简介
本文档介绍如何在AWS中为FTDv数据接口配置Geneve封装。
先决条件
要求
Cisco 建议您了解以下主题:
- 安全Firepower管理中心配置部署
- 在AWS中部署安全Firepower威胁防御虚拟解决方案
- AWS实例EC2虚拟化
在AWS中为Cisco Secure Firepower威胁防御配置通用封装,需要FTD 7.1版或更高版本。
还需要使用FTDv20或更高版本的性能层许可证。
每个FTDv设备只能配置一个虚拟隧道终端(VTEP)源接口。VTEP定义为网络虚拟化终端(NVE);VTEP的通用封装是当时唯一本地支持的NVE。
您可以参考此文档在AWS上部署威胁防御虚拟。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 安全Firepower管理中心 — 7.3.0
- 安全Firepower威胁防御 — 7.3.0
- AWS c5.2xlarge(4核/8 GB)实例
- 性能层许可证 — FTDv50
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
为FTDv配置性能层许可证
使用支持的浏览器访问您的FMC GUI:
https://FMC_IP_Address
导航到设备>设备管理:
设备管理
为有问题的FTDv选择编辑图标: 编辑
单击Device选项卡,然后在License摘要中编辑配置:
设备许可证
从性能层下拉列表中选择FTDv20(核心4 / 8 GB)或更高版本。对于此示例,已选择FTDv50性能层许可证,如下图所示:
选择性能层许可证FTDv20或更高版本
接下来,选择Save和Deploy将配置部署到FTDv。
配置VTEP源接口
导航到设备>设备管理>选择编辑> VTEP,然后选择启用NVE:
启用VNE
现在,您可以选择Add VTEP:
添加VTEP
输入指定范围内的Encapsulation端口的值。
警告:建议不要更改Geneve端口;AWS需要端口6081。
接下来,您可以选择VTEP源接口。
外部接口作为VTEP源接口
注意:从设备上可用的物理接口列表中选择。如果列表中未显示接口名称,您可以验证所需接口是否为Enabled并配置了Name。
注意:如果MTU小于1806字节,FMC会自动将所选接口的MTU提升至1806字节。
然后,单击OK。
巨帧已更改
选择Ok和Save。
配置VNI接口
添加虚拟网络接口(VNI)接口,将其与VTEP源接口关联,并配置基本接口参数。
导航到Interfaces选项卡,然后单击Add Interfaces。
添加接口
选择VNI Interface。
添加VNI接口
指定接口Name、Description和VNI ID(介于1和10000之间)。
选中启用代理。
此选项启用单臂代理,并允许流量从它进入的同一接口退出(U型流量)。
警告:如果以后编辑接口,则无法禁用单臂代理。为此,您需要删除现有接口并创建新的VNI接口。此选项仅适用于Geneve VTEP。
选择NVE Mapped to VTEP Interface。这会将此接口与VTEP源接口相关联。
添加NVI接口
单击确定和保存。 您可以看到VNI接口已创建,如下图所示:
已创建VNI接口
最后,部署接口配置。
注意:此时您可以配置您的接口所需的路由接口参数。接口IP地址,VNI接口的静态或动态路由。
验证
通过SSH或控制台连接到FTDv:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
admin> enable
Password:
admin#
查看接口详细信息和VNI接口摘要:
admin# show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Management0/0 diagnostic 10.0.0.61 255.255.255.0 DHCP
vni1 VNI-Outside 1.2.3. 4 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
Management0/0 diagnostic 10.0.0.61 255.255.255.0 DHCP
vni1 VNI-Outside 1.2.3. 4 255.255.255.0 manual
admin# show interface VNI summary
Interface vni1 "VNI-Outside", is up, line protocol is up
VTEP-NVE 1
Tag-switching: disabled
MTU: 1500
MAC: 0206.104e.ed0f
proxy mode: single-arm
IP address 1.2.3. 4, subnet mask 255.255.255.0
Multicast group not configured
您可以确认已启用通用封装,如以下命令输出所示:
admin# show running-config nve
nve 1
encapsulation geneve
source-interface Outside
故障排除
验证两个VNI接口和VTEP源接口协议及状态是否为up/up。如下图所示, TenGigabitEthernet0/0
和 vni1
启用/启用:
# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Control0/0 127.0.1.1 YES unset up up
Internal-Control0/1 unassigned YES unset up up
Internal-Data0/0 unassigned YES unset down up
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 169.254.1.1 YES unset up up
Internal-Data0/2 unassigned YES unset up up
Management0/0 10.0.0.61 YES DHCP up up
TenGigabitEthernet0/0 unassigned YES unset up up
TenGigabitEthernet0/1 unassigned YES unset up up
vni1 1.2.3. 4 YES manual up up
确保存在vni接口单臂和vtep关联,如下图所示:
# show run interface vni 1
!
interface vni1
proxy single-arm
nameif VNI-Outside
security-level 0
ip address 1.2.3. 4 255.255.255.0
vtep-nve 1
检查VNI接口的接口计数器:
# show interface VNI detail
有关详细信息,请参阅Firepower管理中心配置指南。