Configuradas firewalls de Palo Alto Networks pueden establecer relaciones de pares entre instancias BGP en Routers Virtual separado (VR) en un solo dispositivo o un grupo. Esto permite que el servidor de seguridad anunciar los prefijos entre enrutadores virtuales y tráfico directo por consiguiente.
Las dos instancias BGP deben tener la comunicación de red entre dos interfaces, donde cada interfaz está en un Router Virtual diferente. Esto se puede lograr por tener ambos VRs conectados a la misma red física y que pertenecen a la misma subred IP. La comunicación entre las instancias deja el firewall desde una interfaz en un VR en la red física y devuelve una interfaz diferente en el VR de otros. Otra posibilidad es que la comunicación interna entre las instancias BGP.
Comunicaciones internas entre los enrutadores virtuales es posible configurar dos interfaces de loopback, cada uno con un 32 dirección en cada VR de red. Configure una ruta de host estática (/ ruta 32) en cada VR para llegar a la dirección de la interfaz de loopback usando lo otros VR como el next-hop. Al configurar las rutas estáticas, elegir la opción Next-VR como el Next-Hop y luego darle la otra VR. Las rutas aceptadas por un peer BGP e instalado en la tabla de enrutamiento tendrá una dirección IP de próximo salto de la otra VR loopback interfaz dirección IP. Puesto que existe una ruta para llegar a ese salto siguiente a través de la siguiente VR, se pasará el paquete hacia el otro VR.
Notas:
- Si las interfaces de loopback se establecen en diferentes zonas, entonces las políticas de seguridad deben permitir la comunicación entre dichas interfaces en aquellas zonas o fallará la comunicación entre los pares.
- La zona de destino determinada para las sesiones donde el primer paquete se enruta de una que VR a la otra se retrasa hasta que la decisión de enrutamiento en el siguiente VR se hace y se determina la interfaz de destino final.
Instantáneas que muestran la configuración:
Las interfaces loopback: (podemos utilizar cualquier 32 dirección IP para las interfaces de loopback)
Encaminamiento requerido para que BGP subir:
Las políticas de seguridad necesarias para permitir el tráfico BGP puesto que las interfaces están en otra zona:
Supervise los registros de tráfico para el tráfico BGP: