配置双ISP拓扑,在同一区域配置两个集线器和四个辐条

下载选项

  • PDF     (2.8 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (2.5 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (2.0 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 12 月 31 日
文档 ID:222683

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何使用SD-WAN向导配置在同一区域包含两个集线器和四个分支的双ISP拓扑。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 思科安全防火墙威胁防御(FTD)
    • 思科安全防火墙管理中心(FMC)
    • 软件定义广域网(SD-WAN)

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • FTD版本7.6.0
    • FMC版本7.6.0

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    支持的软件和硬件平台

    经理

    FTD

    支持的平台

    • FMC >= 7.6.0和FMC REST API

    • cdFMC >= 7.6.0

    • FDM — 不支持

    • 集线器FTD >= 7.6.0

    • 分支FTD >= 7.3.0

    FMC >= 7.6.0可以管理的所有平台

    配置

    网络图

    Network Topology Diagram网络拓扑图

    Device List设备列表

    步骤1.创建以WAN-1作为VPN接口的SD-WAN拓扑

    导航到设备> VPN >站点到站点。选择Add,在Topology Name字段中输入第一个以WAN-1作为VPN接口的拓扑的合适名称。单击SD-WAN Topology> Create

    SDWAN Topology with WAN 1 as the VPN Interface创建以WAN-1作为VPN接口的SD-WAN拓扑

    步骤2.在主中心上配置动态虚拟隧道接口(DVTI)

    单击Add Hub,然后从Device下拉列表中选择主集线器。单击Dynamic Virtual Tunnel Interface(DVTI)旁边的+图标。 配置名称、安全区域和模板ID,并将WAN-1分配为DVTI的Tunnel Source接口。

    Configure a Loopback Interface

    借用IP下拉列表中选择物理或环回接口。在当前拓扑中,DVTI继承环回接口IP地址。Click OK.

    Configure DVTI on WAN 1

    选择地址池,或单击分支隧道IP地址池旁边的+图标以创建新的地址池。添加分支时,向导会自动生成分支隧道接口,并从此IP地址池将IP地址分配给这些分支接口。

    Create Spoke IP Address Pool

    主集线器配置完成后,选择Add以保存拓扑中的主集线器。

    Save Primary Hub in Topology

    步骤3.在辅助集线器上配置DVTI

    现在,再次选择Add Hub,以便通过重复步骤1和2在拓扑中将WAN-1配置为VPN接口的辅助集线器。单击Next

    Configure the DVTI on the Secondary Hub

    步骤4.配置辐条

    选择Add Spoke以添加单个分支设备,或单击Add Spoke(Bulk Addition)以向拓扑中添加多个分支。当前拓扑使用后一个选项,以便将多个分支机构FTD添加到拓扑。添加批量辐条对话框中,选择所需的FTD以将其添加为辐条。选择与所有分支上WAN-1的逻辑名称匹配的通用接口名称模式或与WAN-1相关联的安全区域

    Choose Spokes to Add to the Topology

    单击下一步,以便向导验证辐射点是否具有指定模式或安全区域的接口。

    Save the Spokes in the Topology

    选择Add,向导将自动选择中心DVTI作为每个分支的隧道源IP地址。

    Save the Spokes in the Topology

    步骤5.配置身份验证设置

    单击下一步以配置身份验证设置。对于设备身份验证,您可以在Authentication Type下拉列表中选择手动预共享密钥、自动生成的预共享密钥或证书。从转换集IKEv2策略下拉列表中选择一个或多个算法。

    Configure the Authentication Settings

    步骤6.配置SD-WAN设置

    单击下一步以配置SD-WAN设置。此步骤涉及自动生成分支隧道接口和重叠网络的边界网关协议(BGP)配置。从Spoke Tunnel Interface Security Zone下拉列表中,选择一个安全区域,或单击+以创建安全区域,向导会自动将分支的自动生成的静态虚拟隧道接口(SVTI)添加到安全区域。

    选中在VPN重叠拓扑上启用BGP复选框以自动执行重叠隧道接口之间的BGP配置。在自主系统编号字段中,输入自主系统(AS)编号。选中Redistribute Connected Interfaces复选框,然后从下拉列表中选择接口组,或选择+,以便使用集线器的连接LAN接口和分支创建一个接口组,以便在重叠拓扑中进行BGP路由重分配。

    Configure the SDWAN Settings

    Community Tag for Local Routes字段中,输入BGP社区属性,以便标记已连接和重分发的本地路由。此属性可实现轻松的路由过滤。如果不同AS中有一个辅助集线器,请选中Secondary Hub is in the Different Autonomous System复选框。最后,选中Enable Multiple Paths for BGP复选框,以启用BGP在多个链路之间对流量进行负载均衡。

