Las rutas BGP no se inyectan en la tabla de enrutamiento

Las rutas BGP no se inyectan en la tabla de enrutamiento

109247
Created On 09/25/18 17:51 PM - Last Modified 10/03/19 03:42 AM


Resolution


Incidencia

Las sesiones de BGP se establecen con el par, y las rutas anunciadas por los pares están presentes en el BGP local-Rib. Sin embargo, estas rutas no se inyectan en la tabla de enrutamiento global.

 

Síntoma

Este problema se nota típicamente cuando el Firewall de Palo Alto Networks ha establecido conectividad EBGP y IBGP entre 2 routers y está anunciando las rutas aprendidas desde el EBGP peer hasta su IBGP peer. De forma predeterminada, cuando una ruta se anuncia a un par EBGP fuera de un como, el enrutador se asegurará de que el atributo Next hop refleje su dirección IP. Ya que BGP es un protocolo de enrutamiento como por AS, el siguiente valor de salto de la publicidad de red BGP que deja un AS, es la dirección IP del router en el punto de salida de AS.

 

Cuando esta ruta se anuncia a un IBGP Peer, el siguiente atributo hop sigue siendo el mismo (porque no está cruzando otro como). Por lo general, el router dentro de la como no tiene una ruta a la dirección IP externa del siguiente atributo hop. Ya que estos routers no saben donde esta el siguiente salto es (ya que no están directamente conectados), y BGP selecciona un camino con un próximo salto alcanzable, estas rutas anunciadas por el palo alto redes firewalls EBGP peer nunca se instalan en la tabla de enrutamiento.

 

Causa

  • El Firewall no ha sido configurado con "Next hop Self" para IBGP
  • La tabla de enrutamiento está llena y no puede aprender nuevas rutas
  • "Instalar ruta" opción bajo BGP > general > opciones no se comprueba

 

Resolución

Configure el cortafuegos de Palo Alto Networks para publicitar el valor "Next hop" como su dirección IP para los pares IBGP. Esto se configura en el WebGUI en:

Red > routers virtuales > BGP > grupo de pares > tipo

uso propio. JPG. jpg

 

Seleccione el "IBGP" para el tipo y haga clic en el botón de radio "use Self" para exportar el siguiente salto, como se muestra arriba. Esto se asegura de que una ruta anunciada a un router IBGP refleja la dirección IP de Palo Alto Networks firewall, el abastecimiento de esa ruta en el en cuanto a los vecinos IBGP y no la dirección IP del vecino EBGP que originalmente anunciaba esta ruta. Esto impide que los agujeros negros de enrutamiento potenciales.

 

Es importante tener en cuenta que BGP siempre asegurarse de que un "hop/Destination" es alcanzable antes de la publicidad. Si el salto no es accesible, la ruta se mantiene en la tabla BGP, pero no en la tabla de enrutamiento global. El vecino de EBGP del externo como habría sido "alcanzable" al cortafuego, pero no necesario a los altavoces del IBGP dentro del as.

 

Además, compruebe que el EBGP Peer no está publicitando todas las rutas de Internet tanto que la costilla local y la tabla de enrutamiento general se llenan (hasta el punto de que no hay más búfer para las rutas adicionales).

 

Configure las reglas de importación para que el cortafuegos de Palo Alto Networks Aprenda sólo las rutas necesarias. O configure el vecino para exportar sólo unas pocas rutas al firewall. Configure la importación y la exportación de rutas yendo a:

Red > routers virtuales > BGP > Import

Importación. JPG. jpg

 

y red > routers virtuales > BGP > export

Exportación. JPG. jpg

 

Compruebe que la tabla de enrutamiento está llena utilizando los siguientes comandos:

> Mostrar recurso de enrutamiento
> Mostrar enrutamiento  FIB

 

Propietario: kprakash
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClL1CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language