瞭解安全防火牆威脅防禦上的VRF(虛擬路由器)
簡介
本檔案將說明Virtual Routing and Forwarding (VRF)思科安全防火牆威脅防禦(FTD)中的功能。
必要條件
需求
思科建議您瞭解以下主題:
- 思科
Secure Firewall Threat Defense (FTD)安全防火牆威脅防禦(FTD) Virtual Routing and Forwarding (VRF)- 動態路由協定(OSPF、BGP)
授權
無特定許可證要求,基本許可證就足夠了
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco
Secure Firewall Threat Defense (FTD)版Secure Firewall Management Center (FMC)本7.2.
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
此Virtual Routing and Forwarding (VRF)功能已新增到FTD軟體版本6.6中。
此功能提供的優勢包括:
- 路由表的分隔
- 在IP地址空間中有重疊的網段
- VRF-lite
- FXOS多例項支援多情景遷移使用案例
- BGP和
Route Leak Support-v4v6BGPv6功VTI Support能已新增到FTD軟體版本7.1中。
功能概述
VRF支援
| 裝置 | 最大虛擬路由器數量 |
| ASA | 10-20 |
| Firepower 1000* | 5-10 *1010(7.2+) |
| Firepower 2100 | 10-40 |
| Firepower 3100 | 15-100 |
| Firepower 4100 | 60-100 |
| Firepower 9300 | 60-100 |
| 虛擬FTD | 30 |
| ISA 3000 | 10(7.0+) |
使用本機模式時每個刀片的VRF限制
路由策略
| 政策 | 全域性VRF | 使用者VRF |
| 靜態路由 | ✓ | ✓ |
| OSPPFv2 | ✓ | ✓ |
| OSPFv3 | ✓ | ✖ |
| RIP | ✓ | ✖ |
| BGPv4 | ✓ | ✓ |
| BGPv6 | ✓ | ✓(7.1+) |
| IRB(BVI) | ✓ | ✓ |
| EIGRP | ✓ | ✖ |
重疊網路
| 政策 | 非重疊 | 重疊網路 |
| 路由和IRB | ✓ | ✓ |
| AVC | ✓ | ✓ |
| SSL解密 | ✓ | ✓ |
| 入侵和惡意軟體檢測(IPS和檔案策略) | ✓ | ✓ |
| VPN | ✓ | ✓ |
| 惡意軟體事件分析(主機配置檔案、IoC、檔案軌跡) | ✓ | ✖ |
| 威脅情報(TID) | ✓ | ✖ |
組態
FMC
步驟1.導覽至 Devices > Device Management 並編輯要設定的FTD。
步驟2.定位至該頁籤 Routing
步驟3.單 Manage Virtual Routers 擊。
步驟4.單 Add Virtual Router 擊。
步驟5.在Add Virtual Router框中,輸入虛擬路由器的名稱和說明。
步驟6.單 Ok 擊。
步驟7.要新增介面,請在框下選擇接口Available Interfaces,然後按一下 Add 按鈕。
步驟8.在虛擬路由器中配置路由。
- OSPF
- RIP
- BGP
- 靜態路由
- 多點傳播
FDM
步驟1.導航至 Device > Routing 中。
步驟 2.
- 如果未建立虛擬路由器,請單
Add Multiple Virtual Routers擊,然後單Create First Customer Virtual Router擊。 - 按一下虛擬路由器清單頂部的+按鈕以建立新的虛擬路由器。
步驟3.在盒子Add Virtual Router中。輸入虛擬路由器的名稱和說明。
步驟4.按一下+選擇需要作為虛擬路由器一部分的每個介面。
步驟5.單 Ok 擊。
步驟6.在中配置路由Virtual Router。
- OSPF
- RIP
- BGP
- 靜態路由
- 多點傳播
REST API
FMC
FMC支援虛擬路由CRUD器上的完全操作。
虛擬路由器呼叫的路徑位於 Devices > Routing > virtualrouters
FDM
FDM支援虛擬路由器上的完整CRUD操作。
虛擬路由器呼叫的路徑位於 Devices > Routing > virtualrouters
使用案例
服務提供商
在單獨的路由表中,兩個網路彼此不相關,並且它們之間沒有通訊。
注意事項:
- 在此情況中沒有特殊注意事項。
共用資源
將兩個虛擬路由器互連,以共用來自每個虛擬路由器的資源,並且從到有Customer A連線,Customer B反之亦然。
注意事項:
- 在每台虛擬路由器中,配置一條靜態路由,該路由通過另一台虛擬路由器的介面指向目標網路。
範例:
Customer A在的虛擬路由器中,新增一條路由,其目的地為接Customer B口,但無任何IP地址作為網關(不需要,這稱為route leaking)。
對重複相同的過Customer B程。
與主機相互通訊的網路重疊
有兩台網路地址相同的虛擬路由器,它們之間交換流量。
注意事項:
為了在兩個網路之間進行通訊,請配置兩次NAT以覆蓋源IP地址並放置一個假的IP地址。
BGP路由洩漏
有一個使用者定義虛擬路由器,來自該虛擬路由器的路由需要洩漏到全域性虛擬路由器。
外部介面將從全域性介面路由洩漏到使用者定義的虛擬路由器中。
注意事項:
- 請確定FTD的版本是7.1+。
- 使用選單中的Import/Export選
BGP > IPv4項。 - 使用route-map進行分發。
驗證
驗證虛擬路由器是否建立的方法是使用以下命令:
firepower# show vrf
Name VRF ID Description Interfaces
VRF_A 1 VRF A DMZ
firepower# show vrf detail
VRF Name: VRF_A; VRF id = 1 (0x1)
VRF VRF_A (VRF Id = 1);
Description: This is VRF for customer A
Interfaces:
Gi0/2
Address family ipv4 (Table ID = 1 (0x1)):
...
Address family ipv6 (Table ID = 503316481 (0x1e000001)):
...
VRF Name: single_vf; VRF id = 0 (0x0)
VRF single_vf (VRF Id = 0);
No interfaces
Address family ipv4 (Table ID = 65535 (0xffff)):
...
Address family ipv6 (Table ID = 65535 (0xffff)):
...疑難排解
收集和診斷有關VRF的資訊所需的命令包括:
所有VRF
show route allshow asp table routing allpacket tracer
全域性VRF
show routeshow [bgp|ospf] [subcommands]
使用者定義的VRF
show route [bgp|ospf] vrf {name}
相關連結
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
26-Oct-2022
|
初始版本 |
意見