能否在不使用BGP情况下,通过Palo Alto建立本地网关到Transit Gateway的连接?
【以下的问题经过翻译处理】 一位客户需要通过本地Palo Alto防火墙将本地站点连接到Transit Gateway(该转发网关将连接到几个VPC),遵循此标准架构(https://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/transit-gateway-isolated-shared.html)。关键是他们希望不使用BGP进行连接。
根据AWS文档中的描述(https://docs.aws.amazon.com/vpc/latest/adminguide/GenericConfigNoBGP.html),在其他制造商的环境中应该可以实现。但是,Palo Alto不在没有使用BGP模板的设备列表中。
Palo Alto文档(https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-integration/secure-your-public-cloud-deployment-with-prisma-access/onboard-aws-vpcs)描述了如何使用静态路由、默认路由或BGP路由连接到这样的转发网关,因此我认为这是可能的。
是否有人面临过类似客户的要求,能否确认或否认我的提议?
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 Palo Alto自己的文档似乎有很好的指南来建立静态路由VPN连接。它甚至包括如何设置“隧道监视器”,如果主要VPN连接中断,它将自动转换连接。BGP用于在AWS和客户之间动态广播网络。此外,它提供了这种自动故障转移,无需单独配置。
我没有实施过这个静态路由的Palo Alto设置,但之前我管理过基于BGP的Palo Alto连接到AWS。所以对我来说,指南很有意义,我看不出为什么它不起作用。
但是,如果没有BGP,他们将需要在AWS VPC和Palo Alto两方面都维护静态路由。
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前