ECMP

本章介绍配置等价多路径 (ECMP) 路由的程序,该路由协议用于网络流量负载均衡。

ECMP 路由方法

ECMP 是一种路由方法

  • 支持在多个等价路径之间分配流量,

  • 每个区域内最多支持 8 个接口上的 8 条等价静态或动态路由,并且

  • 每个虚拟路由器使用流量区域来包含一组接口。

多个默认路由配置

此示例显示了在区域中的三个接口上配置的多条默认路由:

0.0.0.0 0.0.0.0 通过 outside1 到 10.1.1.2 的路由

0.0.0.0 0.0.0.0 通过 outside2 到 10.2.1.2 的路由

0.0.0.0 0.0.0.0 通过 outside3 到 10.3.1.2 的路由

ECMP 的准则和限制

遵循以下原则可有效配置 ECMP 区域:

防火墙模式限制

仅在路由防火墙模式下使用 ECMP 区域。

接口限制

请勿将 dVTI 或环回接口与 ECMP 区域一起使用。

ECMP 区域配置限制

配置 ECMP 区域时,请遵循以下限制:

  • 设备最多可以有 256 个 ECMP 区域。

  • 每个 ECMP 区域只能关联 8 个接口。

  • 接口只能是一个 ECMP 区域的成员。

接口管理限制

请勿移除接口或删除正用于路由的区域:

  • 不能从 ECMP 区域中删除与等价静态路由相关联的接口。

  • 如果 ECMP 区域的接口具有与其关联的等价静态路由,则您无法删除该区域。

支持的接口类型

仅将路由接口用于 ECMP 区域。请勿将这些接口类型与 ECMP 区域关联:

  • BVI 接口。

  • EtherChannel 中的成员接口。

  • 故障转移或状态链路接口。

  • 管理专用接口或管理访问接口。

  • 集群控制链路接口。

  • VNI。

  • VLAN 接口。

  • 已启用 SSL 的远程接入 VPN 配置中的接口。

功能兼容性限制

使用 ECMP 区域时,请考虑以下功能限制:

  • ECMP 区域中的接口不支持 DHCP 中继。

  • 双 ISP/WAN Firewall Threat Defense 部署 — 为主数据接口和辅助数据接口创建单个 ECMP 区域,从而实现具有相同度量值的静态路由。

  • Firewall Threat Defense 不支持在 IPsec 会话中使用 NAT 的 ECMP - 标准 IPsec 虚拟专用网络 (VPN) 隧道不适用于 IPsec 数据包传送路径中的 NAT 点。

管理虚拟路由器的 ECMP 区域

ECMP 页面提供管理与虚拟路由器链接的现有 ECMP 区域的功能。当您点击路由窗格中的 ECMP 时,ECMP 页面会显示虚拟路由器的当前 ECMP 区域,包括关联的接口。在此页面上,您可以向虚拟路由器添加新的 ECMP 区域。您还可以 编辑 (编辑图标)删除 (删除图标) ECMP。

您可以执行以下操作:

创建 ECMP 区域

创建 ECMP 区域,以在虚拟路由器配置中跨多条等价路径启用负载均衡。

ECMP 区域会按虚拟路由器来创建。只有创建 ECMP 的虚拟路由器所属的接口才能与该 ECMP 关联。

过程


步骤 1

导航至 设备 > 设备管理,然后编辑 Firewall Threat Defense 设备。

步骤 2

点击路由 (Routing)

步骤 3

在虚拟路由器下拉列表中,选择要在其中创建 ECMP 区域的虚拟路由器。

您可以在全局虚拟路由器和用户定义的虚拟路由器中创建 ECMP 区域。有关创建虚拟路由器的信息,请参阅创建虚拟路由器

步骤 4

点击 ECMP

步骤 5

点击添加 (Add)

步骤 6

添加 ECMP (Add ECMP) 框中,输入 ECMP 区域的名称。

 

