gshut 커뮤니티를 사용하여 BGP Graceful Shutdown을 구성 방법
7832
Created On 07/02/20 23:10 PM - Last Modified 01/07/25 04:29 AM
Objective
- 피어가 다시 로드되는 유지 관리 기간 동안 BGP 패킷/트래픽이 블랙홀될 수 있습니다.
- 중단 규모는 광고되는 BGP 경로/접두사 수에 따라 매우 심각할 수 있습니다.
- 이 문서에서는 Neighbor의 정상적인 종료를 보장하기 위해 "gshut" 커뮤니티를 허용하도록 Palo Alto를 구성 방법을 제공합니다.
Environment
- 팔로 알토 방화벽
- 지원되는 PAN-OS
- BGP.
- 잘 알려진 gshut 커뮤니티
Procedure
The firewall can accept gshut community values from BGP speakers; it can then be configured to reconverge when it receives the well-known community.
- BGP 피어가 "GSHUT" 커뮤니티를 보내는지 확인합니다.
- 아래 예에서 방화벽은 라우터 "BGP_AS100"과 피어링하고 있습니다.
- 이 피어 "BGP_AS100"은 GSHUT 커뮤니티를 방화벽 (65535:0)으로 보내 방화벽 이 종료된다는 신호를 보냅니다.
admin@PA-VM> show routing protocol bgp loc-rib-detail
VIRTUAL ROUTER: default (id 1)
==========
Prefix: 10.10.10.0/24 * <<====
Nexthop: 192.168.122.168
Received from: Peer BGP_AS100 (id 5)
Originator ID: 0.0.0.0
AS Path: 100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
Community: 65535:0 <<====
----------
Prefix: 10.10.10.0/24
Nexthop: 192.168.122.103
Originator ID: 0.0.0.0
AS Path: 200,100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
total routes shown: 2
- 이 커뮤니티에서 수신한 접두사에 대한 로컬 기본 설정을 0으로 설정하도록 방화벽 구성합니다.
GUI: 네트워크 > 가상 라우터 > BGP > 가져오기 > 추가 :
- 구성 변경을 커밋합니다. BGP 다시 수렴해야 합니다.
admin@PA-VM> show routing protocol bgp loc-rib-detail
VIRTUAL ROUTER: default (id 1)
==========
----------
Prefix: 10.10.10.0/24
Nexthop: 192.168.122.168
Received from: Peer BGP_AS100 (id 5)
Originator ID: 0.0.0.0
AS Path: 100
Origin: N/A
MED: 0
Local Preference: 0
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
Community: 65535:0
----------
Prefix: 10.10.10.0/24 * <<====
Nexthop: 192.168.122.103
Originator ID: 0.0.0.0
AS Path: 200,100
Origin: IGP
MED: 0
Local Preference: 100
Atomic aggregate: no
Aggregator AS: 0
Aggregator ID: 0.0.0.0
Weight: 0
Flap: value 0.00, count 0
total routes shown: 2
- 재수렴 후, 피어 디바이스 " BGP_AS100"은 BGP 환경을 방해하지 않고 유지 관리를 위해 종료될 수 있습니다.
Additional Information
- 유지 관리 기간 동안 방화벽 종료되거나 다시 로드되는 경우 방화벽 내보내기 규칙 사용하여 이 커뮤니티 값을 피어로 전송하도록 구성할 수도 있습니다.
- PAN-OS는 점 표기법으로 gshut 커뮤니티를 표시하는 반면, 다른 공급업체는 커뮤니티를 이름으로 표시할 수 있습니다. 예를 들어 Cisco IOS의 출력을 살펴보겠습니다.
Router#show bgp 10.10.10.10
BGP routing table entry for 10.10.10.0/24, version 2
Paths: (2 available, best #2, table default)
Advertised to update-groups:
5
Refresh Epoch 1
300 100
192.168.122.175 from 192.168.122.175 (1.1.1.1)
Origin IGP, localpref 100, valid, external
Community: gshut <<====
rx pathid: 0, tx pathid: 0
Refresh Epoch 1
100
192.168.122.168 from 192.168.122.168 (2.2.2.2)
Origin IGP, metric 0, localpref 100, valid, external, best
Community: gshut <<====
rx pathid: 0, tx pathid: 0x0