, multipath
      Community: 10101
      Originator: 203.0.113.36, Cluster list: 198.51.100.3
  65510 65510 
    198.51.100.2 from 198.51.100.2 (198.51.100.4) <<<< HUB2 ISP1 next-hop
      Origin incomplete, metric 100, localpref 100, valid, external
      Community: 10101
  Local
    198.51.100.1 from 198.51.100.1 (198.51.100.3) <<<< HUB1 ISP1 next-hop
      Origin incomplete, metric 1, localpref 100, valid, internal, multipath, best
      Community: 10101
      Originator: 203.0.113.36, Cluster list: 198.51.100.3

结论

本文的目的是解释可以使用单个设置向导轻松实施的各种部署方案。

相关信息

• 如需更多帮助，请联系TAC。需要有效的支持合同：思科全球支持联系人。
• 您还可以在此处访问Cisco VPN社区。