Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
BGP Peering entre routeurs virtuels - Knowledge Base - Palo Alto Networks

BGP Peering entre routeurs virtuels

95259
Created On 09/25/18 17:42 PM - Last Modified 06/12/23 21:27 PM


Resolution


Les pare-feu configurés de Palo Alto Networks peuvent établir des relations avec les pairs entre instances BGP sur routeurs virtuels distincts (VR) dans un dispositif unique ou un cluster en cours d’exécution. Ceci active le pare-feu annoncer les préfixes entre routeurs virtuels et diriger la circulation en conséquence.

 

Les deux instances BGP doivent avoir communication réseau entre deux interfaces où chaque interface est sur un autre routeur virtuel. Ceci peut être accompli en ayant les deux VRs connectés au même réseau physique et veiller à ce qu’ils appartiennent au même sous-réseau IP. Communication entre les instances quitte le pare-feu d’une interface sur un VR sur le réseau physique et revient sur une interface différente sur l’autre VR. Une autre possibilité est d’avoir la communication interne se produisent entre les instances BGP.

 

Communication interne entre des routeurs virtuels est possible en configurant deux interfaces loopback, chacune avec un 32 adresse sur chaque VR réseau. Puis configurez un itinéraire hôte statique (/ 32 route) sur chaque VR pour atteindre l’adresse de l’interface de bouclage d’autres utilisant l’autre VR comme le saut suivant. Lorsque vous configurez les itinéraires statiques, choisissez l’option Next-VR comme le saut suivant et ensuite l’autre VR. Les itinéraires acceptés par un homologue BGP et installé dans la table de routage aura une adresse IP de saut suivant de l’autre VR loopback interface adresse IP. Puisqu’il existe un itinéraire pour atteindre ce saut suivant à travers le prochain VR, le paquet sera acheminé dans l’autre VR.

 

Remarques :

  • Les interfaces loopback affectée aux différentes zones, puis stratégies de sécurité doivent permettre la communication entre ces interfaces dans ces zones ou communication entre les pairs échouera.
  • La zone de destination déterminé pour les sessions où le premier paquet est routé d’un que VR à l’autre est retardée jusqu'à ce que la décision de routage dans le prochain VR est faite et l’interface de la destination finale est déterminée.

 

Clichés illustrant la configuration :

 

Interfaces loopback : (on peut utiliser n’importe quel 32 adresses IP pour les interfaces loopback)

 

Screen Shot 2016-07 / 07 à 9.09.01 PM.png

 

 

Routage requis pour BGP à venir :

 

Screen Shot 2016-07 / 07 à 9.09.37 PM.png

Screen Shot 2016-07 / 07 à 9.10.37 PM.png

 

 

Stratégies de sécurité nécessaires pour permettre le trafic BGP étant donné que les interfaces sont dans une zone différente :

 

Screen Shot 2016-07 / 07 à 9.11.31 PM.png

 

 

 

Surveillez les journaux de trafic pour le trafic BGP :

 

Screen Shot 2016-07 / 07 à 9.12.23 PM.png



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIpCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language