路由设备的 ECMP 名称必须是唯一的。

步骤 7

可用接口框中,选择接口,然后点击添加

  • 只有属于您要创建 ECMP 的虚拟路由器的接口才能与它关联。接口必须具有逻辑名称才会显示;请编辑接口并保存以设置逻辑名称。

  • 从版本 10.0 开始,SD-WAN VPN 拓扑中中心设备的动态 VTI (DVTI) 支持 ECMP。在 DVTI 上启用时,它会自动添加到系统生成的 ECMP 区域,因此 DVTI 不会显示在 可用接口下。

步骤 8

点击确定

ECMP 页面现在会显示新创建的 ECMP 区域。

步骤 9

点击保存 (Save)部署 (Deploy) 以部署配置。


通过定义相同的目标网络和度量值但使用不同的网关,您可以将 ECMP 区域接口与等价静态路由相关联。

What to do next

配置等价静态路由

配置等价静态路由,以便在 ECMP 区域内多个具有相同目标网络和度量值的接口之间启用负载均衡。

智能许可证 经典许可证 支持的设备 支持的域

访问权限

任意

不适用

Firewall Threat DefenseFirewall Threat Defense Virtual

任意

管理员/网络管理员/安全审批人

您可以将虚拟路由器的接口(全局和用户定义)分配给设备的 ECMP 区域。

Before you begin

  • 要为接口配置等价静态路由,请确保将其与 ECMP 区域关联。请参阅创建 ECMP 区域

  • 非 VRF 设备的所有路由配置设置也可用于全局虚拟路由器。

  • 如果没有将接口与 ECMP 区域关联,则无法为具有相同目标和指标的接口定义静态路由。

过程


步骤 1

从页面 设备 > 设备管理 中,编辑 Firewall Threat Defense 设备。 点击路由 (Routing)选项卡。

步骤 2

从下拉列表中,选择其接口与 ECMP 区域相关联的虚拟路由器。

步骤 3

要为接口配置等价静态路由,请点击静态路由 (Static Route)

步骤 4

点击添加路由 (Add Route) 以添加新路由,或点击现有路由的 编辑 (编辑图标)

步骤 5

接口 (Interface) 下拉列表中,选择属于虚拟路由器的接口和 ECMP 区域。

步骤 6

可用网络 (Available Networks) 框中选择目标网络,然后点击添加 (Add)

步骤 7

输入网络的网关。

步骤 8

输入指标值。它可以是介于 1 和 254 之间的数字。

步骤 9

要保存设置,点击保存 (Save)

步骤 10

要配置等价静态路由,请重复这些步骤,为同一 ECMP 区域中具有相同目的网络和指标值的另一个接口配置静态路由。请记住提供其他网关。


已为与 ECMP 区域关联的接口配置了等价静态路由,从而在多条路径之间启用了负载均衡。

What to do next

修改 ECMP 区域

当您需要更改设备上的现有 ECMP 区域配置时,请使用此过程。

按照以下步骤修改 ECMP 区域:

过程


步骤 1

选择 设备 > 设备管理,然后编辑 Firewall Threat Defense 设备。

步骤 2

点击路由 (Routing)

步骤 3

点击 ECMP

系统将显示 ECMP 区域及其关联接口。

步骤 4

要修改 ECMP 区域,请点击所需 ECMP 区域旁边的 编辑 (编辑图标)。在编辑 ECMP (Edit ECMP) 框中,您可以执行以下操作:

  • ECMP 名称 — 确保您的更改是唯一的。

  • 接口 — 您可以添加或删除接口。

     
    一个接口不得属于多个 ECMP 区域,也不应链接到等价静态路由。

步骤 5

点击确定

步骤 6

点击保存保存所做的更改。


ECMP 区域将反映您的更新设置。

What to do next

删除 ECMP 区域

用于等价多路径路由的 ECMP 区域组接口。在重新配置网络拓扑或不再需要该区域时,您可能需要删除 ECMP 区域。

过程


步骤 1

选择 设备 > 设备管理,然后编辑 Firewall Threat Defense 设备。

步骤 2

点击路由 (Routing)

步骤 3

点击 ECMP

系统将显示 ECMP 区域及其关联的接口。

步骤 4

要删除 ECMP 区域,请点击该区域旁的 删除 (删除图标)

 

若 ECMP 区域有关联等价静态路由的接口,则无法删除该区域。

步骤 5

在确认邮件中点击删除 (Delete)

步骤 6

点击保存以应用更改。


ECMP 区域将从设备配置中移除,并不再可用于路由操作。

配置 ECMP

配置 ECMP,可通过设备实现高效的流量处理,支持不对称路由、负载均衡和无缝处理丢失的流量。

此示例演示了如何使用 防火墙管理中心Firewall Threat Defense 上配置 ECMP 区域,以便有效地处理流经设备的流量。如果配置了 ECMP,Firewall Threat Defense 可逐个区域维护路由表,从而实现高效的数据包重新路由。因此,ECMP 支持非对称路由、负载均衡和无缝处理丢失的流量。在本例中,R4 会记录到达外部文件服务器的两个路径。

图 1. ECMP 的配置示例
ECMP 的配置示例

按照以下步骤在设备上配置 ECMP:

过程


步骤 1

创建虚拟路由器。

R4 上使用以下接口设定新路由器:Inside1Outside1Outside2。有关详细信息,请参阅创建虚拟路由器

图 2. 配置 R4 虚拟路由器
配置 R4 虚拟路由器

步骤 2

创建 ECMP 区域:

  1. 路由 (Routing) 选项卡中,选择 R4 用户定义的虚拟路由器,然后点击 ECMP

  2. 点击添加 (Add)

  3. 输入 ECMP 名称,然后从可用接口 (Available Interfaces) 列表中选择 Outside1Outside2

    图 3. 创建 ECMP 区域
    创建 ECMP 区域
  4. 点击确定,然后点击保存

步骤 3

为区域接口创建静态路由:

  1. 路由 (Routing) 选项卡中,点击静态路由 (Static Route)

  2. 接口 (Interface) 下拉列表中,选择 Outside1。

  3. 可用网络 (Available Network) 下,选择 any-ipv4,然后点击添加 (Add)

  4. 网关字段中指定下一跳地址:10.1.1.2。

    图 4. 为 Outside1 配置静态路由
    outside1 的静态路由
  5. 重复步骤 3b 到步骤 3d,为 Outside2 配置静态路由。

确保为静态路由指定相同的度量值但不同的网关:

图 5. 已配置的 ECMP 区域接口静态路由
ECMP 区域接口的静态路由

步骤 4

保存配置并继续将其部署到网络上。


现在,网络数据包将遵循 ECMP 算法配置,利用高效的路由通过 R4>R1>R3 或 R4>R2>R3 到达其目标 R3。如果 R1>R3 路由不可用,流量将流经 R2,而不丢弃任何数据包。此外,虽然数据包是从 outside1 发送的,但来自 R3 的响应可被 outside2 接收。当网络流量很大时,R4 会在两个指定的路由之间分配网络负载,以保持流量均衡。

Cisco Secure Firewall Threat Defense 中按时间顺序排列的 ECMP 发展历史记录

本参考按时间顺序提供等价多路径 (ECMP) 功能的开发历史,重点关注各种版本中引入的关键增强功能及其实现细节。

功能

防火墙管理中心最低版本

Firewall Threat Defense最低版本

详细信息

ECMP 支持作为路由策略

7.1

任意

Cisco Secure Firewall Threat Defense 通过 FlexConfig 策略支持 ECMP 路由。将接口分组到流量区域中,以在 Secure Firewall Management Center 中优化 ECMP 路由。

新增/修改的屏幕: 设备 (Devices) > 设备管理 (Device Management) > 路由 (Routing) > ECMP