Les itinéraires BGP ne sont pas injectés dans la table de routage

Demande client

Les sessions BGP sont établies avec l'homologue, et les itinéraires annoncés par les pairs sont présents sur la côte locale BGP. Toutefois, ces itinéraires ne sont pas injectés dans la table de routage globale.

Symptôme

Ce problème est généralement remarqué lorsque le pare-feu Palo Alto Networks a établi EBGP et IBGP connectivité entre 2 routeurs et est la publicité des itinéraires appris de l'homologue EBGP à son homologue IBGP. Par défaut, Lorsqu'un itinéraire est annoncé à un homologue EBGP en dehors d'un As, le routeur s'assurera que l'attribut de saut suivant reflète son adresse IP. Depuis BGP est un comme par le protocole de routage, la valeur de saut suivant de la publicité réseau BGP qui laisse un AS, est l'adresse IP du routeur au point de sortie de AS.

Lorsque cet itinéraire est annoncé à un homologue IBGP, l'attribut de saut suivant reste le même (car il ne croise pas un autre As). Habituellement, le routeur à l'intérieur de l'AS ne dispose pas d'un itinéraire vers l'adresse IP externe à partir de l'attribut de saut suivant. Depuis ces routeurs ne sais pas où ce saut suivant est (comme ils ne sont pas directement connectés), et BGP sélectionne un chemin avec un tronçon suivant accessible, ces itinéraires annoncés par les réseaux de Palo Alto pare-feu EBGP Peer jamais installé dans la table de routage.

Cause

• Le pare-feu n'a pas été configuré avec "Next hop Self" pour IBGP
• La table de routage est pleine et ne peut pas apprendre de nouvelles routes
• Option "installer l'itinéraire" sous BGP > général > les options sont décochées

Résolution

Configurez le pare-feu de Palo Alto Networks pour annoncer la valeur "Next Hop" en tant qu'adresse IP aux pairs IBGP. Ceci est configuré sur le WebGUI à:

Réseau > routeurs virtuels > BGP > Peer Group > type

Sélectionnez le "IBGP" pour le type et cliquez sur la case d'option "utiliser Self" pour exporter le prochain saut, comme indiqué ci-dessus. Cela permet de s'assurer qu'un itinéraire annoncé à un routeur IBGP reflète l'adresse IP du pare-feu de Palo Alto Networks, l'approvisionnement de cette route dans le comme pour les voisins IBGP et non pas l'adresse IP du voisin EBGP qui a initialement annoncé cette route. Cela empêche le routage potentiel des trous noirs.

Il est important de garder à l'esprit que BGP toujours s'assurer qu'un "Hop/destination" est accessible avant la publicité. Si le saut n'est pas accessible, l'itinéraire sera toujours conservé dans la table BGP, mais pas sur la table de routage globale. Le voisin EBGP de l'extérieur comme aurait été «accessible» au pare-feu, mais pas nécessaire pour les haut-parleurs IBGP au sein de l'as.

En outre, vérifiez que l'homologue EBGP ne fait pas la publicité de toutes les routes Internet si bien que la côte locale et la table de routage général est remplie (au point qu'il n'y a plus de tampon pour les itinéraires supplémentaires).

Configurez les règles d'importation afin que le pare-feu de Palo Alto Networks n'apprenne que les itinéraires nécessaires. Ou configurez le voisin pour exporter seulement quelques itinéraires vers le pare-feu. Configurez l'importation et l'exportation des itinéraires en allant à:

Réseau > routeurs virtuels > BGP > Import

et le réseau > routeurs virtuels > BGP > Export

Vérifiez que la table de routage est pleine à l'Aide des commandes suivantes:

> afficher la ressource de routage
> afficher  routage FIB

propriétaire : Dany