Configurar o eBGP HA com SFTD/ASA e Cloud Service Provider
Introdução
Este documento descreve a alta disponibilidade do uso do External Border Routing Protocol (eBGP) para conexão com o Cloud Service Provider (CSP).
Pré-requisitos
Requisitos
A Cisco recomenda ter conhecimento deste tópico:
Configurar
Você tem dois peers eBGP no firewall para alta disponibilidade para o provedor de serviços de nuvem. Como os CSPs são limitados à manipulação do BGP, a eleição de peers primários e secundários não é possível do lado do CSP.
Imagem 1. Diagrama
Procedimento
Etapa 1. Antes de começar com a configuração de firewall, definaqual peer usa como principal.
Etapa 2. Use uma preferência local de 150 (a preferência local padrão é 100) para o tráfego de entrada no peer primário.
Etapa 3. Use o prefixo de caminho AS para o tráfego de saída no peer secundário.
Configuração no ASA
Preferência local para o tráfego de entrada no peer primário:
route-map primary_peer_in permit 10
set local-preference 150
router bgp 65521
address-family ipv4 unicast
neighbor 10.10.10.2 route-map primary_peer_in in
O caminho de AS precede o tráfego de saída no par secundário:
route-map secondary_peer_out permit 10
set as-path prepend 65521 65521
router bgp 65521
address-family ipv4 unicast
neighbor 10.10.20.2 route-map secondary_peer_out out
Configuração no SFMC
Preferência local para o tráfego de entrada no peer primário:
Etapa 1. Clique em Objects e, em seguida, clique em Route Map.
Etapa 2. Selecione o mapa de rotas que você atribuiu ao peer BGP onde aplicar a preferência local ou adicione um novo mapa de rotas clicando em Add Route Map.
Etapa 3. Configure o nome do mapa de rotas e clique em Add na seção Entries.
Imagem 2. Adicionar mapa de rotas no SFMC
Etapa 4. Defina pelo menos as próximas configurações básicas:
- Número de Sequência. Selecione o número da sequência.
- Redistribuição. Selecione Permitir.
Imagem 3. Configuração básica do mapa de rotas no SFMC
Etapa 5. Clique em Definir Cláusulas, depois em Cláusulas BGP, depois emOutras. Defina a preferência local de 150 na seção Preferência local.
Imagem 4. Configuração de preferência local no SFMC
Etapa 6. Clique em Adicionar e depois em Salvar.
Etapa 7. Clique em Dispositivo, depois em Gerenciamento de Dispositivo e selecione o dispositivo ao qual deseja aplicar a preferência local.
Etapa 8. Clique em Routing (Roteamento), depois em IPv4 na seção BGP, depois em Neighbor.
Etapa 9. Clique no ícone de edição do vizinho primário e, em seguida, na seção Filtrando rotas, selecione o mapa de rotas no menu suspenso na seção Entrada de tráfego na Mapa de rotas.
Imagem 5. Configurar preferência local no par primário
Etapa 11. Clique em OK e depois em Salvar.
O caminho de AS precede o tráfego de saída no par secundário:
Etapa 1. Clique em Objects e, em seguida, clique em Route Map.
Etapa 2. Selecione o mapa de rota que você atribuiu ao peer BGP para aplicar o prefixo de caminho AS ou adicione um novo mapa de rota clicando em Add Route Map.
Etapa 3. Configure o nome do mapa de rotas e clique em Add na seção Entries.
Imagem 6. Adicionar mapa de rotas no SFMC
Etapa 4. Defina pelo menos as próximas configurações básicas:
- Número da Sequência. Selecione o número da sequência
- Redistribuição. Selecione Permitir
Imagem 7. Configuração básica do mapa de rotas no SFMC
Etapa 5. Clique em Set Clauses, em seguida em BGP Clauses, em seguida emAS Path. Configure a opção prepend com base nisto:
- Preceder Caminho AS. Adicione o AS que deseja adicionar ao caminho separado por vírgulas.
Imagem 8. Configuração de precedência de caminho AS no SFMC
Etapa 6. Clique em Adicionar e depois em Salvar.
