Configurazione di eBGP HA con SFTD/ASA e Cloud Service Provider

Opzioni per il download

  • PDF     (693.9 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (518.4 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (469.3 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:28 luglio 2023
ID documento:220667

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive l'elevata disponibilità nell'utilizzare il protocollo eBGP (External Border Routing Protocol) per la connessione con il Cloud Service Provider (CSP).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza di questo argomento:

    Configurazione

    Si dispone di due peer eBGP sul firewall per un'elevata disponibilità per il provider di servizi cloud. Poiché i CSP si limitano alla manipolazione BGP, non è possibile selezionare peer primari e secondari dal lato CSP.

    DiagramImmagine 1. Diagramma

    Procedura

    Passaggio 1. Prima di iniziare con la configurazione del firewall, definirequale peer utilizza come principale.

    Passaggio 2. Utilizzare una preferenza locale di 150 (la preferenza locale predefinita è 100) per il traffico in entrata nel peer primario.

    Passaggio 3. Anteporre il percorso AS al traffico in uscita nel peer secondario.

    Configurazione sull'appliance ASA

    Preferenza locale per il traffico in ingresso nel peer primario:

    route-map primary_peer_in permit 10
    set local-preference 150

    router bgp 65521
    address-family ipv4 unicast
    neighbor 10.10.10.2 route-map primary_peer_in in

    Percorso AS anteposto al traffico in uscita nel peer secondario:

    route-map secondary_peer_out permit 10
    set as-path prepend 65521 65521

    router bgp 65521
    address-family ipv4 unicast
    neighbor 10.10.20.2 route-map secondary_peer_out out

    Configurazione in SFMC

    Preferenza locale per il traffico in ingresso nel peer primario:

    Passaggio 1. Fare clic su Oggetti, quindi su Mappa route.

    Passaggio 2. Selezionare la mappa dei percorsi assegnata al peer BGP a cui applicare la preferenza locale oppure aggiungere una nuova mappa dei percorsi facendo clic su Aggiungi mappa percorsi.

    Passaggio 3. Configurare il nome della mappa del percorso, quindi fare clic su Aggiungi nella sezione Voci.

    Add route map on SFMCImmagine 2. Aggiungi mappa route in SFMC

    Passaggio 4. Configurare almeno le impostazioni di base successive:

          • N. sequenza: selezionare il numero della sequenza.
          • Ridistribuzione. Selezionare Consenti.

    Basic route map configuration on SFMCImmagine 3. Configurazione mappa route di base in SFMC

    Passaggio 5. Fare clic su Imposta clausole, quindi su Clausole BGP e infine su Altre. Impostare la preferenza locale su 150 nella sezione Preferenza locale.

    Local preference configuration on SFMCImmagine 4. Configurazione delle preferenze locali in SFMC

    Passaggio 6. Fare clic su Add, quindi su Save.

    Passaggio 7. Fare clic su Dispositivo, quindi su Gestione dispositivi e selezionare il dispositivo a cui si desidera applicare la preferenza locale.

    Passaggio 8. Fare clic su Routing, IPv4 nella sezione BGP, quindi su Router adiacente.

    Passaggio 9. Fare clic sull'icona di modifica per il router adiacente principale, quindi nella sezione Filtraggio route selezionare la mappa route dal menu a discesa nella sezione Mappa route del traffico in ingresso.

    Configure local preference on primary peerImmagine 5. Configura preferenza locale nel peer primario

    Passaggio 11. Fare clic su OK, quindi su Salva.

    Percorso AS anteposto al traffico in uscita nel peer secondario:

    Passaggio 1. Fare clic su Oggetti, quindi su Mappa route.

    Passaggio 2. Selezionare la mappa dei percorsi assegnata al peer BGP per anteporre il percorso AS o aggiungere una nuova mappa dei percorsi facendo clic su Aggiungi mappa dei percorsi.

    Passaggio 3. Configurare il nome della mappa del percorso, quindi fare clic su Aggiungi nella sezione Voci.

    Add route map on SFMCImmagine 6. Aggiungi mappa route in SFMC

    Passaggio 4. Configurare almeno le impostazioni di base successive:

          • Nr. sequenza Selezionare il numero della sequenza
          • Ridistribuzione. Seleziona Consenti

    Basic route map configuration on SFMCImmagine 7. Configurazione mappa route di base in SFMC

    Passaggio 5. Fare clic su Imposta clausole, quindi su Clausole BGP e infine su Percorso AS. Configurare l'opzione Anteprima in base a quanto segue:

          • Anteponi come percorso. Aggiungere l'AS da aggiungere al percorso separato da virgole.

    AS path prepending configuration on SFMCImmagine 8. Percorso AS che precede la configurazione in SFMC

    Passaggio 6. Fare clic su Add, quindi su Save.

    Passaggio 7. Fare clic su Dispositivo, quindi su Gestione dispositivi e selezionare il dispositivo a cui si desidera applicare il percorso AS.

    Passaggio 8. Fare clic su Routing, IPv4 nella sezione BGP, quindi su Router adiacente.

    Passaggio 9. Fare clic sull'icona di modifica per il router adiacente secondario, quindi nella sezione Filtraggio route selezionare la mappa route dal menu a discesa nella sezione Mappa route del traffico in uscita.

    Configure AS path prepend on secondary peerImmagine 9. Configura anteporre il percorso AS al peer secondario

    Passaggio 4. Fare clic su OK, quindi su Salva.

    Configurazione su FDM

    Percorso AS anteposto al traffico in uscita nel peer secondario:

    Passaggio 1. Fare clic su Periferica, quindi su Visualizza configurazione nella sezione Configurazione avanzata.

    Passaggio 2. Fare clic su Oggetti nella sezione Smart CLI, quindi fare clic sul pulsante (+).

    Passaggio 3. Configurare l'oggetto CLI come segue:

    Configure AS path prepending object on FDMImmagine 10. Configura l'oggetto che precede l'oggetto con il percorso AS in FDM

    Passaggio 10. Scegliere OK.

    Preferenza locale per il traffico in ingresso nel peer primario:

    Passaggio 1. Fare clic su Periferica, quindi su Visualizza configurazione nella sezione Configurazione avanzata.

    Passaggio 2. Fare clic su Oggetti nella sezione Smart CLI, quindi fare clic sul pulsante (+).

    Passaggio 3. Configurare l'oggetto CLI come segue:

    Configure local preference object on FDMImmagine 11. Configura oggetto preferenza locale in FDM

    Passaggio 4. Scegliere OK.

    Configurare le route map nella configurazione BGP:

    Passaggio 1. Fare clic su Periferica, quindi su Visualizza configurazione nella sezione Instradamento.

    Passaggio 2. Fare clic su BGP, quindi sul pulsante (+) per un nuovo peer BGP o sul pulsante Modifica per il peer BGP esistente.

    Passaggio 3. Configurare l'oggetto BGP come mostrato:

    Configure BGP peers on FDMImmagine 12. Configurare i peer BGP su FDM

    Passaggio 4. Scegliere OK.

    Convalida

    Verificare che l'anteprima del percorso AS e la preferenza locale siano configurate e assegnate ai peer:



    > system support diagnostic-cli
    Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
    Type help or '?' for a list of available commands.
    firepower> enable
    Password:
    firepower#
    firepower# show route-map Local_Preference_RM
    route-map Local_Preference_RM, permit, sequence 10
      Match clauses:

      Set clauses:
        local-preference 150


    firepower# show route-map AS_Path_Perepend_RM
    route-map AS_Path_Perepend_RM, permit, sequence 10
      Match clauses:

      Set clauses:
        as-path prepend 65521 65521


    firepower# show running-config router bgp
    router bgp 65521
    bgp log-neighbor-changes
    bgp router-id 10.10.10.10
    bgp router-id vrf auto-assign
    address-family ipv4 unicast
     neighbor 10.10.10.2 remote-as 65000
     neighbor 10.10.10.2 description Primary
     neighbor 10.10.10.2 transport path-mtu-discovery disable
     neighbor 10.10.10.2 activate
     neighbor 10.10.10.2 route-map Local_Preference_RM in
     neighbor 10.10.20.2 remote-as 65000
     neighbor 10.10.20.2 description Secondary
     neighbor 10.10.20.2 transport path-mtu-discovery disable 
     neighbor 10.10.20.2 activate
     neighbor 10.10.20.2 route-map AS_Path_Perepend_RM out
     redistribute connected
     no auto-summary
     no synchronization
    exit-address-family

    Prima di convalidare la tabella di routing, cancellare i peer BGP:

    clear bgp 10.10.10.2 soft in
    clear bgp 10.10.20.2 soft out

    Nota: utilizzare il comando soft per evitare di reimpostare l'intero peer. Inviare di nuovo solo gli aggiornamenti del routing.

      

    Convalidare il traffico in uscita sul peer primario utilizzando la preferenza locale impostata in precedenza:

    firepower# show bgp
    BGP table version is 76, local router ID is10.10.10.10
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
                  r RIB-failure, S Stale, m multipath
    Origin codes: i - IGP, e - EGP, ? - incomplete

       Network          Next Hop        Metric LocPrf Weight  Path
    *  10.0.4.0/22      10.10.20.2           0             0  65000 ?
    *>                  10.10.10.2           0    150      0  65000 ?
    *  10.2.4.0/24      10.10.20.2           0             0  65000 ?
    *>                  10.10.10.2           0    150      0  65000 ?

      

    Verificare che i prefissi BGP installati nella tabella di routing provengano dal peer primario:

    firepower# show route
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF
    Gateway of last resort is not set

    B        10.0.4.0 255.255.252.0 [20/0] via 10.10.10.2, 01:04:17
    B        10.2.4.0 255.255.255.0 [20/0] via 10.10.10.2, 01:04:17


    Informazioni correlate



    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    28-Jul-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Erick Leobardo Perez
      Tecnico di consulenza tecnica sulla sicurezza Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci