Configureer eBGP met Loopback-interface op beveiligde firewall

Downloadopties

  • PDF     (1.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (915.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:22 juli 2024
Document-id:222175

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u eBGP kunt configureren met behulp van een Loopback-interface in de Cisco Secure Firewall.

    Voorwaarden

    Vereisten

    Cisco raadt u aan bekend te zijn met dit onderwerp:

    • BGP-protocol

    Ondersteuning van Loopback-interface voor BGP is geïntroduceerd in versie 7.4.0, de minimumversie die vereist is voor Secure Firewall Management Center en Cisco Secure Firepower Threat Defence.

    Gebruikte componenten

    • Secure Firewall Management Center voor VMware versie 7.4.1
    • 2 Cisco Secure Firepower Threat Defence voor VMware versie 7.4.1

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    BGP is een gestandaardiseerd pad-vector routingprotocol (EGP) voor Exterior Gateway Protocol (BGP) dat schaalbaarheid, flexibiliteit en netwerkstabiliteit biedt. De BGP-sessie tussen twee peers met hetzelfde Autonomous System (AS) wordt Internal BGP (iBGP) genoemd. Een BGP-sessie tussen twee peers met verschillende Autonomous Systems (AS) wordt Externe BGP (eBGP) genoemd.

    Meestal wordt de peer-relatie ingesteld met het IP-adres van de interface die het dichtst bij de peer staat, maar het gebruik van een Loopback-interface om de BGP-sessie op te zetten is nuttig omdat het de BGP-sessie niet omlaag brengt wanneer er meerdere paden zijn tussen BGP-peers.

    Opmerking: Het proces beschrijft het gebruik van een Loopkack voor een eBGP-peer, maar het is hetzelfde proces voor een iBGP-peer, zodat het als referentie kan worden gebruikt.

    eBGP-configuratie met een terugkoppelingsinterface

    Scenario

    In deze configuratie heeft Firewall SFTD-1 een Loopback-interface met het IP-adres 10.1.1.1/32 en het AS-64000, heeft de Firewall SFTD-2 een Loopback-interface met het IP-adres 10.2.2.2/32 en het AS-64001. Beide firewalls gebruiken hun buiteninterface om de Loopback-interface van de andere firewall te bereiken (in dit scenario is de buiteninterface op beide firewalls vooraf geconfigureerd).

    Netwerkdiagram

    Het netwerk in dit document is als volgt opgebouwd:

    Afbeelding 1. Schema van het scenarioAfbeelding 1. Schema van het scenario

    Terugbelconfiguratie

    Stap 1. Klik op Apparaten > Apparaatbeheer en selecteer vervolgens het apparaat waarop u de terugbelverbinding wilt configureren.

    Stap 2. Klik op Interfaces > Alle interfaces.

    Stap 3. Klik op Add Interface > Loopback Interface.

    Afbeelding 2. Interfaceloopback toevoegenAfbeelding 2. Interfaceloopback toevoegen

    Stap 4. In de Algemene sectie, vorm de naam van Loopback, controleer het Toegelaten vakje, en vorm Loopback ID.

    Afbeelding 3. Basisconfiguratie van loopback-interfaceAfbeelding 3. Basisconfiguratie van loopback-interface

    Stap 5. Selecteer in het gedeelte IPv4 de optie Statische IP gebruiken in het gedeelte IP-type, configureer de loopback-IP en klik vervolgens op OK om de wijzigingen op te slaan.

    Afbeelding 4. Configuratie van IP-adres voor terugbellenAfbeelding 4. Configuratie van IP-adres voor terugbellen

    Stap 6. Klik op Save (Opslaan).

    Afbeelding 5. De configuratie van de Loopback-interface opslaanAfbeelding 5. De configuratie van de Loopback-interface opslaan

    Stap 7. Herhaal het proces met de tweede firewall.

    Afbeelding 6. Configuratie van Loopback-interface op peerAfbeelding 6. Configuratie van Loopback-interface op peer

    Statische routeconfiguratie

    Een statische route moet worden geconfigureerd om ervoor te zorgen dat het externe peer-adres (Loopback) dat wordt gebruikt voor peering bereikbaar is via de gewenste interface.

    Stap 1. Klik op Apparaten > Apparaatbeheer en selecteer vervolgens het apparaat dat u de statische route wilt configureren.

    Stap 2. Klik op Routing > Virtual Routers beheren > Static Route en klik vervolgens op Add Route.

    Afbeelding 7. Nieuwe statische route toevoegenAfbeelding 7. Nieuwe statische route toevoegen

    Stap 3. Controleer IPv4 op Type. Selecteer de fysieke interface die wordt gebruikt om de Loopback van de externe peer in de interfaceoptie te bereiken en specificeer vervolgens de volgende hop om de Loopback in de sectie Gateway te bereiken.

    Afbeelding 8. Statische routeconfiguratieAfbeelding 8. Statische routeconfiguratie

    Stap 4. Klik op het pictogram (+) naast de sectie Beschikbare netwerken.

    Afbeelding 9. Nieuw netwerkobject toevoegenAfbeelding 9. Nieuw netwerkobject toevoegen

    Stap 5. Configureer een naam voor referentie en het IP van de Dekking van de externe peer en Sla op.

    Afbeelding 10. Netwerkbestemming in de statische route configurerenAfbeelding 10. Netwerkbestemming in de statische route configureren

    Stap 6. Zoek het nieuwe object dat in de zoekbalk is gemaakt, selecteer het, klik vervolgens op Toevoegen en klik vervolgens op OK.

    Afbeelding 11. Configureer volgende hop in statische routeAfbeelding 11. Configureer volgende hop in statische route

    Stap 7. Klik op Save (Opslaan).

    Afbeelding 12. De configuratie van de statische routeinterface opslaanAfbeelding 12. De configuratie van de statische routeinterface opslaan

    Stap 8. Herhaal het proces met de tweede firewall.

    Afbeelding 13. Statische route op peer configurerenAfbeelding 13. Statische route op peer configureren

    BGP-configuratie

    Stap 1. Klik op Apparaten > Apparaatbeheer en selecteer het apparaat dat u BGP wilt inschakelen.

    Stap 2. Klik op Routing > Virtual Routers beheren > Algemene instellingen en klik vervolgens op BGP.

    Stap 3. Controleer het vakje BGP inschakelen en configureer vervolgens de lokale AS van de firewall in het gedeelte AS-nummer.

    Afbeelding 14. BGP wereldwijd inschakelenAfbeelding 14. BGP wereldwijd inschakelen

    Stap 4. Sla de wijzigingen op door op de knop Opslaan te klikken.

    Afbeelding 15. BGP opslaan Wijzigingen inschakelenAfbeelding 15. BGP opslaan Wijzigingen inschakelen

    Stap 5. In de sectie Virtuele routers beheren gaat u naar de BGP-optie en klikt u vervolgens op IPv4.

    Stap 6. Controleer het vakje IPv4 inschakelen, klik vervolgens op Buren en klik vervolgens op + Toevoegen.

    Afbeelding 16. Voeg een nieuwe BGP-peer toeAfbeelding 16. Voeg een nieuwe BGP-peer toe

    Stap 7. Configureer het IP-adres van de externe peer in de sectie IP-adres, configureer vervolgens het AS van de externe peer in de sectie Remote AS en controleer het vakje Adres inschakelen.

    Stap 8. Selecteer de lokale interface Loopback in de sectie Update Source.

    Afbeelding 17. Basis BGP-peer parametersAfbeelding 17. Basis BGP-peer parameters

    Opmerking: De Update Source optie maakt het buurupdate-bron commando, gebruikt om elke operationele interface (inclusief Loopbacks) toe te staan. Deze opdracht kan worden gespecificeerd om TCP-verbindingen tot stand te brengen.

    Stap 9. Klik op Advanced, configureer vervolgens nummer 2 in de optie TTL Hops en klik op OK.

    Afbeelding 18. Het hopnummer van TTL’s configurerenAfbeelding 18. Het hopnummer van TTL’s configureren

    Opmerking: de optie TTL Hops schakelt de ebgp-multihop-opdracht in, die wordt gebruikt om de TTL-waarde te wijzigen, zodat het pakket de externe BGP-peer kan bereiken die niet direct verbonden is of een andere interface heeft dan de direct verbonden interface.

    Stap 10. Klik op Opslaan en voer de wijzigingen in.

    Afbeelding 19. De BGP-configuratie opslaanAfbeelding 19. De BGP-configuratie opslaan

    Stap 11. Herhaal het proces met de tweede firewall.

    Afbeelding 20. BGP op peer configurerenAfbeelding 20. BGP op peer configureren

    Verifiëren

    Stap 1. Controleer de Loopback- en statische routeconfiguratie en controleer vervolgens de connectiviteit tussen BGP-peers met een ping-test.

    toon in werking stellen-config interface interface_name

    toon in werking stelt -in werking stellen-configuratieroute

    toon destinatie_ip

    SFTD-1

    SFTD-2

    tonen in werking stelt -in werking stellen-configuratieinterface Loopback1

    interface-loopback1

    naam Loopback1

    IP-adres 10.1.1.1 255.255.255.255

    toon in werking stelt -in werking stellen-configuratieroute

    route buiten 10.2.2.2 255.255.255.255 10.10.10.2 1

    ping 10.2.2.2

    Verzend 5, 100-byte ICMP Echos naar 10.2.2.2, tijd is 2 seconden:

    !!!!!

    Succespercentage is 100 procent (5/5), ronde-trip min/avg/max = 1/1/1 ms

    tonen in werking stelt -in werking stellen-configuratieinterface Loopback1

    interface-loopback1

    nameif Looback2

    IP-adres 10.2.2.2 255.255.255.255

    toon in werking stelt -in werking stellen-configuratieroute

    route buiten 10.1.1.1 255.255.255.255 10.10.10.1 1

    ping 10.1.1.1

    Verzend 5, 100-byte ICMP Echos naar 10.1.1.1, tijd is 2 seconden:

    !!!!!

    Succespercentage is 100 procent (5/5), ronde-trip min/avg/max = 1/1/1 ms

    Stap 2. Controleer de BGP-configuratie en zorg er vervolgens voor dat de BGP-peer is ingesteld.

    tonen in werking stelt -in werking stellen-configuratierouter bgp

    Toon bgp buren

    bgp-overzicht tonen

    SFTD-1

    SFTD-2

    tonen in werking stelt -in werking stellen-configuratierouter bgp

    router bgp 64000

    bgp log-buurwijzigingen

    bgp router-id vrf automatisch toewijzen

    IPv4-unicast voor adresfamilie

      buur 10.2.2.2 op afstand 64001

      buurman 10.2.2.2 bgp-multihop 2

      buur 10.2.2.2 transportpad-mtu-discovery uitschakelen

      buur 10.2.2.2 update-bron Loopback1

      buur 10.2.2.2 activeren

      geen automatische samenvatting

      geen synchronisatie

    exit-address-family

    !

    Toon bgp buren |  i BGP-software

    BGP-buur is 10.2.2.2, vrf single_vf, extern AS-64001, externe link

      BGP versie 4, externe router-ID 10.2.2.2

      BGP-staat = ingesteld, tot 1 d15 uur

      BGP-tabelversie 7, buurversie 7/0

      De externe buur van BGP kan tot 2 hop weg zijn.

    bgp-overzicht tonen

    BGP-router-id 10.1.1.1, lokaal AS-nummer 64000

    BGP-tabelversie 7, hoofdrouteringstabel versie 7

    Neighbour V ASmsgRcvd MSG Verzonden TblVer InQ OutQ Up/Down State/PFXRCD

    10.2.2.2 4 64001 2167 2162 7 0 0 1d15h 0

    tonen in werking stelt -in werking stellen-configuratierouter bgp

    router bgp 64001

    bgp log-buurwijzigingen

    bgp router-id vrf automatisch toewijzen

    IPv4-unicast voor adresfamilie

      buur 10.1.1.1 afstandsbediening als 64000

      buurman 10.1.1.1 bgp-multihop 2

      buur 10.1.1.1 transportpad-mtu-discovery uitschakelen

      buur 10.1.1.1 update-bron Looback2

      buur 10.1.1.1 activeren

      geen automatische samenvatting

      geen synchronisatie

    exit-address-family

    !

    Toon bgp buren |  i BGP-software

    BGP-buur is 10.1.1.1, vrf single_vf, extern AS-64000, externe link

      BGP versie 4, externe router-ID 10.1.1.1

      BGP-staat = ingesteld, tot 1d16h

      BGP-tabelversie 1, buurversie 1/0

      De externe buur van BGP kan tot 2 hop weg zijn.

    bgp-overzicht tonen

    BGP-router-id 10.2.2.2, lokaal AS-nummer 64001

    BGP-tabelversie 1, hoofdrouteringstabel versie 1

    Neighbour V ASmsgRcvd MSG Verzonden TblVer InQ OutQ Up/Down State/PFXRCD

    10.1.1.4 64000 2168 2173 1 0 0 1d16h 0

    Probleemoplossing

    Als u problemen ondervindt tijdens het proces, kunt u dit artikel bekijken:

    · BGP-protocol (border gateway protocol)

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    22-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Erick Leobardo Perez
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten