Einleitung
In diesem Dokument wird die hohe Verfügbarkeit von eBGP (External Border Routing Protocol) für Verbindungen mit CSP (Cloud Service Providern) beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in diesem Thema verfügen:
Konfigurieren
Sie haben zwei eBGP-Peers in der Firewall, um eine hohe Verfügbarkeit für den Cloud-Service-Provider zu gewährleisten. Da CSPs auf BGP-Manipulation beschränkt sind, ist die Auswahl primärer und sekundärer Peers auf CSP-Seite nicht möglich.
Bild 1. Diagramm
Vorgehensweise
Schritt 1: Bevor Sie mit der Firewall-Konfiguration beginnen, definieren Siedie von den Peers als primäres Ziel verwendet werden.
Schritt 2: Verwenden Sie eine lokale Voreinstellung von 150 (die standardmäßige lokale Voreinstellung ist 100) für den eingehenden Datenverkehr im primären Peer.
Schritt 3: Verwenden Sie das AS-Pfad-Prepend für den ausgehenden Datenverkehr im sekundären Peer.
Konfiguration auf ASA
Lokale Voreinstellung für eingehenden Datenverkehr im primären Peer:
route-map primary_peer_in permit 10
set local-preference 150
router bgp 65521
address-family ipv4 unicast
neighbor 10.10.10.2 route-map primary_peer_in in
AS-Pfad-Vorlauf für den ausgehenden Datenverkehr im sekundären Peer:
route-map secondary_peer_out permit 10
set as-path prepend 65521 65521
router bgp 65521
address-family ipv4 unicast
neighbor 10.10.20.2 route-map secondary_peer_out out
Konfiguration auf SFMC
Lokale Voreinstellung für eingehenden Datenverkehr im primären Peer:
Schritt 1: Klicken Sie auf Objekte und dann auf Routenzuordnung.
Schritt 2: Wählen Sie die Route Map aus, die Sie dem BGP-Peer zugewiesen haben, auf den die lokale Präferenz angewendet werden soll, oder fügen Sie eine neue Route Map hinzu, indem Sie auf Add Route Map klicken.
Schritt 3: Konfigurieren Sie den Namen der Routenübersicht, und klicken Sie dann im Abschnitt "Einträge" auf Hinzufügen.
Bild 2. Routenplan auf SFMC hinzufügen
Schritt 4: Konfigurieren Sie mindestens die nächsten Grundeinstellungen:
- Sequenznummer. Wählen Sie die Nummer der Sequenz aus.
- Neuverteilung. Wählen Sie Zulassen aus.
Bild 3. Grundlegende Routing-Map-Konfiguration auf dem SFMC
Schritt 5: Klicken Sie auf Klauseln festlegen, dann auf BGP-Klauseln und dann auf Andere. Legen Sie im Abschnitt "Lokale Voreinstellungen" die lokale Voreinstellung 150 fest.
Abbildung 4: Konfiguration der lokalen Voreinstellungen auf dem SFMC
Schritt 6. Klicken Sie auf Hinzufügen und dann auf Speichern.
Schritt 7: Klicken Sie auf Device (Gerät) und dann auf Device Management (Geräteverwaltung), und wählen Sie das Gerät aus, auf das die lokale Voreinstellung angewendet werden soll.
Schritt 8: Klicken Sie auf Routing, dann auf IPv4 im BGP-Abschnitt und dann auf Neighbor.
Schritt 9: Klicken Sie auf das Bearbeitungssymbol für den primären Nachbarn, und wählen Sie dann im Abschnitt Filterrouten aus dem Dropdown-Menü im Abschnitt Routenübersicht im Bereich Eingehender Datenverkehr die Routenübersicht aus.
Bild 5. Lokale Voreinstellung auf primärem Peer konfigurieren
Schritt 11: Klicken Sie auf OK, und klicken Sie dann auf Speichern.
AS-Pfad-Vorlauf für den ausgehenden Datenverkehr im sekundären Peer:
Schritt 1: Klicken Sie auf Objekte und dann auf Routenzuordnung.
Schritt 2: Wählen Sie die Route Map aus, die Sie dem BGP-Peer zugewiesen haben, um das AS-Pfad-Vorfeld anzuwenden, oder fügen Sie eine neue Route Map hinzu, indem Sie auf Add Route Map klicken.
Schritt 3: Konfigurieren Sie den Namen der Routenübersicht, und klicken Sie dann im Abschnitt "Einträge" auf Hinzufügen.
Bild 6. Routenplan auf SFMC hinzufügen
Schritt 4: Konfigurieren Sie mindestens die nächsten Grundeinstellungen:
- Sequenznummer. Wählen Sie die Nummer der Sequenz aus.
- Neuverteilung. Zulassen auswählen
Bild 7. Grundlegende Routing-Map-Konfiguration auf dem SFMC
Schritt 5: Klicken Sie auf Klauseln festlegen, dann auf BGP-Klauseln und dann auf AS-Pfad. Konfigurieren Sie die Prepend-Option wie folgt:
- AS-Pfad voranstellen. Fügen Sie das AS hinzu, das Sie dem Pfad durch Kommas getrennt hinzufügen möchten.
Bild 8. Konfiguration des AS-Pfades auf dem SFMC
Schritt 6. Klicken Sie auf Hinzufügen und dann auf Speichern.
Schritt 7: Klicken Sie auf Device (Gerät) und dann auf Device Management (Geräteverwaltung), und wählen Sie das Gerät aus, auf das der AS-Pfad angewendet werden soll.
Schritt 8: Klicken Sie auf Routing, dann auf IPv4 im BGP-Abschnitt und dann auf Neighbor.
Schritt 9: Klicken Sie auf das Bearbeitungssymbol für den sekundären Nachbarn, und wählen Sie dann im Abschnitt Filterrouten aus dem Dropdown-Menü im Abschnitt Ausgehender Verkehr im Routenplan-Abschnitt die Routenübersicht aus.
Bild 9. AS-Pfadvorauswahl auf sekundärem Peer konfigurieren
Schritt 4: Klicken Sie auf OK, dann auf Speichern.
Konfiguration auf FDM
AS-Pfad-Vorlauf für den ausgehenden Datenverkehr im sekundären Peer:
Schritt 1. Klicken Sie auf Gerät und dann im Abschnitt Erweiterte Konfiguration auf Konfiguration anzeigen.
Schritt 2. Klicken Sie im Abschnitt Smart CLI auf Objects (Objekte), und klicken Sie dann auf die Schaltfläche (+).
Schritt 3: Konfigurieren Sie das CLI-Objekt wie folgt:
Bild 10. AS-Pfad für ausstehendes Objekt auf FDM konfigurieren
Schritt 10. Klicken Sie auf OK.
Lokale Voreinstellung für eingehenden Datenverkehr im primären Peer:
Schritt 1. Klicken Sie auf Gerät und dann im Abschnitt Erweiterte Konfiguration auf Konfiguration anzeigen.
Schritt 2. Klicken Sie im Abschnitt Smart CLI auf Objects (Objekte), und klicken Sie dann auf die Schaltfläche (+).
Schritt 3: Konfigurieren Sie das CLI-Objekt wie folgt:
Bild 11. Lokales Einstellungsobjekt für FDM konfigurieren
Schritt 4: Klicken Sie auf OK.
Konfigurieren Sie die Routenzuordnungen in der BGP-Konfiguration:
Schritt 1. Klicken Sie auf Gerät und dann im Abschnitt Routing auf Konfiguration anzeigen.
Schritt 2: Klicken Sie auf BGP, und klicken Sie dann auf die Schaltfläche (+) für einen neuen BGP-Peer, oder klicken Sie auf die Schaltfläche "Bearbeiten" für den vorhandenen BGP-Peer.
Schritt 3: Konfigurieren Sie das BGP-Objekt wie folgt:
Bild 12. Konfigurieren von BGP-Peers auf FDM
Schritt 4: Klicken Sie auf OK.
Validierung
Überprüfen Sie, ob das AS-Pfad-Vorfeld und die lokalen Einstellungen konfiguriert und den Peers zugewiesen sind:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password:
firepower#
firepower# show route-map Local_Preference_RM
route-map Local_Preference_RM, permit, sequence 10
Match clauses:
Set clauses:
local-preference 150
firepower# show route-map AS_Path_Perepend_RM
route-map AS_Path_Perepend_RM, permit, sequence 10
Match clauses:
Set clauses:
as-path prepend 65521 65521
firepower# show running-config router bgp
router bgp 65521
bgp log-neighbor-changes
bgp router-id 10.10.10.10
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 10.10.10.2 remote-as 65000
neighbor 10.10.10.2 description Primary
neighbor 10.10.10.2 transport path-mtu-discovery disable
neighbor 10.10.10.2 activate
neighbor 10.10.10.2 route-map Local_Preference_RM in
neighbor 10.10.20.2 remote-as 65000
neighbor 10.10.20.2 description Secondary
neighbor 10.10.20.2 transport path-mtu-discovery disable
neighbor 10.10.20.2 activate
neighbor 10.10.20.2 route-map AS_Path_Perepend_RM out
redistribute connected
no auto-summary
no synchronization
exit-address-family
Löschen Sie vor der Validierung der Routing-Tabelle die BGP-Peers:
clear bgp 10.10.10.2 soft in
clear bgp 10.10.20.2 soft out
Hinweis: Verwenden Sie den Befehl soft, um ein Zurücksetzen des gesamten Peers zu vermeiden. Senden Sie stattdessen nur die Routing-Updates erneut.
Validieren Sie den ausgehenden Datenverkehr auf dem primären Peer mit den zuvor festgelegten lokalen Einstellungen:
firepower# show bgp
BGP table version is 76, local router ID is10.10.10.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
* 10.0.4.0/22 10.10.20.2 0 0 65000 ?
*> 10.10.10.2 0 150 0 65000 ?
* 10.2.4.0/24 10.10.20.2 0 0 65000 ?
*> 10.10.10.2 0 150 0 65000 ?
Überprüft, ob die in der Routing-Tabelle installierten BGP-Präfixe vom primären Peer stammen:
firepower# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set
B 10.0.4.0 255.255.252.0 [20/0] via 10.10.10.2, 01:04:17
B 10.2.4.0 255.255.255.0 [20/0] via 10.10.10.2, 01:04:17
Zugehörige Informationen