簡介
本文說明如何使用安全防火牆管理中心(FMC)設定安全防火牆威脅防禦(FTD)上的VXLAN介面
必要條件
需求
思科建議您瞭解以下主題:
- 基本VLAN/VXLAN概念。
- 基本網路知識。
- 基本Cisco Secure Management Center體驗。
- 基本思科安全防火牆威脅防禦體驗。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 運行7.2.4版本的Cisco Secure Firewall Management Center Virtual(FMCv)VMware。
- 執行7.2.4版的Cisco安全防火牆威脅防禦虛擬裝置(FTDv)VMware。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
虛擬可擴充VLAN(VXLAN)提供乙太網路第2層網路服務,與傳統VLAN相同。由於虛擬環境中對VLAN網段的需求很高,VXLAN提供了更高的擴展性和靈活性,還定義了MAC-in-UDP封裝方案,其中原始第2層幀新增了VXLAN報頭,然後將其放入UDP-IP資料包中。透過此UDP內MAC封裝,VXLAN會透過第3層網路建立第2層網路通道。VXLAN具有以下優點:
- 多租戶網段中的VLAN靈活性:
- 更高的可擴充性,可滿足更多第2層(L2)資料段的要求。
- 提高了網路利用率。
思科安全防火牆威脅防禦(FTD)支援兩種型別的VXLAN封裝。
- VXLAN(用於所有安全防火牆威脅防禦型號)
- Geneve(用於安全防火牆威脅防禦虛擬裝置)
在Amazon Web Services(AWS)網關負載均衡器和裝置之間透明地路由資料包,以及傳送額外資訊需要通用封裝。
VXLAN使用VXLAN通道端點(VTEP)將租戶的終端裝置對應到VXLAN區段,並執行VXLAN封裝和解除封裝。每個VTEP具有兩種介面型別:一個或多個稱為VXLAN網路識別碼(VNI)介面的虛擬介面,其中可以應用安全原則;以及稱為VTEP來源介面的常規介面,其中VNI介面在VTEP之間以通道方式連線。VTEP源介面連線到傳輸IP網路以進行VTEP到VTEP通訊,VNI介面與VLAN介面類似:它們是虛擬介面,使用標籤在給定的物理介面上保持網路流量分離。安全策略應用於每個VNI介面。可以新增一個VTEP介面,並且所有VNI介面都與同一個VTEP介面相關聯。AWS上的威脅防禦虛擬集群有一個例外。
威脅防禦的封裝和解封方法有三種:
- 可在威脅防禦上靜態配置單個對等VTEP IP地址。
- 可在威脅防禦上靜態配置一組對等VTEP IP地址。
- 可以在每個VNI介面上配置組播組。
本檔案將著重介紹用於靜態設定兩組對等VTEP IP位址的VXLAN封裝的VXLAN介面。如果您需要配置Geneve介面,請檢視AWS中Geneve介面的正式文檔,或使用單個對等或組播組配置VTEP,請檢視VTEP介面與單個對等或組播組配置指南。
網路圖表
網路拓撲
「配置」部分假設底層網路已經通過安全防火牆管理中心配置了威脅防禦。本文檔重點介紹重疊網路配置。
設定
配置VTEP對等組
第1步:導航到對象>對象管理。
對象 — 對象管理
第2步:按一下左側選單中的Network。
網路
第3步:為VTEP對等IP地址建立網路主機對象。按一下Add Network > Add Object。
新增網路 — 新增對象
第4步:為VTEP對等體建立新的主機網路對象。設定對象名稱和IP地址,然後按一下Save。
新建網路對象
注意:為擁有的每個VTEP對等IP地址配置更多主機網路對象。本配置指南中有兩個對象。
第5步:建立對象組,按一下Add Network > Add Group。
新增網路 — 新增組
第6步:使用所有VTEP對等IP地址建立網路對象組。設定網路組名稱並選擇所需的網路對象組,然後按一下Save。
建立網路對象組
第7步:從網路對象過濾器驗證網路對象和網路對象組。
驗證VTEP對象組
配置VTEP源介面
第1步:導航到Devices > Device Management,然後編輯威脅防禦。
裝置 — 裝置管理
第2步:導航到VTEP部分。
VTEP部分
第3步:選中Enable VNE覈取方塊,然後點選Add VTEP。
啟用NVE並新增VTEP
第4步:選擇VxLAN作為封裝型別,輸入Encapsulation Port值,並選擇用於此威脅防禦的VTEP源的介面(本配置指南為外部介面)
新增VTEP
註:VxLAN封裝是預設封裝。對於AWS,您可以選擇VxLAN和Geneve。預設值為4789,任何封裝埠都可以根據設計在1024 - 65535範圍之間選擇。
第5步:選擇Peer Group,然後選擇在上一個配置部分中建立的網路對象組,然後按一下OK。
對等體組 — 網路對象組
第6步:儲存更改。
警告:儲存更改後,將出現巨型幀更改消息,將分配為VTEP的介面上的MTU更改為1554,確保底層網路使用相同的MTU。
第7步:點選Interfaces並編輯用於VTEP源介面的介面。(本配置指南上的外部介面)
外部作為VTEP源介面
第8步(可選):在General頁面上,選中NVE Only覈取方塊, 然後按一下確定。
僅NVE配置
警告:此設定對於路由模式是可選的,在此模式中,此設定會限制到VXLAN的流量以及僅在此介面上限制普通管理流量。此設定將自動在透明防火牆模式下啟用。
第9步:儲存更改。
設定VTEP VNI介面
第1步:導航Devices > Device Management,然後編輯威脅防禦。
裝置 — 裝置管理
第2步:在Interfaces部分下,按一下Add Interfaces > VNI Interfaces。
介面 — 新增介面 — VNI介面
第3步:在General部分下,使用名稱、說明、安全區域、VNI ID和VNI段ID設定VNI介面。
新增VNI介面
注意:VNI ID配置在1和10000之間,VNI段ID配置在1和16777215之間(段ID用於VXLAN標籤)。
注意:如果未在VNI介面上配置組播組,則會使用VTEP源介面配置中的預設組(如果可用)。如果手動為VTEP來源介面設定VTEP對等點IP,則無法為VNI介面指定多點傳送群組。
第3步:選中NVE Mapped to VTEP Interface覈取方塊,然後點選OK。
對映到VTEP介面的NVE
第4步:配置靜態路由,將VXLAN的目標網路通告給VNI對等介面。導覽至Routing > Static Route。
靜態路由配置
注意:VXLAN的目標網路必須通過對等VNI介面傳送。所有VNI介面必須位於同一個廣播域(邏輯網段)上。
第5步:儲存並部署更改。
警告:在部署之前可以看到驗證警告,請確保可以從物理VTEP源介面訪問VTEP對等IP地址。
驗證
檢驗NVE配置。
firepower# show running-config nve
nve 1
encapsulation vxlan
source-interface OUTSIDE
peer-group FPR1-VTEP-Group-Object
firepower# show nve 1
nve 1, source-interface "OUTSIDE" is up (nve-only cluster is OFF)
IP address 172.16.203.1, subnet mask 255.255.255.0
Encapsulation: vxlan
Encapsulated traffic statistics:
1309 packets input, 128170 bytes
2009 packets output, 230006 bytes
142 packets dropped
Number of configured static peer VTEPs: 0
Configured static peer group: FPR1-VTEP-Group-Object
Configured static peer group VTEPs:
IP address 172.16.205.1 MAC address 0050.56b3.c30a (learned)
IP address 172.16.207.1 MAC address 0050.56b3.c30a (learned)
Number of discovered peer VTEPs: 1
Discovered peer VTEPs:
IP address 172.16.205.1
IP address 172.16.207.1
Number of VNIs attached to nve 1: 1
VNIs attached:
vni 100: proxy off, segment-id 10001, mcast-group none
NVE proxy single-arm channel is off.
firepower# show nve 1 summary
nve 1, source-interface "OUTSIDE" is up (nve-only cluster is OFF)
Encapsulation: vxlan
Number of configured static peer VTEPs: 0
Configured static peer group: FPR1-VTEP-Group-Object
Number of discovered peer VTEPs: 2
Number of VNIs attached to nve 1: 1
NVE proxy single-arm channel is off.
檢驗VNI介面配置。
firepower# show run interface
interface vni100
segment-id 10001
nameif VNI-1
security-level 0
ip address 172.16.209.1 255.255.255.0
vtep-nve 1
驗證VTEP介面上的MTU組態。
firepower# show interface GigabitEthernet0/1
Interface GigabitEthernet0/1 "OUTSIDE", is up, line protocol is up
Hardware is net_vmxnet3, BW 10000 Mbps, DLY 10 usec
Auto-Duplex(Full-duplex), Auto-Speed(10000 Mbps)
Input flow control is unsupported, output flow control is unsupported
MAC address 0050.56b3.26b8, MTU 1554
IP address 172.16.203.1, subnet mask 255.255.255.0
---
[Output omitted]
---
檢驗目標網路的靜態路由配置。
firepower# show run route
route OUTSIDE 0.0.0.0 0.0.0.0 172.16.203.3 10
route VNI-1 172.16.212.0 255.255.255.0 172.16.209.2 1
route VNI-1 172.16.215.0 255.255.255.0 172.16.209.3 1
注意:驗證在同一廣播域上配置的所有對等體上的VNI介面。
疑難排解
檢查與VTEP對等點的連線。
對等1:
firepower# ping 172.16.205.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.205.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
對等2:
firepower# ping 172.16.207.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.207.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
注意:VTEP對等連線問題可能會在安全FMC上生成部署失敗。確保與所有VTEP對等配置保持連線。
檢查與VNI對等點的連線。
.
對等1:
firepower# ping 172.16.209.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.209.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
對等2:
firepower# ping 172.16.209.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.209.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
有時,配置錯誤的靜態路由可能會生成ARP不完整輸出。在VTEP介面上為VXLAN封包設定擷取,並以pcap格式下載,任何封包分析器工具都有助於確認路由是否有任何問題。確保使用VNI對等IP地址作為網關。
路由問題
在Secure FTD上配置ASP丟棄捕獲(在任何防火牆丟棄的情況下),使用show asp drop命令檢查ASP丟棄計數器。聯絡Cisco TAC進行分析。
確保配置訪問控制策略規則以允許VNI/VTEP介面上的VXLAN UDP流量。
有時VXLAN封包可以分段,請確保在底層網路上將MTU變更為巨型訊框,以避免分段。
在Ingress/VTEP介面上設定擷取,並以.pcap格式下載擷取進行分析。封包必須包括VTEP介面上的VXLAN標頭,
使用VXLAN標頭捕獲的Ping
VXLAN標頭
相關資訊