Configuración de eBGP HA con SFTD/ASA y proveedor de servicios en la nube

Opciones de descarga

  • PDF     (694.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (519.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (471.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:28 de julio de 2023
ID del documento:220667

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la alta disponibilidad del uso del protocolo de routing de frontera externa (eBGP) para la conexión con el proveedor de servicios en la nube (CSP).

    Prerequisites

    Requirements

    Cisco le recomienda que tenga conocimiento acerca de este tema:

    Configurar

    Tiene dos pares eBGP en el firewall para ofrecer alta disponibilidad al proveedor de servicios en la nube. Dado que los CSP están limitados a la manipulación de BGP, la elección de los peers primarios y secundarios no es posible desde el lado del CSP.

    DiagramImagen 1. Diagrama

    Procedimiento

    Paso 1. Antes de comenzar con la configuración del firewall, definaque utilizan los pares como el principal.

    Paso 2. Utilice una preferencia local de 150 (la preferencia local predeterminada es 100) para el tráfico entrante en el peer primario.

    Paso 3. Use el prefijo de trayectoria AS para el tráfico saliente en el peer secundario.

    Configuración en ASA

    Preferencia local para el tráfico entrante en el peer primario:

    route-map primary_peer_in permit 10
    set local-preference 150

    router bgp 65521
    address-family ipv4 unicast
    neighbor 10.10.10.2 route-map primary_peer_in in

    La trayectoria AS se antepone al tráfico saliente en el peer secundario:

    route-map secondary_peer_out permit 10
    set as-path prepend 65521 65521

    router bgp 65521
    address-family ipv4 unicast
    neighbor 10.10.20.2 route-map secondary_peer_out out

    Configuración en SFMC

    Preferencia local para el tráfico entrante en el peer primario:

    Paso 1. Haga clic en Objetos, luego haga clic en Route Map.

    Paso 2. Seleccione el route map que ha asignado al peer BGP donde aplicar la preferencia local o agregue un route map nuevo haciendo clic en Add Route Map.

    Paso 3. Configure el nombre del mapa de ruta, luego haga clic en Agregar en la sección Entradas.

    Add route map on SFMCImagen 2. Agregar mapa de ruta en SFMC

    Paso 4. Configure al menos los siguientes parámetros básicos:

          • Nº de secuencia. Seleccione el número de la secuencia.
          • Redistribución. Seleccione Permitir.

    Basic route map configuration on SFMCImagen 3. Configuración básica de route map en SFMC

    Paso 5. Haga clic en Establecer Cláusulas, luego en Cláusulas BGP, luego en Otros. Establezca la preferencia local de 150 en la sección Preferencias locales.

    Local preference configuration on SFMCImagen 4. Configuración de preferencias locales en SFMC

    Paso 6. Haga clic en Agregar, luego en Guardar.

    Paso 7. Haga clic en Device, luego en Device Management y seleccione el dispositivo al que desea aplicar la preferencia local.

    Paso 8. Haga clic en Ruteo, luego en IPv4 en la sección BGP, luego en Vecino.

    Paso 9. Haga clic en el icono de edición para el vecino principal y, a continuación, en la sección Filtrado de Rutas, seleccione el mapa de ruta en el menú desplegable del tráfico entrante en la sección Mapa de ruta.

    Configure local preference on primary peerImagen 5. Configurar la preferencia local en el par principal

    Paso 11. Haga clic en Aceptar, luego en Guardar.

    La trayectoria AS se antepone al tráfico saliente en el peer secundario:

    Paso 1. Haga clic en Objetos, luego haga clic en Route Map.

    Paso 2. Seleccione el route map que ha asignado al peer BGP para aplicar el prefijo de trayecto AS o agregue un route map nuevo haciendo clic en Add Route Map.

    Paso 3. Configure el nombre del mapa de ruta, luego haga clic en Agregar en la sección Entradas.

    Add route map on SFMCImagen 6. Agregar mapa de ruta en SFMC

    Paso 4. Configure al menos los siguientes parámetros básicos:

          • Nº de secuencia. Seleccione el número de la secuencia
          • Redistribución. Seleccione Permitir

    Basic route map configuration on SFMCImagen 7. Configuración básica de route map en SFMC

    Paso 5. Haga clic en Establecer Cláusulas, luego en Cláusulas BGP, luego en Ruta AS. Configure la opción prepend en función de lo siguiente:

          • Anteponer ruta AS. Agregue el AS que desee agregar a la ruta de acceso separada por comas.

    AS path prepending configuration on SFMCImagen 8. Configuración de precedencia de ruta AS en SFMC

    Paso 6. Haga clic en Agregar, luego en Guardar.

    Paso 7. Haga clic en Device, luego en Device Management y seleccione el dispositivo al que desea aplicar el prefijo de la ruta AS.

    Paso 8. Haga clic en Ruteo, luego en IPv4 en la sección BGP, luego en Vecino.

    Paso 9. Haga clic en el icono de edición para el vecino secundario y, a continuación, en la sección Filtrado de Rutas, seleccione el mapa de ruta en el menú desplegable del tráfico saliente en la sección Mapa de ruta.

    Configure AS path prepend on secondary peerImagen 9. Configurar la trayectoria AS antepuesta al par secundario

    Paso 4. Haga clic en Aceptar, luego en Guardar.

    Configuración en FDM

    La trayectoria AS se antepone al tráfico saliente en el peer secundario:

    Paso 1. Haga clic en Device, luego haga clic en View Configuration en la sección Advanced Configuration.

    Paso 2. Haga clic en Objetos en la sección CLI inteligente y, a continuación, haga clic en el botón (+).

    Paso 3. Configure el objeto CLI de la siguiente manera:

    Configure AS path prepending object on FDMImagen 10. Configuración del objeto de precedencia de ruta AS en FDM

    Paso 10. Haga clic en Aceptar.

    Preferencia local para el tráfico entrante en el peer primario:

    Paso 1. Haga clic en Device, luego haga clic en View Configuration en la sección Advanced Configuration.

    Paso 2. Haga clic en Objetos en la sección CLI inteligente y, a continuación, haga clic en el botón (+).

    Paso 3. Configure el objeto CLI de la siguiente manera:

    Configure local preference object on FDMImagen 1. Configurar objeto de preferencia local en FDM

    Paso 4. Haga clic en Aceptar.

    Configure los mapas de ruta en la configuración de BGP:

    Paso 1. Haga clic en Dispositivo, luego haga clic en Ver Configuración en la sección Enrutamiento.

    Paso 2. Haga clic en BGP, luego haga clic en el botón (+) para un nuevo peer BGP o haga clic en el botón edit para el peer BGP existente.

    Paso 3. Configure el objeto BGP como se muestra:

    Configure BGP peers on FDMImagen 12. Configuración de peers BGP en FDM

    Paso 4. Haga clic en Aceptar.

    Validación

    Valide que el prefijo de la ruta AS y la preferencia local se configuren y asignen a los pares:



    > system support diagnostic-cli
    Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
    Type help or '?' for a list of available commands.
    firepower> enable
    Password:
    firepower#
    firepower# show route-map Local_Preference_RM
    route-map Local_Preference_RM, permit, sequence 10
      Match clauses:

      Set clauses:
        local-preference 150


    firepower# show route-map AS_Path_Perepend_RM
    route-map AS_Path_Perepend_RM, permit, sequence 10
      Match clauses:

      Set clauses:
        as-path prepend 65521 65521


    firepower# show running-config router bgp
    router bgp 65521
    bgp log-neighbor-changes
    bgp router-id 10.10.10.10
    bgp router-id vrf auto-assign
    address-family ipv4 unicast
     neighbor 10.10.10.2 remote-as 65000
     neighbor 10.10.10.2 description Primary
     neighbor 10.10.10.2 transport path-mtu-discovery disable
     neighbor 10.10.10.2 activate
     neighbor 10.10.10.2 route-map Local_Preference_RM in
     neighbor 10.10.20.2 remote-as 65000
     neighbor 10.10.20.2 description Secondary
     neighbor 10.10.20.2 transport path-mtu-discovery disable 
     neighbor 10.10.20.2 activate
     neighbor 10.10.20.2 route-map AS_Path_Perepend_RM out
     redistribute connected
     no auto-summary
     no synchronization
    exit-address-family

    Antes de validar la tabla de ruteo, borre los peers BGP:

    clear bgp 10.10.10.2 soft in
    clear bgp 10.10.20.2 soft out

    Nota: Utilice el comando soft para evitar el restablecimiento del par completo; en su lugar, vuelva a enviar las actualizaciones de ruteo solamente.

      

    Valide el tráfico saliente en el peer primario usando la preferencia local que estableció previamente:

    firepower# show bgp
    BGP table version is 76, local router ID is10.10.10.10
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
                  r RIB-failure, S Stale, m multipath
    Origin codes: i - IGP, e - EGP, ? - incomplete

       Network          Next Hop        Metric LocPrf Weight  Path
    *  10.0.4.0/22      10.10.20.2           0             0  65000 ?
    *>                  10.10.10.2           0    150      0  65000 ?
    *  10.2.4.0/24      10.10.20.2           0             0  65000 ?
    *>                  10.10.10.2           0    150      0  65000 ?

      

    Valide los prefijos BGP instalados en su tabla de ruteo que provienen del peer primario:

    firepower# show route
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF
    Gateway of last resort is not set

    B        10.0.4.0 255.255.252.0 [20/0] via 10.10.10.2, 01:04:17
    B        10.2.4.0 255.255.255.0 [20/0] via 10.10.10.2, 01:04:17


    Información Relacionada



    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    28-Jul-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Erick Leobardo Perez
      Cisco Security Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco