簡介
本文檔介紹如何使用SD-WAN嚮導在同一區域配置具有兩個集線器和四個輻條的雙ISP拓撲。
必要條件
需求
思科建議您瞭解以下主題:
- 思科安全防火牆威脅防禦(FTD)
- 思科安全防火牆管理中心(FMC)
- 軟體定義WAN(SD-WAN)
採用元件
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
支援的軟體和硬體平台
經理
|
FTD
|
支援的平台
|
|
-
集線器FTD >= 7.6.0
-
分支FTD >= 7.3.0
|
FMC >= 7.6.0可以管理的所有平台
|
設定
網路圖表
網路拓撲圖
裝置清單
步驟1.建立以WAN-1作為VPN介面的SD-WAN拓撲
導航到Devices > VPN > Site To Site。選擇Add,然後在Topology Name欄位中輸入第一個以WAN-1作為VPN介面的拓撲的合適名稱。按一下SD-WAN Topology> Create。
建立以WAN-1作為VPN介面的SD-WAN拓撲
步驟2.在主中心上配置動態虛擬通道介面(DVTI)
按一下「Add Hub」,從「Device」下拉式清單中選擇主集線器。按一下「Dynamic Virtual Tunnel Interface(DVTI)」旁邊的+圖示。 配置名稱、安全區域和模板ID並分配WAN-1作為DVTI的通道源介面。

從Border IP下拉選單中選擇一個物理或環回介面。在當前拓撲中,DVTI繼承環回介面IP地址。按一下「OK」(確定)。

選擇地址池,或按一下分支隧道IP地址池旁邊的+圖示以建立新的地址池。新增輻條時,嚮導會自動生成分支隧道介面,並從此IP地址池將IP地址分配給這些分支介面。

主集線器配置完成後,選擇Add以在拓撲中儲存主集線器。

步驟3.在輔助集線器上配置DVTI
現在,再次選擇Add Hub,以便通過重複步驟1和2,在拓撲中將WAN-1配置為VPN介面的輔助集線器。按一下下一步。

步驟4.配置輻條
選擇Add Spoke以新增單個分支裝置,或按一下Add Spoke(Bulk Addition)以向拓撲中新增多個分支。當前拓撲使用後一個選項將多個分支FTD新增到拓撲中。在「新增批次輻條」對話方塊中,選擇所需的FTD以將其新增為輻條。選擇在所有輻條上與WAN-1的邏輯名稱相匹配的通用介面名稱模式,或選擇與WAN-1相關聯的安全區域。

按一下下一步,以便嚮導驗證輻條是否具有指定模式或安全區域的介面。

選擇Add,嚮導將自動選擇中心DVTI作為每個分支的隧道源IP地址。

步驟5.配置身份驗證設定
按一下「Next」以設定驗證設定。對於裝置身份驗證,您可以在Authentication Type下拉選單中選擇手動預共用金鑰、自動生成的預共用金鑰或證書。從Transform Sets和IKEv2 Policies下拉選單中選擇一個或多個演算法。

步驟6.配置SD-WAN設定
按一下下一步以配置SD-WAN設定。此步驟涉及自動生成分支隧道介面,以及重疊網路的邊界網關協定(BGP)配置。在「分支通道介面安全區域」下拉選單中,選擇安全區域,或按一下+以建立安全區域,嚮導會自動將分支的自動生成的靜態虛擬通道介面(SVTI)新增到該安全區域。
選中在VPN重疊拓撲上啟用BGP覈取方塊,以便自動執行重疊隧道介面之間的BGP配置。在Autonomous System Number欄位中,輸入自治系統(AS)編號。勾選「Redistribute Connected Interfaces」核取方塊,並從下拉式清單中選擇介面群組,或選擇「+」,使用集線器的連線LAN介面與分支建立一個介面群組,以便在重疊拓撲中進行BGP路由重新分配。

在「Community Tag for Local Routes」欄位中,輸入BGP社群屬性以標籤連線的和重新分配的本地路由。此屬性支援輕鬆路由過濾。如果不同AS中有輔助集線器,請選中Secondary Hub is in the Different Autonomous System復選框。最後,勾選Enable Multiple Paths for BGP 覈取方塊以啟用BGP以透過多個連結對流量進行負載平衡。

