使用SFTD/ASA和雲服務提供商配置eBGP HA

簡介

本檔案介紹使用外部邊界路由通訊協定(eBGP)與雲服務供應商(CSP)建立連線的高可用性。

必要條件

需求

思科建議您瞭解以下主題：

• BGP路徑選取

設定

防火牆上有兩個eBGP對等點，可為雲服務提供商提供高可用性。由於CSP僅限於BGP操作，因此無法從CSP端選擇主要和輔助對等體。

圖1.圖表

程式

步驟1。 在開始配置防火牆之前，請定義哪個對等體用作主對等體。

步驟2.對主要對等體中的傳入流量使用本地首選項150（預設本地首選項為100）。

步驟3.使用輔助對等體中的傳出流量前面的AS路徑。

ASA上的配置

主要對等體中的傳入流量的本地優先順序：

route-map primary_peer_in permit 10
set local-preference 150

router bgp 65521
address-family ipv4 unicast
neighbor 10.10.10.2 route-map primary_peer_in in

輔助對等體中的傳出流量前面的AS路徑：

route-map secondary_peer_out permit 10
set as-path prepend 65521 65521

router bgp 65521
address-family ipv4 unicast
neighbor 10.10.20.2 route-map secondary_peer_out out

SFMC上的配置

主要對等體中的傳入流量的本地優先順序：

步驟1。按一下Objects，然後按一下Route Map。

步驟2.選擇已分配給BGP對等體的路由對映，以應用本地首選項，或通過點選Add Route Map新增新路由對映。

步驟3.配置路由對映的名稱，然後點選Entries部分下的Add。

圖2.在SFMC上新增路由對映

步驟4.至少配置下一個基本設定：

• 序號。選擇序號的編號。
• 再分發。選擇Allow。

圖3.SFMC上的基本路由對映配置

步驟5. 按一下Set Clauses、BGP Clauses、Others。在Local Preference部分中設定本地首選項150。

圖4.SFMC上的本地首選項配置

步驟6.按一下Add，然後Save。

步驟7. 按一下Device，然後按一下Device Management，選擇要應用本機優先順序的裝置。

步驟8.在BGP區段中按一下Routing ，然後按一下IPv4，然後按一下Neighbor。

步驟9.單擊主鄰居的編輯圖示，然後在Filtering Routes部分上，從Incoming traffic in the Route Map部分的下拉選單中選擇路由對映。

圖5.在主對等體上配置本地首選項

步驟11。按一下OK，然後Save。

輔助對等體中的傳出流量前面的AS路徑：

步驟1。按一下Objects，然後按一下Route Map。

步驟2.選擇已分配給BGP對等體的路由對映，以應用預置的AS路徑，或通過點選Add Route Map新增新路由對映。

步驟3.配置路由對映的名稱，然後點選Entries部分下的Add。

圖6.在SFMC上新增路由對映

步驟4.至少配置下一個基本設定：

• 序號。選擇序號的編號
• 再分發。選擇Allow

圖7.SFMC上的基本路由對映配置

步驟5. 按一下Set Clauses、BGP Clauses、AS Path。根據以下內容配置預置選項：

• 預置AS路徑。將要新增的AS新增到以逗號分隔的路徑中。

圖8.SFMC上的AS路徑預置配置

步驟6.按一下Add，然後Save。

步驟7. 按一下Device，然後Device Management，選擇要應用AS路徑前置的裝置。

步驟8.在BGP區段中按一下Routing ，然後按一下IPv4，然後按一下Neighbor。

步驟9.單擊輔助鄰居的編輯圖示，然後在Filtering Routes部分，從Outgoing traffic in the Route Map部分的下拉選單中選擇路由對映。

圖9.在輔助對等體上配置AS路徑

步驟4.按一下OK，然後Save。

FDM上的配置

輔助對等體中的傳出流量前面的AS路徑：

步驟1。按一下Device，然後在Advanced Configuration部分中按一下View Configuration。

步驟2.在Smart CLI部分單擊Objects，然後點選(+)按鈕。

步驟3.按如下所示配置CLI對象：

圖10.在FDM上配置AS路徑預掛對象

步驟10.按一下OK。

主要對等體中的傳入流量的本地優先順序：

步驟1。按一下Device，然後在Advanced Configuration部分中按一下View Configuration。

步驟2.在Smart CLI部分單擊Objects，然後點選(+)按鈕。

步驟3.按如下所示配置CLI對象：

圖11.在FDM上配置本地首選項對象

步驟4.按一下OK。

將路由對映配置到BGP配置：

步驟1. 按一下Device，然後按一下「Routing 」部分中的View Configuration。

步驟2. 按一下BGP，然後按一下新BGP對等體的(+)按鈕，或按一下現有BGP對等體的「編輯」按鈕。

步驟3. 設定BGP對象，如下所示：

圖12.在FDM上配置BGP對等體

步驟4.按一下OK。

驗證

驗證AS路徑預置和本地首選項已配置並分配給對等體：

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password:
firepower#
firepower# show route-map Local_Preference_RM
route-map Local_Preference_RM, permit, sequence 10
  Match clauses:

  Set clauses:
    local-preference 150


firepower# show route-map AS_Path_Perepend_RM
route-map AS_Path_Perepend_RM, permit, sequence 10
  Match clauses:

  Set clauses:
    as-path prepend 65521 65521


firepower# show running-config router bgp
router bgp 65521
bgp log-neighbor-changes
bgp router-id 10.10.10.10
bgp router-id vrf auto-assign
address-family ipv4 unicast
 neighbor 10.10.10.2 remote-as 65000
 neighbor 10.10.10.2 description Primary
 neighbor 10.10.10.2 transport path-mtu-discovery disable
 neighbor 10.10.10.2 activate
 neighbor 10.10.10.2 route-map Local_Preference_RM in
 neighbor 10.10.20.2 remote-as 65000
 neighbor 10.10.20.2 description Secondary
 neighbor 10.10.20.2 transport path-mtu-discovery disable 
 neighbor 10.10.20.2 activate
 neighbor 10.10.20.2 route-map AS_Path_Perepend_RM out
 redistribute connected
 no auto-summary
 no synchronization
exit-address-family

在驗證路由表之前，請清除BGP對等體：

clear bgp 10.10.10.2 soft in
clear bgp 10.10.20.2 soft out

注意：使用soft命令可避免重置整個對等體，而是僅重新傳送路由更新。

  

使用先前設定的本地首選項驗證主對等體上的傳出流量：

firepower# show bgp
BGP table version is 76, local router ID is10.10.10.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*  10.0.4.0/22      10.10.20.2           0             0  65000 ?
*>                  10.10.10.2           0    150      0  65000 ?
*  10.2.4.0/24      10.10.20.2           0             0  65000 ?
*>                  10.10.10.2           0    150      0  65000 ?

  

驗證路由表中安裝的BGP字首是否來自主要對等體：

firepower# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set

B        10.0.4.0 255.255.252.0 [20/0] via 10.10.10.2, 01:04:17
B        10.2.4.0 255.255.255.0 [20/0] via 10.10.10.2, 01:04:17

相關資訊

• 思科技術支援與下載