BGP Solución alternativa de prevención de bucles AS_PATH
50318
Created On 07/16/20 21:09 PM - Last Modified 03/26/21 18:30 PM
Symptom
Según RFC 4271, la detección de BGP AS bucles se realiza escaneando la ruta completa AS (como se especifica en el atributo AS_PATH) y comprobando que el número de sistema autónomo del sistema local no aparece en la AS ruta de acceso.
Environment
- Palo Alto Firewall .
- PAN-OS 8.1 y superior.
- BGPse configura con la configuración de emparejamiento predeterminada.
- Firewall está emparejando con dos o más pares eBGP.
Cause
A diferencia de algunas otras plataformas, PAN-OS (por abandono) no anunciará un prefijo de un par a otro par si el par AS está presente en el atributo AS_PATH de ese prefijo. Una razón para esto es porque PAN-OS asume que el anuncio del prefijo será caído por el par (debido al mecanismo de prevención del loop) de ahí los ciclos del procesador de las firewall conservas al no anunciar el prefijo/s encendido.
Network --> Virtual Routers --> Más estadísticas en tiempo de ejecución --> BGP --> Local RIB: Network
--> Virtual Routers --> Más estadísticas en tiempo de ejecución --> BGP --> RIB Out:
Resolution
- Desmarque 'Habilite la detección del lazo del lado del remitente' para el par ascendente de recepción:
Red --> Routers Virtuales --> BGP --> Peer Group --> Peer --> Avanzado:
- Verifique que las rutas se anuncian ahora. Como se ilustra a continuación, firewall el está enviando las rutas y anexando las suyas propias al anuncio de AS ruta:
- En el par receptor, se puede hacer una excepción para permitir que el dispositivo/sistema acepte anuncios de prefijo de-- firewall incluso si esas rutas contienen lo local en el atributo AS AS_PATH. Por ejemplo, en Cisco IOS / , la configuración es la IOS-XE siguiente:
Router-show run | i bgp|allowas-in
router bgp 100
bgplog-neighbor-changes
neighbor 192.168.122.175 allowas-in
- Verifique que el sistema esté instalando las rutas/prefijos de la firewall y pueda rutear a los prefijos:
Router#show ip bgp
BGP table version is 7, local router ID is 192.168.122.83
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.20.30.1/32 192.168.122.175 0 200 100 ?
r> 192.168.122.0 192.168.122.175 0 200 100 ?
Router#ping 10.20.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.20.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/11 msAdditional Information
- En plataformas donde puede que no sea posible permitir la AS entrada local, se puede configurar una regla de exportación en el firewall con criterios de coincidencia para el prefijo y una acción para el AS tipo de ruta establecido en 'Quitar y anteponer.' Esto significa que la firewall voluntad sobrescribirá el AS_PATH original con su propio AS y luego anunciará la ruta. El dispositivo del par instalará esta ruta ya que el anuncio no contiene su propio AS local. En el ejemplo siguiente, el firewall está haciendo coincidir cualquier instancia de AS 100 desde el primer par y la acción para esto se establece en 'Quitar y anteponer.'
- Esto es sólo un ejemplo y supone que el lector está familiarizado con las expresiones regulares (RegEx.) Esto también supone que el lector está familiarizado con las reglas de exportación -- ya que esto puede romper BGP anuncios a sus pares si no está bien pensado o BGP diseñado.