按一下Finish儲存並驗證SD-WAN拓撲。

您可以在Devices > Site-to-site VPN下檢視拓撲。第一個SD-WAN拓撲中的隧道總數為8。

步驟7.建立以WAN-2作為VPN介面的SD-WAN拓撲
重複步驟1至6,配置以WAN-2作為VPN介面的SD-WAN拓撲。第二個SD-WAN拓撲中的隧道總數為8。最終的拓撲必須如下圖所示:

步驟8.配置(等價多路徑)ECMP區域
在每個分支上,導航到路由> ECMP,並為連線到主集線器和輔助集線器的WAN介面和SVTI配置ECMP區域,如下所示。這樣可以提供鏈路冗餘並啟用VPN流量的負載均衡。

步驟9.修改集線器上的BGP本地首選項
在輔助集線器上導航到Routing > General Settings > BGP。按一下「Enable BGP」,設定AS編號,並在「Best Path Selection」下設定預設本機優先選項值,使其低於在主集線器上設定的值。按一下「Save」。這可確保通向主集線器的路由優先於通往輔助集線器的路由。當主集線器關閉時,通往輔助集線器的路由將接管該路由。

將配置部署到所有裝置。
驗證
驗證隧道狀態
要驗證SD-WAN拓撲的VPN隧道是否已啟用,請導航到Device > VPN > Site-to-Site。

要檢視SD-WAN VPN隧道的詳細資訊,請選擇Overview > Dashboards > Site-to-site VPN。

若要檢視每個VPN通道的更多詳細資訊:
- 將滑鼠懸停在隧道上。
- 按一下View Full Information(
)圖示。系統將顯示一個包含通道詳細資訊和更多操作的窗格。
- 按一下側窗格中的CLI Details頁籤,以檢視show命令和IPsec安全關聯的詳細資訊。

驗證虛擬通道介面(VTI)
若要檢視集線器的動態VTI和輻條的靜態VTI:
- 導覽至Devices > Device Management。
- 選擇中心裝置或分支裝置的編輯圖示。
- 按一下Interface頁籤。
- 按一下 虛擬通道 頁籤。
您可以檢視每個VTI的詳細資訊,例如名稱、IP地址、IPsec模式、隧道源介面詳細資訊、拓撲和遠端對等IP。
主集線器上的DVTI:

輔助集線器上的DVTI:

分支上的SVTI:

為了檢驗負載平衡、雙ISP冗餘和集線器級冗餘,只使用從Branch 1到Hub的流量。安裝詳情如下所示:
10.1.0.0.100 - Branch 1連線的網路中的客戶端
10.10.0.0.100 — 集線器連線網路中的客戶端
WAN-1_static_vti_1 — 通過ISP 1將伺服器連線到集線器1
WAN-2_static_vti_3 — 通過ISP 2將伺服器連線到集線器1
WAN-1_static_vti_2 — 通過ISP 1將伺服器連線到集線器2
WAN-2_static_vti_4 — 通過ISP 2將伺服器連線到集線器2
驗證VPN流量的負載平衡
隧道狀態可以在Site to Site VPN控制面板中看到。理想情況下,所有隧道都必須處於活動狀態:

首選到主集線器的路由。Branch 1上的show route命令表明,VPN流量在ISP 1和ISP 2上的兩個SVTI之間負載均衡,可到達主集線器:

在Unified Events中可以看到為實際VPN流量所採用的輸出介面:

驗證雙ISP冗餘
當ISP-2關閉時,隧道狀態表示通過ISP-1的隧道處於活動狀態:

首選到主集線器的路由。Branch 1上的show route命令表示VPN流量通過ISP-1上的SVTI路由到主集線器:

在Unified Events中可以看到為實際VPN流量所採用的輸出介面:

驗證中心級冗餘
當主集線器關閉時,通道狀態表示通往輔助集線器的通道處於活動狀態:

由於主集線器已關閉,因此首選到輔助集線器的路由。Branch 1上的show route命令表示在ISP 1和ISP 2上的兩個SVTI之間將VPN流量負載均衡到輔助中心:

在Unified Events中可以看到為實際VPN流量所採用的輸出介面:
