丢弃具有聚合的 BGP 路由

丢弃具有聚合的 BGP 路由

10881
Created On 02/10/22 23:18 PM - Last Modified 02/11/22 00:45 AM


Symptom


在 上PANOS配置聚合时BGP,丢弃路由会自动插入到路由表中。 其他供应商使用不同的术语,如 路由,但概念本质上是相同的。

在以下示例中 firewall ,将聚合 10.10.0.0/16 并将其播发给其对等方:
 
admin@PA-VM> show routing protocol bgp rib-out | match "aggregate route"
 10.10.0.0/16        10.0.0.2         AS118      0.0.0.0          advertised  aggregate route 131
 10.10.0.0/16        172.16.202.1     Peer151    0.0.0.0          advertised  aggregate route 131

因此,丢弃路由将插入到路由表中:
 
admin@PA-VM> show routing route | match discard
10.10.0.0/16                                discard             A B        165                      0

Environment


  • 所有版本 PANOS
  • BGP
  • Hardware/VM-系列 NGFW

Cause


丢弃路由作为效率机制插入,以防止路由表上没有特定或更长前缀匹配的前缀通过默认路由查找和/或路由转发。 在此图中,firewall从其BGP对等方之一学习前缀 10.10.0.0/24,反过来,它将该前缀聚合到 10.10.0.0/16,然后将其通告给其对等方。 

当设备收到发往 IP 聚合范围内但父子网外的地址的流量时, firewall 只需丢弃流量即可。 例如,发往与聚合重叠的 10.10.1.25 的流量将被丢弃,因为它位于子网 10.10.0.0/24 之外。 唯一的例外是此地址与路由表上的现有 [BGP] 子网(如 10.10.0.0/17 等)匹配。

Resolution


丢弃路由将自动插入到聚合路由的路由表中 BGP 。

Additional Information


本文假定读者熟悉如何配置 BGP/route 聚合。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NC9CAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language