    Overlay Routing Configuration

    单击Finish以保存和验证SD-WAN拓扑。

    Save and Validate the SDWAN Topology

    您可以在Devices > Site-to-site VPN下查看拓扑。第一个SD-WAN拓扑中的隧道总数为8。

    View the Topology under Site to Site VPN

    步骤7.创建以WAN-2作为VPN接口的SD-WAN拓扑

    重复步骤1至6,以配置以WAN-2作为VPN接口的SD-WAN拓扑。第二个SD-WAN拓扑中的隧道总数为8。最终的拓扑必须如下所示:

    Create an SDWAN Topology with WAN 2 as the VPN Interface

    步骤8.配置(等价多路径)ECMP区域

    在每个分支上,导航到路由> ECMP,并为同时连接到主集线器和辅助集线器的WAN接口和SVTI配置ECMP区域,如下所示。这可以提供链路冗余并启用VPN流量的负载均衡。

    Configure ECMP Zones

    步骤9.修改集线器上的BGP本地首选项

    在辅助集线器上导航到Routing > General Settings > BGP。单击Enable BGP,配置AS Number,并将Best Path Selection下的default local preference值设置为低于主集线器上配置的值。Click Save.这可确保首选通往主集线器的路由,而不是通往辅助集线器的路由。当主集线器关闭时,通往辅助集线器的路由将接管其工作。

    Modify the BGP Local Preference on the Hub

    将配置部署到所有设备。

    验证

    验证隧道状态

    要验证SD-WAN拓扑的VPN隧道是否已启用,请导航到设备> VPN >站点到站点

    Verify Tunnel Statuses in Site to Site VPN Topology

    要查看SD-WAN VPN隧道的详细信息,请选择Overview > Dashboards > Site-to-site VPN

    Verify Tunnel Statuses in Site to Site VPN Dashboard

    要查看每个VPN隧道的更多详细信息,请执行以下操作:

    1. 将鼠标悬停在隧道上。
    2. 单击View Full Information(View Full Information Icon)图标。系统将显示一个包含隧道详细信息和其他操作的窗格。
    3. 单击侧窗格中的CLI Details选项卡以查看show命令和IPsec安全关联的详细信息。

    CLI Details

    检验虚拟隧道接口(VTI)

    要查看集线器的动态VTI和辐条的静态VTI,请执行以下操作:

    1. 导航到设备>设备管理
    2. 选择中心设备或分支设备的编辑图标。
    3. 单击Interface选项卡。
    4. 单击 虚拟隧道 选项卡。


    对于每个VTI,您可以查看详细信息,例如名称、IP地址、IPsec模式、隧道源接口详细信息、拓扑和远程对等IP。

    主集线器上的DVTI:

    DVTIs on the Primary Hub

    辅助集线器上的DVTI:

    DVTIs on the Secondary Hub

    分支上的SVTI:

    SVTIs on the Spoke

    为了检验负载均衡、双ISP冗余和集线器级冗余,只使用从Branch 1到集线器的流量。设置的详细信息如下所示:

    10.1.0.0.100 — 连接到Branch 1的网络中的客户端

    10.10.0.0.100 — 集线器连接网络中的客户端

    WAN-1_static_vti_1 - SVTI通过ISP 1连接到集线器1
    WAN-2_static_vti_3 - SVTI通过ISP 2连接到集线器1
    WAN-1_static_vti_2 - SVTI通过ISP 1连接到集线器2
    WAN-2_static_vti_4 - SVTI通过ISP 2连接到集线器2

    检验VPN流量的负载均衡

    Site to Site VPN控制面板中可以查看隧道状态。理想情况下,所有隧道都必须处于活动状态:

    VPN Load Balancing Dashboard

    首选到主集线器的路由。Branch 1上的show route命令表明,VPN流量在ISP 1和ISP 2上的两个SVTI之间负载均衡到主集线器:

    VPN Load Balancing Route

    Unified Events中可以看到为实际VPN流量所采用的出口接口

    VPN Load Balancing Events

    检验双ISP冗余

    当ISP-2关闭时,隧道状态表明通过ISP-1的隧道处于活动状态:

    Link Redundancy Dashboard

    首选到主集线器的路由。Branch 1上的show route命令表明VPN流量通过ISP-1上的SVTI路由到主集线器:

    Link Redundancy Routes

    Unified Events中可以看到为实际VPN流量所采用的出口接口

    Link Redundancy Events

    检验中心级冗余

    当主集线器关闭时,隧道状态表明通向辅助集线器的隧道处于活动状态:

    Hub Redundancy Dashboard

    由于主集线器已关闭,因此首选通往辅助集线器的路由。Branch 1上的show route命令表明,VPN流量在ISP 1和ISP 2上的两个SVTI之间负载均衡到辅助集线器:

    Hub Redundancy Route

    Unified Events中可以看到为实际VPN流量所采用的出口接口

    Hub Redundancy Events

    修订历史记录

    版本 发布日期 备注
    1.0
    02-Jan-2025
    初始版本

    提供者

    • 阿什林·勒罗伊·德席尔瓦
      思科软件工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品