BGP-Routen werden nicht in die Routing-Tabelle injiziert

BGP-Routen werden nicht in die Routing-Tabelle injiziert

109243
Created On 09/25/18 17:51 PM - Last Modified 10/03/19 03:42 AM


Resolution


Problem

BGP-Sessions werden mit dem Peer eingerichtet, und die Routen, die von den Peers beworben werden, sind auf der BGP-lokal Rippe vorhanden. Diese Routen werden jedoch nicht in die globale Routing-Tabelle injiziert.

 

Symptom

Dieses Problem wird typischerweise bemerkt, wenn die Palo Alto Networks Firewall EBGP und IBGP-Konnektivität zwischen 2 Routern etabliert hat und für die Routen wirbt, die vom EBGP Peer zu seinem IBGP Peer gelernt wurden. Wenn eine Route für einen EBGP-Peer außerhalb von an AS beworben wird, wird der Router standardmäßig sicherstellen, dass das nächste Hop-Attribut seine IP-Adresse widerspiegelt. Da BGP ein AS-as-Routing-Protokoll ist, ist der nächste Hopfen Wert der BGP-Netzwerk Werbung, die ein AS hinterlässt, die IP-Adresse des Routers am Ausstiegspunkt von AS.

 

Wenn diese Route zu einem IBGP-Peer beworben wird, bleibt das nächste Hop-Attribut das gleiche (weil es nicht ein anderes als). In der Regel hat der Router im Inneren des AS keinen Weg zur externen IP-Adresse aus dem nächsten Hop-Attribut. Da diese Router nicht wissen, wo sich dieser nächste Hopfen befindet (da Sie nicht direkt miteinander verbunden sind), und BGP einen Pfad mit einem erreichbaren nächsten Hopfen wählt, werden diese Routen, die von den Palo Alto Networks Firewalls EBGP Peer beworben werden, nie in der Routing-Tabelle installiert.

 

Ursache

  • Die Firewall wurde nicht mit "Next Hop Self" für IBGP konfiguriert
  • Die Routing-Tabelle ist voll und kann keine neuen Routen erlernen
  • Option "Route installieren" unter BGP > allgemeine > Optionen sind unkontrolliert

 

Lösung

Konfigurieren Sie die Palo Alto Networks Firewall, um den "Next Hop"-Wert als IP-Adresse für die IBGP-Peers zu bewerben. Diese ist auf dem WebGUI konfiguriert:

Netzwerk > virtuelle Router > BGP > Peer Group > Type

use-self. JPG. jpg

 

Wählen Sie den "IBGP" für den Typ und klicken Sie auf den Radio-Button "selbst verwenden" für den Export Next Hop, wie oben gezeigt. Dies stellt sicher, dass eine Route, die für einen IBGP-Router beworben wird, die IP-Adresse der Palo Alto Networks Firewall widerspiegelt, indem Sie diese Route in die AS zu den IBGP-Nachbarn bezieht und nicht die IP-Adresse des EBGP-Nachbarn, der diese Route ursprünglich beworben hat. Dadurch wird ein mögliches Routing von schwarz Löchern verhindert.

 

Es ist wichtig, sich vor Augen zu halten, dass BGP immer darauf achten muss, dass ein "Hop/Destination" vor der Werbung erreichbar ist. Wenn der Hopfen nicht erreichbar ist, wird die Route immer noch in der BGP-Tabelle ausgetragen, aber nicht auf der globalen Routing-Tabelle. Der EBGP-Nachbar aus dem äußeren, wie es "erreichbar" gewesen wäre, um die Firewall, aber nicht notwendig, um die IBGP-Sprecher innerhalb der AS.

 

Darüber hinaus überprüfen Sie, ob der EBGP Peer nicht alle Internet-Routen so sehr bewirbt, dass die lokale Rippe und die allgemeine Routing-Tabelle gefüllt werden (so dass es keinen Puffer mehr für zusätzliche Routen gibt).

 

Konfigurieren Sie die Import Regeln so, dass die Palo Alto Networks Firewall nur die notwendigen Routen erlernt. Oder den Nachbarn so konfigurieren, dass er nur wenige Routen zur Firewall exportiert. Konfigurieren Sie den Import und die Ausfuhr von Routen, indem Sie zu gehen:

Netzwerk > virtuelle Router > BGP > Import

Importieren. JPG. jpg

 

und Netzwerk > virtuelle Router > BGP > Export

Exportieren. JPG. jpg

 

ÜberPrüfen Sie, ob die Routing-Tabelle mit den folgenden Befehlen voll ist:

> Routing-Ressource
> Routing-FIB  anzeigen

 

Besitzer: Kprakash
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClL1CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language