Cómo configurar el apagado elegante de BGP mediante la comunidad gshut
7824
Created On 07/02/20 23:10 PM - Last Modified 01/07/25 04:25 AM
Objective
- Los paquetes/tráfico BGP pueden quedar bloqueados durante una ventana de mantenimiento cuando se vuelve a cargar un par.
- La escala de la interrupción podría ser disruptiva dependiendo de la cantidad de rutas/prefijos BGP que se anuncien.
- El artículo proporciona cómo configurar Palo Alto para aceptar la comunidad "gshut" para garantizar un apagado ordenado del vecino.
Environment
- Cortafuegos de Palo Alto
- Sistema operativo PAN compatible
- BGP
- Comunidad gshut muy conocida
Procedure
The firewall can accept gshut community values from BGP speakers; it can then be configured to reconverge when it receives the well-known community.
- Verifique si el par BGP está enviando la comunidad "GSHUT".
- En el siguiente ejemplo, el firewall está interactuando con un enrutador "BGP_AS100".
- Este Peer "BGP_AS100" está enviando la comunidad GSHUT al cortafuegos (65535:0) para indicarle al cortafuegos que se está apagando:
admin@PA-VM> show routing protocol bgp loc-rib-detail
VIRTUAL ROUTER: default (id 1)
==========
Prefix: 10.10.10.0/24 * <<====
Nexthop: 192.168.122.168
Received from: Peer BGP_AS100 (id 5)
Originator ID: 0.0.0.0
AS Path: 100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
Community: 65535:0 <<====
----------
Prefix: 10.10.10.0/24
Nexthop: 192.168.122.103
Originator ID: 0.0.0.0
AS Path: 200,100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
total routes shown: 2
- Configurar el cortafuegos para establecer su preferencia local en cero para los prefijos que recibe con esta comunidad:
GUI: Red > Enrutadores virtuales > BGP > Importar > Agregar :
- Confirme el cambio de configuración . BGP debería volver a converger:
admin@PA-VM> show routing protocol bgp loc-rib-detail
VIRTUAL ROUTER: default (id 1)
==========
----------
Prefix: 10.10.10.0/24
Nexthop: 192.168.122.168
Received from: Peer BGP_AS100 (id 5)
Originator ID: 0.0.0.0
AS Path: 100
Origin: N/A
MED: 0
Local Preference: 0
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
Community: 65535:0
----------
Prefix: 10.10.10.0/24 * <<====
Nexthop: 192.168.122.103
Originator ID: 0.0.0.0
AS Path: 200,100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
total routes shown: 2
- Después de la reconvergencia, el dispositivo par " BGP_AS100" puede apagarse para mantenimiento sin interrumpir el entorno BGP .
Additional Information
- En el caso de un apagado o una recarga del cortafuegos durante una ventana de mantenimiento, el cortafuegos también se puede configurar para enviar este valor de la comunidad a sus pares mediante una regla de exportación.
- Mientras que PAN-OS muestra la comunidad gshut en notación de puntos, otros proveedores pueden mostrar la comunidad por su nombre. Tomemos como ejemplo el resultado en Cisco IOS:
Router#show bgp 10.10.10.10
BGP routing table entry for 10.10.10.0/24, version 2
Paths: (2 available, best #2, table default)
Advertised to update-groups:
5
Refresh Epoch 1
300 100
192.168.122.175 from 192.168.122.175 (1.1.1.1)
Origin IGP, localpref 100, valid, external
Community: gshut <<====
rx pathid: 0, tx pathid: 0
Refresh Epoch 1
100
192.168.122.168 from 192.168.122.168 (2.2.2.2)
Origin IGP, metric 0, localpref 100, valid, external, best
Community: gshut <<====
rx pathid: 0, tx pathid: 0x0