BGP Peering kommt nicht mit /31-Subnetz
3042
Created On 07/07/21 17:59 PM - Last Modified 06/24/25 21:10 PM
Symptom
- BGP Peer bleibt im ACTIVE Modus und wechselt nicht in ESTABLISHED den Zustand.
- Beachten Sie die folgenden Protokolle in var/log/pan/routed.log
2021-06-15 11:03:37.813 -0700 debug: pan_socket(src/pan_dc_sck.c:788): new socket 1565 opened for domain 2 type 1 proto 0, total opened socket 3. 2021-06-15 11:03:37.813 -0700 debug: pan_bind(src/pan_dc_sck.c:831): bind socket 1565 successfully. **** AUDIT 0x0303 - 7 (0000) **** I:000015c4 F:00000002 sckrecv.c 1249 :at 11:03:37, 15 June 2021 (410673 ms) Processed an ATG_SCK_SOCKET IPS OK. Socket ID = 1565 Socket type = 0X00000001 Socket family = 0X00000002 Socket protocol = 0X00000000 Application handle = 0X03B40000 Stub socket handle = 0X2DA40000 Local inet address = 10.20.0.46 Local port = 0 Remote inet address = 10.20.0.47 Remote port = 179 **** PROBLEM 0x0303 - 20 (0000) **** I:000015c6 F:00000001 sckrecv2.c 1968 :at 11:03:37, 15 June 2021 (410673 ms) Failed to connect to remote address. Sockets error code = 101 Remote address = 10.20.0.47 Remote port = 179 Socket ID = 1565 Socket type = 0X00000001 Socket family = 0X00000002 Socket protocol = 0X00000000 Stub socket handle = 0X2DA40000 Application handle = 0X03B40000
Environment
- BGP Peers, die eine Schnittstelle mit dem /31-Subnetz verwenden.
- BGP Die Sitzung wird vom Peer initiiert.
Cause
- Dies ist ein erwartetes Verhalten, da das /31-Subnetz von nicht vollständig unterstützt wird PAN-OS.
- Wenn BGP die Sitzung vom Peer mit dem Subnetz /31 initiiert wird, wird kein Socket erstellt, und es wird kein Paket an den Peer gesendet. Der Socket-Fehler lautet "101 = Netzwerk ist nicht erreichbar"
Resolution
- Verwenden Sie /30 oder andere Subnetze.
- Deaktivieren Sie nach Möglichkeit die ausgehende BGP Sitzung auf dem Peer. Wenn firewall die BGP Sitzung initiiert wird, wird dieses Problem nicht angezeigt.