OSPF sobre IPSec con balanceo de carga vía ECMP dual ISP

OSPF sobre IPSec con balanceo de carga vía ECMP dual ISP

35694
Created On 09/25/18 17:39 PM - Last Modified 06/08/23 03:05 AM


Resolution


Aquí hay un documento para configurar ECMP habilitado OSPF sobre VPN IPSec. Este documento explica el anuncio de una sola ruta sobre dos túneles IPsec con ECMP habilitado. En este caso, se utiliza una interfaz de bucle invertido; sin embargo, cualquier ruta puede ser anunciada siguiendo estos pasos.

 

Para este propósito de la documentación, aquí está la topología para su referencia:

 

Untitled.png

 

 

 

 

 La configuración básica de doble ISP y VPN IPsec no se discute en este artículo.

 

Tenga en cuenta: ambas rutas si están presentes en la tabla de enrutamiento, sólo una se verá en la tabla de reenvío a menos que y hasta que habilite ECMP en las interfaces.

 

Requisitos previos

1) dos interfaces que tienen el ISP público.

2) VPN IPSec establecida en ambos ISP.

 

 

Aquí están los detalles de configuración de FW1:

 

Los túneles IPSec se verán así:

# #Phase 1 configuración de la VPN IPSec:

 

Gateway-77 config. png

 

 

# #Phase 2 ajustes de la VPN IPSec:

 

IPSec-77-PH2. png

 

# # Configuración del router virtual:

 

1) Desplácese a red > router virtual > configuración del router

2) habilitar ECMP y retorno simétrico.

3) usted puede seleccionar el método del balance de carga según su requisito.

 

ECMP-77_VR. png

 

 

4) configuración de OSPF:

a) red > router virtual > seleccionar el router virtual > OSPF

b) habilitar OSPF

c) asigne un ID de router.

d) haga clic en la ficha área y luego en Agregar.

e) dar un identificador de área y asignar las interfaces que necesitan ser parte de OSPF.

 

OSPF-Config1. png

 

 

f) configuración de interfaces en OSPF:

OSPF-AREA-Interface-config. png

 

Después de realizar la configuración, las estadísticas de tiempo de ejecución se verán de la siguiente manera:

 

ECMP-route-Loopback-5.5.5.5-on77. png

 

 

Desde la CLI, la salida de la ruta distribuida vía ECMP OSPF se verá como folows:

 

Routing-Table-77-CLi. png

 

 

 

Del mismo modo, la configuración de FW2 permanece igual.

 

Por favor, encuentre las instantáneas adjuntas de la configuración para FW2:

Configuración de IKE FW2

 

 

 

IKE-GW-78. png

IPsec Configuration FW2

 

IPSec-78. png

 

Configuración del enrutador virtual:

VR-78_ECMP. png

 

 

Configuración de OSPF del enrutador virtual:OSPF-78-Settings. pngOPSF-ARea--Interface-78. png

 

 

La salida de la tabla de enrutamiento en las estadísticas de tiempo de ejecución se verá de la siguiente manera:

 

Rutas de bucle invertido-ECMp-tabla de enrutamiento. png

 

Desde la CLI, la tabla de enrutamiento se verá de la siguiente manera:

78-ROuting-table. png

 

 

 

Aquí están algunos documentos relacionados para su referencia:

 

 

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Dual-VPNs-with-Dual-ISPs-from-a-Single-Firewall/ta-p/60842 

https://Live.paloaltonetworks.com/T5/Configuration-articles/How-to-Configure-IPSec-VPN/TA-p/56535

https://Live.paloaltonetworks.com/T5/Configuration-articles/How-to-Configure-a-Palo-Alto-Networks-Firewall-with-dual-ISPs/TA-p/59774

https://live.paloaltonetworks.com/t5/Tech-Note-Articles/How-to-Configure-Dynamic-Routing-over-IPSec-against-Cisco/ta-p/60523

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHlCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language