BGP ルートがルーティングテーブルに挿入されない

問題

bgp セッションはピアと共に確立され、ピアからアドバタイズされたルートは bgp ローカルリブに存在します。ただし、これらのルートはグローバルルーティングテーブルには挿入されません。

問題の状況

この問題は、通常、パロアルトネットワークファイアウォールは、2つのルータ間の EBGP と IBGP 接続を確立し、EBGP ピアから IBGP ピアに学んだルートをアドバタイズしているときに気づいた。デフォルトでは、AS の外部の EBGP ピアにルートがアドバタイズされると、ルーターは次ホップ属性がその IP アドレスを反映していることを確認します。bgp はルーティングプロトコルとしての as であるため、as を離れる bgp ネットワーク広告の次ホップ値は、as からの出口ポイントにおけるルータの IP アドレスである。

このルートが IBGP ピアにアドバタイズされると、次ホップ属性は同じままになります (別のものとして交差していないため)。通常、AS 内のルーターは、次ホップ属性から外部 IP アドレスへのルートを持ちません。これらのルータは、この次のホップがどこにあるかわからないので (彼らは直接接続されていないとして), と BGP は、到達可能な次ホップとパスを選択する, これらのルートは、パロアルトネットワークファイアウォール EBGP ピアによってアドバタイズされたルーティングテーブルにインストール

原因

• ファイアウォールは、IBGP の "次ホップセルフ" で構成されていません
• ルーティングテーブルがいっぱいで、新しいルートを学習できない
• [BGP] > [全般] > [オプション] の [ルートのインストール] オプションがオフになっている

解決方法

IBGP ピアへの IP アドレスとして "次ホップ" の値をアドバタイズするように、パロアルトネットワークファイアウォールを構成します。これは、WebGUI で構成されています。

ネットワーク > 仮想ルータ > BGP > ピアグループ > タイプ

を選択して "IBGP" のタイプとは、ラジオボタンをクリックして "自己を使用して" 次のホップをエクスポートするには、上記のように。これは、IBGP ルータにアドバタイズされたルートは、パロアルトネットワークファイアウォールの ip アドレスを反映していることを確認します, IBGP 隣人に AS にそのルートを調達し、もともとこのルートをアドバタイズ EBGP 隣人の ip アドレスではない. これは、潜在的なルーティングブラックホールを防ぎます。

BGP は、常に "ホップ/宛先" が広告の前に到達可能であることを確認することを念頭におくことが重要です。ホップに到達できない場合でも、ルートは BGP テーブルに保持されますが、グローバルルーティングテーブルでは行われません。外部からの EBGP の隣人は、ファイアウォールに "到達" されているだろうが、as 内の IBGP スピーカーには必要ありません。

さらに、EBGP ピアがすべてのインターネットルートをアドバタイズしていないことを確認して、ローカルリブと一般的なルーティングテーブルがいっぱいになるようにします (追加ルートのバッファがない点に)。

パロアルトネットワークファイアウォールが必要なルートのみを学習できるように、インポートルールを構成します。または、ファイアウォールにいくつかのルートのみをエクスポートするように近隣ノードを構成します。に行くことによってルートのインポートとエクスポートを構成します。

ネットワーク > 仮想ルーター > BGP > インポート

とネットワーク > 仮想ルーター > BGP > エクスポート

次のコマンドを使用して、ルーティングテーブルがいっぱいであることを確認します。

> ルーティングリソースの表示
> ルーティングを表示する fib

所有者: kprakash