Etapa 7. Clique em Device, depois em Device Management e selecione o dispositivo ao qual deseja aplicar o prefixo do caminho AS.
Etapa 8. Clique em Routing (Roteamento), depois em IPv4 na seção BGP, depois em Neighbor.
Etapa 9. Clique no ícone de edição do vizinho secundário e, em seguida, na seção Rotas de filtragem, selecione o mapa de rotas no menu suspenso na seção Tráfego de saída na Mapa de rotas.
Imagem 9. Configurar o prepend do caminho AS no par secundário
Etapa 4. Clique em OK e depois em Salvar.
Configuração no FDM
O caminho de AS precede o tráfego de saída no par secundário:
Etapa 1. Clique em Device e clique em View Configuration na seção Advanced Configuration.
Etapa 2. Clique em Objects na seção Smart CLI e clique no botão (+).
Etapa 3. Configure o objeto CLI da seguinte maneira:
Imagem 10. Configurar objeto de precedência de caminho AS no FDM
Etapa 10. Clique em OK.
Preferência local para o tráfego de entrada no peer primário:
Etapa 1. Clique em Device e clique em View Configuration na seção Advanced Configuration.
Etapa 2. Clique em Objects na seção Smart CLI e clique no botão (+).
Etapa 3. Configure o objeto CLI da seguinte maneira:
Imagem 11. Configurar objeto de preferência local no FDM
Etapa 4. Clique em OK.
Configure os mapas de rotas na configuração do BGP:
Etapa 1. Clique em Device e, em seguida, clique em View Configuration na seção Routing.
Etapa 2. Clique em BGP e, em seguida, clique no botão (+) para um novo peer de BGP ou clique no botão editar para o peer de BGP existente.
Etapa 3. Configure o objeto BGP conforme mostrado:
Imagem 12. Configurar pares BGP no FDM
Etapa 4. Clique em OK.
Validação
Valide o prefixo do caminho AS e as preferências locais são configuradas e atribuídas aos pares:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password:
firepower#
firepower# show route-map Local_Preference_RM
route-map Local_Preference_RM, permit, sequence 10
Match clauses:
Set clauses:
local-preference 150
firepower# show route-map AS_Path_Perepend_RM
route-map AS_Path_Perepend_RM, permit, sequence 10
Match clauses:
Set clauses:
as-path prepend 65521 65521
firepower# show running-config router bgp
router bgp 65521
bgp log-neighbor-changes
bgp router-id 10.10.10.10
bgp router-id vrf auto-assign
address-family ipv4 unicast
neighbor 10.10.10.2 remote-as 65000
neighbor 10.10.10.2 description Primary
neighbor 10.10.10.2 transport path-mtu-discovery disable
neighbor 10.10.10.2 activate
neighbor 10.10.10.2 route-map Local_Preference_RM in
neighbor 10.10.20.2 remote-as 65000
neighbor 10.10.20.2 description Secondary
neighbor 10.10.20.2 transport path-mtu-discovery disable
neighbor 10.10.20.2 activate
neighbor 10.10.20.2 route-map AS_Path_Perepend_RM out
redistribute connected
no auto-summary
no synchronization
exit-address-family
Antes de validar a tabela de roteamento, limpe os peers BGP:
clear bgp 10.10.10.2 soft in
clear bgp 10.10.20.2 soft out
Valide o tráfego de saída no peer principal usando a preferência local definida anteriormente:
firepower# show bgp
BGP table version is 76, local router ID is10.10.10.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
* 10.0.4.0/22 10.10.20.2 0 0 65000 ?
*> 10.10.10.2 0 150 0 65000 ?
* 10.2.4.0/24 10.10.20.2 0 0 65000 ?
*> 10.10.10.2 0 150 0 65000 ?
Valide se os prefixos BGP instalados na tabela de roteamento estão vindo do peer primário:
firepower# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set
B 10.0.4.0 255.255.252.0 [20/0] via 10.10.10.2, 01:04:17
B 10.2.4.0 255.255.255.0 [20/0] via 10.10.10.2, 01:04:17
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
28-Jul-2023 |
Versão inicial |
Feedback