SFTD/ASA 및 클라우드 서비스 공급자와 함께 eBGP HA 구성

소개

이 문서에서는 CSP(Cloud Service Provider)와의 연결을 위해 eBGP(External Border Routing Protocol)를 사용할 때의 고가용성에 대해 설명합니다.

사전 요구 사항

요구 사항

Cisco에서는 다음 항목에 대해 알고 있는 것이 좋습니다.

• BGP 경로 선택

구성

클라우드 서비스 공급자에 대한 고가용성을 위해 방화벽에 두 개의 eBGP 피어가 있습니다. CSP는 BGP 조작으로 제한되므로 CSP 측에서 기본 및 보조 피어를 선택할 수 없습니다.

이미지 1. 다이어그램

절차

1단계. 방화벽 컨피그레이션으로 시작하기 전에기본 피어로 사용할 수 있습니다.

2단계. 기본 피어의 수신 트래픽에 대해 로컬 기본 설정인 150을 사용합니다(기본 로컬 기본 설정은 100).

3단계. 보조 피어의 발신 트래픽에 AS 경로 앞에 추가합니다.

ASA의 컨피그레이션

기본 피어의 수신 트래픽에 대한 로컬 기본 설정:

route-map primary_peer_in permit 10
set local-preference 150

router bgp 65521
address-family ipv4 unicast
neighbor 10.10.10.2 route-map primary_peer_in in

보조 피어의 발신 트래픽에 대한 AS 경로 앞에 추가:

route-map secondary_peer_out permit 10
set as-path prepend 65521 65521

router bgp 65521
address-family ipv4 unicast
neighbor 10.10.20.2 route-map secondary_peer_out out

SFMC의 컨피그레이션

기본 피어의 수신 트래픽에 대한 로컬 기본 설정:

1단계. Objects를 클릭한 다음 Route Map을 클릭합니다.

2단계. 로컬 기본 설정을 적용할 BGP 피어에 할당한 경로 맵을 선택하거나 Add Route Map을 클릭하여 새 경로 맵을 추가합니다.

3단계. 경로 맵의 이름을 구성한 다음 Entries 섹션 아래에서 Add를 클릭합니다.

이미지 2. SFMC에 경로 맵 추가

4단계. 최소한 다음 기본 설정을 구성합니다.

• 순번. 순번의 번호를 선택합니다.
• 재배포. Allow를 선택합니다.

이미지 3. SFMC의 기본 경로 맵 컨피그레이션

5단계. Set Clauses, BGP Clauses, Others를 차례로 클릭합니다. Local Preference(로컬 기본 설정) 섹션에서 로컬 기본 설정을 150으로 설정합니다.

이미지 4. SFMC의 로컬 환경 설정 구성

6단계. Add(추가), Save(저장)를 차례로 클릭합니다.

7단계. Device, Device Management를 차례로 클릭하고 로컬 기본 설정을 적용할 디바이스를 선택합니다.

8단계. Routing(라우팅), BGP 섹션에서 IPv4, Neighbor(인접 디바이스)를 차례로 클릭합니다.

9단계. 기본 네이버에 대한 수정 아이콘을 클릭한 다음 Filtering Routes 섹션의 Route Map 섹션의 Incoming traffic 드롭다운 메뉴에서 Route Map을 선택합니다.

이미지 5. 기본 피어에 대한 로컬 기본 설정 구성

11단계. 확인, 저장을 차례로 누릅니다.

보조 피어의 발신 트래픽에 대한 AS 경로 앞에 추가:

1단계. Objects를 클릭한 다음 Route Map을 클릭합니다.

2단계. BGP 피어에 할당한 경로 맵을 선택하여 AS 경로 앞에 적용하거나 Add Route Map을 클릭하여 새 경로 맵을 추가합니다.

3단계. 경로 맵의 이름을 구성한 다음 Entries 섹션 아래에서 Add를 클릭합니다.

이미지 6. SFMC에 경로 맵 추가

4단계. 최소한 다음 기본 설정을 구성합니다.

• 순번. 순번 번호를 선택합니다.
• 재배포. 허용 선택

이미지 7. SFMC의 기본 경로 맵 컨피그레이션

5단계. Set Clauses, BGP Clauses, AS Path 순으로 클릭합니다. 다음을 기반으로 prepend 옵션을 구성합니다.

• AS 경로 앞에 추가합니다. 추가할 AS를 경로에 쉼표로 구분하여 추가합니다.

이미지 8. SFMC에서 컨피그레이션 앞에 AS 경로 추가

6단계. Add(추가), Save(저장)를 차례로 클릭합니다.

7단계. Device, Device Management를 차례로 클릭하고 AS 경로 앞에 적용할 디바이스를 선택합니다.

8단계. Routing(라우팅), BGP 섹션에서 IPv4, Neighbor(인접 디바이스)를 차례로 클릭합니다.

9단계. 보조 네이버에 대한 수정 아이콘을 클릭한 다음 Filtering Routes 섹션의 Route Map 섹션의 Outgoing traffic 드롭다운 메뉴에서 Route Map을 선택합니다.

이미지 9. 보조 피어에 접두사로 AS 경로 구성

4단계. OK(확인)를 클릭한 다음 Save(저장)를 클릭합니다.

FDM의 구성

보조 피어의 발신 트래픽에 대한 AS 경로 앞에 추가:

1단계. Device(디바이스)를 클릭한 다음 Advanced Configuration(고급 컨피그레이션) 섹션에서 View Configuration(컨피그레이션 보기)을 클릭합니다.

2단계. Smart CLI 섹션에서 Objects를 클릭한 다음 (+) 버튼을 클릭합니다.

3단계. 다음과 같이 CLI 객체를 구성합니다.

이미지 10. FDM에서 객체 앞에 AS 경로 구성

10단계. 확인을 클릭합니다.

기본 피어의 수신 트래픽에 대한 로컬 기본 설정:

1단계. Device(디바이스)를 클릭한 다음 Advanced Configuration(고급 컨피그레이션) 섹션에서 View Configuration(컨피그레이션 보기)을 클릭합니다.

2단계. Smart CLI 섹션에서 Objects를 클릭한 다음 (+) 버튼을 클릭합니다.

3단계. 다음과 같이 CLI 객체를 구성합니다.

이미지 11. FDM에서 로컬 기본 설정 객체 구성

4단계. 확인을 클릭합니다.

BGP 컨피그레이션에 경로 맵을 구성합니다.

1단계. Device(디바이스)를 클릭한 다음 Routing(라우팅) 섹션에서 View Configuration(컨피그레이션 보기)을 클릭합니다.

2단계. BGP를 클릭한 다음 새 BGP 피어에 대해 (+) 버튼을 클릭하거나 기존 BGP 피어에 대해 edit 버튼을 클릭합니다.

3단계. 다음과 같이 BGP 객체를 구성합니다.

이미지 12. FDM에서 BGP 피어 구성

4단계. 확인을 클릭합니다.

검증

AS 경로 접두사 및 로컬 환경 설정이 구성되어 있고 피어에게 할당되었는지 확인합니다.

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password:
firepower#
firepower# show route-map Local_Preference_RM
route-map Local_Preference_RM, permit, sequence 10
  Match clauses:

  Set clauses:
    local-preference 150


firepower# show route-map AS_Path_Perepend_RM
route-map AS_Path_Perepend_RM, permit, sequence 10
  Match clauses:

  Set clauses:
    as-path prepend 65521 65521


firepower# show running-config router bgp
router bgp 65521
bgp log-neighbor-changes
bgp router-id 10.10.10.10
bgp router-id vrf auto-assign
address-family ipv4 unicast
 neighbor 10.10.10.2 remote-as 65000
 neighbor 10.10.10.2 description Primary
 neighbor 10.10.10.2 transport path-mtu-discovery disable
 neighbor 10.10.10.2 activate
 neighbor 10.10.10.2 route-map Local_Preference_RM in
 neighbor 10.10.20.2 remote-as 65000
 neighbor 10.10.20.2 description Secondary
 neighbor 10.10.20.2 transport path-mtu-discovery disable 
 neighbor 10.10.20.2 activate
 neighbor 10.10.20.2 route-map AS_Path_Perepend_RM out
 redistribute connected
 no auto-summary
 no synchronization
exit-address-family

라우팅 테이블을 검증하기 전에 BGP 피어를 지웁니다.

clear bgp 10.10.10.2 soft in
clear bgp 10.10.20.2 soft out

참고: 명령 soft를 사용하면 전체 피어가 재설정되지 않고 라우팅 업데이트만 재전송됩니다.

  

이전에 설정한 로컬 기본 설정을 사용하여 기본 피어의 발신 트래픽을 검증합니다.

firepower# show bgp
BGP table version is 76, local router ID is10.10.10.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*  10.0.4.0/22      10.10.20.2           0             0  65000 ?
*>                  10.10.10.2           0    150      0  65000 ?
*  10.2.4.0/24      10.10.20.2           0             0  65000 ?
*>                  10.10.10.2           0    150      0  65000 ?

  

라우팅 테이블에 설치된 BGP 접두사가 기본 피어에서 오는지 확인합니다.

firepower# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set

B        10.0.4.0 255.255.252.0 [20/0] via 10.10.10.2, 01:04:17
B        10.2.4.0 255.255.255.0 [20/0] via 10.10.10.2, 01:04:17

관련 정보

• Cisco 기술 지원 및 다운로드