Configurer la haute disponibilité eBGP avec SFTD/ASA et le fournisseur de services cloud

Options de téléchargement

  • PDF     (693.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (521.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (473.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:28 juillet 2023
ID du document:220667

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la haute disponibilité de l'utilisation du protocole eBGP (External Border Routing Protocol) pour la connexion avec le fournisseur de services cloud (CSP).

    Conditions préalables

    Exigences

    Cisco recommande que vous ayez une connaissance de ce sujet :

    Configurer

    Vous avez deux homologues eBGP sur le pare-feu pour une haute disponibilité pour le fournisseur de services cloud. Puisque les CSP sont limités à la manipulation BGP, l'élection des homologues primaire et secondaire n'est pas possible du côté du CSP.

    DiagramImage 1. Diagramme

    Procédure

    Étape 1. Avant de commencer la configuration du pare-feu, définissezque l'homologue utilise comme homologue principal.

    Étape 2. Utilisez une préférence locale de 150 (la préférence locale par défaut est 100) pour le trafic entrant dans l’homologue principal.

    Étape 3. Utilisez le préfixe de chemin AS pour le trafic sortant dans le pair secondaire.

    Configuration sur ASA

    Préférence locale pour le trafic entrant dans l'homologue principal :

    route-map primary_peer_in permit 10
    set local-preference 150

    router bgp 65521
    address-family ipv4 unicast
    neighbor 10.10.10.2 route-map primary_peer_in in

    Préfixe de chemin AS pour le trafic sortant dans l'homologue secondaire :

    route-map secondary_peer_out permit 10
    set as-path prepend 65521 65521

    router bgp 65521
    address-family ipv4 unicast
    neighbor 10.10.20.2 route-map secondary_peer_out out

    Configuration sur SFMC

    Préférence locale pour le trafic entrant dans l'homologue principal :

    Étape 1. Cliquez sur Objets, puis sur Carte de routage.

    Étape 2. Sélectionnez le mappage de route que vous avez attribué à l’homologue BGP où appliquer la préférence locale ou ajoutez un nouveau mappage de route en cliquant sur Ajouter un mappage de route.

    Étape 3. Configurez le nom de la carte de routage, puis cliquez sur Add dans la section Entries.

    Add route map on SFMCImage 2. Ajouter une carte de routage sur SFMC

    Étape 4 : configuration des paramètres de base suivants

          • Numéro de séquence. Sélectionnez le numéro de la séquence.
          • Redistribution. Sélectionnez Autoriser.

    Basic route map configuration on SFMCImage 3. Configuration de base de la carte de routage sur SFMC

    Étape 5. Cliquez sur Set Clauses, puis sur BGP Clauses, puis sur Other. Définissez la préférence locale 150 dans la section Préférence locale.

    Local preference configuration on SFMCImage 4. Configuration des préférences locales sur SFMC

    Étape 6. Cliquez sur Add, puis sur Save.

    Étape 7. Cliquez sur Device, puis sur Device Management et sélectionnez le périphérique auquel vous souhaitez appliquer la préférence locale.

    Étape 8. Cliquez sur Routing, puis sur IPv4 dans la section BGP, puis sur Neighbor.

    Étape 9. Cliquez sur l’icône de modification du voisin principal, puis dans la section Filtrage des routes, sélectionnez la carte de route dans le menu déroulant du trafic entrant dans la section Carte de route.

    Configure local preference on primary peerImage 5. Configurer la préférence locale sur l'homologue principal

    Étape 11. Cliquez sur OK, puis sur Enregistrer.

    Préfixe de chemin AS pour le trafic sortant dans l'homologue secondaire :

    Étape 1. Cliquez sur Objets, puis sur Carte de routage.

    Étape 2. Sélectionnez la carte de route que vous avez attribuée à l'homologue BGP pour appliquer le préfixe de chemin AS ou ajoutez une nouvelle carte de route en cliquant sur Add Route Map.

    Étape 3. Configurez le nom de la carte de routage, puis cliquez sur Add dans la section Entries.

    Add route map on SFMCImage 6. Ajouter une carte de routage sur SFMC

    Étape 4 : configuration des paramètres de base suivants

          • Numéro de séquence. Sélectionnez le numéro de la séquence
          • Redistribution. Sélectionnez Autoriser

    Basic route map configuration on SFMCImage 7. Configuration de base de la carte de routage sur SFMC

    Étape 5. Cliquez sur Set Clauses, puis sur BGP Clauses, puis sur AS Path. Configurez l'option prepend en fonction de ce qui suit :

          • Préfixer le chemin AS. Ajoutez le système autonome que vous souhaitez ajouter au chemin d'accès en le séparant par des virgules.

    AS path prepending configuration on SFMCImage 8. Chemin AS préconfigurable sur SFMC

    Étape 6. Cliquez sur Add, puis sur Save.

    Étape 7. Cliquez sur Device, puis sur Device Management et sélectionnez le périphérique auquel vous souhaitez appliquer le préfixe de chemin AS.

    Étape 8. Cliquez sur Routing, puis sur IPv4 dans la section BGP, puis sur Neighbor.

    Étape 9. Cliquez sur l’icône de modification du voisin secondaire, puis dans la section Filtrage des routes, sélectionnez la carte de route dans le menu déroulant du trafic sortant dans la section Carte de route.

    Configure AS path prepend on secondary peerImage 9. Configurer le préfixe du chemin AS sur l'homologue secondaire

    Étape 4. Cliquez sur OK, puis sur Enregistrer.

    Configuration sur FDM

    Préfixe de chemin AS pour le trafic sortant dans l'homologue secondaire :

    Étape 1. Cliquez sur Device, puis sur View Configuration dans la section Advanced Configuration.

    Étape 2. Cliquez sur Objets dans la section Smart CLI, puis cliquez sur le bouton (+).

    Étape 3. Configurez l’objet CLI comme suit :

    Configure AS path prepending object on FDMImage 10. Configurer l'objet en attente de chemin AS sur FDM

    Étape 10. Cliquez sur OK.

    Préférence locale pour le trafic entrant dans l'homologue principal :

    Étape 1. Cliquez sur Device, puis sur View Configuration dans la section Advanced Configuration.

    Étape 2. Cliquez sur Objets dans la section Smart CLI, puis cliquez sur le bouton (+).

    Étape 3. Configurez l’objet CLI comme suit :

    Configure local preference object on FDMImage 11. Configurer l'objet de préférence locale sur FDM

    Étape 4. Cliquez sur OK.

    Configurez les mappages de route dans la configuration BGP :

    Étape 1. Cliquez sur Device, puis sur View Configuration dans la section Routing.

    Étape 2. Cliquez sur BGP, puis cliquez sur le bouton (+) d’un nouvel homologue BGP ou cliquez sur le bouton de modification de l’homologue BGP existant.

    Étape 3. Configurez l’objet BGP comme indiqué :

    Configure BGP peers on FDMImage 12. Configurer des homologues BGP sur FDM

    Étape 4. Cliquez sur OK.

    Validation

    Vérifiez que le préfixe de chemin AS et la préférence locale sont configurés et attribués aux homologues :



    > system support diagnostic-cli
    Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
    Type help or '?' for a list of available commands.
    firepower> enable
    Password:
    firepower#
    firepower# show route-map Local_Preference_RM
    route-map Local_Preference_RM, permit, sequence 10
      Match clauses:

      Set clauses:
        local-preference 150


    firepower# show route-map AS_Path_Perepend_RM
    route-map AS_Path_Perepend_RM, permit, sequence 10
      Match clauses:

      Set clauses:
        as-path prepend 65521 65521


    firepower# show running-config router bgp
    router bgp 65521
    bgp log-neighbor-changes
    bgp router-id 10.10.10.10
    bgp router-id vrf auto-assign
    address-family ipv4 unicast
     neighbor 10.10.10.2 remote-as 65000
     neighbor 10.10.10.2 description Primary
     neighbor 10.10.10.2 transport path-mtu-discovery disable
     neighbor 10.10.10.2 activate
     neighbor 10.10.10.2 route-map Local_Preference_RM in
     neighbor 10.10.20.2 remote-as 65000
     neighbor 10.10.20.2 description Secondary
     neighbor 10.10.20.2 transport path-mtu-discovery disable 
     neighbor 10.10.20.2 activate
     neighbor 10.10.20.2 route-map AS_Path_Perepend_RM out
     redistribute connected
     no auto-summary
     no synchronization
    exit-address-family

    Avant de valider la table de routage, effacez les homologues BGP :

    clear bgp 10.10.10.2 soft in
    clear bgp 10.10.20.2 soft out

    Remarque : utilisez la commande soft pour éviter de réinitialiser l'homologue entier, mais renvoyez uniquement les mises à jour de routage.

      

    Validez le trafic sortant sur l'homologue principal à l'aide de la préférence locale que vous avez définie précédemment :

    firepower# show bgp
    BGP table version is 76, local router ID is10.10.10.10
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
                  r RIB-failure, S Stale, m multipath
    Origin codes: i - IGP, e - EGP, ? - incomplete

       Network          Next Hop        Metric LocPrf Weight  Path
    *  10.0.4.0/22      10.10.20.2           0             0  65000 ?
    *>                  10.10.10.2           0    150      0  65000 ?
    *  10.2.4.0/24      10.10.20.2           0             0  65000 ?
    *>                  10.10.10.2           0    150      0  65000 ?

      

    Vérifiez que les préfixes BGP installés sur votre table de routage proviennent de l'homologue principal :

    firepower# show route
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF
    Gateway of last resort is not set

    B        10.0.4.0 255.255.252.0 [20/0] via 10.10.10.2, 01:04:17
    B        10.2.4.0 255.255.255.0 [20/0] via 10.10.10.2, 01:04:17


    Informations connexes



    Historique de révision

    Révision Date de publication Commentaires
    1.0
    28-Jul-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Erick Leobardo Perez
      Ingénieur-conseil technique en sécurité Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco