能否在不使用BGP情况下,通过Palo Alto建立本地网关到Transit Gateway的连接?

0

【以下的问题经过翻译处理】 一位客户需要通过本地Palo Alto防火墙将本地站点连接到Transit Gateway(该转发网关将连接到几个VPC),遵循此标准架构(https://docs.aws.amazon.com/zh_cn/vpc/latest/tgw/transit-gateway-isolated-shared.html)。关键是他们希望不使用BGP进行连接。

根据AWS文档中的描述(https://docs.aws.amazon.com/vpc/latest/adminguide/GenericConfigNoBGP.html),在其他制造商的环境中应该可以实现。但是,Palo Alto不在没有使用BGP模板的设备列表中。

Palo Alto文档(https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-integration/secure-your-public-cloud-deployment-with-prisma-access/onboard-aws-vpcs)描述了如何使用静态路由、默认路由或BGP路由连接到这样的转发网关,因此我认为这是可能的。

是否有人面临过类似客户的要求,能否确认或否认我的提议?

profile picture
专家
已提问 1 年前41 查看次数
1 回答
0

【以下的回答经过翻译处理】 Palo Alto自己的文档似乎有很好的指南来建立静态路由VPN连接。它甚至包括如何设置“隧道监视器”,如果主要VPN连接中断,它将自动转换连接。BGP用于在AWS和客户之间动态广播网络。此外,它提供了这种自动故障转移,无需单独配置。

我没有实施过这个静态路由的Palo Alto设置,但之前我管理过基于BGP的Palo Alto连接到AWS。所以对我来说,指南很有意义,我看不出为什么它不起作用。

但是,如果没有BGP,他们将需要在AWS VPC和Palo Alto两方面都维护静态路由。

profile picture
专家
已回答 1 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则