So konfigurieren BGP Sie das Peering zwischen einem 4-Byte-Gerät und einem 2-Byte-Gerät ASN ASN
18763
Created On 08/03/21 08:24 AM - Last Modified 07/08/24 03:09 AM
Objective
Dieser Artikel zielt darauf ab, zwei Firewalls zu konfigurieren, eine mit 2 Byte und die andere mit 4 Byte ASN ASN, um Routen auszutauschen.
BGP Hinweis: BGP's 4-Byte Autonomous System Number (ASN) hat Abwärtskompatibilität zu 2-ByteASN, umgekehrt ist es nicht möglich.
Environment
- Palo Alto Firewall
- PAN-OS 9.1
- BGP konfiguriert
Topologie:
Procedure
- Konfigurieren BGP auf FW1 über Netzwerk > virtuellen Router > [VR-Name] > BGP
- Konfigurieren Sie die BGP Peering-Informationen von FW1 aus dem Netzwerk > dem virtuellen Router > [Name] > >VR-BGP Peergruppe > Hinzufügen.
- Beachten Sie den folgenden Schnappschuss, dass 2-Byte 4-Byte ASN ASNnicht versteht, verwenden Sie AS_TRANS 23456, das aus Sicht von FW1 als FW3 ASN dient. AS per RFC 4893. Die AS Nummer 23456 wurde von der IANA for AS_TRANS vergeben
- Konfigurieren Sie die Grundkonfiguration BGP von FW3. Standardmäßig ASN ist das Format auf 2 Byte eingestellt, Sie müssen in der Konfiguration von FW3 von Network > Virtual Router > [VR-Name] > auf 4-Byte umschalten BGP
- Konfigurieren Sie die BGP Peering-Informationen von FW3 aus dem Netzwerk > dem virtuellen Router > [VR-Name] > > Peergruppe > BGP Hinzufügen
- Die oben genannten vier Schritte sind das wesentliche Verfahren in diesem Leitfaden. Dieser und die folgenden Schritte sind eher ein optionaler Teil, um die Routenfreigabe anzuzeigen.Da die Idee der Konfiguration mit beiden Firewalls identisch ist, zeigt die Anleitung eine von FW1, und Sie können FW3 wie unten konfiguriert konfigurieren. Netzwerk - > virtueller Router > [VR-Name] > Neuverteilungsprofil > Hinzufügen
- (Optional) Hängen Sie das erstellte Umverteilungsprofil aus Schritt 5 an BGP. Netzwerk- > virtueller Router > [VR-Name] > > Redist-Regeln > BGP Hinzufügen
Hinweis: Denken Sie daran, den gleichen Schritt in FW3 auszuführen
Überprüfung:
- Die BGP Peering-Ergebnisse von FW1:
- Die von FW1 aus FW3 gelernten Routen sind zu beachten, dass die von FW3 angekündigte AS_PATH nicht 4294967294, sondern 23456 ist ASN
- Das ASN Peering-Ergebnis von FW3:
- FW3's gelernte Routen von FW1
Additional Information
- Der Schlüssel besteht darin, 23456 als Peer AS im 2-Byte-Format ASN zu konfigurieren AS Firewall.
- Der Router mit 4 Byte ASN versteht dies und bildet eine Peer-Beziehung.
- Bei der mit 4-Byte ASNwird eine Peer-Beziehung mit der firewall regulären AS Zahl (in diesem Fall 65530) gebildet
Der spezielle 16-Bit-Wert 23456 ("AS_TRANS") wurde von IANA als Platzhalter für 32-Bit-Werte
für den Fall vergeben, dass 32-Bit-fähigeASN Router ("neue BGP Lautsprecher") Nachrichten an Router mit
älterer BGP Software ("alte BGP Lautsprecher") sendenBGP, die die neuen 32-Bit-ASNs ASN ASN nicht verstehen.