Comment configurer l'arrêt progressif du BGP à l'aide de la communauté gshut
7918
Created On 07/02/20 23:10 PM - Last Modified 01/07/25 04:22 AM
Objective
- Les paquets/trafics BGP peuvent être bloqués pendant une fenêtre de maintenance lorsqu'un homologue est en cours de rechargement.
- L’ampleur de la panne pourrait être perturbatrice en fonction du nombre de routes/préfixes BGP annoncés.
- L'article explique comment configurer Palo Alto pour accepter la communauté « gshut » afin de garantir un arrêt correct du voisin.
Environment
- Pare-feu Palo Alto
- Système d'exploitation PAN pris en charge
- BGP
- Communauté Gshut bien connue
Procedure
The firewall can accept gshut community values from BGP speakers; it can then be configured to reconverge when it receives the well-known community.
- Vérifiez si le pair BGP envoie la communauté « GSHUT ».
- Dans l'exemple ci-dessous, le pare-feu est en peering avec un routeur « BGP_AS100 ».
- Ce pair « BGP_AS100 » envoie la communauté GSHUT au pare-feu (65535 : 0) signalant au pare-feu qu'il est en train de s'arrêter :
admin@PA-VM> show routing protocol bgp loc-rib-detail
VIRTUAL ROUTER: default (id 1)
==========
Prefix: 10.10.10.0/24 * <<====
Nexthop: 192.168.122.168
Received from: Peer BGP_AS100 (id 5)
Originator ID: 0.0.0.0
AS Path: 100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
Community: 65535:0 <<====
----------
Prefix: 10.10.10.0/24
Nexthop: 192.168.122.103
Originator ID: 0.0.0.0
AS Path: 200,100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
total routes shown: 2
- Configurez le pare-feu pour définir sa préférence locale sur zéro pour les préfixes qu'il reçoit avec cette communauté :
GUI : Réseau > Routeurs virtuels > BGP > Importer > Ajouter :
- Validez la modification de configuration . BGP devrait reconverger :
admin@PA-VM> show routing protocol bgp loc-rib-detail
VIRTUAL ROUTER: default (id 1)
==========
----------
Prefix: 10.10.10.0/24
Nexthop: 192.168.122.168
Received from: Peer BGP_AS100 (id 5)
Originator ID: 0.0.0.0
AS Path: 100
Origin: N/A
MED: 0
Local Preference: 0
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
Community: 65535:0
----------
Prefix: 10.10.10.0/24 * <<====
Nexthop: 192.168.122.103
Originator ID: 0.0.0.0
AS Path: 200,100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
total routes shown: 2
- Après la reconvergence, le appareil homologue « BGP_AS100 » peut être arrêté pour maintenance sans interruption de l'environnement BGP .
Additional Information
- En cas d'arrêt ou de rechargement du pare-feu pendant une fenêtre de maintenance, le pare-feu peut également être configuré pour envoyer cette valeur de communauté à ses pairs à l'aide d'une règle d'exportation.
- Alors que PAN-OS affiche la communauté gshut en notation pointée, d'autres fournisseurs peuvent afficher la communauté par son nom. Prenons par exemple la sortie sur Cisco IOS :
Router#show bgp 10.10.10.10
BGP routing table entry for 10.10.10.0/24, version 2
Paths: (2 available, best #2, table default)
Advertised to update-groups:
5
Refresh Epoch 1
300 100
192.168.122.175 from 192.168.122.175 (1.1.1.1)
Origin IGP, localpref 100, valid, external
Community: gshut <<====
rx pathid: 0, tx pathid: 0
Refresh Epoch 1
100
192.168.122.168 from 192.168.122.168 (2.2.2.2)
Origin IGP, metric 0, localpref 100, valid, external, best
Community: gshut <<====
rx pathid: 0, tx pathid: 0x0