Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
BGP Peering zwischen virtuellen Routern - Knowledge Base - Palo Alto Networks

BGP Peering zwischen virtuellen Routern

95259
Created On 09/25/18 17:42 PM - Last Modified 06/12/23 21:27 PM


Resolution


Konfigurierte Firewalls von Palo Alto Networks können Peer-Beziehungen zwischen BGP Instanzen auf separaten Virtual Router (VR) in ein einzelnes Gerät oder ein Cluster herzustellen. Dadurch kann die Firewall Präfixe zwischen virtuellen Router und direkten Verkehr entsprechend zu werben.

 

Die beiden BGP-Instanzen müssen Netzwerk-Kommunikation zwischen zwei Schnittstellen, wo jede Schnittstelle befindet sich auf einem anderen virtuellen Router. Dies kann erreicht werden, indem man beide VRs mit demselben physischen Netzwerk und die Gewährleistung, die Zugehörigkeit zu der gleichen IP-Subnetz verbunden. Kommunikation zwischen den Instanzen lässt die Firewall von einer Schnittstelle auf einem VR auf dem physischen Netzwerk und kehrt auf eine andere Schnittstelle auf die anderen VR. Eine weitere Möglichkeit ist die internen Kommunikation zwischen den BGP-Instanzen auftreten haben.

 

Interner Kommunikation zwischen virtuellen Routern kann erreicht werden, durch Konfigurieren der Loopback-Interfaces, jeweils mit einem 32 Netzwerkadresse auf jeder VR. Konfigurieren Sie eine statische Host-Route (/ 32 route) auf jedes VR, die Adresse der anderen Loopbackschnittstelle mit anderen VR als Next-Hop zu erreichen. Wenn Sie die statischen Routen zu konfigurieren, wählen Sie die Option Next-VR als Next-Hop und dann geben Sie die anderen VR. Die Routen von BGP Peers angenommen und installiert in der routing-Tabelle werden eine Next-Hop IP-Adresse der anderen VR Loopback Schnittstelle IP-Adresse haben. Da eine Route vorhanden ist, um die nächsten Hop durch die nächste VR zu erreichen, wird das Paket in die anderen VR weitergeleitet.

 

Hinweise:

  • Wenn die Loopback-Interfaces auf verschiedene Zonen festgelegt sind, dann Sicherheitsrichtlinien müssen ermöglichen eine Kommunikation zwischen diesen Schnittstellen in diesen Zonen oder Kommunikation zwischen den Peers schlägt fehl.
  • Die Zielzone bestimmt für Sitzungen, in denen das erste Paket von einem geleitet wird, dass VR zum anderen verzögert wird, bis die routing-Entscheidung in der nächsten VR erfolgt und die endgültigen Bestimmungsort-Schnittstelle wird bestimmt.

 

Schnappschüsse, die Darstellung der Konfigurations:

 

Loopback-Schnittstellen: (wir können 32 IP-Adresse für Loopback-Interfaces)

 

Screen Shot 2016-07-07 bei 9.09.01 PM.png

 

 

Routing erforderlich für BGP zu kommen:

 

Screen Shot 2016-07-07 bei 9.09.37 PM.png

Screen Shot 2016-07-07 bei 9.10.37 PM.png

 

 

Sicherheitsrichtlinien für BGP Datenverkehr zulassen, da in anderen Zone Schnittstellen sind erforderlich:

 

Screen Shot 2016-07-07 bei 9.11.31 PM.png

 

 

 

Verkehr-Protokolle BGP-Verkehr zu überwachen:

 

Screen Shot 2016-07-07 bei 9.12.23 PM.png



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIpCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language