Hier ist ein Dokument zur Konfiguration von ECMP-aktiviertem OSPF über IPSec VPN. Dieses Dokument erklärt über die Werbung für eine einzelne Route über zwei IPSec-Tunnel mit aktiviertem ECMP. In diesem Fall wird eine Loopback-Schnittstelle verwendet; nach diesen Schritten können jedoch alle Routen beworben werden.
Für diesen Dokumentations Zweck ist hier die Topologie für Ihre Referenz:
Die Grundkonfiguration von Dual ISP und IPsec VPN wird in diesem Artikel nicht diskutiert.
Bitte beachten Sie: sowohl die Routen, wenn Sie in der Routing-Tabelle vorhanden sind, wird nur eine in der Weiterleitungs Tabelle gesehen, es sei denn und Sie aktivieren ECMP auf den Schnittstellen.
Voraussetzungen
1) zwei Schnittstellen mit dem öffentlichen ISP.
2) IPSec VPN hat sich über beide ISP es etabliert.
Hier die Konfigurationsdetails für FW1:
IPsec-Tunnel werden so aussehen:
# #Phase 1 Einstellungen des IPSec VPN:
# #Phase 2 Einstellungen des IPSec VPN:
# # Virtuelle Router-Einstellungen:
1) navigieren Sie zu Netzwerk > virtueller Router > Router-Einstellungen
2) aktivieren Sie ECMP und symmetrische Rückkehr.
3) Sie können die Load-Balance-Methode nach Ihren Anforderungen wählen.
4) OSPF-Konfiguration:
a) Netzwerk > virtueller Router > wählen Sie den virtuellen Router > OSPF
b) OSPF aktivieren
c) eine Router-ID zuweisen.
d) klicken Sie auf den Reiter Bereich, dann klicken Sie auf hinzufügen.
e) geben Sie eine Flächen-ID und weisen Sie die Schnittstellen zu, die ein Teil von OSPF sein müssen.
f) Konfiguration von SchnittStellen in OSPF:
Nach der Ausführung der Konfiguration wird die Lauf Zeit Statistik wie folgt gesehen:
Aus dem CLI wird die Ausgabe der über ECMP OSPF verteilten Route als folows gesehen:
Ebenso bleibt die Konfiguration für FW2 gleich.
Die beigefügten Schnappschüsse der Konfiguration finden Sie unter FW2:
IKE Configuration FW2
IPsec-Konfiguration FW2
Virtuelle Router-Konfiguration:
Virtueller Router OSPF-Konfiguration:
Die Ausgabe der Routing-Tabelle in der Lauf Zeit Statistik wird wie folgt gesehen:
Aus dem CLI wird die Routing-Tabelle wie folgt gesehen:
Hier sind ein paar Verwandte Dokumente für Ihre Referenz:
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Dual-VPNs-with-Dual-ISPs-from-a-Single-Firewall/ta-p/60842
https://Live.paloaltonetworks.com/T5/Configuration-articles/how-to-configure-IPSec-VPN/TA-p/56535
https://Live.paloaltonetworks.com/T5/Configuration-articles/how-to-Configure-a-Palo-Alto-Networks-Firewall-with-Dual-ISPs/TA-p/59774
https://live.paloaltonetworks.com/t5/Tech-Note-Articles/How-to-Configure-Dynamic-Routing-over-IPSec-against-Cisco/ta-p/60523