SFTD/ASAおよびクラウドサービスプロバイダーを使用したeBGP HAの設定

ダウンロード オプション

  • PDF     (750.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (514.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (466.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 7 月 28 日
Document ID:220667

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、クラウドサービスプロバイダー(CSP)との接続に外部ボーダールーティングプロトコル(eBGP)を使用するハイアベイラビリティについて説明します。

    前提条件

    要件

    次の項目に関する専門知識があることが推奨されます。

    設定

    クラウドサービスプロバイダーに対するハイアベイラビリティのために、ファイアウォール上に2つのeBGPピアがある。CSPはBGP操作に制限されているため、CSP側からプライマリピアとセカンダリピアを選択することはできません。

    Diagram画像 1.図

    手順

    ステップ 1: ファイアウォールの設定を開始する前に、どのピアをプライマリとして使用するか。

    ステップ2:プライマリピアの着信トラフィックにローカルプリファレンス150(デフォルトのローカルプリファレンスは100)を使用します。

    手順3:セカンダリピアで発信トラフィックにASパスの付加を使用する。

    ASAでの設定

    プライマリピアの着信トラフィックのローカルプリファレンス:

    route-map primary_peer_in permit 10
    set local-preference 150

    router bgp 65521
    address-family ipv4 unicast
    neighbor 10.10.10.2 route-map primary_peer_in in

    セカンダリピアで発信トラフィックに対してASパスが付加されます。

    route-map secondary_peer_out permit 10
    set as-path prepend 65521 65521

    router bgp 65521
    address-family ipv4 unicast
    neighbor 10.10.20.2 route-map secondary_peer_out out

    SFMCでの設定

    プライマリピアの着信トラフィックのローカルプリファレンス:

    ステップ1:Objectsをクリックしてから、Route Mapをクリックします。

    ステップ2:ローカルプリファレンスを適用するBGPピアに割り当てたルートマップを選択するか、Add Route Mapをクリックして新しいルートマップを追加します。

    ステップ3:ルートマップの名前を設定し、Entriesセクションの下のAddをクリックします。

    Add route map on SFMC画像 2.SFMCでのルートマップの追加

    ステップ4:少なくとも次の基本設定を行います。

          • 順序番号順序の番号を選択します。
          • 再配布.Allowを選択します。

    Basic route map configuration on SFMC画像 3.SFMCでの基本的なルートマップ設定

    ステップ5:Set Clauses、BGP ClausesOthersの順にクリックします。Local Preferenceセクションで、ローカルプリファレンスを150に設定します。

    Local preference configuration on SFMC図 4.SFMCでのローカルプリファレンスの設定

    ステップ6:Addをクリックし、次にSaveをクリックします。

    ステップ7:DeviceDevice Managementの順にクリックし、ローカルプリファレンスを適用するデバイスを選択します。

    ステップ8:BGPセクションでRouting、IPv4、Neighborの順にクリックします。

    ステップ9:プライマリネイバーの編集アイコンをクリックし、Filtering Routesセクションで、Route MapセクションのIncoming trafficにあるドロップダウンメニューからルートマップを選択します。

    Configure local preference on primary peer図 5.プライマリピアのローカルプリファレンスの設定

    ステップ11:OKSaveの順にクリックします。

    セカンダリピアで発信トラフィックに対してASパスが付加されます。

    ステップ1:Objectsをクリックしてから、Route Mapをクリックします。

    ステップ2:BGPピアに割り当てたルートマップを選択してASパスプリペンドを適用するか、またはAdd Route Mapをクリックして新しいルートマップを追加します。

    ステップ3:ルートマップの名前を設定し、Entriesセクションの下のAddをクリックします。

    Add route map on SFMC図 6.SFMCでのルートマップの追加

    ステップ4:少なくとも次の基本設定を行います。

          • 順序番号順序の番号を選択します
          • 再配布.Allowを選択します。

    Basic route map configuration on SFMC図 7.SFMCでの基本的なルートマップ設定

    ステップ5:Set Clauses、BGP ClausesAS Pathの順にクリックします。次に基づいて、prependオプションを設定します。

          • ASパスを付加します。パスに追加するASをカンマで区切って追加します。

    AS path prepending configuration on SFMC図 8.SFMCでのASパスプリペンド設定

    ステップ6:Addをクリックし、次にSaveをクリックします。

    ステップ7:DeviceDevice Managementの順にクリックし、ASパスの付加を適用するデバイスを選択します。

    ステップ8:BGPセクションでRouting、IPv4、Neighborの順にクリックします。

    ステップ9:セカンダリネイバーの編集アイコンをクリックし、Filtering Routesセクションで、Outgoing traffic in the Route Mapセクションのドロップダウンメニューからルートマップを選択します。

