EBGP 对等方不建立 BGP 连接

问题

帕洛阿尔托网络防火墙和第三方路由器已配置为建立 EBGP 连接。但是, bgp 连接没有建立, 并且在帕洛阿尔托网络防火墙之间的 bgp 状态和在空闲和连接之间的路由器襟翼。

原因

当 EBGP 的对等接口在环回接口上时, 通常会看到此问题, 而 bgp 对等方的 bgp 界面的路由是几个跃点。下面讨论的是两种情况:

• 第三方路由器的 BGP 接口至少有3跃距帕洛阿尔托网络防火墙。
• 帕洛阿尔托网络防火墙的 BGP 接口至少有2跃距第三方路由器。

解决办法

验证防火墙和第三方路由器下的多跳设置。默认情况下, 帕洛阿尔托网络防火墙对 BGP 数据包使用 TTL 值2。如果到对等方的 BGP 接口的路由超过2个跃点, 则 BGP 数据包的 TTL 将在到达同级 bgp 接口之前变为 0, 并被丢弃。

大多数第三方路由器对 BGP 数据包使用 TTL 值1。如果到帕洛阿尔托网络防火墙的 BGP 接口的路由超过1跃点, 那么 BGP 数据包在到达之前就会被丢弃。

使用 "多跃点" 设置为每个对等方配置适当的跃点数。  从 web UI 中, 多跳设置配置在:

网络 > 虚拟路由器-BGP > 对等组 > 对等 > 多跃点

在帕洛阿尔托网络防火墙上, 默认的 "0" 多跳分布式值意味着对等方是2跃点。对于在多跃点下指定的数字, 对等方是 "数字 + 2" 跃离防火墙。对于 IBGP 连接, 默认的多跃点值为255。验证第三方路由器上的多跳设置是否为 IBGP 多跳设置, 并相应地与帕洛阿尔托网络防火墙的 BGP 接口的跃点数匹配。

所有者： kprakash