تكوين eBGP باستخدام واجهة الاسترجاع على جدار الحماية الآمن
المقدمة
يصف هذا المستند كيفية تكوين eBGP باستخدام واجهة إسترجاع على جدار حماية Cisco الآمن.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من هذا موضوع:
- بروتوكول BGP
تم إدخال دعم واجهة الاسترجاع لبروتوكول BGP في الإصدار 7.4.0، وهو الإصدار الأدنى المطلوب لمركز إدارة جدار الحماية الآمن و Cisco Secure Firepower Threat Defense.
المكونات المستخدمة
- مركز إدارة جدار الحماية الآمن ل VMware، الإصدار 7.4.1
- 2 Cisco Secure Firepower Threat Defense لبرنامج VMware، الإصدار 7.4.1
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
بروتوكول العبارة الحدودية (BGP) هو بروتوكول توجيه متجه المسار القياسي لبروتوكول العبارة الخارجية (EGP) الذي يوفر إمكانية التوسع والمرونة واستقرار الشبكة. تسمى جلسة BGP بين نظامين لهما النظام الذاتي نفسه (AS) BGP الداخلي (iBGP). تسمى جلسة BGP بين نظامين ذوي أنظمة مستقلة مختلفة (AS) BGP الخارجي (eBGP).
وعادة ما يتم إنشاء علاقة النظير باستخدام عنوان IP للواجهة الأقرب إلى النظير، ومع ذلك، فإن إستخدام واجهة الاسترجاع لإنشاء جلسة BGP مفيد لأنها لا تؤدي إلى إسقاط جلسة BGP عندما تكون هناك مسارات متعددة بين أقران BGP.
تكوين eBGP باستخدام واجهة إسترجاع
السيناريو
في هذا التكوين، يحتوي جدار الحماية SFTD-1 على واجهة إسترجاع مع عنوان IP 10.1.1.1/32، و AS 64000، يحتوي جدار الحماية SFTD-2 على واجهة إسترجاع مع عنوان IP 10.2.2.2/32 و AS 64001. يستخدم كل من جدران الحماية الواجهة الخارجية للوصول إلى واجهة الاسترجاع لجدار الحماية الآخر (في هذا السيناريو، يتم تكوين الواجهة الخارجية مسبقا على كل من جدران الحماية).
الرسم التخطيطي للشبكة
يستخدم هذا المستند إعداد الشبكة التالي:
الصورة 1. رسم تخطيطي لإسكناريو
تكوين الاسترجاع
الخطوة 1. انقر فوق الأجهزة>إدارة الأجهزة، ثم حدد الجهاز حيث تريد تكوين الاسترجاع.
الخطوة 2. طقطقت قارن>كل قارن.
الخطوة 3. طقطقة يضيف قارن>إسترجاع قارن.
الصورة 2. إضافة إسترجاع الواجهة
الخطوة 4. في قسم عام، قم بتكوين اسم الاسترجاع، وحدد المربع يمكن، وقم بتكوين معرف الاسترجاع.
الصورة 3. تكوين واجهة الاسترجاع الأساسية
الخطوة 5. في قسم IPv4، حدد الخيار إستخدام IP ثابت في قسم نوع IP، قم بتكوين Loopback IP، ثم انقر فوق موافق لحفظ التغييرات.
الصورة 4. تكوين عنوان IP للاسترجاع
الخطوة 6. انقر فوق حفظ.
الصورة 5. حفظ تكوين واجهة الاسترجاع
الخطوة 7. كرر العملية باستخدام جدار الحماية الثاني.
الصورة 6. تكوين واجهة الاسترجاع على النظير
تكوين المسار الثابت
يجب تكوين مسار ثابت لضمان إمكانية الوصول إلى عنوان النظير البعيد (Loopback) المستخدم لتقنية PEERING من خلال الواجهة المطلوبة.
الخطوة 1. طقطقت أداة>أداة إدارة، بعد ذلك حددت الأداة أنت تريد أن يشكل المسحاج تخديد ساكن إستاتيكي.
الخطوة 2. انقر فوق توجيه >إدارة الموجهات الظاهرية>المسار الثابت، ثم انقر فوق إضافة مسار.
الصورة 7. إضافة مسار ثابت جديد
الخطوة 3. تحقق من خيار IPv4 للنوع. حدد الواجهة المادية المستخدمة للوصول إلى الاسترجاع الخاص بالنظير البعيد في خيار الواجهة، ثم حدد الخطوة التالية للوصول إلى الاسترجاع على قسم البوابة.
الصورة 8. تكوين المسار الثابت
الخطوة 4. انقر على الرمز (+) الموجود بجوار قسم الشبكة المتاحة.
الصورة 9. إضافة كائن شبكة جديد
الخطوة 5. قم بتكوين اسم للمرجع و IP الخاص بلوباك للنظير البعيد والحفظ.
الصورة 10. تكوين وجهة الشبكة في المسار الثابت
الخطوة 6. ابحث عن الكائن الجديد الذي تم إنشاؤه في شريط البحث، وقم بتحديده، ثم انقر فوق إضافة، ثم انقر فوق موافق.
الصورة 11. تكوين الخطوة التالية في المسار الثابت
الخطوة 7. انقر فوق حفظ.
الصورة 12. حفظ تكوين واجهة المسار الثابتة
الخطوة 8. كرر العملية باستخدام جدار الحماية الثاني.
الصورة 13. تكوين المسار الثابت على النظير
تكوين BGP
الخطوة 1. انقر على الأجهزة>إدارة الجهاز، وحدد الجهاز الذي تريد تمكين BGP.
الخطوة 2. انقر فوق توجيه >إدارة الموجهات الظاهرية>الإعدادات العامة، ثم انقر على BGP.
الخطوة 3. حدد مربع تمكين BGP، ثم قم بتكوين جدار الحماية المحلي AS من داخل قسم رقم AS.
الصورة 14. تمكين BGP بشكل عام
الخطوة 4. احفظ التغييرات بالنقر فوق الزر حفظ.
الصورة 15. حفظ تغيير تمكين BGP
الخطوة 5. في قسم إدارة الموجهات الظاهرية، انتقل إلى خيار BGP، ثم انقر فوق IPv4.
الخطوة 6. حدد المربع تمكين IPv4 ثم انقر فوق المجاور، ثم انقر فوق + إضافة.
الصورة 16. إضافة نظير BGP جديد
الخطوة 7. قم بتكوين عنوان IP للنظير البعيد في قسم عنوان IP، ثم قم بتكوين AS للنظير البعيد في قسم Remote AS، وحدد المربع تمكين العنوان.
الخطوة 8. حدد إسترجاع الواجهة المحلية في قسم تحديث المصدر.
الصورة 17. معلمات نظير BGP الأساسية
الخطوة 9. طقطقت متقدم، بعد ذلك شكلت الرقم 2 في ال TTL خطوة خيار، وطقطقة ok.
الصورة 18. تكوين رقم الخطوة TTLs
الخطوة 10. انقر فوق حفظ ونشر التغييرات.
الصورة 19. حفظ تكوين BGP
الخطوة 11. كرر العملية باستخدام جدار الحماية الثاني.
الصورة 20. تكوين BGP على النظير
التحقق من الصحة
الخطوة 1. تحقق من تكوين المسار الثابت والإرجاع، ثم تحقق من الاتصال بين أقران BGP باستخدام إختبار الاتصال.
show running-config interface interface_name
show running-config route
show destination_ip
| إس إف تي دي-1 |
إس إف تي دي-2 |
| show running-config interface loopback1 إسترجاع الواجهة 1 نظام التشغيل NameIf Loopback1 عنوان IP 10.1.1.1 255.255.255.255 show running-config route المسار خارج 10.2.2.2 255.255.255.255.10.10.2 1 ping 10.2.2.2 إرسال أصداء بروتوكول ICMP سعة 5 و 100 بايت إلى 10.2.2.2، المهلة هي ثانيتان: !!!! معدل النجاح هو 100 في المائة (5/5)، والسفر ذهابا وإيابا هو الحد الأدنى/المتوسط/الحد الأقصى = 1/1/1 مللي ثانية |
show running-config interface loopback1 إسترجاع الواجهة 1 ناميف لوباك 2 عنوان IP 10.2.2.2 255.255.255.255.255 show running-config route المسار خارج 10.1.1.1 255.255.255.255.10.10.1 ping 10.1.1.1 إرسال أصداء بروتوكول ICMP سعة 5 و 100 بايت إلى 10.1.1.1، المهلة هي ثانيتان: !!!! معدل النجاح هو 100 في المائة (5/5)، والسفر ذهابا وإيابا هو الحد الأدنى/المتوسط/الحد الأقصى = 1/1/1 مللي ثانية |
الخطوة 2. دققت ال BGP تشكيل، بعد ذلك ضمنت أن ال BGP نظير أسست.
show running-config router bgp
إظهار جيران BGP
إظهار ملخص bgp
| إس إف تي دي-1 |
إس إف تي دي-2 |
| show running-config router bgp الموجه BGP 64000 BGP log-neighbor-changes التعيين التلقائي لموجه BGP-id VRF البث الأحادي لعائلة العنوان IPv4 جهاز التحكم عن بعد AS 64001 المجاور الجوار 10.2.2.2 eBGP-Multihop 2 جار 10.2.2.2 نقل path-mtu-discovery disable الاسترجاع مصدر التحديث 10.2.2.2 المجاور 1 يتم تنشيط المجاور 10.2.2.2 لا يوجد تلخيص تلقائي لا توجد مزامنة exit-address-family ! إظهار جيران BGP | i BGP BGP المجاور هو 10.2.2.2، VRF single_vf، و AS 64001 بعيد، إرتباط خارجي BGP الإصدار 4، معرف الموجه عن بعد 10.2.2.2 حالة BGP = ثابتة، حتى 1d15h BGP الجدول الإصدار 7، الإصدار 7/0 المجاور قد يكون مجاور BGP الخارجي على مسافة تصل إلى 2 نقلات. إظهار ملخص bgp معرف موجه BGP 10.1.1.1، الرقم المحلي AS 64000 إصدار جدول BGP هو 7، الإصدار 7 من جدول التوجيه الرئيسي Neighbor V AS MSGrcvd MsgSend TblVer inQ OutQ up/Down State/PfxRCD 10.2.2.2 4 64001 2167 2162 7 0 00 1d15h 0 |
show running-config router bgp الموجه BGP 64001 BGP log-neighbor-changes التعيين التلقائي لموجه BGP-id VRF البث الأحادي لعائلة العنوان IPv4 جهاز التحكم عن بعد AS 64000 المجاور 10.1.1 الجوار 10.1.1.1 eBGP-Multihop 2 جار 10.1.1.1 transport path-mtu-discovery disable المجاور 10.1.1.1 مصدر التحديث Looback2 يتم تنشيط المجاور 10.1.1.1 لا يوجد تلخيص تلقائي لا توجد مزامنة exit-address-family ! إظهار جيران BGP | i BGP BGP المجاور هو 10.1.1.1، VRF single_vf، و AS 64000، إرتباط خارجي BGP الإصدار 4، معرف الموجه عن بعد 10.1.1.1 حالة BGP = ثابتة، حتى 1d16h BGP جدول الإصدار 1، المجاور الإصدار 1/0 قد يكون مجاور BGP الخارجي على مسافة تصل إلى 2 نقلات. إظهار ملخص bgp معرف موجه BGP 10.2.2.2، الرقم المحلي AS 64001 إصدار جدول BGP هو 1، الإصدار الرئيسي لجدول التوجيه 1 Neighbor V AS MSGrcvd MsgSend TblVer inQ OutQ up/Down State/PfxRCD 10.1.1.4 64000 2168 2173 1 0 0 1d16h 0 |
استكشاف الأخطاء وإصلاحها
إذا واجهت أي مشاكل أثناء العملية، يرجى مراجعة هذه المقالة:
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
22-Jul-2024 |
الإصدار الأولي |
التعليقات