    Configure AS path prepend on secondary peer図 9.セカンダリピアでASパスの付加を設定する

    ステップ4:OKSaveの順にクリックします。

    FDMでの構成

    セカンダリピアで発信トラフィックに対してASパスが付加されます。

    ステップ1:Device をクリックし、次にAdvanced Configuration セクションでView Configuration をクリックします。

    ステップ2:Smart CLIセクションのObjectsをクリックしてから、(+)ボタンをクリックします。

    ステップ3:CLIオブジェクトを次のように設定します。

    Configure AS path prepending object on FDM図 10.FDMでASパスのプリペンドオブジェクトを構成します

    ステップ 10:[OK] をクリックします。

    プライマリピアの着信トラフィックのローカルプリファレンス:

    ステップ1:Device をクリックし、次にAdvanced Configuration セクションでView Configuration をクリックします。

    ステップ2:Smart CLIセクションのObjectsをクリックしてから、(+)ボタンをクリックします。

    ステップ3:CLIオブジェクトを次のように設定します。

    Configure local preference object on FDM図 11.FDMでのローカル・プリファレンス・オブジェクトの構成

    手順 4:[OK] をクリックします。

    BGP設定にルートマップを設定します。

    ステップ1:Device をクリックしてから、Routing セクションのView Configuration をクリックします。

    ステップ2:BGPをクリックし、新しいBGPピアの(+)ボタンをクリックするか、既存のBGPピアのEditボタンをクリックします。

    ステップ3:次に示すようにBGPオブジェクトを設定します。

    Configure BGP peers on FDM図 12.FDMでのBGPピアの設定

    手順 4:[OK] をクリックします。

    検証

    ASパスプリペンドとローカルプリファレンスが設定され、ピアに割り当てられていることを確認します。



    > system support diagnostic-cli
    Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
    Type help or '?' for a list of available commands.
    firepower> enable
    Password:
    firepower#
    firepower# show route-map Local_Preference_RM
    route-map Local_Preference_RM, permit, sequence 10
      Match clauses:

      Set clauses:
        local-preference 150


    firepower# show route-map AS_Path_Perepend_RM
    route-map AS_Path_Perepend_RM, permit, sequence 10
      Match clauses:

      Set clauses:
        as-path prepend 65521 65521


    firepower# show running-config router bgp
    router bgp 65521
    bgp log-neighbor-changes
    bgp router-id 10.10.10.10
    bgp router-id vrf auto-assign
    address-family ipv4 unicast
     neighbor 10.10.10.2 remote-as 65000
     neighbor 10.10.10.2 description Primary
     neighbor 10.10.10.2 transport path-mtu-discovery disable
     neighbor 10.10.10.2 activate
     neighbor 10.10.10.2 route-map Local_Preference_RM in
     neighbor 10.10.20.2 remote-as 65000
     neighbor 10.10.20.2 description Secondary
     neighbor 10.10.20.2 transport path-mtu-discovery disable 
     neighbor 10.10.20.2 activate
     neighbor 10.10.20.2 route-map AS_Path_Perepend_RM out
     redistribute connected
     no auto-summary
     no synchronization
    exit-address-family

    ルーティングテーブルを検証する前に、BGPピアをクリアします。

    clear bgp 10.10.10.2 soft in
    clear bgp 10.10.20.2 soft out

    :ピア全体がリセットされないようにするには、コマンドsoftを使用します。代わりに、ルーティングアップデートのみを再送信します。

      

    先ほど設定したlocal preferenceを使用して、プライマリピアの発信トラフィックを検証します。

    firepower# show bgp
    BGP table version is 76, local router ID is10.10.10.10
    Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
                  r RIB-failure, S Stale, m multipath
    Origin codes: i - IGP, e - EGP, ? - incomplete

       Network          Next Hop        Metric LocPrf Weight  Path
    *  10.0.4.0/22      10.10.20.2           0             0  65000 ?
    *>                  10.10.10.2           0    150      0  65000 ?
    *  10.2.4.0/24      10.10.20.2           0             0  65000 ?
    *>                  10.10.10.2           0    150      0  65000 ?

      

    ルーティングテーブルにインストールされているBGPプレフィックスがプライマリピアから到達していることを確認します。

    firepower# show route
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF
    Gateway of last resort is not set

    B        10.0.4.0 255.255.252.0 [20/0] via 10.10.10.2, 01:04:17
    B        10.2.4.0 255.255.255.0 [20/0] via 10.10.10.2, 01:04:17


    関連情報



    更新履歴

    改定 発行日 コメント
    1.0
    28-Jul-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • Erick Leobardo Perez
      シスコセキュリティテクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