gshut コミュニティを使用してBGPグレースフル シャットダウンをコンフィグ方法
7926
Created On 07/02/20 23:10 PM - Last Modified 01/07/25 04:26 AM
Objective
- ピアがリロードされているメンテナンス期間中、 BGPパケット/トラフィックはブラックホール化される可能性があります。
- アドバタイズされるBGPルート/プレフィックスの数によっては、停止の規模が混乱を招く可能性があります。
- この記事では、ネイバーの正常なシャットダウンを確実にするために、「gshut」コミュニティを受け入れるように Palo Alto をコンフィグ方法について説明します。
Environment
- パロアルトファイアウォール
- サポートされているPAN-OS
- BGP とは
- 有名なグシャットコミュニティ
Procedure
The firewall can accept gshut community values from BGP speakers; it can then be configured to reconverge when it receives the well-known community.
- BGPピアが「GSHUT」コミュニティを送信しているかどうかを確認します。
- 以下の例では、ファイアウォールはルータ「BGP_AS100」とピアリングしています。
- このピア「BGP_AS100」は、ファイアウォール(65535:0) に GSHUT コミュニティを送信し、ファイアウォールがシャットダウンしていることを通知します。
admin@PA-VM> show routing protocol bgp loc-rib-detail
VIRTUAL ROUTER: default (id 1)
==========
Prefix: 10.10.10.0/24 * <<====
Nexthop: 192.168.122.168
Received from: Peer BGP_AS100 (id 5)
Originator ID: 0.0.0.0
AS Path: 100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
Community: 65535:0 <<====
----------
Prefix: 10.10.10.0/24
Nexthop: 192.168.122.103
Originator ID: 0.0.0.0
AS Path: 200,100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
total routes shown: 2
- このコミュニティで受信するプレフィックスのローカル プリファレンスを 0 に設定するようにファイアウォールを構成します。
GUI:ネットワーク > 仮想ルーター > BGP > インポート > 追加:
- 設定変更をコミットします。BGPは再収束するはずです。
admin@PA-VM> show routing protocol bgp loc-rib-detail
VIRTUAL ROUTER: default (id 1)
==========
----------
Prefix: 10.10.10.0/24
Nexthop: 192.168.122.168
Received from: Peer BGP_AS100 (id 5)
Originator ID: 0.0.0.0
AS Path: 100
Origin: N/A
MED: 0
Local Preference: 0
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
Community: 65535:0
----------
Prefix: 10.10.10.0/24 * <<====
Nexthop: 192.168.122.103
Originator ID: 0.0.0.0
AS Path: 200,100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
total routes shown: 2
- 再収束後、ピアデバイス「 BGP_AS100」は、 BGP環境を中断することなくメンテナンスのためにシャットダウンされる場合があります。
Additional Information
- メンテナンス期間中にファイアウォールがシャットダウンまたはリロードされた場合、ファイアウォールはエクスポートルールを使用してこのコミュニティ値をピアに送信するように構成することもできます。
- PAN-OS は gshut コミュニティをドット表記で表示しますが、他のベンダーはコミュニティを名前で表示する場合があります。たとえば、Cisco IOS の出力は次のようになります。
Router#show bgp 10.10.10.10
BGP routing table entry for 10.10.10.0/24, version 2
Paths: (2 available, best #2, table default)
Advertised to update-groups:
5
Refresh Epoch 1
300 100
192.168.122.175 from 192.168.122.175 (1.1.1.1)
Origin IGP, localpref 100, valid, external
Community: gshut <<====
rx pathid: 0, tx pathid: 0
Refresh Epoch 1
100
192.168.122.168 from 192.168.122.168 (2.2.2.2)
Origin IGP, metric 0, localpref 100, valid, external, best
Community: gshut <<====
rx pathid: 0, tx pathid: 0x0