Aquí hay un documento para configurar ECMP habilitado OSPF sobre VPN IPSec. Este documento explica el anuncio de una sola ruta sobre dos túneles IPsec con ECMP habilitado. En este caso, se utiliza una interfaz de bucle invertido; sin embargo, cualquier ruta puede ser anunciada siguiendo estos pasos.
Para este propósito de la documentación, aquí está la topología para su referencia:
La configuración básica de doble ISP y VPN IPsec no se discute en este artículo.
Tenga en cuenta: ambas rutas si están presentes en la tabla de enrutamiento, sólo una se verá en la tabla de reenvío a menos que y hasta que habilite ECMP en las interfaces.
Requisitos previos
1) dos interfaces que tienen el ISP público.
2) VPN IPSec establecida en ambos ISP.
Aquí están los detalles de configuración de FW1:
Los túneles IPSec se verán así:
# #Phase 1 configuración de la VPN IPSec:
# #Phase 2 ajustes de la VPN IPSec:
# # Configuración del router virtual:
1) Desplácese a red > router virtual > configuración del router
2) habilitar ECMP y retorno simétrico.
3) usted puede seleccionar el método del balance de carga según su requisito.
4) configuración de OSPF:
a) red > router virtual > seleccionar el router virtual > OSPF
b) habilitar OSPF
c) asigne un ID de router.
d) haga clic en la ficha área y luego en Agregar.
e) dar un identificador de área y asignar las interfaces que necesitan ser parte de OSPF.
f) configuración de interfaces en OSPF:
Después de realizar la configuración, las estadísticas de tiempo de ejecución se verán de la siguiente manera:
Desde la CLI, la salida de la ruta distribuida vía ECMP OSPF se verá como folows:
Del mismo modo, la configuración de FW2 permanece igual.
Por favor, encuentre las instantáneas adjuntas de la configuración para FW2:
Configuración de IKE FW2
IPsec Configuration FW2
Configuración del enrutador virtual:
Configuración de OSPF del enrutador virtual:
La salida de la tabla de enrutamiento en las estadísticas de tiempo de ejecución se verá de la siguiente manera:
Desde la CLI, la tabla de enrutamiento se verá de la siguiente manera:
Aquí están algunos documentos relacionados para su referencia:
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Dual-VPNs-with-Dual-ISPs-from-a-Single-Firewall/ta-p/60842
https://Live.paloaltonetworks.com/T5/Configuration-articles/How-to-Configure-IPSec-VPN/TA-p/56535
https://Live.paloaltonetworks.com/T5/Configuration-articles/How-to-Configure-a-Palo-Alto-Networks-Firewall-with-dual-ISPs/TA-p/59774
https://live.paloaltonetworks.com/t5/Tech-Note-Articles/How-to-Configure-Dynamic-Routing-over-IPSec-against-Cisco/ta-p/60523