使用Flex-Config在安全防火墙威胁防御中配置BFD
简介
本文档介绍如何使用Flex-Config在运行7.2及更低版本的安全防火墙管理中心中配置BFD协议。
先决条件
在思科安全防火墙威胁防御(FTD)中配置的边界网关协议(BGP)与思科安全防火墙管理中心(FMC)。
要求
Cisco 建议您了解以下主题:
-BGP协议
-BFD概念
使用的组件
— 运行7.2或更低版本的思科安全防火墙管理中心。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
双向转发检测(BFD)是一种检测协议,旨在为所有媒体类型、封装、拓扑和路由协议提供快速转发路径故障检测时间。
配置
运行7.2及更低版本的FMC中的BFD配置必须使用Flex-Config策略和对象进行配置。
步骤1:
通过Flexconfig对象创建BFD模板。
BFD模板指定一组BFD间隔值。在BFD模板中配置的BFD间隔值并非特定于单个接口。您还可以配置单跳和多跳会话的身份验证。
要创建Flex-Config对象,请选择 Objects Tab 在顶部,单击 FlexConfig 选项,然后单击 FlexConfig Object 选项,然后单击 Add FlexConfig Object.
第二步:
添加BFD协议所需的参数:
BFD模板指定一组BFD间隔值。在BFD模板中配置的BFD间隔值并非特定于单个接口。您还可以配置单跳和多跳会话的身份验证。
bfd-template [single-hop | multi-hop] template_name
- single-hop — 指定单跳BFD模板。
-
multi-hop — 指定多跳BFD模板。
-
template_name — 指定模板名称。模板名称不能包含空格。
-
(可选)在单跳BFD模板上配置回声。
在BFD模板中配置时间间隔:
interval both milliseconds | microseconds {both | min-tx} microseconds | min-tx milliseconds echo
-
both — 最小传输和接收间隔功能。
-
间隔(以毫秒为单位)。范围是 50 到 999。
-
microseconds — 指定min-tx的BFD间隔(单位为微秒)。
-
microseconds — 范围为50,000到999,000。
-
min-tx — 最小传输间隔功能。
在BFD模板中配置身份验证:
authentication {md5 | meticulous-mds | meticulous-sha-1 | sha-1}[0|8] wordkey-id id
-
authentication — 指定身份验证类型。
-
md5 -消息摘要5(MD5)身份验证。
-
小心谨慎的MD5 — 小心加密的MD5身份验证。
-
谨慎的SHA-1 — 谨慎的SHA-1密钥身份验证。
-
sha-1 — 加密SHA-1身份验证。
-
0|8 - 0指定后面跟有未加密的密码。8指定后面跟有ENCRYPTED密码。
-
word - BFD密码(密钥),是一个最多包含29个字符的单位数密码/密钥。不支持以数字开头、后跟空格的密码,例如0pass和1无效。
- key-id — 身份验证密钥ID。
-
id — 与密钥字符串匹配的共享密钥ID。范围为0到255个字符。
第三步:
将BFD模板与接口关联。
第 4 步(可选):
创建包含可与多跳模板关联的目标的BFD映射。您必须已配置多跳BFD模板。
将BFD多跳模板与目标映射关联:
bfd map {ipv4 | ipv6} destination/cdir source/cdire template-name
-
ipv4 — 配置IPv4地址。
-
ipv6 — 配置IPv6地址。
-
destination/cdir — 指定目标前缀/长度。格式为A.B.C.D/<0-32>。
-
source/cdir — 指定目标前缀/长度。格式为X:X:X;X::X/<0-128>。
-
template-name — 指定与此BFD映射关联的多跳模板的名称。
单击 Save 按钮以保存对象。
第五步:
单击 Devices 选项卡,然后选择 FlexConfig 选项.
第六步:
要创建新的FlexConfig策略,请点击 New Policy 按钮。
步骤 7.
Name 策略并选择分配给该策略的设备。单击 Add to Policy 然后单击 Save按钮。
步骤 8
选择左列中的FlexConfig对象,然后单击 > 按钮将该对象添加到FlexConfig策略,然后单击 Save 按钮。
步骤 9
单击 Devices 选项卡,然后点击 Device Management 选项.
步骤 10
选择要分配BFD配置的设备。
步骤 11
单击 Routing 选项卡,然后单击IPv4 或 IPv6, 根据您在左列的BGP部分中的配置,然后单击 Neighbor 选项卡,然后单击“编辑铅笔”按钮进行编辑。
步骤 12
选择 checkbox 对于BFD故障,请单击 OK 按钮。
步骤 13
单击 Deploy 按钮,然后单击 Deployment 按钮。
步骤 14
通过点击 checkbox,然后单击Deploy 按钮。
步骤 15
单击 Deploy 按钮。
步骤 16
单击 Deploy 按钮。
验证
使用下一命令直接在CLI会话中验证BFD配置和状态。
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
SF3130-A> enable
Password:
SF3130-A# show running-config | inc bfd
bfd-template single-hop Template
bfd template Template
neighbor 172.16.10.2 fall-over bfd single-hop
SF3130-A# show bfd summary
Session Up Down
Total 1 1 0
SF3130-A# show bfd neighbors
IPv4 Sessions
NeighAddr LD/RD RH/RS State Int
172.16.10.2 1/1 Up
故障排除
目前没有针对此配置的故障排除信息。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
26-Jul-2023 |
初始版本 |
反馈