为 BGP 使用 AS 路径符来使路由更不可取

问题

帕洛阿尔托网络防火墙被配置为向 BGP 邻居公布网络/前缀。BGP 邻居也从另一个路由器/防火墙学习相同的路由。邻居将这些路由从帕洛阿尔托网络防火墙安装到路由表中, 尽管它更喜欢从其他路由器/防火墙中学习这些路由。

原因

如果未指定其他 BGP 属性, bgp 将充当距离向量协议, bgp 最佳路径算法决定如何选择自治系统的最佳路径 (as)。当存在两个或多个路由到达特定前缀时, BGP 中的默认值是选择最短路径长度的路由。如果从帕洛阿尔托网络防火墙中了解到前缀的最短长度, 则 BGP 邻居选择使用此路由越过其他对等方。

解决办法

用作路径符来, 以影响入站路由到对等自治系统。当使用 as 路径符来时, 帕洛阿尔托网络防火墙人为地延长了它向邻居公布的路径, 使他们对路径的查看比实际时间长得多。

从 PAN OS web UI 配置为路径符来: 网络 > 虚拟路由器. BGP 导出。

点击 "添加" 按钮, 以提出一个新的 "导出规则" 窗口。在 "常规" 选项卡下, 选择应为其应用 AS 路径符来的对等组。

在 "匹配" 选项卡上, 将必须预先许正在的 "as #" 配置为 "作为路径正则表达式" 框, 以及应为其预置为其路径的前缀。您还可以配置下一跃点和/或从中学习前缀的对等方, 以及与此前缀关联的其他 BGP 属性 (社区正则表达式、扩展社区正则表达式和医学)。

在 "操作" 选项卡上, 为操作选择 "允许"。在 "AS 路径" 部分下, 为类型选择 "预置", 然后输入一个数字, 该数值定义帕洛阿尔托网络防火墙在导出到邻居之前将其作为编号添加到前缀的次数。

帕洛阿尔托网络防火墙还可以在广告前缀之前删除 as 编号, 方法是使用 "删除" 路径下的 "将类型设置为"。"删除和预置" 类型选择会删除指定数量的最新数字, 作为添加到前缀中的编号, 并变换防火墙的次数相同。

所有者： kprakash