BGP AS_PATH Loop Prevention Workaround
50176
Created On 07/16/20 21:09 PM - Last Modified 03/26/21 18:30 PM
Symptom
Basierend auf RFC 4271 erfolgt die BGP AS Schleifenerkennung, indem der vollständige Pfad (wie im Attribut AS_PATH angegeben) gescannt und überprüft wird, AS ob die autonome Systemnummer des lokalen Systems nicht im Pfad angezeigt AS wird.
Environment
- Palo Alto Firewall .
- PAN-OS 8.1 und höher.
- BGPist mit Standard-Peeringeinstellungen konfiguriert.
- Firewall vergleicht mit zwei oder mehr eBGP-Peers.
Cause
Im Gegensatz zu einigen anderen Plattformen PAN-OS wird (standardmäßig) kein Präfix von einem Peer an einen anderen Peer angeschrieben, wenn der Peer AS im AS_PATH Attribut dieses Präfixes vorhanden ist. Ein Grund dafür ist, PAN-OS dass davon ausgegangen wird, dass die Präfixankündigung vom Peer (wegen des Schleifenverhinderungsmechanismus) gelöscht wird, daher bleiben die firewall Prozessorzyklen erhalten, indem die Präfixe nicht auf geschaltet werden.
Netzwerk --> Virtuelle Router --> Mehr Laufzeitstatistiken --> BGP --> Lokal RIB:
Netzwerk --> Virtuelle Router --> Mehr Laufzeitstatistiken --> BGP --> RIB Out:
Resolution
- Deaktivieren Sie 'Sender Side Loop Detection aktivieren' für den empfangenden Upstream-Peer:
Netzwerk --> virtuelle Router --> BGP --> Peer Group --> Peer --> Advanced:
- Stellen Sie sicher, dass die Routen jetzt angekündigt werden. Wie unten dargestellt, sendet der firewall die Routen und fügt seine eigenen an die AS Routenanzeige an:
- Auf dem empfangenden Peer kann eine Ausnahme gemacht werden, damit das Gerät/System Präfixankündigungen aus dem akzeptiert firewall - auch wenn diese Routen das lokale im attribut AS_PATH AS enthalten. Bei Cisco / ist die Konfiguration z. IOS IOS-XE B. wie folgt:
Router-Show-Lauf | i bgp|allowas-in Router
bgp 100
bgp log-neighbor-changes Nachbar
192.168.122.175 allowas-in
- Stellen Sie sicher, dass das System die Routen/Präfixe aus dem installiert firewall und zu den Präfixen weitergeleitet werden kann:
Router#show ip bgp
BGP table version is 7, local router ID is 192.168.122.83
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.20.30.1/32 192.168.122.175 0 200 100 ?
r> 192.168.122.0 192.168.122.175 0 200 100 ?
Router#ping 10.20.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.20.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/11 msAdditional Information
- Auf Plattformen, auf denen es möglicherweise nicht möglich ist, den lokalen AS Eingehen zuzulassen, kann eine Exportregel auf der mit einem Übereinstimmungskriterium für das Präfix und einer Aktion für den Pfadtyp konfiguriert werden, die firewall AS auf "Entfernen und Vorbereiten" festgelegt ist. Dies bedeutet, dass firewall die das ursprüngliche AS_PATH mit seinem eigenen überschreiben und dann die Route AS ankündigen. Das Peer-Gerät installiert diese Route, da die Ankündigung keine eigene lokale AS enthält. Im folgenden Beispiel stimmt die instanz von 100 vom ersten Peer ab, firewall und die Aktion dafür ist auf AS "Entfernen und Vorbereiten" festgelegt.
- Dies ist nur ein Beispiel und geht davon aus, dass der Leser mit regulären Ausdrücken (RegEx) vertraut ist. Dies setzt auch voraus, dass der Leser mit Exportregeln vertraut ist -- da dies Werbung für Peers brechen BGP kann, BGP wenn sie nicht gut durchdacht oder entworfen wird.