eBGP HA configureren met SFTD/ASA en Cloud-serviceprovider

Downloadopties

  • PDF     (693.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (518.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (468.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:28 juli 2023
Document-id:220667

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de hoge beschikbaarheid beschreven van het gebruik van External Border Routing Protocol (eBGP) voor verbindingen met Cloud Service Provider (CSP).

    Voorwaarden

    Vereisten

    Cisco raadt u aan bekend te zijn met dit onderwerp:

    Configureren

    U hebt twee eBGP-peers op de firewall voor hoge beschikbaarheid voor de Cloud Service Provider. Aangezien CSP’s zich beperken tot BGP-manipulatie, is het niet mogelijk om primaire en secundaire peers te kiezen aan de CSP-zijde.

    DiagramAfbeelding 1. Diagram

    Procedure

    Stap 1. Alvorens met de firewallconfiguratie te beginnen, bepaaldie door vakgenoten als de belangrijkste worden gebruikt.

    Stap 2. Gebruik een lokale voorkeur van 150 (de standaard lokale voorkeur is 100) voor het inkomende verkeer in de primaire peer.

    Stap 3. Gebruik het AS-pad voor het uitgaande verkeer in de secundaire peer.

    Configuratie op ASA

    Lokale voorkeur voor het inkomende verkeer in primaire peer:

    route-map primary_peer_in permit 10
    set local-preference 150

    router bgp 65521
    address-family ipv4 unicast
    neighbor 10.10.10.2 route-map primary_peer_in in

    AS-pad voor uitgaand verkeer in secundaire peer:

    route-map secondary_peer_out permit 10
    set as-path prepend 65521 65521

    router bgp 65521
    address-family ipv4 unicast
    neighbor 10.10.20.2 route-map secondary_peer_out out

    Configuratie op SFMC

    Lokale voorkeur voor het inkomende verkeer in primaire peer:

    Stap 1. Klik op Objecten en klik vervolgens op Routekaart.

    Stap 2. Selecteer de routekaart die u aan de BGP-peer hebt toegewezen, waar u de lokale voorkeur wilt toepassen of een nieuwe routekaart wilt toevoegen door op Routekaart toevoegen te klikken.

    Stap 3. Configureer de naam van de routekaart en klik vervolgens op Toevoegen onder de sectie Vermeldingen.

    Add route map on SFMCAfbeelding 2. Routebeschrijving op SFMC toevoegen

    Stap 4. Minimaal de volgende basisinstellingen configureren:

          • Volgnummer. Selecteer het nummer van de reeks.
          • Herdistributie. Selecteer Toestaan.

    Basic route map configuration on SFMCAfbeelding 3. Basisconfiguratie van routekaart op SFMC

    Stap 5. Klik op Bepalingen instellen, dan op BGP-bepalingen en vervolgens op Andere. Stel de lokale voorkeur van 150 in in het gedeelte Lokale voorkeur.

    Local preference configuration on SFMCAfbeelding 4. Lokale voorkeurconfiguratie op SFMC

    Stap 6. Klik op Add, en vervolgens op Save.

    Stap 7. Klik op Apparaat, vervolgens op Apparaatbeheer en selecteer het apparaat dat u de lokale voorkeur wilt toepassen.

    Stap 8. Klik op Routing, dan op IPv4 in het BGP-gedeelte en vervolgens op Neighbour.

    Stap 9. Klik op het pictogram bewerken voor de primaire buur en selecteer vervolgens in het gedeelte Filtering Routes de routekaart in het vervolgkeuzemenu in het inkomende verkeer in het gedeelte Routekaart.

    Configure local preference on primary peerAfbeelding 5. Configureer de lokale voorkeur op primaire peer

    Stap 1. Klik op OK, en vervolgens op Opslaan.

    AS-pad voor uitgaand verkeer in secundaire peer:

    Stap 1. Klik op Objecten en klik vervolgens op Routekaart.

    Stap 2. Selecteer de routekaart die u aan de BGP-peer hebt toegewezen om het AS-pad toe te passen en voeg een nieuwe routekaart toe door op Routekaart toevoegen te klikken.

    Stap 3. Configureer de naam van de routekaart en klik vervolgens op Toevoegen onder de sectie Vermeldingen.

    Add route map on SFMCAfbeelding 6. Routebeschrijving op SFMC toevoegen

    Stap 4. Minimaal de volgende basisinstellingen configureren:

          • Volgnummer. Selecteer het nummer van de reeks
          • Herdistributie. Selecteer Toestaan

    Basic route map configuration on SFMCAfbeelding 7. Basisconfiguratie van routekaart op SFMC

    Stap 5. Klik op Bepalingen instellen, dan op BGP-bepalingen en vervolgens als pad. Configureer de optie prepend op basis hiervan:

          • Vooraf tekenen als pad. Voeg het AS toe dat u wilt toevoegen aan het pad, gescheiden door komma's.

    AS path prepending configuration on SFMCAfbeelding 8. AS-pad, configuratie vooraf op SFMC

    Stap 6. Klik op Add, en vervolgens op Save.

    Stap 7. Klik op Apparaat, dan op Apparaatbeheer en selecteer het apparaat dat u wilt toepassen als pad prepend.

    Stap 8. Klik op Routing, dan op IPv4 in het BGP-gedeelte en vervolgens op Neighbour.

    Stap 9. Klik op het pictogram bewerken voor de secundaire buur en selecteer vervolgens in het gedeelte Filtering Routes de routekaart in het vervolgkeuzemenu in het gedeelte Uitgaand verkeer in de routekaart.

    Configure AS path prepend on secondary peerAfbeelding 9. Configureer AS-pad prepend op secundaire peer

    Stap 4. Klik op OK, en vervolgens op Opslaan.

    Configuratie op FDM

    AS-pad voor uitgaand verkeer in secundaire peer:

    Stap 1. Klik op Apparaat en klik vervolgens op Configuratie bekijken in de sectie Geavanceerde configuratie.

    Stap 2. Klik op Objecten in de sectie Smart CLI en klik vervolgens op de knop (+).

    Stap 3. Configureer het CLI-object als volgt:

    Configure AS path prepending object on FDMAfbeelding 10. AS-pad configureren met voorliggend object op FDM

    Stap 10. Klik op OK.

    Lokale voorkeur voor het inkomende verkeer in primaire peer:

    Stap 1. Klik op Apparaat en klik vervolgens op Configuratie bekijken in de sectie Geavanceerde configuratie.

    Stap 2. Klik op Objecten in de sectie Smart CLI en klik vervolgens op de knop (+).

    Stap 3. Configureer het CLI-object als volgt:

    Configure local preference object on FDMAfbeelding 11. Configureer het lokale voorkeursobject op FDM

    Stap 4. Klik op OK.

    Configureer de routekaarten in de BGP-configuratie:

    Stap 1. Klik op Apparaat en klik vervolgens op Configuratie weergeven in de sectie Routing.

    Stap 2. Klik op BGP, klik vervolgens op de knop (+) voor een nieuwe BGP-peer of klik op de bewerkingsknop voor de bestaande BGP-peer.

    Stap 3. Het BGP-object configureren zoals aangegeven in de afbeelding:

    Configure BGP peers on FDMAfbeelding 12. BGP-peers op FDM configureren

    Stap 4. Klik op OK.

    Validatie

    Validate the AS path prepend en de lokale voorkeur wordt geconfigureerd en aan de peers toegewezen:



    > system support diagnostic-cli
    Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
    Type help or '?' for a list of available commands.
    firepower> enable
    Password:
    firepower#
    firepower# show route-map Local_Preference_RM
    route-map Local_Preference_RM, permit, sequence 10
      Match clauses:

      Set clauses:
        local-preference 150


    firepower# show route-map AS_Path_Perepend_RM
    route-map AS_Path_Perepend_RM, permit, sequence 10
      Match clauses:

      Set clauses:
        as-path prepend 65521 65521


    firepower# show running-config router bgp
    router bgp 65521
    bgp log-neighbor-changes
    bgp router-id 10.10.10.10
    bgp router-id vrf auto-assign
    address-family ipv4 unicast
     neighbor 10.10.10.2 remote-as 65000
     neighbor 10.10.10.2 description Primary
     neighbor 10.10.10.2 transport path-mtu-discovery disable
     neighbor 10.10.10.2 activate
     neighbor 10.10.10.2 route-map Local_Preference_RM in
     neighbor 10.10.20.2 remote-as 65000
     neighbor 10.10.20.2 description Secondary
     neighbor 10.10.20.2 transport path-mtu-discovery disable 
     neighbor 10.10.20.2 activate
     neighbor 10.10.20.2 route-map AS_Path_Perepend_RM out
     redistribute connected
     no auto-summary
     no synchronization
    exit-address-family

    Alvorens de routeringstabel te valideren, verwijdert u de BGP-peers:

    clear bgp 10.10.10.2 soft in
    clear bgp 10.10.20.2 soft out

    Opmerking: Gebruik de opdracht soft om te voorkomen dat de gehele peer opnieuw wordt ingesteld, maar verstuur de routingupdates alleen opnieuw.

      

    Bevestig het uitgaande verkeer op de primaire peer met behulp van de lokale voorkeur die u eerder hebt ingesteld:

    firepower# show bgp
    BGP table version is 76, local router ID is10.10.10.10
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
                  r RIB-failure, S Stale, m multipath
    Origin codes: i - IGP, e - EGP, ? - incomplete

       Network          Next Hop        Metric LocPrf Weight  Path
    *  10.0.4.0/22      10.10.20.2           0             0  65000 ?
    *>                  10.10.10.2           0    150      0  65000 ?
    *  10.2.4.0/24      10.10.20.2           0             0  65000 ?
    *>                  10.10.10.2           0    150      0  65000 ?

      

    Bevestig de prefixes BGP die op uw routeringstabel zijn geïnstalleerd uit de primaire peer komen:

    firepower# show route
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF
    Gateway of last resort is not set

    B        10.0.4.0 255.255.252.0 [20/0] via 10.10.10.2, 01:04:17
    B        10.2.4.0 255.255.255.0 [20/0] via 10.10.10.2, 01:04:17


    Gerelateerde informatie



    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    28-Jul-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Erick Leobardo Perez
      Cisco Security technische consultingengineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco