EBGP-Kollegen etablieren keine BGP-Konnektivität
Resolution
Problem
Die Palo Alto Networks Firewall und ein Router von Drittanbietern wurden so konfiguriert, dass EBGP Connectivity etabliert wird. Die BGP-Konnektivität wird jedoch nicht etabliert, und der BGP-Zustand zwischen der Palo Alto Networks Firewall und dem Router klappt zwischen Leerlauf und Connect.
Ursache
Dieses Problem wird häufig gesehen, wenn die Peering des EBGP über Loopback-Schnittstellen liegt und der Weg zur BGP-Schnittstelle des BGP Peer ein paar Hopfen entfernt ist. Im folgenden werden zwei solcher Szenarien diskutiert:
- Die BGP-Schnittstelle des Drittanbieter-Routers ist mindestens 3 Hopfen von der Palo Alto Networks Firewall entfernt.
- Die BGP-Schnittstelle der Palo Alto Networks Firewall ist mindestens 2 Hopfen vom Drittanbieter-Router entfernt.
Lösung
ÜberPrüfen Sie die Multi-Hop-Einstellungen unter der Firewall und dem Drittanbieter-Router. Standardmäßig verwendet die Palo Alto Networks Firewall einen TTL-Wert von 2 für BGP-Pakete. Wenn der Weg zur BGP-Schnittstelle des Peer mehr als 2 Hopfen entfernt ist, wird die TTL der BGP-Pakete 0, bevor Sie die Peers-BGP-Schnittstelle erreicht und fallen gelassen wird.
Die meisten Drittanbieter-Router verwenden einen TTL-Wert von 1 für BGP-Pakete. Wenn der Weg zur BGP-Schnittstelle der Palo Alto Networks Firewall mehr als 1 Hop entfernt ist, dann werden die BGP-Pakete fallen gelassen, bevor Sie Sie erreichen.
Konfigurieren Sie die passende Anzahl an Hopfen für jeden Peer mit den "Multi Hop"-Einstellungen. Aus dem Web-UI werden die Multi-Hop-Einstellungen unter:
Netzwerk > virtuelle Router > BGP > Peer Group > Peer > Multi Hop
Auf der Palo Alto Networks Firewall bedeutet der Standard-Multihop-Wert von "0", dass der Peer 2 Hopfen entfernt ist. Für die Zahl, die Sie unter dem Multi-Hop angeben, ist der Peer "Number + 2"-Hopfen von der Firewall entfernt. Für IBGP Connectivity ist der Standard-Multi-Hop-Wert 255. ÜberPrüfen Sie die Multi-Hop-Einstellungen auf dem Drittanbieter-Router für die IBGP Multi-Hop-Einstellungen und passen Sie Sie entsprechend der Anzahl der Hopfen an. die BGP-Schnittstelle von Palo Alto Networks Firewall ist von selbst.
Besitzer: Kprakash