使用安全FMC在安全FTD上設定VXLAN介面

簡介

本文說明如何使用安全防火牆管理中心(FMC)設定安全防火牆威脅防禦(FTD)上的VXLAN介面

必要條件

需求

思科建議您瞭解以下主題：

• 基本VLAN/VXLAN概念。
• 基本網路知識。
• 基本Cisco Secure Management Center體驗。
• 基本思科安全防火牆威脅防禦體驗。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 運行7.2.4版本的Cisco Secure Firewall Management Center Virtual(FMCv)VMware。
• 執行7.2.4版的Cisco安全防火牆威脅防禦虛擬裝置(FTDv)VMware。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

虛擬可擴充VLAN(VXLAN)提供乙太網路第2層網路服務，與傳統VLAN相同。由於虛擬環境中對VLAN網段的需求很高，VXLAN提供了更高的擴展性和靈活性，還定義了MAC-in-UDP封裝方案，其中原始第2層幀新增了VXLAN報頭，然後將其放入UDP-IP資料包中。透過此UDP內MAC封裝，VXLAN會透過第3層網路建立第2層網路通道。VXLAN具有以下優點：

• 多租戶網段中的VLAN靈活性：
• 更高的可擴充性，可滿足更多第2層(L2)資料段的要求。
• 提高了網路利用率。

思科安全防火牆威脅防禦(FTD)支援兩種型別的VXLAN封裝。

• VXLAN（用於所有安全防火牆威脅防禦型號）
• Geneve（用於安全防火牆威脅防禦虛擬裝置）

在Amazon Web Services(AWS)網關負載均衡器和裝置之間透明地路由資料包，以及傳送額外資訊需要通用封裝。

VXLAN使用VXLAN通道端點(VTEP)將租戶的終端裝置對應到VXLAN區段，並執行VXLAN封裝和解除封裝。每個VTEP具有兩種介面型別：一個或多個稱為VXLAN網路識別碼(VNI)介面的虛擬介面，其中可以應用安全原則；以及稱為VTEP來源介面的常規介面，其中VNI介面在VTEP之間以通道方式連線。VTEP源介面連線到傳輸IP網路以進行VTEP到VTEP通訊，VNI介面與VLAN介面類似：它們是虛擬介面，使用標籤在給定的物理介面上保持網路流量分離。安全策略應用於每個VNI介面。可以新增一個VTEP介面，並且所有VNI介面都與同一個VTEP介面相關聯。AWS上的威脅防禦虛擬集群有一個例外。

威脅防禦的封裝和解封方法有三種：

• 可在威脅防禦上靜態配置單個對等VTEP IP地址。
• 可在威脅防禦上靜態配置一組對等VTEP IP地址。
• 可以在每個VNI介面上配置組播組。

本檔案將著重介紹用於靜態設定兩組對等VTEP IP位址的VXLAN封裝的VXLAN介面。如果您需要配置Geneve介面，請檢視AWS中Geneve介面的正式文檔，或使用單個對等或組播組配置VTEP，請檢視VTEP介面與單個對等或組播組配置指南。

網路圖表

網路拓撲

「配置」部分假設底層網路已經通過安全防火牆管理中心配置了威脅防禦。本文檔重點介紹重疊網路配置。

設定

配置VTEP對等組

第1步：導航到對象>對象管理。

對象 — 對象管理

第2步：按一下左側選單中的Network。 

網路

第3步：為VTEP對等IP地址建立網路主機對象。按一下Add Network > Add Object。

新增網路 — 新增對象

第4步：為VTEP對等體建立新的主機網路對象。設定對象名稱和IP地址，然後按一下Save。

新建網路對象

第5步：建立對象組，按一下Add Network > Add Group。

新增網路 — 新增組

第6步：使用所有VTEP對等IP地址建立網路對象組。設定網路組名稱並選擇所需的網路對象組，然後按一下Save。

建立網路對象組

第7步：從網路對象過濾器驗證網路對象和網路對象組。

驗證VTEP對象組

配置VTEP源介面

第1步：導航到Devices > Device Management，然後編輯威脅防禦。

裝置 — 裝置管理

第2步：導航到VTEP部分。

VTEP部分

第3步：選中Enable VNE覈取方塊，然後點選Add VTEP。

啟用NVE並新增VTEP

第4步：選擇VxLAN作為封裝型別，輸入Encapsulation Port值，並選擇用於此威脅防禦的VTEP源的介面（本配置指南為外部介面）

新增VTEP

註:VxLAN封裝是預設封裝。對於AWS，您可以選擇VxLAN和Geneve。預設值為4789，任何封裝埠都可以根據設計在1024 - 65535範圍之間選擇。

第5步：選擇Peer Group，然後選擇在上一個配置部分中建立的網路對象組，然後按一下OK。

對等體組 — 網路對象組

第6步：儲存更改。

第7步：點選Interfaces並編輯用於VTEP源介面的介面。（本配置指南上的外部介面）

外部作為VTEP源介面

第8步（可選）：在General頁面上，選中NVE Only覈取方塊, 然後按一下確定。

僅NVE配置

第9步：儲存更改。

設定VTEP VNI介面

第1步：導航Devices > Device Management，然後編輯威脅防禦。

裝置 — 裝置管理

第2步：在Interfaces部分下，按一下Add Interfaces > VNI Interfaces。

介面 — 新增介面 — VNI介面

第3步：在General部分下，使用名稱、說明、安全區域、VNI ID和VNI段ID設定VNI介面。

新增VNI介面

第3步：選中NVE Mapped to VTEP Interface覈取方塊，然後點選OK。

對映到VTEP介面的NVE

第4步：配置靜態路由，將VXLAN的目標網路通告給VNI對等介面。導覽至Routing > Static Route。

靜態路由配置

第5步：儲存並部署更改。

驗證

檢驗NVE配置。

firepower# show running-config nve
nve 1
encapsulation vxlan
source-interface OUTSIDE
peer-group FPR1-VTEP-Group-Object

firepower# show nve 1
nve 1, source-interface "OUTSIDE" is up (nve-only cluster is OFF)
IP address 172.16.203.1, subnet mask 255.255.255.0
Encapsulation: vxlan
Encapsulated traffic statistics:
1309 packets input, 128170 bytes
2009 packets output, 230006 bytes
142 packets dropped
Number of configured static peer VTEPs: 0
Configured static peer group: FPR1-VTEP-Group-Object
Configured static peer group VTEPs:
IP address 172.16.205.1 MAC address 0050.56b3.c30a (learned)
IP address 172.16.207.1 MAC address 0050.56b3.c30a (learned)
Number of discovered peer VTEPs: 1
Discovered peer VTEPs:
IP address 172.16.205.1
IP address 172.16.207.1
Number of VNIs attached to nve 1: 1
VNIs attached:
vni 100: proxy off, segment-id 10001, mcast-group none
NVE proxy single-arm channel is off.

firepower# show nve 1 summary
nve 1, source-interface "OUTSIDE" is up (nve-only cluster is OFF)
Encapsulation: vxlan
Number of configured static peer VTEPs: 0
Configured static peer group: FPR1-VTEP-Group-Object
Number of discovered peer VTEPs: 2
Number of VNIs attached to nve 1: 1
NVE proxy single-arm channel is off.

檢驗VNI介面配置。

firepower# show run interface
interface vni100
segment-id 10001
nameif VNI-1
security-level 0
ip address 172.16.209.1 255.255.255.0
vtep-nve 1

驗證VTEP介面上的MTU組態。

firepower# show interface GigabitEthernet0/1
Interface GigabitEthernet0/1 "OUTSIDE", is up, line protocol is up
Hardware is net_vmxnet3, BW 10000 Mbps, DLY 10 usec
Auto-Duplex(Full-duplex), Auto-Speed(10000 Mbps)
Input flow control is unsupported, output flow control is unsupported
MAC address 0050.56b3.26b8, MTU 1554
IP address 172.16.203.1, subnet mask 255.255.255.0
---
[Output omitted]
---

檢驗目標網路的靜態路由配置。

firepower# show run route
route OUTSIDE 0.0.0.0 0.0.0.0 172.16.203.3 10
route VNI-1 172.16.212.0 255.255.255.0 172.16.209.2 1
route VNI-1 172.16.215.0 255.255.255.0 172.16.209.3 1

疑難排解

檢查與VTEP對等點的連線。

對等1:

firepower# ping 172.16.205.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.205.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

對等2:

firepower# ping 172.16.207.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.207.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

檢查與VNI對等點的連線。

.

對等1:

firepower# ping 172.16.209.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.209.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

對等2:

firepower# ping 172.16.209.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.209.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

有時，配置錯誤的靜態路由可能會生成ARP不完整輸出。在VTEP介面上為VXLAN封包設定擷取，並以pcap格式下載，任何封包分析器工具都有助於確認路由是否有任何問題。確保使用VNI對等IP地址作為網關。

路由問題

在Secure FTD上配置ASP丟棄捕獲（在任何防火牆丟棄的情況下），使用show asp drop命令檢查ASP丟棄計數器。聯絡Cisco TAC進行分析。

確保配置訪問控制策略規則以允許VNI/VTEP介面上的VXLAN UDP流量。

有時VXLAN封包可以分段，請確保在底層網路上將MTU變更為巨型訊框，以避免分段。

在Ingress/VTEP介面上設定擷取，並以.pcap格式下載擷取進行分析。封包必須包括VTEP介面上的VXLAN標頭，

使用VXLAN標頭捕獲的Ping

VXLAN標頭

相關資訊

• 設定VXLAN介面
• VXLAN使用案例
• VXLAN封包處理
• 設定VTEP來源介面
• 配置VNI介面
• 思科技術支援與下載