Cisco Secure Firewall Management Center 设备配置指南,7.4

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book

Results

已更新:
2024年9月12日

Chapter: 双向转发检测路由

双向转发检测路由

本章介绍如何配置 威胁防御 以使用双向转发检测 (BFD) 路由协议。

关于 BFD 路由

BFD 是一个检测协议,旨在为媒体类型、封装、拓扑和路由协议提供快速转发路径故障检测时间。BFD 可以在单播、点对点模式下对正在两系统之间转发的任何数据协议上运行。数据包在适用于媒体和网络的封装协议负载中携带。

除了快速转发路径故障检测外,BFD 还为网络管理员提供一致的故障检测方法。由于网络管理员可以使用 BFD 按照统一的速率检测转发路径故障,而不是为不同的路由协议呼叫机制采用不同的速率,因此网络分析和计划更简单,重新聚合时间一致且可预测。

BFD 路由准则

情景模式准则

所有 威胁防御 平台都支持 BFD。它在多实例模式下可支持。

防火墙模式指导原则

在路由防火墙模式下支持,在透明模式下不支持。

故障转移和集群准则

  • 在故障转移接口上不支持 BFD。

  • 在群集中,仅在控制节点上支持 BFD。

路由和协议准则

  • 支持 OSPFv2、OSPFv3、IS-IS、BGP IPv4和 BGP IPv6 协议。

    对于 IS-IS 上的 BFD 支持,使用 FlexConfig CLI 在 IS-IS 接口上配置 BFD(仅限物理接口、子接口、端口通道):

    For IPv6
###Flex-config Appended CLI###

router isis
  net 11.1111.0000.0000.0001.00
exit
interface GigabitEthernet x/x
  ipv6 router isis
  isis ipv6 bfd
exit

For IPv4
###Flex-config Appended CLI###

router isis
  net 11.1111.0000.0000.0001.00
exit
interface GigabitEthernet x/x
  isis
  isis bfd
exit

    不支持 EIGRP 协议。

  • 不支持用于静态路由的 BFD。您可以在只属于虚拟路由器的接口上配置 BFD。

  • 仅支持命名接口。

  • 不支持 BVI、VTI 和 LoopBack 接口上的 BFD。

单跳准则

  • 默认情况下,Echo 模式为禁用状态。您可以仅在单跳上启用回应。

  • IPv6 不支持回送模式。

  • 仅使用单跳模板来配置单跳策略。

  • 单跳模板的身份验证为可选。

  • 您不能在同一个接口上配置多个 BFD。

多跳准则

  • 请勿将源 IP 地址也配置为目标 IP 地址。

  • 源地址和目标地址应具有相同的 IP 类型 - IPV4 或 IPV6。

  • 仅允许主机或网络类型的网络对象。

  • 仅使用多跳模板配置多跳策略。

  • 多跳模板必须进行身份验证。

升级指南

如果您升级到版本 7.3 且先前版本具有任何 FlexConfig BFD 策略,则管理中心会在部署期间显示警告消息。但是,它不会停止部署过程。在升级部署后,要从 UI(设备(编辑)(Device [Edit]) > 路由 (Routing) > BFD)管理 BFD 策略,则必须在 设备(编辑)(Device [Edit]) > 路由 (Routing) > EIGRP 页面中配置 BFD 策略,并从设备的 FlexConfig 策略中删除配置。

配置 BFD

本节介绍如何在系统中启用和配置 BFD 路由策略。

过程

步骤 1

创建BFD 模板

步骤 2

配置 BFD 策略

步骤 3

在 BGP 邻居设置中配置 BFD 支持;请参阅步骤 12

配置 BFD 策略

您可以将 BFD 模板绑定到属于虚拟路由器的接口,或者绑定到源地址和目标地址对。

开始之前

过程

步骤 1

设备 (Devices) > 设备管理 (Device Management) 页面中,编辑虚拟路由器支持的设备。导航至路由

步骤 2

从下拉列表中,选择所需的虚拟路由器,然后点击 BFD

步骤 3

要在接口上配置 BFD,请点击单跳 (Single-Hop) 选项卡或多跳 (Multi-Hop) 选项卡。

 

对于单跳策略,在接口上配置了 BFD 模板;对于多跳策略,在源地址和目标地址对上配置了 BFD 模板。

步骤 4

点击添加 (Add)。要修改已配置的 BFD 策略,请点击 编辑编辑图标

 

在使用 BFD 模板编辑接口映射以将其替换为新的 BFD 模板时,管理中心 会使用 no 命令从接口中删除模板映射,并将新模板应用于接口,这会导致 BFD 摆动,也可能导致 OSPFv2 、OSPFv3 或 BGP 摆动。但是,如果 BFD 间隔较高,则可能不会发生 BFD 摆动。或者,为避免摆动,您可以删除现有的 BFD 模板映射;部署接口,然后将新的 BFD 模板添加到接口并部署配置。

配置单跳 BFD 策略

您只能在属于虚拟路由器的接口上配置单跳 BFD 策略。

开始之前
过程

步骤 1

单跳 (Single-Hop) 选项卡中,点击添加 (Add)编辑 (Edit)

步骤 2

添加 BFD 单跳 (Add BFD Single-Hop) 对话框中,配置以下内容:

  1. 接口 (Interface) 下拉列表中,列出了属于虚拟路由器的接口。选择要使用 BFD 策略配置的接口。

  2. 模板名称 (Template Name) 下拉列表中,列出了单跳模板。选择要应用的模板。

    如果尚未创建单跳模板,请使用 添加添加图标创建单跳 BFD 模板

步骤 3

点击确定 (OK)保存 (Save) 以保存配置。

配置多跳 BFD 策略

您可以在源地址和目标地址对上配置多跳 BFD 策略。

开始之前
过程

步骤 1

添加 BFD 多跳 (Add BFD Multi-Hop) 对话框中,配置以下内容:

  1. 点击 BFD 源地址类型 - IPv4IPv6 单选按钮。

  2. 源地址 (Source Address) 下拉列表中列出了网络对象。选择要为 BFD 策略配置的源地址。您不能选择 any-ipv4any-ipv6

    如果尚未创建所需的网络对象,请使用 添加添加图标 并创建主机/网络对象。

     

    所创建的网络对象的 IP 类型应与所选的源 IP 类型匹配。

  3. 目标地址 (Destination Address) 下拉列表中列出了网络对象。选择要为 BFD 配置的目标地址。您不能选择 any-ipv4any-ipv6

    如果尚未创建所需的网络对象,请使用 添加添加图标 并创建主机/网络对象。

     

    所创建的网络对象的 IP 类型应与所选的源 IP 类型匹配。

    注意

     

    不要选择与源地址具有相同 IP 地址的网络对象。

  4. 模板名称 (Template Name) 下拉列表中,列出了多跳模板。选择要应用于 BFD 策略的模板。

    如果尚未创建多跳模板,请使用 添加添加图标创建多跳 BFD 模板

步骤 2

点击确定 (OK)保存 (Save) 以保存配置。

多跳映射(表视图)显示在多跳 (Multi-Hop) 选项卡页面上。

BFD 路由历史记录

功能

最低 管理中心

最低 威胁防御

详情

IS-IS 的 BFD 支持

7.4

7.4

您可以使用 FlexConfig CLI 在 IS-IS 接口上配置 BFD。

OSPF 的 BFD 支持

7.4

7.4

您可以在 OSPFv2 和 OSPFv3 接口上启用 BFD。

新增/修改的菜单项:

  • 配置 > 设备设置 > 路由 > OSPFv2

  • 配置 > 设备设置 > 路由 > OSPFv3

BFD 配置

7.4

7.4

在之前的版本中,BFD 只能通过 FlexConfig 在威胁防御上进行配置。FlexConfig 不再支持 BFD 配置。现在,您可以在管理中心 UI 中为威胁防御配置 BFD 策略。在威胁防御中,只有 BGP 协议支持 BFD。

新增/修改的屏幕:设备 (Devices) > 设备管理 (Device Management) > 路由 (Routing) > BFD

此文档是否有帮助?

Feedback反馈

联系我们