Konfigurieren von eBGP HA mit SFTD/ASA und Cloud Service Provider

Download-Optionen

PDF (696.3 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (518.8 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (470.2 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:28. Juli 2023

Dokument-ID:220667

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Konfigurieren

Vorgehensweise

Konfiguration auf ASA

Konfiguration auf SFMC

Konfiguration auf FDM

Validierung

Zugehörige Informationen

Einleitung

In diesem Dokument wird die hohe Verfügbarkeit von eBGP (External Border Routing Protocol) für Verbindungen mit CSP (Cloud Service Providern) beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in diesem Thema verfügen:

BGP-Pfadauswahl

Konfigurieren

Sie haben zwei eBGP-Peers in der Firewall, um eine hohe Verfügbarkeit für den Cloud-Service-Provider zu gewährleisten. Da CSPs auf BGP-Manipulation beschränkt sind, ist die Auswahl primärer und sekundärer Peers auf CSP-Seite nicht möglich.

Diagram Bild 1. Diagramm

Vorgehensweise

Schritt 1: Bevor Sie mit der Firewall-Konfiguration beginnen, definieren Siedie von den Peers als primäres Ziel verwendet werden.

Schritt 2: Verwenden Sie eine lokale Voreinstellung von 150 (die standardmäßige lokale Voreinstellung ist 100) für den eingehenden Datenverkehr im primären Peer.

Schritt 3: Verwenden Sie das AS-Pfad-Prepend für den ausgehenden Datenverkehr im sekundären Peer.

Konfiguration auf ASA

Lokale Voreinstellung für eingehenden Datenverkehr im primären Peer:

route-map primary_peer_in permit 10
set local-preference 150

router bgp 65521
address-family ipv4 unicast
neighbor 10.10.10.2 route-map primary_peer_in in

AS-Pfad-Vorlauf für den ausgehenden Datenverkehr im sekundären Peer:

route-map secondary_peer_out permit 10
set as-path prepend 65521 65521

router bgp 65521
address-family ipv4 unicast
neighbor 10.10.20.2 route-map secondary_peer_out out

Konfiguration auf SFMC

Lokale Voreinstellung für eingehenden Datenverkehr im primären Peer:

Schritt 1: Klicken Sie auf Objekte und dann auf Routenzuordnung.

Schritt 2: Wählen Sie die Route Map aus, die Sie dem BGP-Peer zugewiesen haben, auf den die lokale Präferenz angewendet werden soll, oder fügen Sie eine neue Route Map hinzu, indem Sie auf Add Route Map klicken.

Schritt 3: Konfigurieren Sie den Namen der Routenübersicht, und klicken Sie dann im Abschnitt "Einträge" auf Hinzufügen.

Add route map on SFMC Bild 2. Routenplan auf SFMC hinzufügen

Schritt 4: Konfigurieren Sie mindestens die nächsten Grundeinstellungen:

Sequenznummer. Wählen Sie die Nummer der Sequenz aus.
Neuverteilung. Wählen Sie Zulassen aus.

Basic route map configuration on SFMC Bild 3. Grundlegende Routing-Map-Konfiguration auf dem SFMC

Schritt 5: Klicken Sie auf Klauseln festlegen, dann auf BGP-Klauseln und dann auf Andere. Legen Sie im Abschnitt "Lokale Voreinstellungen" die lokale Voreinstellung 150 fest.

Local preference configuration on SFMC Abbildung 4: Konfiguration der lokalen Voreinstellungen auf dem SFMC

Schritt 6. Klicken Sie auf Hinzufügen und dann auf Speichern.

Schritt 7: Klicken Sie auf Device (Gerät) und dann auf Device Management (Geräteverwaltung), und wählen Sie das Gerät aus, auf das die lokale Voreinstellung angewendet werden soll.

Schritt 8: Klicken Sie auf Routing, dann auf IPv4 im BGP-Abschnitt und dann auf Neighbor.

Schritt 9: Klicken Sie auf das Bearbeitungssymbol für den primären Nachbarn, und wählen Sie dann im Abschnitt Filterrouten aus dem Dropdown-Menü im Abschnitt Routenübersicht im Bereich Eingehender Datenverkehr die Routenübersicht aus.

Configure local preference on primary peer Bild 5. Lokale Voreinstellung auf primärem Peer konfigurieren

Schritt 11: Klicken Sie auf OK, und klicken Sie dann auf Speichern.

AS-Pfad-Vorlauf für den ausgehenden Datenverkehr im sekundären Peer:

Schritt 1: Klicken Sie auf Objekte und dann auf Routenzuordnung.

Schritt 2: Wählen Sie die Route Map aus, die Sie dem BGP-Peer zugewiesen haben, um das AS-Pfad-Vorfeld anzuwenden, oder fügen Sie eine neue Route Map hinzu, indem Sie auf Add Route Map klicken.

Schritt 3: Konfigurieren Sie den Namen der Routenübersicht, und klicken Sie dann im Abschnitt "Einträge" auf Hinzufügen.

Add route map on SFMC Bild 6. Routenplan auf SFMC hinzufügen

Schritt 4: Konfigurieren Sie mindestens die nächsten Grundeinstellungen:

Sequenznummer. Wählen Sie die Nummer der Sequenz aus.
Neuverteilung. Zulassen auswählen

Basic route map configuration on SFMC Bild 7. Grundlegende Routing-Map-Konfiguration auf dem SFMC

Schritt 5: Klicken Sie auf Klauseln festlegen, dann auf BGP-Klauseln und dann auf AS-Pfad. Konfigurieren Sie die Prepend-Option wie folgt:

AS-Pfad voranstellen. Fügen Sie das AS hinzu, das Sie dem Pfad durch Kommas getrennt hinzufügen möchten.

AS path prepending configuration on SFMC Bild 8. Konfiguration des AS-Pfades auf dem SFMC

Schritt 6. Klicken Sie auf Hinzufügen und dann auf Speichern.

Schritt 7: Klicken Sie auf Device (Gerät) und dann auf Device Management (Geräteverwaltung), und wählen Sie das Gerät aus, auf das der AS-Pfad angewendet werden soll.

Schritt 8: Klicken Sie auf Routing, dann auf IPv4 im BGP-Abschnitt und dann auf Neighbor.

Schritt 9: Klicken Sie auf das Bearbeitungssymbol für den sekundären Nachbarn, und wählen Sie dann im Abschnitt Filterrouten aus dem Dropdown-Menü im Abschnitt Ausgehender Verkehr im Routenplan-Abschnitt die Routenübersicht aus.

Configure AS path prepend on secondary peer Bild 9. AS-Pfadvorauswahl auf sekundärem Peer konfigurieren

Schritt 4: Klicken Sie auf OK, dann auf Speichern.

Konfiguration auf FDM

AS-Pfad-Vorlauf für den ausgehenden Datenverkehr im sekundären Peer:

Schritt 1. Klicken Sie auf Gerät und dann im Abschnitt Erweiterte Konfiguration auf Konfiguration anzeigen.

Schritt 2. Klicken Sie im Abschnitt Smart CLI auf Objects (Objekte), und klicken Sie dann auf die Schaltfläche (+).

Schritt 3: Konfigurieren Sie das CLI-Objekt wie folgt:

Configure AS path prepending object on FDM Bild 10. AS-Pfad für ausstehendes Objekt auf FDM konfigurieren

Schritt 10. Klicken Sie auf OK.

Lokale Voreinstellung für eingehenden Datenverkehr im primären Peer:

Schritt 1. Klicken Sie auf Gerät und dann im Abschnitt Erweiterte Konfiguration auf Konfiguration anzeigen.

Schritt 2. Klicken Sie im Abschnitt Smart CLI auf Objects (Objekte), und klicken Sie dann auf die Schaltfläche (+).

Schritt 3: Konfigurieren Sie das CLI-Objekt wie folgt:

Configure local preference object on FDM Bild 11. Lokales Einstellungsobjekt für FDM konfigurieren

Schritt 4: Klicken Sie auf OK.

Konfigurieren Sie die Routenzuordnungen in der BGP-Konfiguration:

Schritt 1. Klicken Sie auf Gerät und dann im Abschnitt Routing auf Konfiguration anzeigen.

Schritt 2: Klicken Sie auf BGP, und klicken Sie dann auf die Schaltfläche (+) für einen neuen BGP-Peer, oder klicken Sie auf die Schaltfläche "Bearbeiten" für den vorhandenen BGP-Peer.

Schritt 3: Konfigurieren Sie das BGP-Objekt wie folgt:

Configure BGP peers on FDM Bild 12. Konfigurieren von BGP-Peers auf FDM

Schritt 4: Klicken Sie auf OK.

Validierung

Überprüfen Sie, ob das AS-Pfad-Vorfeld und die lokalen Einstellungen konfiguriert und den Peers zugewiesen sind:

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password:
firepower#
firepower# show route-map Local_Preference_RM
route-map Local_Preference_RM, permit, sequence 10
  Match clauses:

  Set clauses:
    local-preference 150


firepower# show route-map AS_Path_Perepend_RM
route-map AS_Path_Perepend_RM, permit, sequence 10
  Match clauses:

  Set clauses:
    as-path prepend 65521 65521


firepower# show running-config router bgp
router bgp 65521
bgp log-neighbor-changes
bgp router-id 10.10.10.10
bgp router-id vrf auto-assign
address-family ipv4 unicast
 neighbor 10.10.10.2 remote-as 65000
 neighbor 10.10.10.2 description Primary
 neighbor 10.10.10.2 transport path-mtu-discovery disable
 neighbor 10.10.10.2 activate
 neighbor 10.10.10.2 route-map Local_Preference_RM in
 neighbor 10.10.20.2 remote-as 65000
 neighbor 10.10.20.2 description Secondary
 neighbor 10.10.20.2 transport path-mtu-discovery disable 
 neighbor 10.10.20.2 activate
 neighbor 10.10.20.2 route-map AS_Path_Perepend_RM out
 redistribute connected
 no auto-summary
 no synchronization
exit-address-family

Löschen Sie vor der Validierung der Routing-Tabelle die BGP-Peers:

clear bgp 10.10.10.2 soft in
clear bgp 10.10.20.2 soft out

Hinweis: Verwenden Sie den Befehl soft, um ein Zurücksetzen des gesamten Peers zu vermeiden. Senden Sie stattdessen nur die Routing-Updates erneut.

Validieren Sie den ausgehenden Datenverkehr auf dem primären Peer mit den zuvor festgelegten lokalen Einstellungen:

firepower# show bgp
BGP table version is 76, local router ID is10.10.10.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*  10.0.4.0/22      10.10.20.2           0             0  65000 ?
*>                  10.10.10.2           0    150      0  65000 ?
*  10.2.4.0/24      10.10.20.2           0             0  65000 ?
*>                  10.10.10.2           0    150      0  65000 ?

Überprüft, ob die in der Routing-Tabelle installierten BGP-Präfixe vom primären Peer stammen:

firepower# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set

B        10.0.4.0 255.255.252.0 [20/0] via 10.10.10.2, 01:04:17
B        10.2.4.0 255.255.255.0 [20/0] via 10.10.10.2, 01:04:17