EBGP ピアが BGP 接続を確立しない

問題

パロアルトネットワークファイアウォールとサードパーティ製のルーターは、EBGP 接続を確立するように構成されています。しかし、bgp 接続が確立されていない、との間の bgp 状態パロアルトネットワークファイアウォールとアイドルと接続の間にルータのフラップ。

原因

この問題は、EBGP のピアリングがループバックインターフェイスを経由していて、bgp ピアの bgp インターフェイスへのルートがホップ数が離れている場合によく見られます。次の2つのシナリオを説明します。

• サードパーティ製のルーターの BGP インターフェイスは、少なくとも3ホップ離れたパロアルトネットワークファイアウォールからです。
• パロアルトネットワークファイアウォールの BGP インターフェイスは、少なくとも2ホップの距離は、サードパーティ製のルータからです。

解決方法

ファイアウォールとサードパーティ製ルーターのマルチホップ設定を確認します。デフォルトでは、パロ・アルト・ネットワーク・ファイアウォールは BGP パケットに TTL 値2を使用します。ピアの bgp インターフェイスへのルートが2ホップ以上離れている場合、bgp パケットの TTL はピアの bgp インターフェイスに到達する前に0になり、ドロップされます。

サードパーティのルーターのほとんどは、BGP パケットに TTL 値1を使用します。パロアルトネットワークファイアウォールの bgp インターフェイスへのルートが1ホップ以上離れている場合は、bgp パケットはそれに到達する前にドロップされます。

「マルチホップ」設定を使用して、各ピアの適切なホップ数を構成します。  web UI から、マルチホップ設定は次のように構成されます。

ネットワーク > 仮想ルーター > BGP > ピアグループ > ピア > マルチホップ

パロアルトネットワークファイアウォールでは、デフォルトのマルチホップ値 "0" は、ピアが2ホップ離れていることを意味します。マルチホップの下で指定した数については、ピアはファイアウォールから "number + 2" ホップです。IBGP 接続の場合、デフォルトのマルチホップ値は255です。IBGP マルチホップ設定用のサードパーティ製ルーターのマルチホップ設定を確認し、それに応じて、パロアルトネットワークファイアウォールの BGP インターフェイスがそれ自体からのホップ数と一致します。

所有者: kprakash