So konfigurieren BGP Graceful Shutdown mithilfe der gshut-Community
7918
Created On 07/02/20 23:10 PM - Last Modified 01/07/25 04:23 AM
Objective
- BGP Pakete/-Datenverkehr können während eines Wartungsfensters blockiert werden, wenn ein Peer neu geladen wird.
- Das Ausmaß des Ausfalls könnte je nach Anzahl der angekündigten BGP Routen/Präfixe störend sein.
- Der Artikel beschreibt, wie Sie Palo Alto so konfigurieren , dass die Community „gshut“ akzeptiert wird, um ein ordnungsgemäßes Herunterfahren des Nachbarn zu gewährleisten.
Environment
- Palo Alto-Firewalls
- Unterstützte PAN-OS
- BGP
- Bekannte Gshut-Community
Procedure
The firewall can accept gshut community values from BGP speakers; it can then be configured to reconverge when it receives the well-known community.
- Überprüfen Sie, ob der BGP Peer die Community „GSHUT“ sendet.
- Im folgenden Beispiel führt die Firewall ein Peering mit einem Router „BGP_AS100“ durch.
- Dieser Peer „BGP_AS100“ sendet die GSHUT-Community an die Firewall (65535:0) und signalisiert der Firewall , dass sie heruntergefahren wird:
admin@PA-VM> show routing protocol bgp loc-rib-detail
VIRTUAL ROUTER: default (id 1)
==========
Prefix: 10.10.10.0/24 * <<====
Nexthop: 192.168.122.168
Received from: Peer BGP_AS100 (id 5)
Originator ID: 0.0.0.0
AS Path: 100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
Community: 65535:0 <<====
----------
Prefix: 10.10.10.0/24
Nexthop: 192.168.122.103
Originator ID: 0.0.0.0
AS Path: 200,100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
total routes shown: 2
- Konfigurieren Sie die Firewall so, dass ihre lokale Präferenz für Präfixe, die sie mit dieser Community empfängt, auf Null gesetzt wird:
GUI: Netzwerk > Virtuelle Router > BGP > Importieren > Hinzufügen :
- Übernehmen Sie die Konfiguration . BGP sollte wieder konvergieren:
admin@PA-VM> show routing protocol bgp loc-rib-detail
VIRTUAL ROUTER: default (id 1)
==========
----------
Prefix: 10.10.10.0/24
Nexthop: 192.168.122.168
Received from: Peer BGP_AS100 (id 5)
Originator ID: 0.0.0.0
AS Path: 100
Origin: N/A
MED: 0
Local Preference: 0
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
Community: 65535:0
----------
Prefix: 10.10.10.0/24 * <<====
Nexthop: 192.168.122.103
Originator ID: 0.0.0.0
AS Path: 200,100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
total routes shown: 2
- Nach der erneuten Konvergenz kann das Peer Gerät „ BGP_AS100“ zur Wartung heruntergefahren werden, ohne dass die BGP Umgebung gestört wird.
Additional Information
- Im Falle eines Herunterfahrens oder Neuladens der Firewall während eines Wartungsfensters kann die Firewall auch so konfiguriert werden, dass dieser Community-Wert mithilfe einer Regel an ihre Peers gesendet wird.
- Während PAN-OS die gshut-Community in Punktnotation anzeigt, zeigen andere Anbieter die Community möglicherweise mit ihrem Namen an. Nehmen wir zum Beispiel die Ausgabe auf Cisco IOS:
Router#show bgp 10.10.10.10
BGP routing table entry for 10.10.10.0/24, version 2
Paths: (2 available, best #2, table default)
Advertised to update-groups:
5
Refresh Epoch 1
300 100
192.168.122.175 from 192.168.122.175 (1.1.1.1)
Origin IGP, localpref 100, valid, external
Community: gshut <<====
rx pathid: 0, tx pathid: 0
Refresh Epoch 1
100
192.168.122.168 from 192.168.122.168 (2.2.2.2)
Origin IGP, metric 0, localpref 100, valid, external, best
Community: gshut <<====
rx pathid: 0, tx pathid: 0x0